欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    2022年信息安全自查操作指南 .pdf

    • 资源ID:33404543       资源大小:578.42KB        全文页数:35页
    • 资源格式: PDF        下载积分:4.3金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要4.3金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    2022年信息安全自查操作指南 .pdf

    附件 1:信息安全自查操作指南2012 年 7 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 35 页 - - - - - - - - - 目录概述 . 1 一、自查目的 . 1 二、自查工作流程 . 1 环节一自查工作部署 . 3 一、研究制定自查实施方案 . 3 二、自查工作动员部署 . 4 环节二基本情况自查 . 6 一、系统基本情况自查 . 6 二、安全管理情况自查 . 14 三、技术防护情况自查 . 19 四、应急处置及容灾备份情况自查 . 22 五、安全技术检测 . 23 环节三问题与风险分析. 24 一、主要问题分析 . 24 二、国外依赖度分析 . 24 三、主要威胁分析 . 25 环节四自查工作总结 . 27 一、自查工作总结 . 27 二、自查情况上报 . 27 有关工作要求 . 28 附件 : (1)信息安全自查报告编写参考格式. 30 (2)信息安全检查情况报告表 . 32 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 35 页 - - - - - - - - - 1 概述为指导部直属单位信息安全自查工作,依据国务院办公厅关于开展重点领域网络与信息安全检查行动的通知(国办函2012102 号)和关于开展部直属单位重点网络与信息安全检查行动的通知 (以下简称检查通知 ) ,制定本指南。本指南主要用于部直属单位及其下属单位(以下统称自查单位)在开展信息安全自查具体工作时参考。一、自查目的通过开展安全自查, 进一步梳理、 掌握本单位重要网络与信息系统基本情况, 查找突出问题和薄弱环节,分析面临的安全威胁和风险, 评估安全防护水平, 有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升, 预防和减少重大信息安全事件的发生,切实保障本单位网络与信息安全。二、自查工作流程信息安全自查主要包括自查工作部署、基本情况自查、 问题与风险分析、自查工作总结等4 个环节(见图1) 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 35 页 - - - - - - - - - 2 图 1 自查工作流程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 35 页 - - - - - - - - - 3 环节一自查工作部署一、研究制定自查实施方案认真学习检查通知 ,深刻领会文件精神和有关要求,研究制定自查实施方案,并报主管领导批准。(一)自查实施方案应当明确的内容自查实施方案应当明确以下内容: (1)自查工作负责人、组织单位和实施机构。 (2)自查范围和自查对象。 (3)自查工作的组织方式。(4)自查工作时间进度安排。1. 关于自查范围。此次自查范围是部直属单位及其下属单位重点网络与信息系统(含工业控制系统,以下同)。检查的重点是事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。2. 关于自查对象。主要指网络与信息系统安全管理与防护涉及到的信息安全综合管理部门、信息化部门、业务部门、生产管理部门、财务部门、人事部门等相关部门。各单位可根据实际情况确定具体的自查对象。3. 关于自查工作组织。自查单位可成立自查工作组开展检查,也可指定专门机构负责自查实施工作。自查工作组可由本单位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信息安全知识、 技术能力较强的人员, 以及本单位相关技术支撑机构业务骨干等组成。 单位内各部门可指定人员负责协调配合和联名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 35 页 - - - - - - - - - 4 络工作。 对于有工业控制系统的单位,可考虑生产管理部门参与工业控制系统信息安全检查。对于信息系统复杂、 自查工作涉及部门多的单位,可根据需要成立自查工作领导小组,负责自查工作的组织协调与资源配置。领导小组组长可由本单位信息安全主管领导担任,领导小组成员可包括信息安全综合管理部门负责人、信息化部门负责人,以及其他相关部门负责人(如人事部门、财务部门、业务部门、生产管理部门领导)等。(二)应当注意的有关事项1. 纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。从安全防护的角度判断网络与信息系统独立性的方法如下:根据系统所承担业务的独立性、责任主体的独立性、 网络边界的独立性、 安全防护设备设施的独立性四个因素,对网络与信息系统进行全面梳理并综合分析,划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。2. 关于重要网络与信息系统,可从系统特征的角度,立足本单位实际,参考以下标准进行判定:(1)业务依赖度高。(2)数据集中度高(全国、流域数据集中)。(3)实时性要求高。(4)系统关联性强(发生重大信息安全事件后,会对与其名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 35 页 - - - - - - - - - 5 相连的其他系统造成较大影响,并产生连片连锁反应)。(5)直接面向社会公众提供服务,用户数量庞大,覆盖范围广。(6)灾备等级高(系统级灾备) 。3. 关于重要工业控制系统,可从发生信息安全事件造成危害的角度,参考以下标准进行判定:(1)发生重大信息安全事件,致使系统出现严重故障后,可能导致 10 人以上死亡或50 人以上重伤。(2)发生重大信息安全事件,致使系统出现严重故障后,可能导致 5000 万元以上直接经济损失。(3)发生重大信息安全事件,致使系统出现严重故障后,可能影响 100 万人以上正常生活。(4)发生重大信息安全事件,致使系统出现严重故障后,可能对与其相连的其他系统造成影响,并产生连片连锁反应。(5)发生重大信息安全事件,致使系统出现严重故障后,可能对生态环境造成严重破坏。(6)发生重大信息安全事件,致使系统出现严重故障后,可能对国家安全和社会稳定产生重大影响。二、自查工作动员部署自查单位可通过召开会议、下发文件等方式对自查工作进行部署,布置自查工作任务。相关人员要切实落实自查工作责任,各司其职,形成合力,共同推进自查工作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 35 页 - - - - - - - - - 6 环节二基本情况自查一、系统基本情况自查(一)系统特征情况1. 查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况,记录检查结果(表1) 。表 1 系统基本情况检查记录表序号系统名称实时性服务对象连接互联网情况数据集中情况灾备情况实时非实时面向社会公众不面向社会公众采用逻辑隔离措施连接采用逻辑强隔离1措施连接不连接全国集中省级集中不集中系统级灾备仅数据灾备无灾备1 2 3 2. 根据上述系统基本情况核查结果,分析系统停止运行后对主要业务的影响程度、 系统遭受攻击破坏后对社会公众的影响程度等安全特征,记录分析结果(表2) 。(1)关于系统停止运行后对主要业务的影响程度判定标准如下:1逻辑强隔离指使用逻辑强隔离设备(使用正向、反向或双向网闸)进行的网络隔离。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 35 页 - - - - - - - - - 7 影响程度高: 系统停止运行后, 主要业务无法开展或对主要业务运行产生严重影响;影响程度中:系统停止运行后, 对主要业务运行有一定影响,可用手工等传统方式替代;影响程度低: 系统停止运行后, 对主要业务运行影响较小或无影响。(2)关于系统遭受攻击破坏后对社会公众的影响程度判定标准如下:影响程度高:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生严重影响;影响程度中:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生一定影响;影响程度低:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等影响较小或无影响。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 35 页 - - - - - - - - - 8 表 2 系统特征情况分析记录表序号系统名称系统对主要业务的影响程度系统对社会公众的影响程度高中低高中低1 2 3 (二)系统构成情况1. 重点检查主要硬件设备类型、数量、生产商(品牌)情况,记录检查结果(表3) 。硬件设备类型主要有:服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。硬件设备生产商 (品牌)按国内、国外两类进行记录。 其中,国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等,国外主要有 IBM 、 HP、 DELL 、 Cisco、Juniper、H3C 等。2. 重点检查主要软件设备类型、套数、生产商(品牌)情况,记录检查结果(表4) 。软件设备类型主要有: 操作系统、 数据库及主要业务应用系统。软件设备生产商 (品牌)按国内、国外两类进行记录。 其中,国内主要有红旗、麒麟、金仓、达梦等,国外主要有Windows、RedHat、HP-Unix 、AIX 、Solaris、Oracle、DB2、SQL Server 等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 35 页 - - - - - - - - - 9 (三)工业控制系统类型与构成情况通过调阅资产清单、现场查看、上机检查等方式,检查工业控制系统类型和构成情况,汇总记录检查结果(表5) 。工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备(仪表、智能电子设备、远端设备)等。工业控制系统软硬件主要包括:应用服务器工程师工作站(组态监控软件、系统软件、PC 机/服务器)、数据服务器(数据库软件、系统软件、PC 机/服务器)等。表 3 信息系统主要硬件检查记录表检查项检查结果主要硬件服务器国内品牌数量浪潮曙光联想方正其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)国外品牌数量IBM HP DELL 其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)路由器国内品牌数量华为中兴其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 35 页 - - - - - - - - - 10 国外品牌数量Cisco JuniperH3C 其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)交换机国内品牌数量华为中兴其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)国外品牌数量Cisco Juniper H3C 其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)防火墙国内1. 品牌,数量2. 品牌,数量(如有更多,请另列表)国外1. 品牌,数量2. 品牌,数量(如有更多, 请另列表)其他国内1. 设备类型:,品牌,数量2. 设备类型:,品牌,数量(如有更多,请另列表)国外1. 设备类型:,品牌,数量2. 设备类型:,品牌,数量(如有更多,请另列表)表 4 信息系统主要软件检查记录表检查项检查结果主要操国内红旗麒麟其他: 1. 品牌,套数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 35 页 - - - - - - - - - 11 软件作系统品牌套数2. 品牌,套数(如有更多,请另列表)国外品牌套数Windows RedHat HP-Unix AIX 其他:1. 品牌,套数2. 品牌,套数(如有更多,请另列表)数据库国内品牌套数金仓达梦其他:1. 品牌,套数2. 品牌,套数(如有更多,请另列表)国外品牌套数Oracle DB2 SQLServer 其他:1. 品牌,套数2. 品牌,套数(如有更多,请另列表)其他国内1. 设备类型:,品牌,套数2. 设备类型:,品牌,套数(如有更多,请另列表)国外1. 设备类型:,品牌,套数2. 设备类型:,品牌,套数(如有更多,请另列表)表 5 工业控制系统类型与构成情况检查记录表检查项检查结果国内品牌国外品牌系统类型情况数据采集与监控( SCADA )系统套套分布式控制系统( DCS)套套名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 35 页 - - - - - - - - - 12 过程控制系统( PCS)套套可编程控制器(PLC)大型台台中型台台小型台台就地测控设备仪表台台智能电子设备( IED)台台远端设备( RTU)台台系统构成情况应用服务器 -工程师工作站组态监控软件套套系统软件套套PC机/服务器台台数据服务器数据库软件套套系统软件套套PC机/服务器台台通信设备台台(四)信息技术外包服务情况重点检查信息技术外包服务类型、服务提供商、服务方式、安全保密协议等,记录检查结果(表6) 。服务类型主要有系统集成、软件开发、 系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。服务方式主要有远程在线服务和现场服务。安全保密协议内容应包括安全责任、违约责任、 协议有效期名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 35 页 - - - - - - - - - 13 和责任人等内容。 对于没有安全保密协议文本,但在外包服务合同中具有相关内容的,视同签订安全保密协议。表 6 信息技术外包服务检查结果记录表检查项检查结果外包服务机构1机构名称机构性质国有民营外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订未签订外包服务机构2机构名称机构性质国有民营外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订未签订外包服务机构3机构名称机构性质国有民营外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订未签订名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 35 页 - - - - - - - - - 14 (如有更多,可另列表)二、安全管理情况自查(一)信息安全责任制建立及落实情况重点检查信息安全主管领导、信息安全管理机构、 信息安全工作人员履职以及岗位责任、事故责任追究情况等,记录检查结果(表 7) 。1. 信息安全主管领导明确及工作落实情况。检查方法: 调阅领导分工等文件,检查是否明确了信息安全主管领导。 调阅信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。2. 信息安全管理机构指定及工作落实情况。检查方法: 调阅单位内各部门职责分工等文件,检查是否指定了信息安全管理机构。调阅工作计划、工作方案、管理规章制度、监督检查记录等文件,了解管理机构工作落实情况。3. 信息安全工作人员配备及工作落实情况。检查方法:调阅人员列表、岗位职责分工等文件,检查是否配备了信息安全工作人员。访谈信息安全工作人员,调阅工作计划、工作记录、工作报告等文件,检查信息安全工作人员的工作落实情况。4. 岗位责任和事故责任追究情况。检查方法: 调阅安全事件记录等文件,检查是否发生过因违反制度规定造成的信息安全事故。调阅安全事件处置文件,检查名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 35 页 - - - - - - - - - 15 是否对信息安全责任事故进行了查处。表 7 信息安全责任制建立及落实情况检查记录表检查项检查结果1 分管信息安全工作的领导姓名: _ 职务: _ (本部门正职或副职领导)2 信息安全管理机构名称: _ 负责人: _ 职务: _ 联系人: _ 电话: _ 3 信息安全专职工作机构名称: _ 负责人: _ 电话: _ 4 信息安全员本单位内设机构数量: _ 信息安全员数量:_ 专职信息安全员数量: _5 岗位责任和事故责任追究岗位信息安全责任制度:已制定未制定安全责任事故:发生过:所有事故均已查处相关责任人有事故未查处相关责任人未发生过(二)日常安全管理制度建立和落实情况名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 35 页 - - - - - - - - - 16 重点检查人员管理、资产管理、存储介质管理、运行维护管理、年度教育培训等制度建立和落实情况,记录检查结果(表 8) 。1. 人员管理制度。检查方法: 调阅人员管理制度等文件,检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定。调阅人员信息安全保密协议,检查系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了协议。调阅人员离岗离职记录、人员离岗离职承诺书等文件,抽查离岗离职人员信息系统访问权限终止情况, 检查人员离岗离职管理落实情况。调阅外部人员访问审批手续、 访问记录等文件, 检查外部人员访问管理落实情况及相关记录完整性。2. 资产2管理制度检查方法:调阅资产管理制度等文件, 检查是否有设备发放、使用、维修、维护和报废等相关规定。调阅资产台账,抽取一定比例的在用设备, 核查其对应的资产台账记录;随机抽取资产台账中的设备, 核查其对应的实物, 检查资产台账完整性和账物符合性。调阅设备管理员任命、 岗位分工等文件, 访谈设备管理员,检查是否指定了专人负责资产管理工作。3. 存储介质管理制度。检查方法: 调阅存储介质管理制度等文件,检查是否有介质领用、交回、维修、报废、销毁等相关规定,调阅存储介质管理2本指南所称资产指软硬件设备等信息技术相关资产。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 35 页 - - - - - - - - - 17 相关记录,检查存储介质管理制度落实情况。访谈网络管理员、数据库管理员, 了解存储阵列、 磁带库等大容量存储介质是否外联,外联时是否有安全防护措施,是否存在远程维护。4. 运行维护管理制度。检查方法: 调阅运行维护管理制度等相关文件,检查是否包含备份、应急、监控、审计、变更管理等相关内容。调阅运维操作手册和运维相关记录,检查是否有运维操作手册、运行维护管理制度落实情况及相关记录完整性。5. 年度教育培训。检查方法:访谈网络管理员、系统管理员和工作人员,了解信息安全基本防护技能掌握情况,调阅信息安全教育培训制度、培训计划、培训记录、考核记录及试卷等相关文件,检查年度培训计划制定情况、培训记录(培训时间、培训内容、人员签到、培训讲师等内容) ,确认信息安全管理人员和技术人员培训内容中是否包含专业技能, 确认领导干部和机关工作人员培训内容中是否包含信息安全基本技能。表 8 日常安全管理制度建立和落实情况检查结果记录表检查项检查结果1 人员管理重要岗位人员安全保密协议:全部签订部分签订未签订人员离岗离职安全管理规定:已制定未制定外部人员访问审批制度:已制定未制定名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 35 页 - - - - - - - - - 18 2 资产管理资产管理制度:已制定未制定是否指定专人进行资产管理:是否设备维修维护和报废管理制度:已制定未制定设备维修维护和报废记录是否完整:是否3 存储介质管理存储介质管理制度:已制定未制定存储介质管理记录:完整不完整大容量存储介质:外联:采取了技术防范措施未采取技术防范措施不外联4 运行维护管理日常运维制度:已制定未制定运维操作手册:已制定未制定运维操作记录:完整不完整5 年度教育培训年度培训计划:已制定未制定本年度接受信息安全教育培训的人数:_人占本单位总人数的比例: _本年度开展信息安全教育培训的次数:_次本年度信息安全管理和技术人员参加专业培训:_人次(三)信息安全经费投入情况重点检查信息安全经费预算和投入情况,记录检查结果 (表9) 。1. 本年度信息安全经费预算名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 35 页 - - - - - - - - - 19 检查方法: 调阅本年度经费预算文件,检查是否将信息安全防护设施建设、运行、维护以及信息安全相关检查、测评、管理等费用纳入了年度预算,记录本年度信息安全经费预算情况。2. 上年度信息安全经费投入检查方法: 查阅相关财务文件, 记录上一年度信息安全经费实际投入情况。表 9 信息安全经费投入情况表检查项检查结果1 本年度信息安全经费预算本年度信息安全预算:有,预算额:_万元无2 上年度信息安全经费投入上年度信息安全经费实际投入额:_ 万元三、技术防护情况自查对纳入检查范围的每一个网络与信息系统、工业控制系统的技术防护情况逐个进行检查,重点检查技术防护体系建设、网络边界安全防护措施、 设备安全策略配置、 重要数据传输存储安全防护措施等情况,记录检查结果(表10) 。(一)网络边界安全防护措施检查方法:对照网络拓扑图,检查网络实际连接情况,确认同网络拓扑图一致。分析网络拓扑图,查看网络隔离设备部署、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 35 页 - - - - - - - - - 20 交换机 VLAN划分,检查网络是否按重要程度划分安全区域,确认不同区域采用了正确的隔离措施。检查互联网连接情况, 统计网络外联的出口个数,检查每个出口是否都进行了安全控制。检查网络边界防护设备部署情况,确认外部网络接入内部网络采用了安全的加密传输方式(如VPN)等。(二)安全策略或安全功能配置及有效性检查方法:分别登录服务器、网络设备、安全设备,查看安全策略配置,检查安全策略配置是否合理,并验证其有效性,确认按需开放端口、 符合最小服务原则。 检查应用系统安全功能配置情况,确认具有身份认证、访问控制、安全审计等安全功能,登录系统验证安全功能的有效性。(三)重要数据传输、存储安全防护措施检查方法:登录数据库,查看重要数据,确认加密存储。采用网络嗅探工具抓取访问系统时的通信数据包,检查是否加密传输。访谈数据库管理员,检查重要数据是否进行备份,确认备份方式是本地备份还是异地备份。核查备份数据文件, 确认备份周期。(四)密码技术和设备情况。检查方法:调阅资产台账,查看在用系统,检查在用的密码设备、密码技术,检查供应商情况、是否具有相应资质。表 10 技术防护情况检查记录表(每个系统单独成一张表)系统名称_ 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 35 页 - - - - - - - - - 21 检查项检查结果1 网络边界防护安全域隔离情况:逻辑强隔离逻辑隔离无隔离连接互联网情况:连接互联网:互联网接入总数: _个其中联通接入口数量 :_个 接入带宽 :_兆电信接入口数量 :_个 接入带宽 :_兆其他 :_ 接入口数量 :_个接入带宽 :_兆不连接互联网网络边界防护措施(多选): 访问控制安全审计边界完整性检查入侵防范恶意代码防范 VPN 方式接入无措施2 安全防护策略服务器安全策略:使用默认配置根据应用自主配置按需开放端口最小服务配置网络设备安全策略:使用默认配置根据应用自主配置按需开放端口最小服务配置安全设备安全策略:使用默认配置根据应用自主配置按需开放端口最小服务配置应用系统安全功能:身份验证访问控制安全审计3 重要数据防护传输防护:加密未加密存储防护:加密未加密名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 35 页 - - - - - - - - - 22 备份:本地备份异地备份未备份4 密码技术防护使用密码产品:硬件产品软件产品未使用密码产品四、应急处置及容灾备份情况自查重点检查应急预案制修订、应急演练和灾备措施情况,记录检查结果(表11) 。(一)信息安全事件应急预案制定和修订情况检查方法: 调阅应急预案文本、 预案年度评估记录和修订记录等文件,检查应急预案制定和修订情况。(二)预案演练及相关人员对预案的熟悉程度检查方法:调阅应急预案宣传材料、预案培训记录,访谈系统管理员、网络管理员和工作人员, 询问对应急预案的熟悉程度。(三)灾难备份和恢复措施建设情况检查方法:查看重要网络设备、 通信线路和服务器连接情况,检查重要设备是否提供硬件冗余。分析网络拓扑图, 检查重要业务系统是否配备本地或异地系统级热备份的功能。(四)应急资源配备和建设情况检查方法: 调阅服务合同或服务协议,检查是否明确了应急技术支援队伍, 确认应急技术支援队伍的响应时间。查看备机备件,或调阅设备生产商、代理商服务合同,检查是否已建立了明确的备机备件库或有备机备件供应渠道。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页,共 35 页 - - - - - - - - - 23 表 11 应急处置及容灾备份情况检查结果记录表检查项检查结果1 信息安全应急预案应急预案:已制定未制定预案评估:本年度已评估本年度未评估从未评估2 应急演练本年度已开展本年度未开展从未开展3 灾难备份重要系统:全部备份部分备份未备份重要数据:全部备份部分备份未备份4 应急资源应急支援队伍:部门所属队伍外部专业机构无备机备件:已配备有供应渠道未配备五、安全技术检测(一)工具检测使用检测工具检测操作系统、数据库、网络设备、安全设备、应用系统等的端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。常用的检测工具有:漏洞扫描工具、密码安全检测工具、数据库安全检测工具、协议分析工具、应用安全扫描工具、SQL注入工具等。(二)渗透测试组织专业技术力量,采取模拟攻击方式对系统进行渗透测试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。工业控制系统检查中,要慎重使用攻击性测试手段。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页,共 35 页 - - - - - - - - - 24 环节三问题与风险分析对检查中发现的问题和面临的威胁风险进行分析,记录分析结果(表 12) 。一、主要问题分析1. 从安全管理和技术防护两个方面,对检查中发现的主要问题及薄弱环节逐一进行研究,深入分析问题产生的直接原因以及深层次的原因,研究提出相应的改进措施。2. 从法律法规、政策制度、技术手段三个方面,分析制约本单位系统安全防护能力提高的主要因素,包括当前不适应安全管理工作或缺失的法律法规及政策制度,安全防护中缺少或严重不足的技术手段等, 研究提出关于加强信息安全工作的意见和建议等。二、国外依赖度分析根据对主要软硬件设备和信息技术外包服务的检查情况,统计国外产品和服务所占的比例,分析系统对国外产品和服务的依赖程度,记录分析结果。系统对国外产品和服务的依赖程度按以下标准判定:1. 高依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统无法运行。2. 中依赖:国外停止产品更新升级、终止技术支持等服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 26 页,共 35 页 - - - - - - - - - 25 后,信息系统能够运行,但系统功能、性能等受较大影响。3. 低依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够正常运转或受影响较小。三、主要威胁分析根据安全检测发现的漏洞和隐患,分析系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估系统总体安全状况。1. 系统面临的安全威胁程度按以下标准判定系统具有下述特征之一的,为高安全威胁:(1)连接互联网,采用远程在线方式进行运维或对国外产品和服务高度依赖;(2)跨地区联网运行或网络规模大、用户多,采用远程在线方式进行运维或对国外产品和服务高度依赖;(3)存在其他可能导致系统中断或系统运行受严重影响、大量敏感信息泄露等的威胁。系统具有下述特征之一的,为中安全威胁:(1)连接互联网,对国外产品和服务中度依赖; (2) 跨地区联网运行或网络规模大、用户多,对国外产品和服务中度依赖;(3)存在其他可能导致系统运行受较大影响、敏感信息泄露等的威胁。系统具有下述特征之一的,为低安全威胁:(1)连接互联网,对国外产品和服务依赖度低; (2) 跨地区联网运行或网络规模大、用户多,对国外产品和服务依赖度低;(3)存在其他可能导致系统运行受影响、信息泄露等的威胁。2. 系统安全防护能力按以下标准判定名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 27 页,共 35 页 - - - - - - - - - 26 安全防护能力高:经组织专业技术力量对系统进行攻击测试,不能通过互联网进入或控制系统。安全防护能力中:经组织专业技术力量对系统进行攻击测试,能够通过互联网进入或控制系统,但进入或控制系统的难度较高。安全防护能力低:经组织专业技术力量对系统进行攻击测试,能够轻易通过互联网进入或控制系统。表 12 问题和威胁分析记录表序号系统名称系统对国外产品和服务的依赖程度系统面临的威胁程度系统安全防护能力高中低高中低高中低1 2 3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 28 页,共 35 页 - - - - - - - - - 27 环节四自查工作总结一、自查工作总结自查工作进展情况, 从 2012 年 7 月 16 日起,每周以周报形式上报部信息办。自查工作完成后, 各直属单位应及时对自查工作情况进行全面总结, 对自查过程中发现的问题和薄弱环节进行认真研究,对面临的安全威胁和风险进行分析评估,对问题产生的原因进行深入剖析, 阐述改进措施及整改情况,编写形成信息安全自查报告(编写格式参见附件(1)) , 按照要求填写完成检查情况汇总表(附件(2)) 。对于存在多个重要信息系统或工业控制系统的,在填写检查情况报告表时应附系统清单。可组织专家对自查报告进行评估,评估自查记录是否客观,自查内容是否全面, 自查结论是否合理, 自查报告是否完整规范。二、自查情况上报自查报告完成后应及时报送部信息办。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 29 页,共 35 页 - - - - - - - - - 28 有关工作要求一、边检查边整改自查单位要切实做好整改工作,检查中发现问题要及时采取有效措施加以整改。 因条件不具备不能立即整改的,要制定整改计划及整改方案, 并采取临时防范措施, 确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。二、认真做好总结自查单位要按照检查通知要求,进行全面总结,认真撰写自查报告, 如实填写检查情况报告表。自查报告须给出对本单位安全状况和安全防护能力的总体判断。填写检查情况汇总表时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。三、加强风险控制与保密管理(一)加强风险控制在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案, 强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。 要对技术检测活动的安全风险进行评估,防止引入新的风险, 并要求相关人员严格遵守操作规程。应对重要数据和名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 30 页,共 35 页 - - - - - - - - - 29 配置进行备份, 尽量避开业务高峰期进行技术检测。对工业控制系统的技术检测要慎重实施。需委托外部检测机构进行检测的,要按照检查通知 要求,对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。可参考以下条件选取检测机构: 机构安全可控(如事业单位);开展信息安全检查或相关工作2 年以上; 拥有专业安全检查人员10 人以上,全部为机构编制内人员或与机构签订2 年以上劳动合同的聘用人员; 拥有与开展安全检查相适应的安全检测设备与检测工具; 信息安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;参与安全检查的人员无犯罪记录,并与机构签订安全保密协议。(二)加强保密管理各直属单位要高度重视保密工作,指定专人负责, 对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训, 确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。附件: 1. 信息安全自查报告参考格式2. 信息安全检查情况汇总表名师资料总结 - - -精

    注意事项

    本文(2022年信息安全自查操作指南 .pdf)为本站会员(C****o)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开