2022年信息安全自查操作指南 .pdf
《2022年信息安全自查操作指南 .pdf》由会员分享,可在线阅读,更多相关《2022年信息安全自查操作指南 .pdf(35页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、附件 1:信息安全自查操作指南2012 年 7 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 35 页 - - - - - - - - - 目录概述 . 1 一、自查目的 . 1 二、自查工作流程 . 1 环节一自查工作部署 . 3 一、研究制定自查实施方案 . 3 二、自查工作动员部署 . 4 环节二基本情况自查 . 6 一、系统基本情况自查 . 6 二、安全管理情况自查 . 14 三、技术防护情况自查 . 19 四、应急处置及容灾备份情况自查 . 22 五、安全技
2、术检测 . 23 环节三问题与风险分析. 24 一、主要问题分析 . 24 二、国外依赖度分析 . 24 三、主要威胁分析 . 25 环节四自查工作总结 . 27 一、自查工作总结 . 27 二、自查情况上报 . 27 有关工作要求 . 28 附件 : (1)信息安全自查报告编写参考格式. 30 (2)信息安全检查情况报告表 . 32 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 35 页 - - - - - - - - - 1 概述为指导部直属单位信息安全自查工作,依
3、据国务院办公厅关于开展重点领域网络与信息安全检查行动的通知(国办函2012102 号)和关于开展部直属单位重点网络与信息安全检查行动的通知 (以下简称检查通知 ) ,制定本指南。本指南主要用于部直属单位及其下属单位(以下统称自查单位)在开展信息安全自查具体工作时参考。一、自查目的通过开展安全自查, 进一步梳理、 掌握本单位重要网络与信息系统基本情况, 查找突出问题和薄弱环节,分析面临的安全威胁和风险, 评估安全防护水平, 有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升, 预防和减少重大信息安全事件的发生,切实保障本单位网络与信息安全。二、自查
4、工作流程信息安全自查主要包括自查工作部署、基本情况自查、 问题与风险分析、自查工作总结等4 个环节(见图1) 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 35 页 - - - - - - - - - 2 图 1 自查工作流程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 35 页 - - - - - - - - - 3 环节一自查工作部署一、研
5、究制定自查实施方案认真学习检查通知 ,深刻领会文件精神和有关要求,研究制定自查实施方案,并报主管领导批准。(一)自查实施方案应当明确的内容自查实施方案应当明确以下内容: (1)自查工作负责人、组织单位和实施机构。 (2)自查范围和自查对象。 (3)自查工作的组织方式。(4)自查工作时间进度安排。1. 关于自查范围。此次自查范围是部直属单位及其下属单位重点网络与信息系统(含工业控制系统,以下同)。检查的重点是事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。2. 关于自查对象。主要指网络与信息系统安全管理与防护涉及到的信息安全综合管理部门、信息化部门、业务部
6、门、生产管理部门、财务部门、人事部门等相关部门。各单位可根据实际情况确定具体的自查对象。3. 关于自查工作组织。自查单位可成立自查工作组开展检查,也可指定专门机构负责自查实施工作。自查工作组可由本单位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信息安全知识、 技术能力较强的人员, 以及本单位相关技术支撑机构业务骨干等组成。 单位内各部门可指定人员负责协调配合和联名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 35 页 - - - - - - - - - 4 络工作
7、。 对于有工业控制系统的单位,可考虑生产管理部门参与工业控制系统信息安全检查。对于信息系统复杂、 自查工作涉及部门多的单位,可根据需要成立自查工作领导小组,负责自查工作的组织协调与资源配置。领导小组组长可由本单位信息安全主管领导担任,领导小组成员可包括信息安全综合管理部门负责人、信息化部门负责人,以及其他相关部门负责人(如人事部门、财务部门、业务部门、生产管理部门领导)等。(二)应当注意的有关事项1. 纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。从安全防护的角度判断网络与信息系统独立性的方法如下:根据系统所承担业务的独立性、责任主体的独立性、 网络边界的独立性、 安全防护设
8、备设施的独立性四个因素,对网络与信息系统进行全面梳理并综合分析,划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。2. 关于重要网络与信息系统,可从系统特征的角度,立足本单位实际,参考以下标准进行判定:(1)业务依赖度高。(2)数据集中度高(全国、流域数据集中)。(3)实时性要求高。(4)系统关联性强(发生重大信息安全事件后,会对与其名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 35 页 - - - - - - - - - 5 相连的其
9、他系统造成较大影响,并产生连片连锁反应)。(5)直接面向社会公众提供服务,用户数量庞大,覆盖范围广。(6)灾备等级高(系统级灾备) 。3. 关于重要工业控制系统,可从发生信息安全事件造成危害的角度,参考以下标准进行判定:(1)发生重大信息安全事件,致使系统出现严重故障后,可能导致 10 人以上死亡或50 人以上重伤。(2)发生重大信息安全事件,致使系统出现严重故障后,可能导致 5000 万元以上直接经济损失。(3)发生重大信息安全事件,致使系统出现严重故障后,可能影响 100 万人以上正常生活。(4)发生重大信息安全事件,致使系统出现严重故障后,可能对与其相连的其他系统造成影响,并产生连片连锁
10、反应。(5)发生重大信息安全事件,致使系统出现严重故障后,可能对生态环境造成严重破坏。(6)发生重大信息安全事件,致使系统出现严重故障后,可能对国家安全和社会稳定产生重大影响。二、自查工作动员部署自查单位可通过召开会议、下发文件等方式对自查工作进行部署,布置自查工作任务。相关人员要切实落实自查工作责任,各司其职,形成合力,共同推进自查工作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 35 页 - - - - - - - - - 6 环节二基本情况自查一、系统基本情况自
11、查(一)系统特征情况1. 查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况,记录检查结果(表1) 。表 1 系统基本情况检查记录表序号系统名称实时性服务对象连接互联网情况数据集中情况灾备情况实时非实时面向社会公众不面向社会公众采用逻辑隔离措施连接采用逻辑强隔离1措施连接不连接全国集中省级集中不集中系统级灾备仅数据灾备无灾备1 2 3 2. 根据上述系统基本情况核查结果,分析系统停止运行后对主要业务的影响程度、 系统遭受攻击破坏后对社会公众的影响程度等安全特征,记录分析结果(表2) 。(1)关于系统停止运行后对
12、主要业务的影响程度判定标准如下:1逻辑强隔离指使用逻辑强隔离设备(使用正向、反向或双向网闸)进行的网络隔离。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 35 页 - - - - - - - - - 7 影响程度高: 系统停止运行后, 主要业务无法开展或对主要业务运行产生严重影响;影响程度中:系统停止运行后, 对主要业务运行有一定影响,可用手工等传统方式替代;影响程度低: 系统停止运行后, 对主要业务运行影响较小或无影响。(2)关于系统遭受攻击破坏后对社会公众的影响程度
13、判定标准如下:影响程度高:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生严重影响;影响程度中:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生一定影响;影响程度低:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等影响较小或无影响。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 35 页 - - - - - - - - -
14、 8 表 2 系统特征情况分析记录表序号系统名称系统对主要业务的影响程度系统对社会公众的影响程度高中低高中低1 2 3 (二)系统构成情况1. 重点检查主要硬件设备类型、数量、生产商(品牌)情况,记录检查结果(表3) 。硬件设备类型主要有:服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。硬件设备生产商 (品牌)按国内、国外两类进行记录。 其中,国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等,国外主要有 IBM 、 HP、 DELL 、 Cisco、Juniper、H3C 等。2. 重点检查主要软件设备类型、套数、生产商(品牌)情况,记录检查
15、结果(表4) 。软件设备类型主要有: 操作系统、 数据库及主要业务应用系统。软件设备生产商 (品牌)按国内、国外两类进行记录。 其中,国内主要有红旗、麒麟、金仓、达梦等,国外主要有Windows、RedHat、HP-Unix 、AIX 、Solaris、Oracle、DB2、SQL Server 等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 35 页 - - - - - - - - - 9 (三)工业控制系统类型与构成情况通过调阅资产清单、现场查看、上机检查等方式
16、,检查工业控制系统类型和构成情况,汇总记录检查结果(表5) 。工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备(仪表、智能电子设备、远端设备)等。工业控制系统软硬件主要包括:应用服务器工程师工作站(组态监控软件、系统软件、PC 机/服务器)、数据服务器(数据库软件、系统软件、PC 机/服务器)等。表 3 信息系统主要硬件检查记录表检查项检查结果主要硬件服务器国内品牌数量浪潮曙光联想方正其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)国外品牌数量IBM HP DELL 其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)路由
17、器国内品牌数量华为中兴其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 35 页 - - - - - - - - - 10 国外品牌数量Cisco JuniperH3C 其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)交换机国内品牌数量华为中兴其他:1. 品牌,数量2. 品牌,数量(如有更多,请另列表)国外品牌数量Cisco Juniper H3C 其他:1. 品牌,数量2. 品牌,数量(如有更多,请
18、另列表)防火墙国内1. 品牌,数量2. 品牌,数量(如有更多,请另列表)国外1. 品牌,数量2. 品牌,数量(如有更多, 请另列表)其他国内1. 设备类型:,品牌,数量2. 设备类型:,品牌,数量(如有更多,请另列表)国外1. 设备类型:,品牌,数量2. 设备类型:,品牌,数量(如有更多,请另列表)表 4 信息系统主要软件检查记录表检查项检查结果主要操国内红旗麒麟其他: 1. 品牌,套数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 35 页 - - - - - - -
19、 - - 11 软件作系统品牌套数2. 品牌,套数(如有更多,请另列表)国外品牌套数Windows RedHat HP-Unix AIX 其他:1. 品牌,套数2. 品牌,套数(如有更多,请另列表)数据库国内品牌套数金仓达梦其他:1. 品牌,套数2. 品牌,套数(如有更多,请另列表)国外品牌套数Oracle DB2 SQLServer 其他:1. 品牌,套数2. 品牌,套数(如有更多,请另列表)其他国内1. 设备类型:,品牌,套数2. 设备类型:,品牌,套数(如有更多,请另列表)国外1. 设备类型:,品牌,套数2. 设备类型:,品牌,套数(如有更多,请另列表)表 5 工业控制系统类型与构成情况
20、检查记录表检查项检查结果国内品牌国外品牌系统类型情况数据采集与监控( SCADA )系统套套分布式控制系统( DCS)套套名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 35 页 - - - - - - - - - 12 过程控制系统( PCS)套套可编程控制器(PLC)大型台台中型台台小型台台就地测控设备仪表台台智能电子设备( IED)台台远端设备( RTU)台台系统构成情况应用服务器 -工程师工作站组态监控软件套套系统软件套套PC机/服务器台台数据服务器数据库软件套
21、套系统软件套套PC机/服务器台台通信设备台台(四)信息技术外包服务情况重点检查信息技术外包服务类型、服务提供商、服务方式、安全保密协议等,记录检查结果(表6) 。服务类型主要有系统集成、软件开发、 系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。服务方式主要有远程在线服务和现场服务。安全保密协议内容应包括安全责任、违约责任、 协议有效期名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 35 页 - - - - - - - - -
22、 13 和责任人等内容。 对于没有安全保密协议文本,但在外包服务合同中具有相关内容的,视同签订安全保密协议。表 6 信息技术外包服务检查结果记录表检查项检查结果外包服务机构1机构名称机构性质国有民营外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订未签订外包服务机构2机构名称机构性质国有民营外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订未签订外包服务机构3机构名称机构性质国有民营外资服务内容服务方式远程在线服务 现场服务信息安全与保密协议已签订未签订名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -
23、- 名师精心整理 - - - - - - - 第 15 页,共 35 页 - - - - - - - - - 14 (如有更多,可另列表)二、安全管理情况自查(一)信息安全责任制建立及落实情况重点检查信息安全主管领导、信息安全管理机构、 信息安全工作人员履职以及岗位责任、事故责任追究情况等,记录检查结果(表 7) 。1. 信息安全主管领导明确及工作落实情况。检查方法: 调阅领导分工等文件,检查是否明确了信息安全主管领导。 调阅信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。2. 信息安全管理机构指定及工作落实情况。检查方法: 调阅单位内各部门职责分工等文件,检查是否指定了信息安
24、全管理机构。调阅工作计划、工作方案、管理规章制度、监督检查记录等文件,了解管理机构工作落实情况。3. 信息安全工作人员配备及工作落实情况。检查方法:调阅人员列表、岗位职责分工等文件,检查是否配备了信息安全工作人员。访谈信息安全工作人员,调阅工作计划、工作记录、工作报告等文件,检查信息安全工作人员的工作落实情况。4. 岗位责任和事故责任追究情况。检查方法: 调阅安全事件记录等文件,检查是否发生过因违反制度规定造成的信息安全事故。调阅安全事件处置文件,检查名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -
25、- - - 第 16 页,共 35 页 - - - - - - - - - 15 是否对信息安全责任事故进行了查处。表 7 信息安全责任制建立及落实情况检查记录表检查项检查结果1 分管信息安全工作的领导姓名: _ 职务: _ (本部门正职或副职领导)2 信息安全管理机构名称: _ 负责人: _ 职务: _ 联系人: _ 电话: _ 3 信息安全专职工作机构名称: _ 负责人: _ 电话: _ 4 信息安全员本单位内设机构数量: _ 信息安全员数量:_ 专职信息安全员数量: _5 岗位责任和事故责任追究岗位信息安全责任制度:已制定未制定安全责任事故:发生过:所有事故均已查处相关责任人有事故未查处
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年信息安全自查操作指南 2022 信息 安全 自查 操作 指南
限制150内