《河北省重要信息系统和重点网站》由会员分享,可在线阅读,更多相关《河北省重要信息系统和重点网站(28页珍藏版)》请在金锄头文库上搜索。
1、河北省重要信息系统和重点网站 安全执法检查工作方案 为贯彻落实中央领导同志关于网络安全的重要指示和公安 部“5.18 会议”精神,有效应对当前我国网络安全面临的严峻 威胁与挑战,坚决遏制境外黑客组织对我重点网站、重要信息 系统的攻击破坏,全力做好暑期和抗日战争胜利 70 周年纪念 活动网络安全保卫工作,根据公安部关于开展国家级重要信 息系统和重点网站安全执法检查工作的通知要求,结合我省 实际,制定本方案。 1、工作目标 进一步摸清我省第三级(含)以上重要信息系统和重点网 站底数及网络安全工作开展情况;进一步排查网络安全风险和 隐患,督促责任单位限期整改,堵塞网络安全漏洞;监督、指 导信息安全等
2、级保护制度的贯彻落实,切实提高重要信息系统 和重点网站防入侵、防窃密、防篡改的综合防护能力,坚决防 止发生重大网络安全事件(事故) ,切实维护国家安全、社会 公共安全和关键信息基础设施安全。 二、检查范围 本次检查工作范围包括:一是重要信息系统。主要包括公 安部、国家发改委、财政部关于加强国家级重要信息系统安 全保障工作有关事项的通知 (公信安20142182 号)中涉 及我省的 7 个国家级重要信息系统以及其他第三级以上重要信 息系统。二是政府部门和企事业单位的网站。主要包括省、市、 县三级党委和政府各组成部门网站;教育、卫生计生、金融机-2- 构、中央企业和国有企业、科研机构等企事业单位网
3、站;社会 团体、基金会等非政府组织(NGO)网站。三是省、市两级大 型互联网综合、搜索、新闻、电商、社交、IT、财经等门户网 站。 三、检查内容 重点检查各单位、各部门网络安全工作的基本情况以及重 要信息系统和重点网站的安全保护情况,查找问题、隐患并督 促整改。主要包括: (一)重要信息系统行业主管部门。重要信息系统行业主 管部门对全行业网络安全工作的组织领导和责任制落实情况; 制定全行业网络安全政策和技术标准规范情况;全行业网络安 全顶层设计、统筹规划情况;全行业信息系统的底数掌握情况 和网络安全保护状况;全行业信息安全等级保护、安全监测、 网络安全信息通报、重要数据保护、灾难备份、应急演练
4、等重 点工作的部署和开展情况;全行业网络安全机构、队伍建设、 网络安全宣传培训等情况。 (二)重要信息系统运营使用单位。重要信息系统运营使 用单位网络安全责任部门和责任人落实情况,以及网络安全责 任追究制度的建立情况;单位开展信息安全等级保护工作情况, 以及网络安全监测、通报预警、技术检测、风险评估、数据保 护、容灾备份、应急演练等重点工作开展情况;单位网络安全 经费保障和人员安全管理、岗位培训等情况;新系统规划、建 设情况,新系统安全保护等级定级备案情况,新系统“同步规 划、同步建设、同步运行”安全保护措施落实情况,安全建设 方案制定与实施情况。-3- (三)重要信息系统。重要信息系统设备和
5、资产情况;信 息系统建设投入和安全经费投入情况;安全保护计划和落实情 况;信息系统开展等级测评和建设整改工作完成情况;信息系 统网络安全管理制度和技术防范措施的建设和落实情况;信息 系统重要数据的存储、应用、流转和安全保护情况;网络安全 事件(事故)的发生、报告和应急处置情况;信息系统使用国 外信息技术产品、服务情况和安全可控措施的落实情况;信息 系统核心网络设备、操作系统、数据库、服务器等软硬件产品 国产化替代工程计划和进展情况;信息系统和重要数据的运行 维护单位、服务外包情况等。 (四)政府部门、企事业单位、非政府组织网站和大型互 联网网站。政府部门、企事业单位、非政府组织网站以及大型 互
6、联网网站落实国家信息安全等级保护制度,开展信息系统定 级备案、等级测评和安全建设整改、安全自查等重要工作的落 实情况;网站开办单位、运行维护单位的安全保护责任单位、 责任人等安全责任的落实情况;网站安全管理制度以及防入侵、 防攻击、防篡改等技术防护措施的落实情况;网站安全监测预 警、备份恢复、应急处置等措施落实情况;网站安全事件(事 故)处置情况。大型互联网企业数据资源的采集、存储、传输、 应用和安全保护情况,利用互联网数据资源从事大数据分析挖 掘、增值服务情况等。 四、检查分工 国家级重要信息系统运营使用单位,由省公安厅网络安全 保卫总队会同行业主管部门以及属地公安机关开展检查。 驻石省级重
7、要信息系统运营使用单位及省级政府网站、企-4- 事业单位网站、非政府组织网站由省公安厅网络安全保卫总队 会同石家庄市公安局开展检查。 各地第三级(含)以上重要信息系统运营使用单位由所在 地市级公安网安部门会同本地行业主管部门开展检查。 市、县级政府网站、企事业单位网站、非政府组织网站, 由市、县同级属地公安机关开展检查。 省、市大型互联网企业网站由省公安厅网络安全保卫总队 确定检查范围,并由属地公安网安部门开展检查工作。 各行业主管部门负责部署指导本行业责任单位自查并会同 公安机关对重点检查对象开展现场检查。 五、工作措施 此次检查采用单位自查、互联网远程技术检测和现场检查 相结合的方式开展,
8、具体措施如下:(一)单位自查。被检查对象按照检查内容要求,开展自 查工作,撰写自查报告,并填写重要信息系统和重点网站安 全执法检查自查表 (详见附件) 。有行业主管部门的,由行业 主管部门统一部署指导自查,统一汇总本行业相关单位自查结 果。6 月 20 日前,被检查对象要将自查报告和重要信息系 统和重点网站安全执法检查自查表报同级公安机关网安部门。 (二)互联远程技术检测。检查期间,省公安厅将利用政 府网站监测技术手段对全省检查范围内的网站开展远程技术检 测,发现网站安全隐患和问题后及时通报各地。各地公安机关 网安部门也要调动本地一切可以调动的技术支撑力量开展技术 检测,对发现的网站安全隐患和
9、问题,及时督促整改,严格落-5- 实信息安全等级保护制度。发生网站遭攻击篡改事件后,要组 织力量第一时间赶赴现场,对网站采取停机整顿措施,查封相 关设备,固定证据、立案侦查。并将网站遭攻击篡改情况及时 通报当地党委政府、上级主管部门和纪检监察部门,建议进行 责任倒查,追究相关领导、人员的责任。 (三)现场检查。各级公安机关要根据检查任务分工,组 织对所有检查对象开展现场检查,已经配备信息安全等级保护 检查工具箱的地方,要充分利用工具箱开展检查,并及时将检 查数据上传重要信息系统基础数据库管理系统 。检查时, 要通报当前网络安全形势和工作要求,听取被检查单位自查工 作汇报,了解被检查单位信息安全
10、等级保护工作情况,对检查 中发现的问题,要提出整改意见和建议。各级公安机关要汇总 分析现场检查结果,及时向被检查单位书面反馈检查意见和工 作建议。对存在安全隐患的政府网站责任单位或不落实信息安 全等级保护制度要求的信息系统运营使用单位,要责令其限期 整改,并跟踪其整改落实情况,对暂时无法完成整改的事项, 要督促相关单位落实应急保护方案和具体措施,确保网站和信 息系统安全。 六、时间安排 (一)自查阶段(自即日起至6 月20 日) 。各级公安机关 按照检查任务要求,全面梳理检查对象,明确检查要求,集中 向检查对象部署开展安全自查工作。6 月 20 日前各地公安机关 要将本地自查阶段工作总结报省公
11、安厅网络安全保卫总队。在 自查阶段,各地要同步对本地政府网站、政府部门、企事业单 位、非政府组织网站以及大型互联网网站开展摸底调查,摸清-6- 本地重点网站底数,摸排出的重点网站基本情况要及时上报省 厅,由省厅开展远程技术检测。 (二)现场检查阶段(6 月21 日至8 月10 日) 。各级公安 机关会同行业主管部门对本地第三级(含)以上重要信息系统、 经远程技术检测存在严重安全隐患的重点网站以及在对网络安 全工作不重视、在自查中消极应付的单位开展现场检查。现场 检查阶段,省厅将协调等级测评机构派遣技术人员支持各地工 作。请各地提前制定并上报检查计划,便于省厅统筹安排。 (三)全面总结阶段(8
12、月11 日到8 月31 日) 。各地公安 机关对本地专项检查工作进行总结,认真撰写总结报告,并于 2015 年 8 月 20 日前报送省公安厅网安总队和同级党委政府。 省公安厅将对全省工作情况进行全面总结,组织召开执法检查 工作总结会,通报检查结果。 附件:重要信息系统和重点网站安全执法检查自查表(可 到邮箱 密码:hbwlaqtb123)-7- 附件 : 重要信息系统和重点网站安全 执法检查自查表 表一:行业主管部门填写 一、行业主管部门基本情况 行业主管部门名称 单位地址 网络安全分管领导 姓 名 职务/职称 网络安全责任部门 姓 名 职务/职称 责任部门负责人 办公电话 移动电话 姓
13、名 职务/职称 责任部门联系人 办公电话 移动电话 第四级系统数 第三级系统数 全行业信息系统 总数 第二级系统数 未定级系统数 第四级系统数 第三级系统数 全行业信息系统 等级测评总数 第二级系统数 未定级系统数 第四级系统数 第三级系统数 全行业信息系统 安全建设整改总数 第二级系统数 未定级系统数-8- 第四级系统数 第三级系统数 本单位信息系统 总数 第二级系统数 未定级系统数 二、行业主管部门等级保护工作情况 1、行业信息安全等级保护工作的组织领导情况 (重点包括:行业网络安全领导机构或信息安全等级保护工作领导机构成立情况; 行业网络安全或信息安全等级保护工作的职责部门和具体职能情况
14、;全行业信息安 全等级保护工作部署情况等。) 2、行业对信息安全等级保护工作的重视情况 (重点包括:行业信息安全等级保护工作年度考核情况;行业主管部门组织对地方 对口部门或所属企事业单位网络安全检查情况;行业网络安全工作经费是否纳入年 度预算?行业网络安全工作的经费约占行业信息化建设经费的百分比情况等。) 3、行业网络安全责任追究制度执行情况-9- (重点包括:是否建立了行业网络安全责任追究制度?是否依据责任追究制度对行 业发生的网络安全事件(事故)进行追责等情况。) 4、行业网络安全与信息通报工作情况 (重点包括:是否加入了国家网络与信息安全通报机制?是否建立了本行业网络与 信息安全通报机制
15、?本行业开展网络与信息安全通报预警工作的总体情况等。) 5、行业重要网络安全政策和技术标准的制定情况 (重点包括:行业出台网络安全或等级保护政策、管理办法、管理规定等规范性文 件情况,具体文件名字和出台时间;行业出台网络安全或等级保护标准规范情况, 具体文件名字和出台时间等情况。)-10- 6、行业网络安全顶层设计和统筹规划情况 (重点包括:行业网络安全顶层设计情况;行业网络安全工作的短期目标和长远规 划制定情况;全行业的网络安全保护策略制定情况等。) 7、行业数据资源保护情况 (重点包括:行业数据中心建设情况;行业数据资源存储情况;行业数据资源安全 保护情况;行业数据资源的灾备中心建设情况和
16、数据备份恢复情况,行业数据资源 存储和应用是否由社会第三方提供?提供服务单位的具体情况等) 8、行业网络安全监测和预警情况 (重点包括:行业组织开展日常网络安全监测情况;行业网络安全监测技术手段建 设情况;行业网络安全预警体系建设情况等)-11- 9、行业网络安全应急预案和演练情况 (重点包括:是否制定了行业网络安全预案?行业网络安全预案是否进行了演练? 是否根据演练情况对预案进行了修改完善等情况) 10、行业网络安全应急队伍建设情况 (重点包括:是否建立了本行业网络安全应急队伍?是否组建了行业网络安全专家 队伍?是否与社会企业签订了应急支持协议?行业应急队伍建设规划等情况。)-12- 11、行业网络安全事件(事故)的处置情况 (重点包括:是否明确了行业网络安全事件(事故)发现、报告和处置流程?年内 是否发生重大网络安全事件(事故)?是否与相关部门建立了网络安全应急处置机 制等情况。)12、行业网络安全宣传培训情况 (重点包括:行业组织开展网络安全宣传教育情况;行业组织开展网络安全领导干 部培训、业务骨
