《重要信息系统和重点网站安全执法检查工作方案》由会员分享,可在线阅读,更多相关《重要信息系统和重点网站安全执法检查工作方案(25页珍藏版)》请在金锄头文库上搜索。
1、重要信息系统和重点网站安全执法检查工作方案为贯彻落实中央领导同志关于网络安全的重要指示和公安部5.18会议精神,有效应对当前我国网络安全面临的严峻威胁与挑战,坚决遏制境外黑客组织对我重点网站、重要信息系统的攻击破坏,全力做好暑期和抗日战争胜利70周年纪念活动网络安全保卫工作,根据公安部关于开展国家级重要信息系统和重点网站安全执法检查工作的通知要求,结合我省实际,制定本方案。一、工作目标进一步摸清我省第三级(含)以上重要信息系统和重点网站底数及网络安全工作开展情况;进一步排查网络安全风险和隐患,督促责任单位限期整改,堵塞网络安全漏洞;监督、指导信息安全等级保护制度的贯彻落实,切实提高重要信息系统
2、和重点网站防入侵、防窃密、防篡改的综合防护能力,坚决防止发生重大网络安全事件(事故),切实维护国家安全、社会公共安全和关键信息基础设施安全。二、检查范围本次检查工作范围包括:一是重要信息系统。主要包括公安部、国家发改委、财政部关于加强国家级重要信息系统安全保障工作有关事项的通知(公信安(20142182号)中涉及我省的7个国家级重要信息系统以及其他第三级以上重要信息系统。二是政府部门和企事业单位的网站。主要包括省、市、县三级党委和政府各组成部门网站;教育、卫生计生、金融机构、中央企业和国有企业、科研机构等企事业单位网站;社会团体、基金会等非政府组织(NGO)网站。三是省、市两级大型互联网综合、
3、搜索、新闻、电商、社交、IT、财经等门户网站。三、检查内容重点检查各单位、各部门网络安全工作的基本情况以及重要信息系统W重点网站的安全保护情况,查找问题、隐患并督促整改。主要包括:(一)重要信息系统行业主管部门。重要信息系统行业主管部门对全行业网络安全工作的组织领导和责任制落实情况;制定全行业网络安全政策和技术标准规范情况;全行业网络安全顶层设计、统筹规划情况;全行业信息系统的底数掌握情况和网络安全保护状况;全行业信息安全等级保护、安全监测、网络安全信息通报、重要数据保护、灾难备份、应急演练等重点工作的部署和开展情况;全行业网络安全机构、队伍建设、网络安全宣传培训等情况。(二)重要信息系统运营
4、使用单位。重要信息系统运营使用单位网络安全责任部门和责任人落实情况,以及网络安全责任追究制度的建立情况;单位开展信息安全等级保护工作情况,以及网络安全监测、通报预警、技术检测、风险评估、数据保护、容灾备份、应急演练等重点工作开展情况;单位网络安全经费保障和人员安全管理、岗位培训等情况;新系统规划、建设情况,新系统安全保护等级定级备案情况,新系统”同步规划、同步建设、同步运行安全保护措施落实情况,安全建设方案制定与实施情况。(三)重要信息系统。重要信息系统设备和资产情况;信息系统建设投入和安全经费投入情况;安全保护计划和落实情况;信息系统开展等级测评和建设整改工作完成情况;信息系统网络安全管理制
5、度和技术防范措施的建设和落实情况;信息系统重要数据的存储、应用、流转和安全保护情况;网络安全事件(事故)的发生、报告和应急处置情况;信息系统使用国外信息技术产品、服务情况和安全可控措施的落实情况;信息系统核心网络设备、操作系统、数据库、服务器等软硬件产品国产化替代工程计划和进展情况;信息系统和重要数据的运行维护单位、服务外包情况等。(四)政府部门、企事业单位、非政府组织网站和大型互联网网站。政府部门、企事业单位、非政府组织网站以及大型互联网网站落实国家信息安全等级保护制度,开展信息系统定级备案、等级测评和安全建设整改、安全自查等重要工作的落实情况;网站开办单位、运行维护单位的安全保护责任单位、
6、责任人等安全责任的落实情况;网站安全管理制度以及防入侵、防攻击、防篡改等技术防护措施的落实情况;网站安全监测预警、备份恢复、应急处置等措施落实情况;网站安全事件(事故)处置情况。大型互联网企业数据资源的采集、存储、传输、应用和安全保护情况,利用互联网数据资源从事大数据分析挖掘、增值服务情况等。四、检查分工国家级重要信息系统运营使用单位,由省公安厅网络安全保卫总队会同行业主管部门以及属地公安机关开展检查。驻石省级重要信息系统运营使用单位及省级政府网站、企事业单位网站、非政府组织网站由省公安厅网络安全保卫总队会同石家庄市公安局开展检查。各地第三级(含)以上重要信息系统运营使用单位由所在地市级公安网
7、安部门会同本地行业主管部门开展检查。市、县级政府网站、企事业单位网站、非政府组织网站,由市、县同级属地公安机关开展检查。省、市大型互联网企业网站由省公安厅网络安全保卫总队确定检查范围,并由属地公安网安部门开展检查工作。各行业主管部门负责部署指导本行业责任单位自查并会同公安机关对重点检查对象开展现场检查。五、工作措施此次检查采用单位自查、互联网远程技术检测和现场检查相结合的方式开展,具体措施如下:(一)单位自查。被检查对象按照检查内容要求,开展自查工作,撰写自查报告,并填写重要信息系统和重点网站安全执法检查自查表(详见附件)。有行业主管部门的,由行业主管部门统一部署指导自查,统一汇总本行业相关单
8、位自查结果。6月20日前,被检查对象要将自查报告和重要信息系统和重点网站安全执法检查自查表报同级公安机关网安部门。(二)互联远程技术检测。检查期间,省公安厅将利用政府网站监测技术手段对全省检查范围内的网站开展远程技术检测,发现网站安全隐患和问题后及时通报各地。各地公安机关网安部门也要调动本地一切能够调动的技术支撑力量开展技术检测,对发现的网站安全隐患和问题,及时督促整改,严格落实信息安全等级保护制度。发生网站遭攻击篡改事件后,要组织力量第一时间赶赴现场,对网站采取停机整顿措施,查封相关设备,固定证据、立案侦查。并将网站遭攻击篡改情况及时通报当地党委政府、上级主管部门和纪检监察部门,建议进行责任
9、倒查,追究相关领导、人员的责任。(三)现场检查。各级公安机关要根据检查任务分工,组织7寸所有检查对象开展现场检查,已经配备信息安全等级保护检查工具箱的地方,要充分利用工具箱开展检查,并及时将检查数据上传重要信息系统基础数据库管理系统。检查时,要通报当前网络安全形势和工作要求,听取被检查单位自查工作汇报,了解被检查单位信息安全等级保护工作情况,对检查中发现的问题,要提岀整改意见和建议。各级公安机关要汇总分析现场检查结果,及时向被检查单位书面反馈检查意见和工作建议。对存在安全隐患的政府网站责任单位或不落实信息安全等级保护制度要求的信息系统运营使用单位,要责令其限期整改,并跟踪其整改落实情况,对暂时
10、无法完成整改的事项,要督促相关单位落实应急保护方案和具体措施,确保网站和信息系统安全。六、时间安排(一)自查阶段(自即日起至6月20日)。各级公安机关按照检查任务要求,全面梳理检查对象,明确检查要求,集中向检查对象部署开展安全自查工作。6月20日前各地公安机关要将本地自查阶段工作总结报省公安厅网络安全保卫总队。在自查阶段,各地要同步对本地政府网站、政府部门、企事业单位、非政府组织网站以及大型互联网网站开展摸底调查,摸清本地重点网站底数,摸排岀的重点网站基本情况要及时上报省厅,由省厅开展远程技术检测。(二)现场检查阶段(6月21日至8月10日)。各级公安机关会同行业主管部门对本地第三级(含)以上
11、重要信息系统、经远程技术检测存在严重安全隐患的重点网站以及在对网络安全工作不重视、在自查中消极应付的单位开展现场检查。现场检查阶段,省厅将协调等级测评机构派遣技术人员支持各地工作。请各地提前制定并上报检查计划,便于省厅统筹安排。(三)全面总结阶段(8月11日到8月31日)。各地公安机关对本地专项检查工作进行总结,认真撰写总结报告,并于2015年8月20日前报送省公安厅网安总队和同级党委政府。省公安厅将对全省工作情况进行全面总结,组织召开执法检查工作总结会,通报检查结果。附件:重要信息系统和重点网站安全执法检查自查表(可到邮箱*密码:hbwlaqtbl23)附件:重要信息系统和重点网站安全执法检
12、查自查表表一:行业主管部门填写一、行业主管部门基本情况行业主管部门名称单位地址网络安全分管领导姓名职务/职称网络安全责任部门责任部门负责人姓名职务冊称办公电话移动电话责任部门联系人姓名职务冊称办公电话移动电话全行业信息系统总数第四级系统数第三级系统数第二级系统数未定级系统数全行业信息系统等级测评总数第四级系统数第三级系统数第二级系统数未定级系统数全行业信息系统安全建鏈改总数第四级系统数第三级系统数第二级系统数未定级系统数本单位信息系统总数第四级系统数第三级系统数第二级系统数未定级系统数二、行业主管部门等级保护工作情况1、行业信息巷等级保护工作的験领导情况(重点包括:行业网络安全领导机构或信息安
13、全等级保护工作领导机构成立情况;行业网络安全或信息安全等级保护工作的职责部门和具体职能情况;全行业信息安全等级保护工作部署情况等。)2、行业对信息安全等级保护工作的重视情况(重点包括:行业信息安全等级保护工作年度考核情况;行业主管部门组织对地方对口部门或所属企事业单位网络安全检查情况;行业网络安全工作经费是否纳入年度预算?行业网络安全工作的经费约占行业信息化建设经费的百分比情况等。)3、行业网络安全责任追究制度执行情况(重点包括:是否建立了行业网络安全责任追究制度?是否依据责任追究制度对行业发生的网络安全事件(事故)进行追责等情况。)4、行业网络安全与信息通报工作情况(重点包括:是否加入了国家
14、网络与信息安全通报机制?是否建立了本行业网络与信息安全通报机制?本行业开展网络与信息安全通报预警工作的总体情况等。)5、行业重要网络安全政策和技术标准的制定情况(重点包括:行业出台网络安全或等级保护政策、管理办法、管理规定等规范性文件情况,具体文件名字和出台时间;行业出台网络安全或等级保护标准规范情况,具体文件名字和出台时间等情况。)6、行业网络安全顶层设计和统筹规划情况(重点包括:行业网络安全顶层设计情况;行业网络安全工作的短期目标和长远规划制定情况;全行业的网络安全保护策略制定情况等。)7、行业数据资源保护情况(重点包括:行业数据中心建设情况;行业数据资源存储情况;行业数据资源安全保护情况
15、;行业数据资源的灾备中心建设情况和数据备份恢复情况,行业数据资源存储和应用是否由社会第三方提供?提供服务单位的具体情况等)8、行业网络安全监测和预警情况(重点包括:行业组织开展日常网络安全监测情况;行业网络安全监测技术手段建设情况;行业网络安全预警体系建设情况等)9、行业网络安全应急预案和演练情况(重点包括:是否制定了行业网络安全预案?行业网络安全预案是否逬行了演练?是否根据演练情况对预案进行了修改完善等情况)10、行业网络安全应急队伍建设情况(重点包括:是否建立了本行业网络安全应急队伍?是否组建了行业网络安全专家队伍?是否与社会企业签订了应急支持协议?行业应急队伍建设规划等情况。)11、行业网络安全事件(事故)的处置情况(重点包括:是否明确了行业网络安全事件(事故)发现、报告和处置流程?年内是否发生重大网络安全事件(事故)?是否与相关部门建立了网络安全应急处置机制等情况。)12、行业网络安全宣传培训情况(重点包括:行业组织开展网络安全宣传教育情
