呼市地区重点单位信息网络安全检查方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
呼市地区重点单位信息网络安全检查方案
实施细则
一、重点单位计算机信息网络安全检查项目
重点单位包括呼市地区党政机关、金融、财税、能源、交通、邮电通信、科研、教育、国防建设等各部门和大中型企业及其它领域中的重要计算机信息网络系统。
1、安全管理机构建立,安全管理人员落实及培训情况。
是否建立了与本单位计算机信息网络安全保护任务相适应的计算机安全组织,安全组织人员构成是否合理,职责划分是否明确,并能切实发挥职能作用,有效地开展工作,是否报公安机关备案。
安全组织是否对本单位的计算机信息网络安全实施统一指导和管理;安全组织组成人员是否参加过同级公安机关组织的安全员培训,持证上岗。
2、本单位计算机信息系统情况,以及该单位的具体网络服务项目(如电子、FTP等),网络规模、网络设备、操作系统、
数据库、网络拓扑结构、IP地址分布等基本情况。
3、安全管理规章制度的建立和执行情况,包括:
(1)计算机机房安全管理制度;
(2)安全管理责任人,监督、审查员的任免和安全责任制度;
(3)网络安全漏洞检测和系统升级管理制度;
(4)操作权限管理制度;
(5)用户登记制度。
(6)在职工中普及安全知识,提高信息安全意识,对重点工种的职工进行专门的培训和考核。
4、在实体安全、信息安全、运行安全和网络安全等方面采取必要的安全技术措施,包括:
(1)系统重要部分的冗余或备份措施;
(2)计算机病毒防治措施;
(3)网络攻击防X、追踪措施;
(4)安全审计和预警措施;
(5)系统运行和用户使用日志记录保存60日以上措施;
(6)记录用户网络地址的措施;
(7)身份登记和识别确认措施;
(8)使用有关国家规定的安全管理产品(硬件和软件);
(9)涉密信息网络的内、外网物理隔离措施。
5、制定应急方案。
6、定期进行计算机信息网络风险评估,及时发现信息系统安全隐患并采取整改措施。
7、发现计算机信息网络发生的案件及时向公安机关报告。
8、提供安全保护管理所需信息、资料及数据文件,主要包括:
(1)用户注册登记、使用与变更情况(含用户账号、IP与EMAIL地址等);
(2)IP地址分配、使用及变更情况;
(3)网络服务功能设置情况;
(4)与安全保护工作相关的其他信息。
9、对本部门计算机信息网络安全保护工作有档案记录。
10、其他贯彻执行国家和地方计算机信息系统安全管理法
规和有关安全标准的情况。
金融系统根据《金融机构计算机信息系统安全保护工作暂行规定》进行检查。
二、互联网接入服务单位计算机信息网络安全检查的项目包括
接入服务单位是指负责通过接入互联网络进行国际联网的计算机信息网络运行的,并向社会提供接入服务的单位。
1、安全管理机构建立,安全管理人员落实及培训情况。建立了与本单位计算机信息网络安全保护任务相适应的计算机安全组织,报公安机关备案,对本单位的计算机信息网络安全统一指导管理。安全组织人员构成合理,职责划分明确,并能切实发挥职能作用,有效地开展工作。安全组织组成人员参加公安机关组织的安全员培训,持证上岗。
2、该单位的具体网络服务项目(如电子、FTP等),网络拓扑结构、IP地址分布等基本情况。
3、有健全的安全管理规章制度并能得到执行,包括:
(1)计算机机房安全管理制度;
(2)安全管理责任人、信息审查员的任免和安全责任制度;
(3)网络安全漏洞检测和系统升级管理制度;
(4)操作权限管理制度;
(5)用户登记制度。
4、在实体安全、信息安全、运行安全和网络安全等方面采
取必要的安全技术措施,包括:
(1)系统重要部分的冗余或备份措施;
(2)计算机病毒防治措施;
(3)网络攻击防X、追踪措施;
(4)安全审计和预警措施;
(5)系统运行和用户使用日志记录保存60日以上措施;
(6)记录用户主叫和网络地址的措施;
(7)身份登记和识别确认措施。
(8)使用有关国家规定的安全管理产品(硬件和软件)。
5、制定应急方案。
6、定期进行计算机信息网络风险评估,及时发现信息系统安全隐患并采取整改措施。
7、接入网络应记录ISDN、ADSL等各类拨号上网用户的主叫。通过互联网络进行国际联网,不得以其他方式进行国际联网。从事国际联网经营活动的接入单位领取国际联网经营许可证。
8、发生案件、事故和发现计算机有害数据的情况。
9、计算机信息网络安全事件、事故报告制度落实情况。
10、提供安全保护管理所需信息、资料及数据文件,主要包括:
(1)用户注册登记、使用与变更情况(含用户账号、IP与EMAIL地址等);
(2)IP地址分配、使用及变更情况;
(3)网络服务功能设置情况;
(4)与安全保护工作相关的其他信息。
三、互联网信息服务单位计算机信息网络安全检查的项目包括:
互联网信息服务是指通过互联网向上网用户提供信息或者即时通讯、电子、网页制作、BBS、论坛、聊天室、P2P、短信息等服务活动。
1、安全管理机构建立,安全管理责任人、信息审查员落实及培训情况。安全组织组成人员参加公安机关组织的安全员培训,持证上岗。
2、该单位的具体网络服务项目(即时通讯、电子、网页制作、BBS、论坛、聊天室、P2P、短信息等),网络拓扑结构、IP 地址分布等基本情况。
3、有健全的安全管理规章制度并能得到执行,包括:
(1)信息发布审核、登记制度。
(2)信息监视、保存、清除和备份制度。
(3)病毒检测和网络安全漏洞检测制度。
(4)XX案件报告和协助查处制度。
(5)账号使用登记和操作权限管理制度。
(6)安全管理人员岗位工作职责。
(7)安全教育和培训制度。
(8)其他与安全保护工作相关的管理制度。