四、重点检查内容
(一)信息安全组织管理。
1.信息安全管理机构及其工作开展情况。(1)组织制定信息安全工作计划或工作方案情况;(2)组织制定并落实信息安全管理规章制度情况;(3)组织开展信息安全教育培训和督促检查工作情况。
2.信息安全员及其工作开展情况。(1)各内设机构信息安全员指定情况;(2)信息安全员开展督促、检查和指导等日常工作情况。
(二)日常信息安全管理。
1.人员管理。查验相关文档、文件、记录等,重点检查:(1)岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;(2)人员离岗离职信息安全管理情况;(3)外部人员访问机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。查验相关文档、台账、记录等,重点检查:(1)资产管理制度建立及落实情况,资产台账是否清晰、账物是否相符;(2)办公软件、应用软件等安装与使用情况,是否有与工作无关的软件;(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。
3.信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理。包括:(1)服务机构性质与背景情况,是否由外资机构提供服务;(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险;(5)灾难备份服务情况,重点掌握灾难备份中心设立在境外的情况。
4.信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
5.信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等。
(三)信息安全防护管理。
1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
