11个县(市、区)人民政府门户网站及政府信息系统,市人民政府各组成部门、各直属机构的办公、业务、网站等信息系统。其中涉及国家秘密的信息系统保密检查工作,按照国家相关保密管理规定执行。
三、检查内容
(一)机构设置情况
各县(市、区)、各有关单位要明确一名副职领导主管信息安全工作,要成立信息安全管理工作机构,落实专职或兼职人员负责信息安全工作,并及时完善和补齐成立领导小组、设立机构、落实人员、明确责任的有关文件。
(二)日常管理情况
1、人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。
2、资产管理。查验相关文档、台帐、记录等,检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
3、运维管理。查阅相关文档和记录,检查信息系统运营和使用权限管理、重要变更审批备案、日常运行维护操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的,应查看服务合同和安全保密协议等。
(三)等级保护与风险评估
1、等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。
2、风险评估。检查信息安全风险评估有关文件要求的落实情况,通过查看风险评估报告等,检查风险评估工作的开展情况。
(四)技术防护手段建设
1、网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况;互联网接入情况;终端接入互联网时是否有安全信息提示措施等。
2、信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况,以及信息安全产品策略配置有效性等。
3、服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况,是否关闭了不必要的应用、服务、端口、链接;账号口令强度和更新情况;病毒木马防护措施,是否定期进行漏洞扫描、病毒木马检测等。
