5.信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。(信息安全事件分级依据《国家网络与信息安全事件应急预案》)
(六)信息技术产品和信息安全产品使用
1.信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠的服务器、网络设备、存储阵列等产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
2.信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用本国产品的情况。使用捐赠的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
根据工业和信息化部《2010年度政府信息系统安全检查指南》(工信部协〔2011〕214号),国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其他条件。
(七)信息安全服务
查看服务合同、安全保密协议等文件,检查信息安全服务机构的服务内容,是否有相应的服务记录,是否有远程在线服务,是否由外资机构提供服务等。
(八)信息安全教育培训
检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(九)信息安全经费保障
检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等,检查是否按照《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔2009〕28号)文要求落实了安全检查工作经费。
六、工作分工及时间安排
(一)工作分工
来宾市政府信息系统安全检查工作领导小组办公室负责组织与协调。广西软件评测中心负责具体的信息安全检查及信息安全技术检测工作。
(二)时间安排
1.信息安全自查
时间:2011年8月1日至2011年8月7日。
各单位要重点加强对门户网站的安全检查,排查安全漏洞和安全隐患,强化网站安全防护措施,按时完成本年度信息安全自查工作,并根据自查结果,填写《2011年信息安全检查情况报告表》(见附件1),同时,对安全检查工作进行认真总结、分析评估,按照2011年信息安全检查情况报告编写参考格式(见附件2)形成自查情况报告,以书面形式将检查情况报送来宾市政府信息系统安全检查工作领导小组办公室,同时报送电子文档(光盘)。电子文档使用国家统一配置的软件编制。
2. 信息安全检查
时间:2011年8月7日至2011年8月15日。
来宾市政府信息系统安全检查工作领导小组办公室会同广西软件评测中心共同商定检查工作的内容和被检查单位、时间安排,并指定联系人。
3.检查实施阶段及技术检查手段
时间:2011年8月15日至2011年9月5日。
来宾市政府信息系统安全检查工作领导小组办公室会同广西软件评测中心按既定时间开展检查工作。检查式分为现场安全检查和内、外部安全检查。针对被抽查的单位进行全面检查。
(1)现场安全检查。主要检查信息安全有关管理制度、技术防护措施的落实情况等。
