南宁市人民政府办公厅关于印发南宁市2009年度政府信息系统安全检查工作实施方案的通知

-1-南宁市人民政府办公厅文件南府办〔2009〕220号南宁市人民政府办公厅关于印发南宁市2009年度政府信息系统安全检查工作实施方案的通知各县、区人民政府，市政府各部门，各管委会，市级各双管单位，各有关单位：经市人民政府同意，现将《南宁市2009年度政府信息系统安全检查工作实施方案》印发给你们，请结合实际，认真组织实施。二〇〇九年九月十六日-2-南宁市2009年度政府信息系统安全检查工作实施方案为加强政府信息系统安全检查工作，提高政府信息系统安全保障能力，保证政府信息系统和信息内容安全，根据《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发〔2009〕28号，以下简称《检查办法》）、《关于印发2009年度政府信息系统安全检查指南的通知》（工信部协〔2009〕296号，以下简称《指南》）和《广西壮族自治区人民政府办公厅关于开展全区政府信息系统安全检查工作的通知》（桂政办发〔2009〕168号）等文件要求，制定南宁市政府信息系统安全检查工作实施方案。一、检查范围全市六县六区和所有市直政府部门信息系统。本方案所称政府信息系统，是指为政府机关履行职能提供支撑的信息系统，包括政府及其部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、门户网站、重要新闻网站及与互联网相连的局域网系统等。本方案所称政府信息系统安全检查，是指依据国家有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、-3-安全检测、等级测评等。涉及国家秘密的信息系统保密检查工作，按照国家保密管理有关规定和标准执行。二、检查原则（一）政府信息系统安全检查工作坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，采取各单位自查与统一组织抽查相结合的方式进行。安全检查工作应统筹安排，严密组织，突出重点，明确责任，注重实效，确保质量。（二）政府信息系统安全检查中涉及保密工作的，按照国家保密管理规定和标准执行；涉及密码工作，按照国家密码管理规定执行；涉及信息安全等级保护工作的，按照国家信息安全等级保护管理规定执行。三、检查内容以保障新中国成立60周年国庆期间信息安全为重点，针对当前政府信息系统存在的薄弱环节，按照《检查办法》要求，重点检查以下内容：（一）安全制度落实情况。信息安全主管领导、管理机构和管理人员的落实情况，信息安全责任制和保密管理、密码管理、等级保护、重要部门（部位）人员管理等制度的建立和落实情况，信息安全经费保障情况。重点检查是否明确了一名主管领导负责信息安全工作，指定了一个机构承担信息安全管理工作，指定了专职或兼职安全员，建立并落实了岗位信息安全和保密责任制度；-4-是否对新中国成立60周年国庆期间信息安全保障工作进行了专门部署。（二）安全防范措施落实情况。身份认证、访问控制、数据加密、安全审计、责任认定及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性，计算机、移动存储设备、电子文档安全防护措施的落实情况。国庆前要重点检查是否对账户、口令、软件等进行了清理，是否对重要服务器上的应用、服务、端口和链接进行了检查。（三）应急响应机制建设情况。应急预案制定、演练、落实情况，应急技术支援队伍建设情况，重大信息安全事故处置情况，重要数据和业务系统的灾难备份情况等，特别是针对新中国成立60周年国庆是否制定完善了应急工作方案和工作计划。（四）信息技术产品和服务国产化情况。终端计算机、公文处理软件、信息安全产品、IC卡等使用国产产品情况，信息系统服务外包情况，对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况等。（五）密码技术与产品使用情况。采用密码技术进行保护的情况，尤其是违反国家密码管理规定使用密码技术与产品的情况。（六）安全教育培训情况。机关工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。（七）责任追究情况。对违反信息安全规定的行为和泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追-5-究以及惩处措施落实情况。（八）安全隐患排查及整改情况。对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的分析排查情况，研究制定和落实整改措施等情况。四、组织机构成立南宁市政府信息系统安全检查工作领导小组，负责全市政府信息系统安全检查的指导和监督工作。组长：黄焕升副市长成员：覃永武市人民政府副秘书长钱健市信息办主任覃再绵市国家保密局副局长唐斌市公安局副局长领导小组下设办公室，办公室设在市信息办，办公室主任由市信息办副调研员吴光大担任，领导小组办公室成员由市信息办、保密局、公安局等部门业务科室负责人组成。办公室承担领导小组的日常工作，督促落实领导小组议定事项，向领导小组提出工作意见和建议，定期通报全市政府信息系统安全检查工作情况。各县、区及市直各部门可参照成立相应工作机构，明确检查工作责任人和联系人。五、工作分工各县、区及市直各部门信息系统安全检查工作由各县、区及市直各部门信息系统安全检查工作领导小组负责。-6-全市政府信息系统安全检查的抽查及对全市各县、区及市直各部门自查情况的分析、汇总工作由南宁市政府信息系统安全检查工作领导小组办公室承担。六、时间安排（一）自查阶段各县、区及市直各部门于2009年9月17日前完成各自负责的信息系统安全检查自查工作，于9月18日前将安全检查情况书面材料（附件1、附件2）报送南宁市政府信息系统安全检查工作领导小组办公室（南宁市信息化工作办公室）（电子文件通过光盘报送或南宁市内网OA系统传送）。南宁市政府信息系统安全检查工作领导小组办公室经收集、分析各县、区及市直各部门安全检查自查相关情况后，于9月20日前形成全市书面材料报市政府信息系统安全检查工作领导小组审批后，根据要求于9月25日前报自治区政府信息系统安全检查工作领导小组办公室。（二）抽查阶段南宁市政府信息系统安全检查工作领导小组办公室经收集、分析各县、区及市直各部门安全检查自查相关情况后，根据自治区政府信息系统安全检查工作领导小组办公室的有关要求确定抽查方案和抽查单位名单，抽查时间及具体事宜另行通知。（三）总结报告阶段由南宁市政府信息系统安全检查工作领导小组办公室负责于-7-2009年11月30日前完成总结报告工作，并报送自治区有关部门。七、检查报告检查报告主要包括检查范围、组织实施情况、检查中发现的问题及整改情况、对做好政府信息系统安全检查工作的建议等项内容，并填写《2009年政府信息系统安全检查情况报告表》。南宁市政府信息系统安全检查工作领导小组办公室跟踪、收集、汇总安全检查情况，进行综合分析后，及时通报情况。八、工作经费安排全市政府信息系统安全检查工作经费分级负责。南宁市本级经费由市信息办统筹考虑，报市人民政府审定后，由市财政局予以安排，各县、区及市直各部门按工作要求结合各自实际由本级财政及各部门安排资金予以保障。九、其他事项（一）各县、区及市直各部门要根据《南宁市2009年度政府信息系统安全检查工作实施方案》的要求和原则制定各自的安全检查方案，并上报南宁市政府信息系统安全检查工作领导小组办公室备案。（二）各县、区及市直各部门填写《南宁市2009年度政府信息系统安全检查工作联系人员名单》（附件3），于2009年9月17日前报南宁市政府信息系统安全检查工作领导小组办公室（南宁市信息化工作办公室）。（三）各县、区及市直各部门自查可委托专业机构（含各部-8-门、单位内部专业机构）参与各自安全检查工作，但应将所委托的机构上报南宁市政府信息系统安全检查工作领导小组办公室。如需委托外部的专业机构，应选择工业和信息化、公安、国家安全、保密、密码管理等部门所属的安全检测机构或自治区、南宁市政府信息系统安全检测机构。（四）切实做好检查过程中的信息安全和保密工作，确保被检查信息系统安全正常运行。委托专业机构参与安全检查时，应对专业机构及检测人员进行审查，签订安全保密协议，明确安全和保密责任，并将参与检查的专业机构及检测人员（含单位内部专业机构及人员）情况作为检查报告的内容报南宁市政府信息系统安全检查工作领导小组办公室。（五）由于时间紧，任务重，各县、区及市直各部门要高度重视，把政府信息系统安全检查工作列入重要议事日程，加强组织领导，明确检查责任，明确本部门、本单位的检查负责人、联系人和负责机构，落实检查人员和检查经费，每半年进行一次全面的安全检查。（六）对自查或抽查中发现的问题要及时整改，并在15天内向南宁市政府信息系统安全检查工作领导小组办公室报告整改情况。（七）对检查工作组织领导不力、有关要求不落实的，将予以通报批评；在检查工作中未能及时发现问题或漏洞导致安全事故的，要依法追究相关人员相应责任。十、相关说明-9-本方案中所指国产终端计算机、国产字处理软件、国产信息安全产品，现阶段按以下方法进行认定：（一）国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。（二）国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，并符合法律法规和政策规定的其他条件。（三）国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其他条件。联系部门：南宁市政府信息系统安全检查工作领导小组办公室联系电话：0771—5534910传真：0771—5537755（电子版通过政务内网OA系统发送至市信息办）附件：1．2009年政府信息系统安全检查报告内容提纲2．2009年政府信息系统安全检查情况报告表3．2009年政府信息系统安全检查工作联系人员名单-10-附件1：2009年政府信息系统安全检查报告内容提纲一、信息安全总体情况主要内容包括信息安全工作开展情况，信息安全检查概况，包括检查范围、部署安排、组织领导、检查进展情况以及检查效果，对信息安全状况总体评价等。二、信息安全检查发现的主要问题及整改情况主要内容包括安全检查中发现信息系统存在的主要安全问题，以及针对这些问题采取的整改措施，对于未能及时整改的，概要说明整改计划和整改方案。三、对信息安全检查工作的意见和建议主要内容包括本年度政府信息系统安全检查工作取得的经验，对信息安全检查工作的意见和建议，对2010年度信息安全检查工作方案编制的建议等。-11-附件2：2009年政府信息系统安全检查情况报告表（一）信息系统基本情况部门（单位）名称负责信息安全工作的主管领导职务信息安全检查责任人职务电话信息系统总数______。其中：1.与互联网物理隔离的信息系统个数______。2.委托外单位进行日常运维管理的信息系统个数______。3.本年度经过专业机构安全评估或安全测评的信息系统个数______。4.面向社会公众提供服务的信息系统个数______。信息系统安全等级保护定级情况第一级个数第二级个数第三级个数第四级个数第五级个数未定级个数（二）安全管理情况信息安全管理机构□已明确机构名称：负责人：电话：□未明确是否有安全员（含专职和兼职）各市政府组成部门区直各部门□全部有□部分有□没有□有□没有人员管理①已制定重要岗位信息安全和保密责任制度：□是□否②已制定人员离岗离职时信息安全管理规定：□是□否③本年度信息安全责任追究情况：通报批评____人，警告处分_____人，记过及以上_____人。系统管理①已制定办公用计算机及软件备案管理制度：□是□否②已制定存储介质的报废、销毁管理规定：□是□否③已制定计算机及相关设备维修、维护管理规定：□是□否④业务数据存储在境外：□有□无-12-应急管理①信息安全应急预案：□有□无②应急技术支援队伍：□内部□外部□无③本年度应急演练情况：□已开展□未开展教育培训情况年度接受信息安全教育培训的人数：_____人，占总人数的比例____。外包服务管理①是否存在由国外公司进行设备维修的情况：□是□否②是否存在由国外公司进行系统维护的情况：□否□