关于开展涉密网络与信息安全检查的通知

各镇党委、政府，县委和县级国家机关各部门，各人民团体，中省市驻柞各单位：
　　为贯彻落实《中共商洛市委办公室、商洛市人民政府办公室关于开展涉密网络与信息安全检查的通知》（商办字〔2014〕56号）精神，进一步规范和加强全县涉密网络的安全保密防护措施，切实提高涉密网络安全保密防护能力和管理水平，保障涉密网络和涉密信息系统的安全，县委、县政府决定在全县开展涉密网络与信息安全专项检查。现就有关事项通知如下。
　　一、检查目的
　　针对当前一些党政机关和涉密单位网络定位不准，涉密网络安全保密防护薄弱、安全保密管理松懈、安全保密意识不强等问题，通过开展涉密网络与信息安全检查工作，进一步落实信息安全责任，增强工作人员信息安全意识。认真查找突出问题和薄弱环节，全面排查信息安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障涉密网络与信息安全。
　　二、检查范围
　　各镇党委、政府，县委和县级国家机关各部门，中省市驻柞各单位自行运行和维护管理以及委托其它机构运行和维护管理的基础信息网络、办公系统、业务系统、网站系统。
　　三、检查方式
　　按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，由各镇、各部门对所主管的网络按照统一要求开展全面的涉密安全自查。
　　由县政府电子政务中心牵头，会同县国家保密局、县委机要局、县公安局组成“涉密网络与信息安全检查组”，对各镇、各部门进行检查，并委托陕西省网络与信息安全测评中心（以下简称“测评中心”）配合检查。
　　四、检查内容
　　重点检查与涉密网络和信息系统相关的硬件、软件、服务、信息和人员的基本情况，对存在的管理和技术薄弱环节进行查找、分析归纳；对已有安全管理体系、安全措施进行核实和评价，主要包括以下内容：
　　1．信息安全组织管理。按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及落实情况。重点检查是否建立健全了涉密网络安全保密管理制度，是否做到机构到位、信息安全领导到位、人员到位、责任到位、措施到位、监管到位；运维管理、保密管理、密码管理、分级保护、重要部门（部位）人员管理等制度建立和落实情况。
　　2．日常信息安全管理。重点检查涉密网络与信息系统基本情况，包括在用网络是否存储、处理涉及国家秘密的信息；网络定位、定级是否准确；是否科学界定涉密网络和非涉密网络；是否严格按照存储、处理信息的最高密级来确定涉密网络的密级；系统的实时性、服务对象、连接互联网情况、服务提供商、服务方式等。
　　3．信息安全防护管理。重点检查网络架构、区域划分、网络边界安全防护措施；服务器、网络设备、安全设备等的安全策略配置及有效性；应用系统安全功能配置及有效性；重要数据传输、存储的安全防护措施情况；根据密码防护的特殊要求，检查密码设备的部署及其安全策略配置情况，密码服务情况等。
　　4．信息安全应急管理。应急机构是否健全，是否按照要求制订了应急预案，是否对预案进行了宣传贯彻和培训，是否开展了演练，是否明确了应急技术支援队伍。重大信息安全事故发生及处置情况，重要数据和业务系统采取的备份措施及备份方式情况。
　　5．信息技术产品和服务。计算机、公文处理软件、信息安全产品等使用国产产品的情况，重点是信息系统关键部位的服务器、路由器、交换机等使用国产产品的情况，以及信息安全服务外包情况。对因特殊原因选用国外信息安全技术产品和信息安全服务是否进行了保密审查工作，以及审查的方式。
　　6．信息安全保密教育培训。是否对工作人员进行安全和保密知识教育、保密技能培训，以及对保密常识和技能掌握情况进行考核；重点、敏感岗位人员是否制订了特殊管理措施，重点岗位是否经考核后上岗；是否制订了针对外包服务人员等外来人员的保密管理规定。
　　7．开展检查测评情况。在用涉密网络是否经过保密检查测评，开展方式是自行测评还是委托测评，属于委托测评的，是否与委托的机构签订了安全保密协议。
　　8．责任追究情况。重点检查对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施的落实情况。
　　9．运维管理情况。是否根据制度维护信息系统，是否存在详细的设备、系统运维记录和安全日志分析报告，系统性能的监控措施及运行状况。
　　10.物理环境。物理环境的建设是否符合国家相关标准和规范，是否按照国家相关规定建立机房安全管理制度、机房安全管控措施，防灾措施、供电和通信系统的保障措施是否有效。
　　五、检查方法和步骤
　　县政府电子政务中心负责检查工作的组织与协调，由测评中心负责具体的安全技术检测工作。
　　专项检查工作分三个阶段进行。
　　（一）自查自纠阶：2014年9月5日—9月17日。各镇、县直各部门根据专项检查内容对本单位涉密网络与信息安全工作进行全面自查，建立健全安全组织、安全管理制度和落实安全防范措施，堵塞漏洞，对存在的安全隐患进行整改，切实加强本单位涉密网络与信息安全的防护工作。按照附表要求进行基本情况调查和安全状况检查，认真进行填写，于8月17日前将自查报告上报县政府电子政务中心。
　　（二）重点检查阶段：2014年9月18日—9月31日。县“涉密网络与信息安全检查组”将对县镇党委、政府及其部门和保密重点单位进行抽查，并将抽查和各单位自查情况汇总通报。
　　（三）整改提高阶段：2014年10月1日—10月12日。各镇、各有关部门要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，对检查出来的问题和隐患进行限期整改，并将整改情况报县政府电子政务中心。各镇、各有关部门应以此次专项检查为契机，加强涉密网络与信息安全工作，切实增强广大干部、群众的安全意识，提高信息安全保障能力。
　　六、工作要求
　　（一）加强组织领导。各镇、各部门要充分认识信息安全及此次专项检查工作的重要性和紧迫性。明确分管领导，夯实安全责任，按照方案要求，认真做好本部门、本系统的自查工作，做到领导到位、任务到位、责任到位和措施到位。
　　（二）密切协作配合。各镇、各有关部门要积极配合此次专项检查工作，并提供必要的工作环境和技术环境。检查组各有关部门要明确工作重点，加强协作配合，确保此项工作顺利推进。
　　（三）认真进行整改。对检查中发现的问题，要及时进行研究，采取有效措施加以整改。因条件不具备不能立即整改的，要制定整改计划、整改方案及整改时间表，并采取临时防范措施，确保网络与信息系统安全正常运行。同时要举一反三，切实提高信息系统安全防护水平。
　　（四）加强保密管理。各镇、各部门要切实加强对此次检查活动、检查人员以及相关文档和数据的安全保密管理，周密制定应急方案，确保检查工作中获知的信息和数据不被泄露，确保被检查信息系统的安全正常运行。
　　（五）做好经费保障。检查所需经费由县财政安排专项资金予以保障。具体由县政府电子政务中心提出专项经费预算报县财政审批。

　　附件：附件.rar