2014年烟草行业网络安全检查工作方案.docVIP

PAGE 1 - 2014年烟草行业网络安全检查工作方案 一、检查目的 贯彻落实中央网络安全和信息化领导小组办公室关于网络安全工作要求，以查促建、以查促管、以查促改、以查促防，强化安全意识，落实安全责任，深入分析安全风险，系统评估安全状况，全面排查安全隐患，进一步健全安全管理制度，完善安全防护措施，预防和减少网络安全事件发生，切实保障行业网络与信息系统安全稳定运行。 二、检查范围 主要包括国家局、总公司机关各部门、各单位，行业各直属单位及所属单位。检查重点是行业网络运行的重要业务系统、邮件系统，以及在互联网运行的网站、业务系统。 三、检查内容 （一）安全管理情况。 按照国家网络安全政策、标准规范及行业有关要求，建立健全网络安全管理制度及落实情况。重点检查网络安全主管领导、管理机构和工作人员履职情况，网络安全责任制落实及事故责任追究情况，人员、资产、外包服务等日常安全管理情况，网络安全经费保障情况，以及网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人员专业技术培训情况等。 （二）技术防护情况。 按照国家网络安全政策、标准规范及行业有关要求，建立健全技术防护体系及安全防护情况。重点检查网络边界防护措施，互联网接入安全措施，无线网络安全防护措施；服务器、网络设备、安全设备等安全策略配置，重要业务系统安全功能及有效性；重要数据传输、存储的安全防护措施；使用的云计算服务设施是否设在境外，采用系统设计开发、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构，系统是否被境外机构远程控制等情况。 （三）应急保障情况。 按照国家网络与信息安全事件应急预案要求及2014年烟草行业信息系统应急演练工作安排，建立健全网络安全应急管理体系情况。重点检查网络安全事件应急预案制修订情况、应急演练情况；应急技术支撑队伍、灾难备份措施建设情况；重大网络安全事件处置情况等。 （四）网站安全情况。 按照国家及国家局关于网站安全管理的要求，加强管理、完善安全措施情况。重点是外部网站和互联网运行业务系统的防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性；电子邮件系统和域名解析系统的安全防护措施及有效性。 （五）Windows XP停止安全服务应对工作情况。 检查终端计算机、移动存储介质安全防护措施。重点检查Windows XP使用情况，安全保护方案制订情况，安全防护产品部署情况，采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况，推广国产操作系统和应用软件的工作落实情况等。 （六）信息系统密码管理情况。 重点检查计算机终端和业务系统的用户密码设置情况以及运维账户密码管理情况。重点检查由外包运维服务人员掌握的系统和设备运维密码设置强度、日常管理措施以及密码更换周期等情况。 （七）安全问题整改情况。 重点检查上一年度安全检查发现问题的整改情况和整改效果，本年度“三全”整改情况专项检查发现问题的整改情况和整改效果，以及针对未整改问题制订的整改计划及其可行性。 四、检查方式和时间安排 本次检查以各单位自查为主，国家局将组织对部分单位进行抽查。 （一）安全自查。 各单位安全自查时间为7至9月份，要结合年度工作制订检查实施方案，明确检查范围、工作安排和任务要求。为确保检查工作取得实效，各单位要组织开展技术检测和对所属单位的安全抽查。 为全面评价网络安全管理工作，各单位要根据《烟草行业网络安全管理工作自评估表》（附件1），从网络安全组织管理、日常管理、防护管理、应急管理、教育培训、安全检查等方面进行量化评估，总结成绩、查找不足，更好地推动网络安全管理工作。 （二）安全抽查。 国家局将组织专业技术队伍，对国家局、总公司机关及行业各直属单位外部网站、网上订货系统进行远程安全检测，同时组织有关人员到部分单位进行现场抽查、技术检测。有关现场抽查工作另行通知受检单位。 五、工作要求 （一）加强领导，落实责任。 各单位要把网络安全检查工作列入重要议事日程，加强组织领导，明确检查责任，落实检查人员、检查经费及其他保障条件，确保检查工作顺利进行。 （二）认真实施，确保成效。 各单位要结合“三全”工作组织实施安全检查，全面深入查找安全问题和安全隐患，切实做到不走过场、不漏环节、不留死角。对发现的问题要及时整改，举一反三，标本兼治，对暂时不能整改的问题应采取临时防范措施。 （三）控制风险，加强必威体育官网网址。 各单位要采取有效措施确保被检查系统的正常运行。对检查结果，特别是暂时不能整改的问题要控制知悉范围，防止因这些信息泄漏引发网络安全事件。委托外部机构进行安全检测，要对其机构背景、技术能力、服务水平、人员资质及安全必威体育官网网址管理措施等进行严格审查，并明确外部机构及人员的安全责任。 请各单位于2014年9月30日前将自查报告