重要信息系统及网站安全检查实施方案
一、检查目的
依据国家信息安全有关政策规定,对校属各单位网络信息系统进行检查,发现存在的主要问题和薄弱环节,即查即改进一步健全网络信息安全管理制度,完善网络信息安全技术措施,提高网络信息安全防护能力,保障我校网络信息化的健康发展。
二、检查原则
坚持谁主管谁负责、谁运行谁负责、谁使用谁负责的原则,统筹安排、突出重点、明确责任、注重实效。
检查工作以各部门自查为主,南阳师范学院校园计算机网络信息系统安全工作领导小组(以下简称领导小组)会同有关部门统一组织检查。
三、检查范围
网络信息系统安全检查的范围是为各部门履行职能提供支撑的网络信息系统,包括自行运行
维护管理以及委托其他部门运行维护管理的办公系统、各业务系统、网站系统等。
四、检查内容
(一)网络信息安全组织管理
1. 网络信息安全管理机构及其工作开展情况。(1)组织制定并落实网络信息安全管理规章制度情况;(2)组织制定网络信息安全工作计划或工作方案情况,需要查阅该单位网络安全工作议事或例会制度等文档材料。3)组织开展网络信息安全教育培训和督促检查工作情况。
2. 网络信息安全人员及其工作开展情况。(1)各单位网络信息安全员(专干)指定情况;(2)网络信息安全员开展督促、检查和指导等日常工作情况。需要查阅该单位网络安全工作责任分工和岗位职责等文档材料。
以上要求有文字材料或原始记录。
(二)日常网络信息安全管理
1.人员管理。查验相关文档、文件、记录等,重点检查:1)岗位网络信息安全和保密责任制落实,特别是重要岗位网络信息安全和保密协议签订情况;(2)人员离岗离职网络信息系统交接的安全管理情况;(3)外部人员访问网络信息系统管理模块的管理情况;(4)违反制度规定造成网络信息安全事件的责任查处情况等;(5)岗位责任制落实情况,需要查阅该单位网络安全规划和策略等文档材料。
2. 网络信息技术外包服务安全管理。针对当前校内有部分网络信息系统开发或管理外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理:(1)服务机构性质与背景情况;(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险。
3. 网络信息技术产品使用管理。重点检查办公用计算机、公文处理软件、网络信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是近两年新采购办公用计算机、公文处理软件、网络信息安全设备是否满足安全可控要求。
4. 网络信息安全经费保障。重点检查网络信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度网络信息安全经费实际投入情况等。
(三)网络信息安全防护管理
1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2. 网络信息系统安全管理。检查网络信息安全风险评估、等级保护等安全管理制度落实情况。
1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用,服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。
2)网络设备防护。重点检查网络设备安全策略配置有效性;账号口令强度和更新情况;
是否使用技术工具定期进行漏洞扫描。
3)网络信息系统安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。
(4)网络信息系统安全自查工作计划及落实情况;网络信息系统定级备案工作开展情况。需要查看信息系统定级报告和第二级(含)以上网络信息系统备案证明。系统安全监测预警、容灾备份方案及落实情况;
3.部门网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查:(免费软件下载网站入口1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(3)是否为修改其他网站制作,是否有未知功能或有漏洞的控件和插件;(4)网络信息发布审核制度建立及落实情况;(5)是否使用技术工具定期进行漏洞扫描、木马检测。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。