《网络安全检查工作方案.docx》由会员分享,可在线阅读,更多相关《网络安全检查工作方案.docx(8页珍藏版)》请在第壹文秘上搜索。
1、网络安全检查工作方案一、时间安排(一)自查整改阶段(即日起至4月7日)。各单位梳理本单位及下属单位所属网站和信息系统,填写关键信息基础设施、重要信息系统和网站情况表和自查表(附后),认真查摆问题,并针对梳理出的所属重要信息系统、工控系统、重点网站进行技术检测,全面查找发现各类潜在安全漏洞和突出问题。(二)现场检查阶段(4月8日4月22日)。我办会同相关主管部门对各单位开展现场抽查。对落实网络安全工作责任制存在问题、系统存在安全隐患的运营使用单位,将责令限期整改。二、检查内容按照“谁主管、谁负责,谁运行、谁负责”原则,此次检查重点检查各单位落实网络安全工作责任制,落实安全技术措施同步规划、同步建
2、设、同步使用等情况,检查将委托技术支撑单位通过技术手段查找关键信息基础设施、重要信息系统(含工业控制系统)以及党政机关和企事业单位网站的风险隐患,检验网络攻击应对能力,对发现的突出问题、隐患限期整改。三、工作要求(-)高度重视,加强领导。各单位要从维护国家安全和社会稳定的大局出发,严格落实党委(党组)网络安全工作责任,充分认识此次网络安全检查工作的重要性和紧迫性,自觉抓好关键信息基础设施、重要信息系统和重点网站的安全防范工作。(二)强化督导,严格落实。各单位要加强对检查工作的督导,及时总结检查经验,推动检查工作深入开展。对安全工作不落实、措施不到位,或在检查工作中弄虚作假对抗检查的,我办将会同
3、相关部门严肃追究责任。(三)认真总结,狠抓整改。各单位要将各阶段的检查工作情况认真梳理总结,及时掌握网络安全工作薄弱环节,并系统性予以督促整改,力争从源头上遏制和消除网络安全风险。1 .关键信息基础设施、重要信息系统和网站情况表2 .关键信息基础设施、重要信息系统和网站安全自查表关键信息基础设施、重要信息系统和网站情况表填表单位(盖章):关键信息基础设施、重要信息系统和网站名称(全称):主管单位信息单位全称厦门兴才职业技术学院单位地址地(区、市、州、盟)县(县、市、旗)厦门市集美区后溪镇兴溪路879-889号邮政编码:361024单位类型 党政机关口事业单位 社会团体口国有及国有控股企业 其它
4、:民办非企业法人代表/单位主要负责人姓名:林亚姜职务:董事长固定电话:网络安全分管领导姓名:郝超职务:校长固定电话:上一级主管单位无有主管单位全称:联系方式网络安全管理部门及负责人是否己明确网络安全管理部门:是口否网络安全管理部门名称:教学辅助中心负责人:胡银涛职务:副主任手机:固定电话:安全管理员姓名:陈承毅职务:干事手机:固定电话:基本信息系统类别日均访问量:0.1万次口党政机关网站口新闻信息网站口事业单位网站口社会团体网站口国有企业网站其他:民办非企业功能描述为上级部门、社会各界、全校师生传递学校信息和新闻动态。联网信息域名:IP地址:公安机关互联网安全备案:是口否备案号:03信息安全等
5、级保护备案:口是否备案号:SICP备案:是口否备案号:闽ICP备号T系统特征是否24小时运行:是口否是否面向社会公众提供服务:是口否信息技术产品服务器数量:台存储设备数量:1台路由器数量:台交换机数量:1台服务器操作系统数量:1套数据库管理系统数量:1套数据存储存储位置全部境内存储口有数据境外存储,主要存储地:校内机房数据集中口全国数据集中省级数据集中无数据集中与境外信息系统数据交换口存在不存在数据加密数据存储与传输均加密口数据存储与传输均未加密口仅数据存储加密口仅数据传输加密运行环境托管情况未托管口托管主要托管地:托管单位(全称):托管方式:口主机托管口虚拟主机/云计算口其它运行维护运维模式
6、自行运维口外包运维主要运维厂商全称:境内厂商境外厂商运维方式:口现场运维远程运维运维联系人:手机:网络安全状况灾备情况(可多选)口数据灾备RPO1:口系统灾备RTO2:口无灾备措施漏洞管理定期对系统漏洞进行检查分析:是否网络安全监测口无自主监测委托第三方监测,监测机构全称:锐捷网络科技有限公司云防护措施口采用云防护服务,服务商全称:口未采用云防护服务应急措施网络安全应急预案:已制定未制定网络安全应急演练:口本年度已开展本年度未开展网络安全事件2019年发生的网络安全事件次数:0次其中由于软硬件故障导致的事件次数:0次2019年检测发现的高危漏洞数:0个填表说明:若单位含有下属机构且下属机构有互
7、联网信息系统的,由主管单位统一收集上报。若单位有多个系统,请根据实际情况自行扩展,每个系统对应一张表。1RPO(RecoveryPointObjeCtiVe)是指灾难发生后,容灾系统能把数据恢复到灾难发生前时间点的数据,是衡量灾难发生后会丢失多少生产数据的指标。可简单的描述为设施能容忍的最大数据丢失量。2RTO(RecoveryTimeObjeCtiVe)则是指灾难发生后,从关键信息基础设施宕机导致业务停顿之刻开始,到业务恢复运营所需要的时间间隔。可简单的描述为设施能容忍的恢复时间。表2关键信息基础设施、重要信息系统和网站安全自查表填表单位(盖章):一、单位关键信息基础设施、重要信息系统和网站
8、安全保护工作的相关情况序号检查项结果记录检查记录1、网络安全工作协调(领导)机制建立运行情况1-1是否通过正式文件或会议纪要明确本单位党委(党组)领导班子成员中网络安全直接责任人(主管网络安全的负责同志)是口否1-2是否明确了负责本单位网络安全工作的处级机构是口否1-3是否通过制度文件明确了该机构负责此项工作的职责,明确了负责处室是否2、网络安全人员配备和责任制落实情况2-1网络安全工作机构是否按照岗位实际配备了网络安全工作人员是口否兼岗性质2-2是否书面规定了网络安全工作人员的安全责任和惩戒措施口是否3、网络安全规划制定落实情况3-1是否制定了本单位网络安全规划、实施计划或工作方案等文件是否
9、3-2是否提出了本单位的网络安全主要目标、基本要求、工作任务和保护措施是口否3-3是否制定相关工作规范,确保本单位的信息系统建设与安全建设同步规划、同步建设、同步使用是口否4、对网络安全工作的重视情况、网络安全经费保障情况以及关键信息基础设施、重要信息系统和网站安全防护工作的组织部署情况4-1单位主要负责同志是否对网络安全工作有重要批示和指示是否4-2是否定期组织召开本单位信息安全会议,研究关键信息基础设施、重要信息系统和网站安全防护等重点工作,制定工作计划,落实关键信息基础设施、重要信息系统和网站安全防护各项任务要求,并建立相关的考核制度是口否4-3是否能够保障网络安全所需的费用是否5、有关
10、网络安全管理制度的建立和执行情况5-1是否制订了包括人员录用、安全培训、技术考核、安全保密、人员离岗等方面在内的网络安全人员管理制度口是否由于网络安全人员采用兼岗性质,部份安全管理制度仍不够完善。5-2是否针对信息系统建设过程中的产品采购、服务外包、系统投入使用前进行安全测试等方面建立了相应的管理制度是否5-3是否与服务外包中标企业签订了安全保密责任书是口否6、信息系统定级备案工作开展情况6-1本单位所有信息系统是否都确定了安全保护等级口是否系统总数2个,三级系统数量个,二级系统数量个。6-2信息系统定级结果是否经过专家评审和上级主管部门审批口是否目前联系等保公司做方案。6-3安全保护等级为第
11、二级(含)以上的信息系统,是否已经到所在地设区的市级以上公安机关办理了备案手续口是否目前联系等保公司做方案。6-4信息系统所承载的业务、服务范围、安全需求等是否发生变化,口是否信息系统安全保护等级是否变更6-5新建信息系统是否在规划、设计阶段确定安全保护等级并备案口是否新建信息系统数量个7、第三级(含)以上信息系统等级测评和安全建设整改工作开展情况7-1单位第三级(含)以上重要信息系统是否开展了等级测评口是否无第三级(含)以上重要信息系统7-2是否根据等级测评结果,制定了信息系统安全建设整改方案,开展了安全建设整改工作口是否无第三级(含)以上重要信息系统7-3所选择的测评机构是否具有相应资质口
12、是口否等级测评机构名称8、正版软件应用情况8-1单位重要信息系统服务器是否使用正版操作系统口是口否巳安装正版操作系统一个占所有服务器比例8-2单位计算机设备是否使用正版操作系统是否巳安装正版操作系统个占所有计算机设备比例8-3单位是否使用正版软件口是否巴安装使用正版化软件有:9、网络安全自查工作情况9-1是否对本单位网络安全检查工作制定了计划、明确了要求并部署实施是口否9-2是否定期对信息系统安全状况、安全保护制度及措施的落实情况进行了自查是口否9-3是否对自查中发现的安全威胁和隐患进行了整改是口否9-4是否对相关主管部门检查或通报的问题进行整改是否10、关键信息基础设施、重要信息系统和网站安全监测预警、容灾备份等工作情况10-1是否对单位关键信息基础设施、重要信息系统和网站安全运行状况进行监测,对报警情况进行及时处置是否10-2是否建立了重要系统和数据的容灾备份安全管理制度和技术措施,并定期进行备份是否11、安全事件应急处置工作情况11-1是否制定了安全事件应急预案是口否11-2是否定期对应急预案进行演练是口否演练周期一年一次演练记录11-3应急预案的执行是否有足够的资源保障是口否12、通报应急处置及协调机制12-1各单位是否制定通报应急联系机制以协调应急突发事件是口否记录人:陈承毅记录时间:2019年4月5日
