发布部门: 上海市司法局
发布文号: 沪司发办[2009]189号
市监狱管理局,市劳教局,市社区矫正办,上海政法学院及其他局属单位,各区县司法局:
为切实做好信息安全保障工作,确保新中国成立60周年国庆和迎世博期间的信息安全,根据本市信息安全保障工作会议的部署以及工业和信息化部《关于切实做好今年国庆期间信息安全工作的通知》(工信密电[2009]11号)、市经信委《关于印发2009年度上海市政府信息系统安全检查指南的通知》(沪经信安[2009]324号文)、沪网安办《上海市网络与信息安全协调小组办公室关于开展国庆60周年信息安全检查工作的通知》(沪网安办[2009]2号)精神,现就开展国庆60周年信息安全检查,进一步做好信息安全保障工作通知如下:
一、检查范围
本通知所称信息系统,是指为本市司法行政系统各单位、部门履行职能提供支撑的信息系统,包括各单位、部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。
本通知所称政府信息系统安全检查,是指依据国家有关政府规定,参照国家信息安全技术规范,对本系统各单位、部门的信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。
涉及国家秘密的信息系统的安全保障及检查工作,按照国家保密管理有关规定和标准执行。
二、检查原则
信息系统安全检查工作应坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,以本市司法行政系统各单位、各部门自查为主,与市司法局统一组织和安全检查相结合。
信息系统安全检查工作应统筹安排,严密组织,突出重点,明确责任,注重实效,确保质量,切实提高信息系统安全保障能力,确保信息系统安全运行。
三、检查内容
以保障新中国成立60周年国庆和迎世博期间信息安全为重点,针对当前政府信息系统存在的薄弱环节,按照“政府信息系统安全检查办法”的要求,重点检查以下内容:
(一)安全制度落实情况。检查信息安全等级保护制度、信息安全“五禁止”规定等各项制度、规范的落实情况。信息安全主管领导、管理机构和管理人员的落实情况,信息安全责任制和保密管理、密码管理、等级保护、重要部门(部位)人员管理等制度的建立和落实情况,信息安全经费保障情况。重点检查是否按照国家和本市有关文件的要求,明确了一名主管领导负责信息安全工作,指定了一个机构承担信息安全管理工作,指定了专职或兼职安全员,建立并落实了岗位信息安全和保密责任制度;是否对新中国成立60周年国庆和迎世博期间信息安全保障工作进行了专门部署。
(二)安全防范措施落实情况。检查各项技术防范措施的落实情况,着重检查系统补丁升级情况,木马清除情况,网页篡改、域名劫持、大规模DD0S攻击的防范应对情况,对物理安全、网络访问控制、主机安全、应用和数据安全以及存储介质、密钥、口令、电子文档的管理等进行评估。要检查身份认证、访问控制、数据加密、安全审计、责任认定及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性,计算机、移动存储设备、电子文档安全防护措施的落实情况。国庆前要重点检查是否对账户、口令、软件等进行了清理,是否对重要服务器上的应用、服务、端口和链接进行了检查。
(三)应急响应机制建设情况。应急预案制定、演练、落实情况,应急技术支援队伍建设情况,重大信息安全事故处置情况,重要数据和业务系统的灾难备份情况等,特别是针对新中国成立60周年国庆和迎世博期间的信息安全保障是否制定完善了应急工作方案和工作计划。检查应急预案的实用性和可操作性,以及应急协调机制和应急措施的有效性,进一步完善网络与信息安全事件应急处置机制,做好应急预案的修订工作,明确网络与信息安全事件应急处置和通报流程、临机处置权限、通信联络渠道,落实应急技术支撑队伍和应急保障条件。
(四)信息技术产品和服务国产化情况。终端计算机、公文处理软件、信息安全产品、Ic卡等使用国产产品的情况和信息系统服务外包情况,对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况等。
(五)密码技术与产品使用情况。采用密码技术进行保护的情况,尤其是违反国家密码管理规定使用密码技术与产品的情况。
(六)安全教育培训情况。机关工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。
(七)责任追究情况。对违反信息安全规定的行为和泄密事故、信息安全事故的查处情况,对责任人和有关负责人的责任追究以及惩处措施落实情况。
(八)安全隐患排查及整改情况。对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的分析排查情况,研究制定和落实整改措施等情况。
四、检查方式
(一)自查。各单位、各部门要按照《2009年度上海市政府信息系统安全检查指南》、市经信委《关于做好信息安全应急预案调整和演练工作的通知》(沪经信安[2009]327号)以及市公安局、市保密局、市密管局、市经信委《关于组织开展2009年度本市重要信息系统等级保护工作的通知》(沪公发[2009]187号)的要求,对本单位、本部门的信息系统认真开展自查,切实增强防病毒、防攻击、防篡改、防瘫痪、防窃密能力。
(二)抽查。抽查时间安排在2009年9月21日至28日,抽查前将电话通知被抽查单位,要求被抽查单位做好抽查准备。
(三)报告。各部门、各单位根据实际情况,围绕新中国成立60周年国庆和迎世博期间信息安全保障工作,具体进行安排部署,在9月25日之前将安全检查情况以书面形式报送市司法局。
各单位、各部门可委托专业机构(含各部门内部专业机构)参与安全检查,如需委托外部专业机构应选择经济信息化、公安、保密、密码管理等部门所属的安全检测机构。要切实做好检查过程中的信息安全和保密工作,确保被检查的政府信息系统安全正常运行。
委托专业机构参与安全检查时,应对专业机构及检测人员进行审查,签订安全保密协议,明确安全和保密责任,并将参与检查的专业机构及检测人员(含各部门内部专业机构及人员)情况作为检查报告的内容报市司法局。
五、有关要求
一是要建立和健全组织机构,加强信息安全制度建设和落实。新中国成立60周年国庆和迎世博期间,本市司法行政系统各单位、各部门应专门部署信息安全工作,在认真梳理现有各类信息安全制度基础上,严格落实领导责任制,主要领导要亲自指挥和过问信息安全工作,研究解决重大问题,协调处理重大信息安全事件。要认真履行信息安全责任制,层层分解任务,层层落实责任,层层抓好落实,确保领导到位、机构到位、人员到位、责任到位和措施到位。
二是要充分做好信息安全应急工作。要按照市司法局《关于印发局系统网络与信息安全事件专项应急预案的通知》(沪司发办[2009]122号)要求,专门制定和完善现有的应急工作方案和工作计划,进一步明确应急处置流程、权限、通信联络渠道等。要建立应急值班制度,重点部门、重点岗位实行24小时值班。要对重要信息系统数据和业务系统进行安全备份工作,并举行1次应急演演练,检验应急预案的实用性和可操作性。
三是要加大安全教育培训和责任追究工作力度。各单位、各部门在国庆前要全面开展信息安全宣传,采取多种形式组织并举行信息安全基本知识和技能培训,使机关工作人员掌握信息安全常识和基本技能,做到发现问题能及时报告。市司法局有关职能处室要进一步加强对全系统政府信息安全检查工作的协调、指导和监督,及时汇总情况,会同有关部门进行综合分析,通报有关情况。加大对责任事故的查处力度,严格问责。对存在突出问题的单位要给予批评,责令限期整改,对有令不行,有禁不止的,要严肃查处;对发生失泄密事件的,要严格依法依纪追究相关人员责任。特此通知。
二○○九年九月十五日
发布文号: 沪司发办[2009]189号
市监狱管理局,市劳教局,市社区矫正办,上海政法学院及其他局属单位,各区县司法局:
为切实做好信息安全保障工作,确保新中国成立60周年国庆和迎世博期间的信息安全,根据本市信息安全保障工作会议的部署以及工业和信息化部《关于切实做好今年国庆期间信息安全工作的通知》(工信密电[2009]11号)、市经信委《关于印发2009年度上海市政府信息系统安全检查指南的通知》(沪经信安[2009]324号文)、沪网安办《上海市网络与信息安全协调小组办公室关于开展国庆60周年信息安全检查工作的通知》(沪网安办[2009]2号)精神,现就开展国庆60周年信息安全检查,进一步做好信息安全保障工作通知如下:
一、检查范围
本通知所称信息系统,是指为本市司法行政系统各单位、部门履行职能提供支撑的信息系统,包括各单位、部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。
本通知所称政府信息系统安全检查,是指依据国家有关政府规定,参照国家信息安全技术规范,对本系统各单位、部门的信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。
涉及国家秘密的信息系统的安全保障及检查工作,按照国家保密管理有关规定和标准执行。
二、检查原则
信息系统安全检查工作应坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,以本市司法行政系统各单位、各部门自查为主,与市司法局统一组织和安全检查相结合。
信息系统安全检查工作应统筹安排,严密组织,突出重点,明确责任,注重实效,确保质量,切实提高信息系统安全保障能力,确保信息系统安全运行。
三、检查内容
以保障新中国成立60周年国庆和迎世博期间信息安全为重点,针对当前政府信息系统存在的薄弱环节,按照“政府信息系统安全检查办法”的要求,重点检查以下内容:
(一)安全制度落实情况。检查信息安全等级保护制度、信息安全“五禁止”规定等各项制度、规范的落实情况。信息安全主管领导、管理机构和管理人员的落实情况,信息安全责任制和保密管理、密码管理、等级保护、重要部门(部位)人员管理等制度的建立和落实情况,信息安全经费保障情况。重点检查是否按照国家和本市有关文件的要求,明确了一名主管领导负责信息安全工作,指定了一个机构承担信息安全管理工作,指定了专职或兼职安全员,建立并落实了岗位信息安全和保密责任制度;是否对新中国成立60周年国庆和迎世博期间信息安全保障工作进行了专门部署。
(二)安全防范措施落实情况。检查各项技术防范措施的落实情况,着重检查系统补丁升级情况,木马清除情况,网页篡改、域名劫持、大规模DD0S攻击的防范应对情况,对物理安全、网络访问控制、主机安全、应用和数据安全以及存储介质、密钥、口令、电子文档的管理等进行评估。要检查身份认证、访问控制、数据加密、安全审计、责任认定及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性,计算机、移动存储设备、电子文档安全防护措施的落实情况。国庆前要重点检查是否对账户、口令、软件等进行了清理,是否对重要服务器上的应用、服务、端口和链接进行了检查。
(三)应急响应机制建设情况。应急预案制定、演练、落实情况,应急技术支援队伍建设情况,重大信息安全事故处置情况,重要数据和业务系统的灾难备份情况等,特别是针对新中国成立60周年国庆和迎世博期间的信息安全保障是否制定完善了应急工作方案和工作计划。检查应急预案的实用性和可操作性,以及应急协调机制和应急措施的有效性,进一步完善网络与信息安全事件应急处置机制,做好应急预案的修订工作,明确网络与信息安全事件应急处置和通报流程、临机处置权限、通信联络渠道,落实应急技术支撑队伍和应急保障条件。
(四)信息技术产品和服务国产化情况。终端计算机、公文处理软件、信息安全产品、Ic卡等使用国产产品的情况和信息系统服务外包情况,对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况等。
(五)密码技术与产品使用情况。采用密码技术进行保护的情况,尤其是违反国家密码管理规定使用密码技术与产品的情况。
(六)安全教育培训情况。机关工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。
(七)责任追究情况。对违反信息安全规定的行为和泄密事故、信息安全事故的查处情况,对责任人和有关负责人的责任追究以及惩处措施落实情况。
(八)安全隐患排查及整改情况。对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的分析排查情况,研究制定和落实整改措施等情况。
四、检查方式
(一)自查。各单位、各部门要按照《2009年度上海市政府信息系统安全检查指南》、市经信委《关于做好信息安全应急预案调整和演练工作的通知》(沪经信安[2009]327号)以及市公安局、市保密局、市密管局、市经信委《关于组织开展2009年度本市重要信息系统等级保护工作的通知》(沪公发[2009]187号)的要求,对本单位、本部门的信息系统认真开展自查,切实增强防病毒、防攻击、防篡改、防瘫痪、防窃密能力。
(二)抽查。抽查时间安排在2009年9月21日至28日,抽查前将电话通知被抽查单位,要求被抽查单位做好抽查准备。
(三)报告。各部门、各单位根据实际情况,围绕新中国成立60周年国庆和迎世博期间信息安全保障工作,具体进行安排部署,在9月25日之前将安全检查情况以书面形式报送市司法局。
各单位、各部门可委托专业机构(含各部门内部专业机构)参与安全检查,如需委托外部专业机构应选择经济信息化、公安、保密、密码管理等部门所属的安全检测机构。要切实做好检查过程中的信息安全和保密工作,确保被检查的政府信息系统安全正常运行。
委托专业机构参与安全检查时,应对专业机构及检测人员进行审查,签订安全保密协议,明确安全和保密责任,并将参与检查的专业机构及检测人员(含各部门内部专业机构及人员)情况作为检查报告的内容报市司法局。
五、有关要求
一是要建立和健全组织机构,加强信息安全制度建设和落实。新中国成立60周年国庆和迎世博期间,本市司法行政系统各单位、各部门应专门部署信息安全工作,在认真梳理现有各类信息安全制度基础上,严格落实领导责任制,主要领导要亲自指挥和过问信息安全工作,研究解决重大问题,协调处理重大信息安全事件。要认真履行信息安全责任制,层层分解任务,层层落实责任,层层抓好落实,确保领导到位、机构到位、人员到位、责任到位和措施到位。
二是要充分做好信息安全应急工作。要按照市司法局《关于印发局系统网络与信息安全事件专项应急预案的通知》(沪司发办[2009]122号)要求,专门制定和完善现有的应急工作方案和工作计划,进一步明确应急处置流程、权限、通信联络渠道等。要建立应急值班制度,重点部门、重点岗位实行24小时值班。要对重要信息系统数据和业务系统进行安全备份工作,并举行1次应急演演练,检验应急预案的实用性和可操作性。
三是要加大安全教育培训和责任追究工作力度。各单位、各部门在国庆前要全面开展信息安全宣传,采取多种形式组织并举行信息安全基本知识和技能培训,使机关工作人员掌握信息安全常识和基本技能,做到发现问题能及时报告。市司法局有关职能处室要进一步加强对全系统政府信息安全检查工作的协调、指导和监督,及时汇总情况,会同有关部门进行综合分析,通报有关情况。加大对责任事故的查处力度,严格问责。对存在突出问题的单位要给予批评,责令限期整改,对有令不行,有禁不止的,要严肃查处;对发生失泄密事件的,要严格依法依纪追究相关人员责任。特此通知。
二○○九年九月十五日