信息安全工作方案

一、工作目的

按照《云南省工业和信息化委员会关于开展20xx年度云南省政府信息系统安全检查工作的通知》要求，根据《国务院办公厅关于加强政府信息安全和保密管理工作的通知》、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》以及《云南省政府办公厅关于印发<政府信息系统安全检查实施办法>的通知》、《20xx年度云南省政府信息系统安全检查指南》、《昆明市人民政府办公厅关于印发昆明市政府信息系统安全检查工作方案的通知》精神，坚持“谁主管谁负责，谁运行谁负责、谁使用谁负责”的原则，开展20xx年度石林彝族自治县人民政府信息系统安全检查工作，贯彻落实国家对于信息安全工作的各项要求，在全县范围内对各乡镇、各部门信息系统安全工作进行全面检查，掌握我县党政信息系统安全状况，发现存在的主要问题和薄弱环节，完善信息安全制度，加强安全防护措施，提高信息安全水平。

二、组织机构

成立石林彝族自治县网络信息安全检查领导小组（以下简称领导小组）。

组长：和加卫（县人民政府副县长）

副组长：段圳宗（县信息产业办副主任）

成员：雷振涛（县政府办副主任）

李学（县国家保密局局长）

张家友（县公安局网监大队大队长）

张波（县信息产业办）

领导小组下设办公室在县信息产业办，负责组织实施本次安全检查工作，由段圳宗同志兼任办公室主任，办公室工作人员从领导小组成员单位抽调。

三、具体工作

（一）检查范围：各乡镇人民政府，县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。各乡镇、各部门的重要业务系统、门户网站是检查重点。

（二）按照《政府信息系统安全检查实施办法》、《20xx年度云南省政府信息系统安全检查指南》（附件一），请各乡镇、各单位对照进行自检，并形成书面材料（附电子文档），填写《20xx年石林彝族自治县人民政府信息系统安全检查报告表》（附件二、三）盖章并附电子文档，于20xx年6月13日前一并报领导小组办公室。

（三）针对当前政府信息系统存在的薄弱环节，按照《云南省政府信息系统安全检查实施办法》要求，重点检查以下内容：

1．信息安全组织机构。

2．日常信息安全管理。

3．等级保护与风险评估。

4．建设防范手段建设。

5．应急管理工作开展。

6．信息技术产品和信息安全产品使用。

7．信息安全服务。

8．信息安全教育培训。

9．信息安全经费保障。

10．安全隐患排除及整改。

（四）领导小组对县重点部门的网络信息安全进行现场抽查。

（五）20xx年6月中下旬接受市网络信息安全检查工作组到石林检查，具体检查单位根据市检查组通知临时确定。

（六）20xx年9月根据我县的信息安全检查结果，对检查中发现的问题，将按照《政府信息系统安全检查办法》的规定，责令相关部门限期整改，并追究有关人员的责任。

（七）自20xx年10月起，各乡镇、各单位开展20xx年下半年信息安全检查工作。在上半年工作的基础上，进行自评、自查并形成书面材料（附电子文档），填写《20xx年度石林彝族自治县政府信息系统安全检查报告表》（附件二、三）盖章并附电子文档，于20xx年10月15日前一并报领导小组办公室。

四、工作要求

各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程，加强领导，明确检查责任，落实专职的检查人员和经费，保证检查工作顺利进行。要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《20xx年度云南省政府信息系统安全检查指南》要求开展工作，要特别强调工作中注意信息安全和保密。涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。

附件：1．20xx年度云南省政府信息系统安全检查指南

2．20xx年石林彝族自治县人民政府信息系统安全检查情况报告表

3．20xx年石林彝族自治县人民政府信息系统安全检查情况报告表(补)

附件1

20xx年度云南省政府信息系统安全检查指南

为指导规范20xx年度云南省政府信息系统安全检查工作，依据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（以下简称《检查办法》）等文件，参照国家信息安全技术标准规范，总结20xx年度政府信息系统安全检查工作，制定本指南。

一、检查目的

依据国家及我省有关政策规定，在20xx年12月开展政府信息系统安全检查工作基础上，对各部门信息安全工作进行全面检查，了解掌握政府信息系统安全总体状况，发现存在的主要问题和薄弱环节，完善信息安全管理制度，加强安全防护措施，提高信息安全工作水平。

二、检查原则

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。

各部门自行组织检查与工业和信息化委员会会同有关部门统一组织抽查相结合。部门管理的全国性信息系统安全检查工作，由主管部门统一组织部署。

三、检查范围

本指南所称政府信息系统安全检查，是指依据国家有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。

政府信息系统安全检查的范围是为各部门履行职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的重要业务系统、门户网站是检查重点。

涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。

四、检查依据

（一）政策文件

1.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔20xx年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的，应检查是否进行了及时处置，是否按照要求上报和通报等。（信息安全事件分级依据《云南省网络与信息安全事件应急预案》）

（六）信息技术产品和信息安全产品使用

1.信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠的服务器、网络设备、存储阵列等产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

2.信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用本国产品的情况。使用捐赠的信息安全产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

本指南中的国产终端计算机、国产字处理软件、国产信息安全产品，暂按以下方法进行认定：（1）国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。（2）国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，并符合法律法规和政策规定的其他条件。（3）国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其他条件。

（七）信息安全服务

查看服务合同、安全保密协议等文件，检查信息安全服务机构的服务内容，是否有相应的服务记录，是否有远程在线服务，是否由外资机构提供服务等。

（八）信息安全教育培训

检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况，信息安全管理和技术人员参加信息安全专业培训情况等。

（九）信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等，特别是要检查是否按照《检查办法》要求落实了安全检查工作经费。

（十）安全隐患排查及整改

检查对20xx年度安全检查中发现问题的整改情况，是否制定了整改措施并及时进行了整改，是否在整改后对信息安全风险和隐患作了进一步的排查和评估。

六、时间安排

可根据实际情况，统筹规划和组织部署政府信息系统安全检查工作，对安全检查工作进行认真总结、分析和评估，并将安全检查报告报省工业和信息化委。

省工业和信息化委将及时跟踪、掌握、汇总安全检查情况，并将安全检查结果报国家工业和信息化部。

七、工作要求

（一）各部门要把政府信息系统安全检查列入重要议事日程，切实加强组织领导，完善检查工作机制，落实检查工作经费，开展宣传教育培训活动，确保检查工作顺利开展。按照《检查办法》的要求，参照本指南制定具体的安全检查实施方案和工作计划，并认真组织实施。建立信息安全检查责任制，明确检查责任，落实检查组织机构、参与单位及检查人员。

（二）可组织所属信息中心等单位开展安全检查工作，也可根据需要委托外部专业机构协助开展技术检测工作。

全面参与技术检测的外部专业机构应至少满足以下条件：1、事业单位；2、从事信息安全检测或相关工作两年以上；3、专业技术检测人员10人以上，均签订二年以上劳动合同；4、参与技术检测的人员均为中国公民，无违法犯罪纪录，并签订安全保密协议。

（三）委托外部专业机构协助开展技术检测，应与检测机构及参与检测的人员签订安全保密协议，明确安全保密责任和义务。

安全保密协议应包含以下内容：1、检测机构应遵守国家有关法律法规，客观、公正地提供检测服务；2、检测机构应保证所提供相关材料的真实性；3、检测机构不得向其他单位和个人泄露检测数据和检测结果，不得利用检测数据谋取利益；4、检测机构应采取有效安全措施，防止因技术检测引发信息安全事件；5、检测机构不得将检测任务分包或转包。

（四）强化安全检查过程中的安全保密和风险控制，切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。

八、检查报告

（一）检查报告内容

检查报告主要包括三方面内容：一是信息安全总体情况。包括本年度信息安全工作主要情况，安全检查工作开展情况及检查效果，对本部门信息安全状况的总体评价；二是主要问题及整改情况。包括对20xx年度安全检查发现问题的整改情况，本年度安全检查发现的主要问题及整改措施；三是经验总结及意见建议。包括本部门安全检查工作的经验总结，对我省信息安全工作特别是安全检查工作的意见建议。

根据检查结果填写《20xx年度政府信息系统安全检查情况报告表》。填写范围限于各部门本机机关及派出机构。

根据检查结果的敏感程度确定检查报告密级，并在检查报告上明确标识。

（二）报送方式

检查报告以各部门办公厅（室）名义报送省工业和信息化委员会办公室，包括纸质文件（加盖单位公章）和电子文档（光盘）。电子文档应使用符合国家标准《中文办公软件文档格式规范》（GB/T20916—2014）的文档格式。支持《中文办公软件文档格式规范》的国产字处理软件有：金山WPSOffice、永中集成Office、中标普华Office、红旗贰仟RedOffice等。

一、工作目的

按照《云南省工业和信息化委员会关于开展20xx年度云南省政府信息系统安全检查工作的通知》要求，根据《国务院办公厅关于加强政府信息安全和保密管理工作的通知》、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》以及《云南省政府办公厅关于印发<政府信息系统安全检查实施办法>的通知》、《20xx年度云南省政府信息系统安全检查指南》、《昆明市人民政府办公厅关于印发昆明市政府信息系统安全检查工作方案的通知》精神，坚持“谁主管谁负责，谁运行谁负责、谁使用谁负责”的原则，开展20xx年度石林彝族自治县人民政府信息系统安全检查工作，贯彻落实国家对于信息安全工作的各项要求，在全县范围内对各乡镇、各部门信息系统安全工作进行全面检查，掌握我县党政信息系统安全状况，发现存在的主要问题和薄弱环节，完善信息安全制度，加强安全防护措施，提高信息安全水平。

二、组织机构

成立石林彝族自治县网络信息安全检查领导小组（以下简称领导小组）。

组长：和加卫（县人民政府副县长）

副组长：段圳宗（县信息产业办副主任）

成员：雷振涛（县政府办副主任）

李学（县国家保密局局长）

张家友（县公安局网监大队大队长）

张波（县信息产业办）

领导小组下设办公室在县信息产业办，负责组织实施本次安全检查工作，由段圳宗同志兼任办公室主任，办公室工作人员从领导小组成员单位抽调。

三、具体工作

（一）检查范围：各乡镇人民政府，县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。各乡镇、各部门的重要业务系统、门户网站是检查重点。

（二）按照《政府信息系统安全检查实施办法》、《20xx年度云南省政府信息系统安全检查指南》（附件一），请各乡镇、各单位对照进行自检，并形成书面材料（附电子文档），填写《20xx年石林彝族自治县人民政府信息系统安全检查报告表》（附件二、三）盖章并附电子文档，于20xx年6月13日前一并报领导小组办公室。

（三）针对当前政府信息系统存在的薄弱环节，按照《云南省政府信息系统安全检查实施办法》要求，重点检查以下内容：

1．信息安全组织机构。

2．日常信息安全管理。

3．等级保护与风险评估。

4．建设防范手段建设。

5．应急管理工作开展。

6．信息技术产品和信息安全产品使用。

7．信息安全服务。

8．信息安全教育培训。

9．信息安全经费保障。

10．安全隐患排除及整改。

（四）领导小组对县重点部门的网络信息安全进行现场抽查。

（五）20xx年6月中下旬接受市网络信息安全检查工作组到石林检查，具体检查单位根据市检查组通知临时确定。

（六）20xx年9月根据我县的信息安全检查结果，对检查中发现的问题，将按照《政府信息系统安全检查办法》的规定，责令相关部门限期整改，并追究有关人员的责任。

（七）自20xx年10月起，各乡镇、各单位开展20xx年下半年信息安全检查工作。在上半年工作的基础上，进行自评、自查并形成书面材料（附电子文档），填写《20xx年度石林彝族自治县政府信息系统安全检查报告表》（附件二、三）盖章并附电子文档，于20xx年10月15日前一并报领导小组办公室。

四、工作要求

各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程，加强领导，明确检查责任，落实专职的检查人员和经费，保证检查工作顺利进行。要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《20xx年度云南省政府信息系统安全检查指南》要求开展工作，要特别强调工作中注意信息安全和保密。涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。

附件：1．20xx年度云南省政府信息系统安全检查指南

2．20xx年石林彝族自治县人民政府信息系统安全检查情况报告表

3．20xx年石林彝族自治县人民政府信息系统安全检查情况报告表(补)

附件1

20xx年度云南省政府信息系统安全检查指南

为指导规范20xx年度云南省政府信息系统安全检查工作，依据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（以下简称《检查办法》）等文件，参照国家信息安全技术标准规范，总结20xx年度政府信息系统安全检查工作，制定本指南。

一、检查目的

依据国家及我省有关政策规定，在20xx年12月开展政府信息系统安全检查工作基础上，对各部门信息安全工作进行全面检查，了解掌握政府信息系统安全总体状况，发现存在的主要问题和薄弱环节，完善信息安全管理制度，加强安全防护措施，提高信息安全工作水平。

二、检查原则

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。

各部门自行组织检查与工业和信息化委员会会同有关部门统一组织抽查相结合。部门管理的全国性信息系统安全检查工作，由主管部门统一组织部署。

三、检查范围

本指南所称政府信息系统安全检查，是指依据国家有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。

政府信息系统安全检查的范围是为各部门履行职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的重要业务系统、门户网站是检查重点。

涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。

四、检查依据

（一）政策文件

1.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔20xx年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的，应检查是否进行了及时处置，是否按照要求上报和通报等。（信息安全事件分级依据《云南省网络与信息安全事件应急预案》）

（六）信息技术产品和信息安全产品使用

1.信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠的服务器、网络设备、存储阵列等产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

2.信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用本国产品的情况。使用捐赠的信息安全产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

本指南中的国产终端计算机、国产字处理软件、国产信息安全产品，暂按以下方法进行认定：（1）国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。（2）国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，并符合法律法规和政策规定的其他条件。（3）国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其他条件。

（七）信息安全服务

查看服务合同、安全保密协议等文件，检查信息安全服务机构的服务内容，是否有相应的服务记录，是否有远程在线服务，是否由外资机构提供服务等。

（八）信息安全教育培训

检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况，信息安全管理和技术人员参加信息安全专业培训情况等。

（九）信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等，特别是要检查是否按照《检查办法》要求落实了安全检查工作经费。

（十）安全隐患排查及整改

检查对20xx年度安全检查中发现问题的整改情况，是否制定了整改措施并及时进行了整改，是否在整改后对信息安全风险和隐患作了进一步的排查和评估。

六、时间安排

可根据实际情况，统筹规划和组织部署政府信息系统安全检查工作，对安全检查工作进行认真总结、分析和评估，并将安全检查报告报省工业和信息化委。

省工业和信息化委将及时跟踪、掌握、汇总安全检查情况，并将安全检查结果报国家工业和信息化部。

七、工作要求

（一）各部门要把政府信息系统安全检查列入重要议事日程，切实加强组织领导，完善检查工作机制，落实检查工作经费，开展宣传教育培训活动，确保检查工作顺利开展。按照《检查办法》的要求，参照本指南制定具体的安全检查实施方案和工作计划，并认真组织实施。建立信息安全检查责任制，明确检查责任，落实检查组织机构、参与单位及检查人员。

（二）可组织所属信息中心等单位开展安全检查工作，也可根据需要委托外部专业机构协助开展技术检测工作。

全面参与技术检测的外部专业机构应至少满足以下条件：1、事业单位；2、从事信息安全检测或相关工作两年以上；3、专业技术检测人员10人以上，均签订二年以上劳动合同；4、参与技术检测的人员均为中国公民，无违法犯罪纪录，并签订安全保密协议。

（三）委托外部专业机构协助开展技术检测，应与检测机构及参与检测的人员签订安全保密协议，明确安全保密责任和义务。

安全保密协议应包含以下内容：1、检测机构应遵守国家有关法律法规，客观、公正地提供检测服务；2、检测机构应保证所提供相关材料的真实性；3、检测机构不得向其他单位和个人泄露检测数据和检测结果，不得利用检测数据谋取利益；4、检测机构应采取有效安全措施，防止因技术检测引发信息安全事件；5、检测机构不得将检测任务分包或转包。

（四）强化安全检查过程中的安全保密和风险控制，切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。

八、检查报告

（一）检查报告内容

检查报告主要包括三方面内容：一是信息安全总体情况。包括本年度信息安全工作主要情况，安全检查工作开展情况及检查效果，对本部门信息安全状况的总体评价；二是主要问题及整改情况。包括对20xx年度安全检查发现问题的整改情况，本年度安全检查发现的主要问题及整改措施；三是经验总结及意见建议。包括本部门安全检查工作的经验总结，对我省信息安全工作特别是安全检查工作的意见建议。

根据检查结果填写《20xx年度政府信息系统安全检查情况报告表》。填写范围限于各部门本机机关及派出机构。

根据检查结果的敏感程度确定检查报告密级，并在检查报告上明确标识。

（二）报送方式

检查报告以各部门办公厅（室）名义报送省工业和信息化委员会办公室，包括纸质文件（加盖单位公章）和电子文档（光盘）。电子文档应使用符合国家标准《中文办公软件文档格式规范》（GB/T20916—2014）的文档格式。支持《中文办公软件文档格式规范》的国产字处理软件有：金山WPSOffice、永中集成Office、中标普华Office、红旗贰仟RedOffice等。