關(guān)于開展農(nóng)業(yè)部門網(wǎng)絡(luò)與信息安全檢查的通知
農(nóng)辦市[2012]16號
???各省����、自治區(qū)、直轄市(農(nóng)牧�、農(nóng)村經(jīng)濟)�、畜牧��、農(nóng)機��、鄉(xiāng)企��、獸醫(yī)��、農(nóng)墾�、漁業(yè)廳(局、委�、辦)�����,新疆生產(chǎn)建設(shè)兵團農(nóng)業(yè)局�,部機關(guān)各司局、直屬各事業(yè)單位:
????近日��,國務(wù)院辦公廳����、公安部等有關(guān)部門先后印發(fā)了《國務(wù)院辦公廳關(guān)于開展重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動的通知》(國辦函[2012]102號)、《公安部信息安全等級保護監(jiān)督檢查通知書》(公信安?檢字[2012]001號)等文件并召開會議��,要求各地區(qū)、各部門和有關(guān)重點行業(yè)抓緊部署開展網(wǎng)絡(luò)與信息安全檢查����,全力保障網(wǎng)絡(luò)與信息安全。對此����,我部領(lǐng)導(dǎo)高度重視,專門批示有關(guān)部門要認真組織好網(wǎng)絡(luò)安全檢查工作����。為切實做好農(nóng)業(yè)部門網(wǎng)絡(luò)與信息安全檢查工作,現(xiàn)就有關(guān)工作通知如下:
????一��、檢查目的
????全面摸清各單位信息系統(tǒng)安全等級保護定級備案�����、等級測評��、安全建設(shè)整改等工作部署和落實情況��。深入排查信息系統(tǒng)中存在的安全隱患和薄弱環(huán)節(jié)����,分析評估面臨的安全威脅和風(fēng)險�����,有針對性地采取防范對策和改進措施����。切實加強網(wǎng)絡(luò)與信息系統(tǒng)安全管理����、技術(shù)防護和人才隊伍建設(shè),促進安全防護能力和水平提升��,防止重大信息安全事件的發(fā)生����,切實保障農(nóng)業(yè)部門網(wǎng)絡(luò)與信息安全。
????二����、檢查范圍
????本次檢查的范圍是為各單位履行政府職能或自身工作運轉(zhuǎn)提供支撐的信息系統(tǒng)��,包括自行維護管理以及委托其他機構(gòu)運行維護管理的辦公系統(tǒng)����、業(yè)務(wù)系統(tǒng)�、網(wǎng)站系統(tǒng)�����、郵件服務(wù)系統(tǒng)等��。檢查的重點是依托互聯(lián)網(wǎng)運行的各類網(wǎng)站和信息安全等級保護級別在第三級(含)以上的重要網(wǎng)絡(luò)和信息系統(tǒng)��。
????涉及國家秘密的網(wǎng)絡(luò)和信息系統(tǒng)按國家保密規(guī)定執(zhí)行����,不在本次檢查范圍之內(nèi)。
????三�、檢查內(nèi)容
????(一)信息安全責(zé)任制建立及落實情況
????檢查是否明確了信息安全主管領(lǐng)導(dǎo),并對信息安全工作做出批示和具體部署����;是否指定了信息安全管理機構(gòu),制定了工作計劃�����、工作方案�、管理規(guī)章制度等;是否配備了信息安全工作人員,并認真開展各項工作����;是否發(fā)生過因違反制度規(guī)定而發(fā)生信息安全事故,并對事故責(zé)任進行了追究�。
????(二)日常安全管理制度建立及落實情況
????1.人員管理制度
????檢查是否有崗位信息安全責(zé)任、人員離崗離職管理��、外部人員訪問管理等相關(guān)規(guī)定����;系統(tǒng)管理員、網(wǎng)絡(luò)管理員�、信息安全員等重點崗位人員是否簽訂了安全保密協(xié)議;離崗離職人員信息系統(tǒng)訪問權(quán)限是否及時終止��;外部人員訪問記錄是否完整����。
????2.資產(chǎn)管理制度
????檢查是否有設(shè)備發(fā)放、使用�����、維修��、維護和報廢等相關(guān)規(guī)定����;對應(yīng)的實物,檢查資產(chǎn)臺賬是否完整����,實物是否符合;是否指定了專人負責(zé)資產(chǎn)管理工作�。
????3.存儲介質(zhì)管理制度
????檢查是否有介質(zhì)領(lǐng)用、交回�����、維修����、報廢、銷毀等相關(guān)規(guī)定��;了解存儲陣列����、磁帶庫等大容量存儲介質(zhì)是否外聯(lián),外聯(lián)時是否有安全防護措施�,是否存在遠程維護�����。
????4.運行維護管理制度
????檢查運行維護管理制度等相關(guān)文件是否包含備份�、應(yīng)急��、監(jiān)控��、審計����、變更管理等相關(guān)內(nèi)容;是否有運維操作手冊����;運行維護管理制度是否認真落實,相關(guān)記錄是否完整����。
????5.年度教育培訓(xùn)
????檢查年度培訓(xùn)計劃制定情況和培訓(xùn)記錄(培訓(xùn)時間、培訓(xùn)內(nèi)容�、人員簽到、培訓(xùn)講師等內(nèi)容)����,確認信息安全管理人員和技術(shù)人員培訓(xùn)內(nèi)容中是否包含專業(yè)技能培訓(xùn)��,機關(guān)工作人員培訓(xùn)內(nèi)容中是否包含信息安全基本技能培訓(xùn)。
????(三)信息安全等級保護制度落實情況
????檢查是否組織部署等級保護有關(guān)工作�;是否制定發(fā)布等級保護政策文件、行業(yè)標(biāo)準(zhǔn)規(guī)范和管理制度等;所屬信息系統(tǒng)是否全部完成信息系統(tǒng)定級和備案;安全保護等級第三級(含)以上的重要信息系統(tǒng)每年是否開展等級測評和安全建設(shè)整改��;信息安全產(chǎn)品與服務(wù)的使用是否符合等級保護制度的規(guī)定(等級保護制度具體內(nèi)容可登陸www.djbh.net網(wǎng)站查詢)�。
????(四)應(yīng)急處置及容災(zāi)備份情況
????檢查是否制定了信息安全事件應(yīng)急預(yù)案,并及時進行了修訂和完善�;是否定期組織開展預(yù)案實施演練,相關(guān)人員是否熟悉操作流程����;是否建立了災(zāi)難備份和恢復(fù)措施,應(yīng)急資源(技術(shù)支撐隊伍��、備機備件等)是否配備到位�。
????四、檢查方式
????本次檢查按照“誰主管誰負責(zé)�、誰運行誰負責(zé)”的原則,采取自查與抽查相結(jié)合����、以自查為主的方式開展。
????(一)自查
????各單位要全面系統(tǒng)地檢查所涉及網(wǎng)絡(luò)與信息系統(tǒng)的安全情況����,深入分析存在的隱患和問題�。自查方式應(yīng)以技術(shù)檢測為主�����,可聘請經(jīng)有關(guān)部門認定的網(wǎng)絡(luò)安全測評機構(gòu)�,使用檢測工具檢測操作系統(tǒng)、數(shù)據(jù)庫�、網(wǎng)絡(luò)設(shè)備、安全設(shè)備�、應(yīng)用系統(tǒng)等的端口、應(yīng)用����、服務(wù)及補丁更新情況,檢測是否關(guān)閉了不必要的端口�、應(yīng)用、服務(wù)����,是否存在安全漏洞。鼓勵各單位組織專業(yè)技術(shù)力量�,采取模擬攻擊方式對系統(tǒng)進行滲透測試,檢驗系統(tǒng)防入侵�、防攻擊����、防泄漏����、防篡改等能力����。
????(二)抽查
????1.部機關(guān)和直屬事業(yè)單位。部市場司�、辦公廳、信息中心等有關(guān)單位將組成聯(lián)合檢查組��,采取非破壞性攻擊滲透測試�����、現(xiàn)場核查等方式����,對部分單位網(wǎng)絡(luò)與信息系統(tǒng)進行安全抽查,查找安全漏洞和隱患��,評估安全防護能力�,研究提出改進和加強安全保障的措施建議�����,并及時反饋有關(guān)單位�。
????此外�,公安部、工信部擬于近期派出檢查組對國務(wù)院各部門開展網(wǎng)絡(luò)安全工作抽查�����。
????2.各地農(nóng)業(yè)部門�。應(yīng)由本單位網(wǎng)絡(luò)安全監(jiān)管部門牽頭,會同本單位信息中心等有關(guān)單位��,按照當(dāng)?shù)鼐W(wǎng)絡(luò)與信息安全協(xié)調(diào)小組及公安����、工信等相關(guān)部門要求,認真組織開展信息網(wǎng)絡(luò)安全抽查工作��。對發(fā)現(xiàn)的問題要及時反饋有關(guān)單位�,提出整改意見并督促落實。
????五����、有關(guān)要求
????(一)邊檢查邊整改
????各單位要切實做好整改工作��,檢查中發(fā)現(xiàn)問題要及時采取有效措施加以整改�����。因條件不具備不能立即整改的��,要制定整改計劃及整改方案��,并采取臨時防范措施,確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運行�。要舉一反三,在同類系統(tǒng)��、同類設(shè)備中排查類似問題�,切實提高信息系統(tǒng)安全防護水平。
????(二)加強風(fēng)險控制與保密管理
????在開展安全檢查工作時��,要明確相關(guān)工作紀律并嚴格執(zhí)行�����。要識別檢查中的安全風(fēng)險�����,周密制定應(yīng)急預(yù)案,強化風(fēng)險控制措施�,明確發(fā)生重大安全問題時的處置流程,確保被檢查信息系統(tǒng)的正常運行����。要對技術(shù)檢測活動的安全風(fēng)險進行評估,防止引入新的風(fēng)險�����,并要求相關(guān)人員嚴格遵守操作規(guī)程�。應(yīng)對重要數(shù)據(jù)和配置進行備份,盡量避開業(yè)務(wù)高峰期進行技術(shù)檢測��。
????各單位要高度重視保密工作��,指定專人負責(zé)�,對檢查活動、檢查實施人員以及相關(guān)文檔和數(shù)據(jù)進行嚴格管理�,確保檢查工作中涉及到的國家秘密和商業(yè)秘密得到有效控制;對檢查人員進行保密培訓(xùn)�����,確保檢查工作中獲知的信息不被泄露,檢查數(shù)據(jù)和檢查結(jié)果不向其他單位透露�����。
????(三)認真做好總結(jié)
????各單位要對自查情況進行全面總結(jié)����,認真撰寫自查報告(參考格式見附件,可登陸www.scs.moa.gov.cn/tzgg下載)�。自查報告須給出對本單位安全狀況和安全防護能力的總體判斷。填寫檢查情況報告表時��,應(yīng)避免出現(xiàn)漏項��、錯項��、前后不一致等情況�。要根據(jù)檢查報告內(nèi)容的敏感程度����,確定報告密級并在報告首頁明確標(biāo)識。
????部機關(guān)和直屬事業(yè)單位請于7月25日前將自查報告報送市場與經(jīng)濟信息司��。
????各地農(nóng)業(yè)部門請于7月25日前將自查報告通過電子郵件或傳真報送農(nóng)業(yè)部市場與經(jīng)濟信息司�����,同時抄報當(dāng)?shù)毓病⒐ば诺扔嘘P(guān)部門�。
????聯(lián)系單位:農(nóng)業(yè)部市場與經(jīng)濟信息司
????聯(lián)系人:徐佳男
????聯(lián)系方式:010-5919150759192395(傳真)
????E-mail:xujianan@agri.gov.cn
????二〇一二年七月十七日
