關于開展農業部門網絡與信息安全檢查的通知
農辦市[2012]16號
???各省�、自治區��、直轄市(農牧�����、農村經濟)、畜牧、農機、鄉企、獸醫��、農墾����、漁業廳(局、委、辦),新疆生產建設兵團農業局�,部機關各司局��、直屬各事業單位:
????近日,國務院辦公廳、公安部等有關部門先后印發了《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》(國辦函[2012]102號)����、《公安部信息安全等級保護監督檢查通知書》(公信安?檢字[2012]001號)等文件并召開會議�,要求各地區��、各部門和有關重點行業抓緊部署開展網絡與信息安全檢查����,全力保障網絡與信息安全。對此,我部領導高度重視�����,專門批示有關部門要認真組織好網絡安全檢查工作����。為切實做好農業部門網絡與信息安全檢查工作�,現就有關工作通知如下:
????一、檢查目的
????全面摸清各單位信息系統安全等級保護定級備案、等級測評�、安全建設整改等工作部署和落實情況��。深入排查信息系統中存在的安全隱患和薄弱環節,分析評估面臨的安全威脅和風險,有針對性地采取防范對策和改進措施。切實加強網絡與信息系統安全管理���、技術防護和人才隊伍建設,促進安全防護能力和水平提升,防止重大信息安全事件的發生�,切實保障農業部門網絡與信息安全�����。
????二、檢查范圍
????本次檢查的范圍是為各單位履行政府職能或自身工作運轉提供支撐的信息系統�����,包括自行維護管理以及委托其他機構運行維護管理的辦公系統����、業務系統、網站系統����、郵件服務系統等�����。檢查的重點是依托互聯網運行的各類網站和信息安全等級保護級別在第三級(含)以上的重要網絡和信息系統。
????涉及國家秘密的網絡和信息系統按國家保密規定執行,不在本次檢查范圍之內。
????三���、檢查內容
????(一)信息安全責任制建立及落實情況
????檢查是否明確了信息安全主管領導����,并對信息安全工作做出批示和具體部署;是否指定了信息安全管理機構�����,制定了工作計劃��、工作方案���、管理規章制度等�;是否配備了信息安全工作人員���,并認真開展各項工作���;是否發生過因違反制度規定而發生信息安全事故���,并對事故責任進行了追究����。
????(二)日常安全管理制度建立及落實情況
????1.人員管理制度
????檢查是否有崗位信息安全責任、人員離崗離職管理��、外部人員訪問管理等相關規定�����;系統管理員�、網絡管理員��、信息安全員等重點崗位人員是否簽訂了安全保密協議�����;離崗離職人員信息系統訪問權限是否及時終止;外部人員訪問記錄是否完整�。
????2.資產管理制度
????檢查是否有設備發放�、使用�����、維修���、維護和報廢等相關規定����;對應的實物�,檢查資產臺賬是否完整,實物是否符合��;是否指定了專人負責資產管理工作�。
????3.存儲介質管理制度
????檢查是否有介質領用、交回���、維修、報廢、銷毀等相關規定;了解存儲陣列�、磁帶庫等大容量存儲介質是否外聯��,外聯時是否有安全防護措施,是否存在遠程維護����。
????4.運行維護管理制度
????檢查運行維護管理制度等相關文件是否包含備份����、應急�����、監控、審計、變更管理等相關內容����;是否有運維操作手冊����;運行維護管理制度是否認真落實���,相關記錄是否完整��。
????5.年度教育培訓
????檢查年度培訓計劃制定情況和培訓記錄(培訓時間����、培訓內容�����、人員簽到����、培訓講師等內容)����,確認信息安全管理人員和技術人員培訓內容中是否包含專業技能培訓,機關工作人員培訓內容中是否包含信息安全基本技能培訓。
????(三)信息安全等級保護制度落實情況
????檢查是否組織部署等級保護有關工作;是否制定發布等級保護政策文件�、行業標準規范和管理制度等;所屬信息系統是否全部完成信息系統定級和備案;安全保護等級第三級(含)以上的重要信息系統每年是否開展等級測評和安全建設整改�����;信息安全產品與服務的使用是否符合等級保護制度的規定(等級保護制度具體內容可登陸www.djbh.net網站查詢)。
????(四)應急處置及容災備份情況
????檢查是否制定了信息安全事件應急預案,并及時進行了修訂和完善���;是否定期組織開展預案實施演練��,相關人員是否熟悉操作流程�����;是否建立了災難備份和恢復措施����,應急資源(技術支撐隊伍��、備機備件等)是否配備到位�。
????四�、檢查方式
????本次檢查按照“誰主管誰負責、誰運行誰負責”的原則�����,采取自查與抽查相結合�、以自查為主的方式開展。
????(一)自查
????各單位要全面系統地檢查所涉及網絡與信息系統的安全情況,深入分析存在的隱患和問題����。自查方式應以技術檢測為主�,可聘請經有關部門認定的網絡安全測評機構���,使用檢測工具檢測操作系統�、數據庫、網絡設備�、安全設備�、應用系統等的端口�、應用、服務及補丁更新情況�����,檢測是否關閉了不必要的端口��、應用、服務����,是否存在安全漏洞����。鼓勵各單位組織專業技術力量����,采取模擬攻擊方式對系統進行滲透測試,檢驗系統防入侵����、防攻擊���、防泄漏���、防篡改等能力�。
????(二)抽查
????1.部機關和直屬事業單位��。部市場司��、辦公廳、信息中心等有關單位將組成聯合檢查組���,采取非破壞性攻擊滲透測試、現場核查等方式�,對部分單位網絡與信息系統進行安全抽查�,查找安全漏洞和隱患���,評估安全防護能力����,研究提出改進和加強安全保障的措施建議�����,并及時反饋有關單位�����。
????此外,公安部����、工信部擬于近期派出檢查組對國務院各部門開展網絡安全工作抽查���。
????2.各地農業部門�����。應由本單位網絡安全監管部門牽頭���,會同本單位信息中心等有關單位�����,按照當地網絡與信息安全協調小組及公安、工信等相關部門要求�,認真組織開展信息網絡安全抽查工作�����。對發現的問題要及時反饋有關單位���,提出整改意見并督促落實���。
????五���、有關要求
????(一)邊檢查邊整改
????各單位要切實做好整改工作�����,檢查中發現問題要及時采取有效措施加以整改���。因條件不具備不能立即整改的�,要制定整改計劃及整改方案�,并采取臨時防范措施,確保網絡與信息系統安全正常運行。要舉一反三,在同類系統���、同類設備中排查類似問題,切實提高信息系統安全防護水平。
????(二)加強風險控制與保密管理
????在開展安全檢查工作時���,要明確相關工作紀律并嚴格執行。要識別檢查中的安全風險,周密制定應急預案,強化風險控制措施��,明確發生重大安全問題時的處置流程�����,確保被檢查信息系統的正常運行���。要對技術檢測活動的安全風險進行評估�,防止引入新的風險���,并要求相關人員嚴格遵守操作規程���。應對重要數據和配置進行備份�,盡量避開業務高峰期進行技術檢測����。
????各單位要高度重視保密工作,指定專人負責��,對檢查活動�、檢查實施人員以及相關文檔和數據進行嚴格管理,確保檢查工作中涉及到的國家秘密和商業秘密得到有效控制����;對檢查人員進行保密培訓��,確保檢查工作中獲知的信息不被泄露,檢查數據和檢查結果不向其他單位透露����。
????(三)認真做好總結
????各單位要對自查情況進行全面總結�����,認真撰寫自查報告(參考格式見附件�,可登陸www.scs.moa.gov.cn/tzgg下載)����。自查報告須給出對本單位安全狀況和安全防護能力的總體判斷。填寫檢查情況報告表時�����,應避免出現漏項�、錯項、前后不一致等情況���。要根據檢查報告內容的敏感程度�����,確定報告密級并在報告首頁明確標識����。
????部機關和直屬事業單位請于7月25日前將自查報告報送市場與經濟信息司�。
????各地農業部門請于7月25日前將自查報告通過電子郵件或傳真報送農業部市場與經濟信息司,同時抄報當地公安��、工信等有關部門�。
????聯系單位:農業部市場與經濟信息司
????聯系人:徐佳男
????聯系方式:010-5919150759192395(傳真)
????E-mail:xujianan@agri.gov.cn
????二〇一二年七月十七日
