关于开展环保系统网络与信息安全检查工作的通知

关于开展环保系统网络与信息安全检查工作的通知

 

各省辖市、省直管试点县（市）环保局：

为切实保障我省环保系统网络与信息安全，根据环保部和省信息化领导小组办公室要求，省环境保护厅决定在全省环保系统开展网络与信息安全检查工作，现将《河南省环保系统网络与信息安全检查行动工作方案》（附件一，以下简称《方案》）印发给你们，请遵照执行。现就贯彻落实工作要求如下：

一、高度重视。各地一定要充分认识网络与信息安全检查工作的重要意义和作用，把检查工作作为应对国内外严峻形势、提高信息安全管理水平工作的重要举措,摆到重要位置，提上重要议事日程，加强领导，明确专人负责，提供必要的人员、资金、设备及技术支持，确保检查工作顺利进行。

二、迅速行动。各地要结合实际，抓紧制定本单位行动方案，部署安排检查工作。要明确检查工作目的，摸清基本情况，找出存在问题，切实整改提高，不能流于形式，走过场。要认真组织，逐级实施，加强督导，确保检查工作取得实效。 

三、认真整改落实。各地对检查中发现的问题，要及时进行研究，采取有效措施加以整改。因条件不具备不能立即整改的，要制定整改计划、整改方案及整改时间表，并采取临时防范措施，确保网络与信息系统安全。要举一反三，在同类系统、同类设备中排查类似问题，切实提高信息系统安全防护水平。整改工作完成后，形成整改情况报告。

四、加强信息报送工作。各地要明确一名熟悉情况的同志作为联络员，并将基本信息以邮件或传真方式上报省环境信息中心。根据方案要求，自8月10日起，每周三下午将《信息安全自查工作进展每周报告表》（附件二）以邮件或传真方式发送到省环境信息中心。一旦在自查中发现重大安全隐患，或出现因检查工作导致的其他重大安全问题时，要及时向省环境信息中心报告。8月底前，各地将整改情况报告报送省环境信息中心。

联系人：曹家旋  0371-66309217

李高松  0371-66309340

汪太鹏  0371-66309342

传  真：0371-66309217

电子邮件：sjqcjx@126.com

 

附件：1、河南省环保系统网络与信息安全检查行动工作方案

      2、信息安全自查工作进展每周报告表

 二〇一二年八月七日

  附件一

 河南省环保系统

网络与信息安全检查行动工作方案

   

根据环境保护部、省信息化领导小组办公室关于落实《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号，以下简称《检查通知》）要求，各省辖市、省直管试点县（市）环保局，厅机关各处室、直属各单位必须抓紧部署开展网络与信息安全检查，通过检查发现存在的问题和薄弱环节，分析评估面临的安全威胁和风险，有针对性的采取防范对策和改进措施，切实保障网络与信息安全。为切实做好并指导推进全省环保系统网络与信息安全检查行动，确保检查行动取得实效，特制定本工作方案。

一、检查目的

通过开展环保行业网络与信息安全检查，全面掌握我省环保行业网络与信息系统基本情况，分析面临的安全威胁和风险，评估安全防护水平，查找突出问题和薄弱环节，以有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障我省环境行业网络与信息安全。

二、检查范围与重点

（一）检查范围

包括两个方面：

一是政府网站。包括省环保厅，各省辖市、省直管试点县（市）环保局，直属各单位政府网站。

二是环保行业的网络与信息系统。

（二）检查重点

重点是事关国家安全和社会稳定，对本地区、本部门和单位正常工作、生产具有较大影响的重要网络与信息系统。

1、纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。

从安全防护的角度判断网络与信息系统独立性的方法如下：根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素，对网络与信息系统进行全面梳理并综合分析，划分出相对独立的网络与信息系统，并形成网络与信息系统清单，以便于更好地界定检查范围。

2、关于重要网络与信息系统，可从系统特征的角度，立足于环保行业实际，参考以下标准进行判定：

（1）业务依赖度高。

（2）数据集中度高（全国或省级数据集中）

（3）实时性要求高

（4）系统关联性强（发生重大信息安全事件后，会对与其相连的其他系统造成较大影响，并产生连片连锁反应）。

（5）直接面向社会公众提供服务，用户数量庞大，覆盖范围广。

（6）灾备等级高（系统级灾备）

三、检查方式

此次检查按照“谁主管谁负责、谁运行谁负责”的原则，采取自查、与抽查相结合、以自查为主的方式开展。

四、自查工作方案

（一）自查工作组织

环保厅办公室负责指导督促各部门和单位的网络与信息系统自查工作，省环境信息中心提供技术支持和保障。

各省辖市、省直管试点县（市）环保局负责本地区网络与信息系统自查工作,市（县）级环境信息中心（机构）提供技术支持和保障。

（二）自查工作流程

信息安全自查主要包括自查工作部署、基本情况自查、问题与风险分析、自查工作总结等4个环节。各环节时间进度安排要求如下：

1、自查工作部署阶段

8月9日-8月10日，完成检查工作部署和动员工作。

2、基本情况自查阶段

8月10日前，各单位报送联络员一名。

8月10日-8月24日，完成信息系统安全基本情况自查。

3、问题与风险分析

8月25日-8月31日，汇总自查中发现的问题，对风险进行评估，根据发现的问题及时整改。

4、自查工作总结

8月31日前，上报自查报告、检查情况报告表和整改情况报告。

（三）自查工作要求

在组织开展自查工作时，按照以下要求：

1、自查工作部署

明确自查工作的负责单位和负责人，根据环保行业实际情况，组织制定本地区和本单位的检查行动实施方案，确定自查范围和责任单位，明确安全自查的责任人、联络人、工作安排、具体对象、时间进度、工作要求等。

要全面系统地检查所涉及的网络与信息系统的安全情况。

2、自查工作实施

（1）自查网络与信息系统基本情况

自查系统特征、系统构成和信息技术外包服务情况。

（2）自查安全管理情况

自查信息安全责任制建立及落实情况，按照等级保护等国家信息安全有关政策和标准规范建立和落实日常安全管理制度情况；信息安全经费投入情况。

（3）自查技术防护情况

按照等级保护、密码防护等标准规范要求，建立健全技术防护体系的情况；网络边界安全防护措施，包括不同网络或信息系统之间安全隔离措施、接入互联网或内部网络的安全控制措施等；服务器、网络设备、安全设备等的安全策略配置情况，应用系统安全功能配置及有效性等；重要数据传输、存储的安全防护措施；根据密码防护的特殊要求，检查在用的密码技术、密码设备和密码服务情况。

（4）自查应急处置及容灾备份情况

自查信息安全事件应急预案制定和修订情况，预案演练情况及相关人员对预案的熟悉程度；灾难备份与恢复措施建设情况，应急资源（技术支撑队伍、备机备件等）配备和建设情况。

（5）注意加强风险控制

开展安全检查工作时，要明确相关工作纪律并严格执行。要识别检查中的安全风险，周密制定应急预案，强化风险控制措施，明确发生重大安全问题时的处置流程，确保被检查信息系统的正常运行。要对技术检测活动的安全风险进行评估，防止引入新的风险，并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份，尽量避开业务高峰期进行工具测试。

（6）委托外部检测机构

检查中如需委托外部检测机构进行检测，应对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关，明确检测机构和检测人员的安全责任。

（7）注意加强保密管理

高度重视保密工作，指定专人负责，对检查活动、检查人员以及相关文档和数据进行严格管理，确保检查工作中涉及到的国家秘密和商业秘密得到有效控制；对检查人员进行保密培训，确保检查工作中获知的信息不被泄露，检查数据和检查结果不向其他单位透露。

（8）自查总结与报送

在自查过程中，各单位应认真填写《信息安全自查工作进展每周报告》和《信息安全检查结果记录及报告表》。填写检查情况报告表时，应避免出现漏项、错项、前后不一致等情况。

完成自查工作后，要认真对本地区和单位自查进行全面总结，认真撰写信息安全自查报告。报告必须给出对地区和单位安全状况的总体判断，给出安全防护能力的判断。

8月底前，各地将自查情况及《信息安全检查结果记录及报告表》报送省环境信息中心。

五、省内环保系统抽查

在各地区和单位自查的基础上，省环保厅将组织专业技术队伍，采取安全技术检测、现场核查等方式进行安全抽查，查找安全漏洞和隐患，评估安全防护能力，研究提出改进和加强安全保障的措施建议。

六、加强专家咨询指导

检查过程中，根据自查工作的需要，可成立专家组或邀请专家对自查工作进行指导，提高自查工作的质量。

 附件二

 

信息安全自查工作进展每周报告

 

 

主办：省环境监控中心           督办：省环境监控中心

河南省环境保护厅办公室           2012年8月8日印发