XX年政府信息系统安全检查的工作汇报[模版]

第一篇：XX年政府信息系统安全检查的工作汇报[模版]

XX年政府信息系统安全检查的工作汇报

近年来,为了加强政府信息系统工作的安全性和保密性,我县对全县范围内的各类政府网站、电子政务内外网、各局委政务信息网、县直单位信息保密工作等进行了多次检查和抽查,针对存在问题和不足制定了相应的整改措施,确保了我县政府信息工作安全高效运作。现将具体工作情况汇报如下:

一、信息安全总体情况

(一)领导重视,机构健全。针对政府信息系统安全检查工作,县委、县政府高度重视,做到了主要领导亲自抓,并成立了专门的信息安全工作领导小组,组长由县委副书记担任,副组长由县政府副县长担任,成员由县直有关局委组成,领导小组下设办公室,办公室设在县工业和信息化局,办公室主任由县工信局局长兼任。同时,县直各单位和各乡镇领导也十分重视信息安全工作,持续建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了政府网站的良好运行,确保了网络和信息传输工作的安全运作。

(二)制定方案,加强检查。为确保我县政府信息系统的安全,加大对信息安全的检查督导力度,XX年,县信息安全工作领导小组制定了详细的检查方案,对所要检查的部门、范围和具体要求做了详细的安排部署。

一是检查范围具体包括:县政府电子政务内外网、各类政府门户网站、县政务信息报送系统、网上信访、各局委政务信息网站、档案管理系统等。

二是检查内容包括:信息安全组织领导、工作机构和网站安全责任人落实情况;信息安全制度落实情况;网站应急值班、网站信息内容发布审核、安全责任追究等制度;主要技术防范措施,包括网页防篡改、防病毒、防攻击等技术措施,账户和口令的管理措施,操作系统、应用软件、病毒防护软件等的补丁升级,网站域名安全管理措施等;特殊管理措施,如关闭或删除不必要的应用、服务、端口和链接,限制易被攻击、利用的网站栏目和功能,临时关停一些影响面积小、信息长期不更新、安全风险大的网站;安全应急预案落实与应急演练情况,包括应急技术支撑队伍、值班制度的落实情况等。

通过这次检查,我县信息安全工作整体运行状况良好,但也发现工作中存在一定的问题与隐患。一是个别单位和部分信息系统使用人员的安全意识淡薄,在管理上缺乏足够的主动性和自觉性;二是网络安全技术管理人员配备较少,信息系统安全方面可投入的力量有限;三是规章制度体系初步建立,还不够健全和完善,未能覆盖信息系统安全的所有方面;四是目前部分信息系统的数据无可靠备份,出现故障后会导致系统使用中断;五是在设备和操作系统安全环节,缺乏有效审计手段,无法建立可行的审计策略;六是防病毒系统更新、升级相对滞后,整体运行不够稳定,信息系统存在感染计算机病毒的风险隐患。

(三)明确责任,强化措施。XX年,县政府信息安全检查领导小组对我县80多个县直部门和21个乡镇进行了信息安全拉网式排查,共查出问题21起,存在隐患15处,对存在问题和隐患及时提出了整改意见和建议,并责令其制定整改措施,限时进行整改到位。

同时,我县确立四项工作重点,对全县信息涉密单位和网站进行了回头看,确保政府系统信息安全检查成效明显。一是把进一步建立完善信息安全制度列入工作重点,要求县直各单位和各乡镇的政府网站,必须按照规定进一步建立和完善管理制度。二是加强网站链接的定期检查,对服务器受攻击,网页被篡改的网站,进行全面的检查、测试、打补丁、安装。进行网页源代码漏洞查找,并对查找到的问题进行了修补,特别是对上传的控制。三是强化信息安全意识,对县直单位和乡镇专业人员进行安全意识培训,确保信息传输的安全性。四是关闭因无人管理常年闲置的网站。

由于我县领导高度重视信息安全检查工作,检查措施和力度到位、落实责任到位,增强了信息安全合作与交流、促进了相互学习,确保了我县内外网站正常、安全运行。

二、XX年工作开展情况

根据“安信化办[XX]5号”文件的要求,及XX年2月1日国家正式实施《信息安全技术基于互联网电子政务信息安全实施指南》标准,我县结合实际,对各项规章制度及技术设备进行多方位的整改,以满足国家标准的要求。

一是完善和修订相关管理制度。针对我县目前网站及其设备,先后制定完善了《政府网站建设管理规范制度》、《政府信息公开保密制度》、《涉密人员教育管理制度》、《保密工作目标考核制度》、《安阳县政府网站政民互动栏目内容处理办法》等。重新规范了“政府信息公开管理制度”、“视频会议设备管理制度”、“政府网站信息安全保密审核责任制度”、“机房安全管理制度”等主要工作制度。

二是加强信息安全的管理。根据我县的实际情况和网络通讯设备的用途,我县对信息安全工作加强了管理,按照“谁使用、谁管理、谁负责”的原则,严格落实领导责任制,并制定了相应的管理策略。一是严格“四本一签”制度,即收发文登记本、传阅文件登记本、借阅文件登记本、清退销毁文件登记本和机要文件处理签;二是涉密载体保管,必须在具备“三铁两器”独立专用场所存放;三是对全县计算机建立台帐,实行单位统一编号,责任到人;四是对计算机实行定位、定机、定人管理,逐级签订责任书;五是要求全县网站内的计算机要有防火墙安全策略,同时,制定了电子政务网络规划策略、视频会议应用策略、党政综合楼网络管理策略等。

三是加强安全技能培训工作。为了提高信息安全意识,4月份,我县组织了县直各单位和乡镇计算机保密和信息安全培训会,培养专业信息安全技术人员,以提高专业人员应对各种软硬件安全技能。对硬件产品的使用,要求各单位掌握其配置策略及方法,在厂商配置完后,各单位要重新配置关键部位,并保存备份配置策略,遇见问题时要认真学习配置手册及产品手册或电话咨询相关技术人员,以保证更有效的管理安全设备后续服务。对软件产品的应用,要求开发商提交黑盒子测试产品时同时提供软件开发源代码,以供以后遇见问题时进行扩展或添加补丁。

四是定期进行安全检查并及时纠错。县信息安全领导小组办公室定期对县党政综合楼网络、视频会议网络、政府门户网站、电子政务外网等进行检测和检查,对存在的安全隐患问题及时做好更换检修。定期对软件进行测试,对检测和用户反应的问题进行研究,制定相应的措施,编写相应的补丁,并做好版本的备案。对服务器,杀毒软件,安全策略,系统安全日志,进行定期安全检测保证其在安全的前提下,确保数据传输和信息的安全度。今年5月8日至21日,我县对部分县直单位信息保密工作进行了抽查,对县检察院、县法院、县工商局、县统计局等单位政府信息公开保密和涉密载体清理检查工作进行了肯定,对意识淡薄、管理不规范、制度不健全的单位进行了通报批评。6月份,由县保密局牵头,对全县40个各类政府门户网站和电子政务外网、20余家政府信息公开单位、20余家废品收购进行了检查,清理涉密文件800余份,内部资料余吨,销毁文件资料余吨,清理计算机、移动介质100余台。通过检查,有效地促了进保密工作的开展,全县信息安全工作得到了进一步保障。

总之,我县对涉及信息系统方面的规章制度、安全组织及职责、人员管理、体系结构、网络安全、设备和操作系统安全、应用系统安全、数据安全、物理环境安全、应急响应和灾难恢复等环节都进行了检查、分析和归纳,对已有的安全管理体系和安全措施进行核实和评价。从自查情况看,我县信息系统安全状况总体情况良好,各类政府门户网站、电子政务外网、政府信息公开单位网站制度健全,安全措施到位,多年来未发生过信息系统安全事件。

三、下一步措施和打算

为进一步加强我县政府信息系统安全,针对检查中发现的隐患与不足,我们下一步要围绕信息系统安全工作目标,重点在完善规章制度、丰富技术手段上下功夫,认真开展整改工作。

1、依据《国家信息安全技术标准规范》,结合信息系统安全检查工作目标,再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行了重新修订与修改。

2、加强信息网络安全技术人员培训。组织系统管理员、网络管理员、信息系统使用人员等核心技术人员开展多种形式的信息系统安全知识学习、培训,进一步强化相关工作人员安全意识的教育工作,进一步加强设备安全巡检,防患于未然;

3、进一步强化信息系统客户端安全监控及授权管理,确保系统安全。

第二篇：政府信息系统安全检查自查报告

紫荆路街道政府信息系统安全检查自查报告

根据巩义市信息化工作领导小组办公室《2011年政府信息系统安全检查实施方案》(巩信组办[2011]3号)文件精神。我街道对本镇信息系统安全情况进行了自查，现汇报如下：

一、自查情况(一)安全制度落实情况

1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。

2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责，主管领导负总责，具体管理人负主责。

3、制定了计算机及网络的保密管理制度。网站的信息管护人员负责保密管理，密码管理，对计算机享有独立使用权，计算机的用户名和开机密码为其专有，且规定严禁外泄。

(二)安全防范措施落实情况

1、涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。

2、涉密计算机都设有开机密码，由专人保管负责。同时，涉密计算机相互共享之间没有严格的身份认证和访问控制。

3、网络终端没有违规上国际互联网及其他的信息网的现象，没有安装无线网络等。

4、安装了针对移动存储设备的专业杀毒软件。

(三)应急响应机制建设情况

1、制定了初步应急预案，并随着信息化程度的深入，结合我街道实际，处于不断完善阶段。

2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜，并商定其给予镇应急技术以最大程度的支持。

3、严格文件的收发，完善了清点、修理、编号、签收制度，并要求信息管理员每天下班前进行系统备份。(四)信息技术产品和服务国产化情况

1、终端计算机的保密系统和防火墙、杀毒软件等，皆为国产产品。

2、公文处理软件具体使用金山软件的WPS系统。

3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。

(五)安全教育培训情况

1、派专人参加了市政府组织的网络系统安全知识培训，并专门负责我街道的网络安全管理和信息安全工作。

2、安全小组组织了一次对基本的信息安全常识的学习活动。

二、自查中发现的不足和整改意见

根据《实施方案》中的具体要求，在自查过程中我们也发现了一些不足，同时结合我街道实际，今后要在以下几个方面进行整改。

1、安全意识不够。要继续加强对机关干部的安全意识教育，提高做好安全工作的主动性和自觉性。

2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养，同时，针对信息技术的飞快发展的特点，要加大更新力度。

3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平，提高安全工作的现代化水平，有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

4、工作机制有待完善。创新安全工作机制，是信息工作新形势的必然要求，这有利于提高机关网络信息工作的运行效率，有利于办公秩序的进一步规范。

紫荆路街道党政办公室 2011年8月26日

第三篇：政府信息系统安全检查情况报告

XXXX人民防空办公室2011政府

信息系统安全检查情况报告

根据XXXX市信息化工作领导小组办公室《关于开展2011政府信息系统安全检查的通知》（信化办【2011】8号）文件精神。我办对信息系统安全检查情况进行了自查，现汇报如下：

一、信息安全状况总体评价：

1、以宣传教育为主导，强化保密意识

为加强计算机、移动存储介质以及网络的保密管理，防止泄密事件发生，确保涉密信息安全，我办采取多种方式，一是对信息化相关操作人员进行强化培训，增强保密安全意识。二是将《办公自动化设备管理规定》、《办公网络管理规定》等相关制定人手一份，要求结合实际，认真学习，并落到实处。三是进行警示教育，进一步重视和加强网上信息的保密管理，确保计算机及其网络安全。

2、以制度建设为保障，严格规范管理

构筑科学严密的制度防范体系，是做好信息保密管理的重要保障。按照《国家人防办关于》的规定要求，我办不断完善各项规章制度，规范计算机、移动存储介质以及网络等相关设备的管理；规范涉密信息流转，弥补管理上存在的空挡；规范信息发布程序，制定涉密信息发布审查制度。要求严格审查、严格控制、严格把关，从制度上杜绝泄密隐患。

3、以督促检查为手段，堵塞管理漏洞

为了确保计算机、移动存储介质以及网络保密管理工作各项规章制度的落实，及时发现计算机保密工作中存在的泄密隐患，堵塞管理漏洞，我办十分重视对计算机、网络及移动存储介质保密工作的督促检查，采取自查与抽查相结合，常规检查与重点检查相结合，定期检查与突击检查相结合等方式，对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密移动存储介质、涉密网络采取的管理和防范措施的落实情况进行检查。这次我办对计算机、网络及移动存储介质的情况进行了一次全面检查，通过检查，查找计算机保密工作中存在的管理漏洞，并立即整改到位。进一步做好计算机信息安全防护工作是一件刻不容缓的大事。所以我们必须做到人防与技防结合，真正设置起一道信息安全工作的一道看不见的屏障。

二、2011年信息安全主要工作情况：

（一）安全制度落实情况

1、成立了以我办XX副主任为组长的信息系统安全工作领导小组，并将信息系统安全工作领导小组办公室设在指挥通信科，由指通科科长兼办公室主任，安全小组成员从各科室抽调，具体负责日常工作。

2、建立了信息安全责任制。按责任规定，安全小组对信息安全负首责，主管领导负总责，具体管理人负主责。

3、制定了计算机及网络的保密管理制度。办网站的信息管护人员负责保密管理，密码管理，对计算机享有独立使用权，计算机的用户名和开机密码为其专有，且规定严禁外泄。

（二）安全防范措施落实情况

1、涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。

2、涉密计算机都设有开机密码，由各科室安全员保管负责。同时，涉密计算机相互共享之间设有严格的身份认证和访问控制。

3、网络终端没有违规上国际互联网及其他信息网的现象，没有安装无线网络等。同时，我办内部网络与因特网实行物理隔离手段，防止泄密情况发生。

4、安装了针对移动存储设备及泄密载体的专业杀毒软件。

（三）应急响应机制建设情况

1、制定了《XXXX市人防办网络与信息安全事件应急预案》，并随着信息化程度的深入，结合我办实际，处于不断完善阶段。

2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜，并商定其给予我办应急技术以最大程度的支持。

3、严格文件的收发，完善了清点、整理、编号、签收制度，并要求信息管理员每天下班前进行系统备份。

（四）信息技术产品和服务国产化情况

1、终端计算机的保密系统和防火墙、杀毒软件等，皆为国产产品。

2、公文处理软件具体使用金山软件的wps系统。

3、工资系统、年报系统等皆为市委、市政府统一指定产品系统。

（五）安全教育培训情况

安全小组在全办组织了一次对基本的信息安全常识的学习活动。

三、检查发现的主要问题及整改情况： 自查中发现的不足和整改意见

根据《通知》中的具体要求，在自查过程中我们也发现了一些不足，同时结合我办实际，今后要在以下几个方面进行整改。

1、安全意识不够。

要继续加强对全体干部员工的安全意识教育，提高做好安全工作的主动性和自觉性。切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追究责任，从而提高人员安全防护意识。

2、设备维护、更新及时。

要加大对线路、系统等的及时维护和保养，同时，针对信息技术的飞快发展的特点，要加大更新力度。

3、安全工作的水平还有待提高。

对信息安全的管护还处于初级水平，提高安全工作的现代化水平，有利于我们进一步加强对计算机信息系统安全的防范和保密工作。要以制度为根本，在进一步完善信息安全制度的同时，安排专人，完善设施，密切监测，随时随地解决可能发生的信息系统安全事故。

4、工作机制有待完善。

创新安全工作机制，是信息工作新形势的必然要求，这有利于提高机关网络信息工作的运行效率，有利于办公秩序的进一步规范。

5、日常信息安全管理。

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。

四、对信息安全工作的意见和建议

成立信息安全工作领导责任制与机构队伍建设

1、建立信息安全工作领导小组。领导重视是做好信息安全工作的前提。领导班子对信息安全工作十分重视，把它做为一项重要工作来抓，每年年初都会安排布置信息安全工作，并成立了由单位二把手任组长的信息安全工作领导小组，领导小组下设办公室，办公室设在综合科，由指通科科长担任办公室主任，亲自布置落实信息安全工作。

2、信息安全工作队伍的建设。近年来，我办坚持做到信息安全工作机构健全、信息安全工作队伍不散，信息安全工作人员及时调整和补充，并不断加强信息安全业务知识的学习，做好工作交接，都能熟练掌握保密法规和信息安全技术基础知识，熟悉本办的业务工作和信息安全工作基本情况。

XXXX市人防办信息系统安全工作领导小组名单

第四篇：政府信息系统安全检查自查报告[模版]

2013年×××网络与信息安全自查工作总结报

告

根据《×××××关于开展怒江州重点领域网络与信息安全检查工作方案的通知》（××ׄ2013‟20号）和《×××2013年重点领域信息安全检查工作方案》要求，结合我委实际认真开展了信息系统的安全自查工作。现将相关情况报告如下：

一、信息系统安全检查基本情况

（一）安全检查方案和信息系统安全组织机构实施情况。为规范和落实好此次信息系统安全检查工作，我委制订了《×××2013年政府信息系统安全检查工作方案》，并依据工作方案成立了信息系统安全工作检查领导小组，落实了管理机构，由委办公室负责信息系统安全的日常管理工作，明确了信息系统安全的主管领导、分管领导和具体管理人员。

（二）日常信息系统安全管理落实情况。

根据本委的工作实际，本委日常信息系统安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、办公业务系统信息管理。根据这些实际，我委从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息系统安全的人员、资产、运行和维护管理进行了落实。

1、落实具体负责信息系统安全工作的人员，对涉密信息文件、材料实行专人管理；对重要办公区、办公计算机等进行严格管理，-1-

确保信息保密工作。

2、结合本单位工作实际，对涉密文件材料管理和计算机、移

动存储设备等的维修、报废、销毁管理进行了规定。对日常信息

办公软件、应用软件等的安装使用，均按照上级部门的要求和规

定，严格进行操作管理。

3、结合政府信息公开工作，按照信息公开的相关保密规定和

程序，对信息公开、阳光政府四项制度等公开发布信息保密审查

机制、程序进行了规范，完善相关信息审批备案和日常记录。

（三）等级保护与风险评估。

我委的相关信息系统主要是业务办公系统，不属于重点涉密

部门，所以，暂时没有对信息系统定级、测评和评估。

（四）技术安全防范措施和手段落实情况。

1、计算机及网络经过检查，我委按州保密局的要求，在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标

识，杜绝涉密和非涉密计算机之间的混用。

2、在日常工作中，用360免费杀毒软件及时对计算机进行漏

洞扫描、木马检测等，加强安全监管。目前，网络运行良好，安

全防范措施和设备运行良好，未在网上存储、传输国家秘密信息，未发生过失密、泄密现象。

3、密码技术防范方面。我单位的相关信息还达不到重点涉密

信息系统等级，目前还没有使用密码技术防护措施。

（五）应急工作机制建设情况。

我委的信息系统安全管理工作还没有明确应急技术支援队

伍，主要根据工作中的问题向省计生委和相关部门报告咨询解决。目前，没有发生信息系统安全事件。

（六）信息技术产品和信息系统安全产品使用情况。

我单位计算机、公文处理软件和信息系统安全产品均为国产

产品。公文处理软件使用了思普系统。单位使用的财务系统、业

务系统、数据传输平台系统、数据库等应用软件均为省计生委和

州直相关部门。重点信息系统使用的服务器、路由器等均为国产

产品。

（七）安全教育培训情况。

1、积极参加全州保密工作会议和州委政府相关部门组织的信

息系统安全知识培训，并专门负责机关的网络安全管理和信息系

统安全工作。

2、结合集中学习，对全州保密工作会议精神进行了传达学习。

同时，在日常工作中相关保密、信息系统安全工作人员也结合《保密工作》杂志及相关文件精神，开展自学，提高信息系统安全意

识、保密意识。

（八）信息系统安全经费保障。

我委信息系统安全工作得到委领导的高度重视，信息系统安

全相关学习培训材料和相关防护设施建设、运行、维护和管理经

费均纳入预算，实报实销，为信息系统安全提供了经费保障。

二、信息系统安全检查存在的主要问题及整改情况

经过安全检查，我单位信息系统安全总体情况良好，但也存

在了一些不足，同时结合单位工作实际，进行了整改同时提出了

进一步整改的措施。

（一）部分干部职工对信息系统安全工作的认识不到位。由

于本部门工作涉密少，机关干部对信息系统安全防范的意识还有

待加强，对信息系统安全工作重要性的认识还不足。针对这些情

况，领导小组已结合传达全州保密工作会议精神，进一步作了强

调和要求。结合工作开展，今后将继续加强对机关干部的信息系

统安全意识教育，提高干部职工对信息系统安全工作重要性的认

识。

（二）部分科室计算机的杀毒软件、防护软件没有及时进行

更新升级，存在系统漏洞。针对这些问题，办公室已及时对各终

端计算机的杀毒软件进行了更新升级，对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养，及时更新升级防护软

件。

（三）信息系统安全工作的水平还有待加强。我委的信息系

统工作人员均为兼职人员，非专业人员，对信息系统安全的管护

水平低，还需要加强专业学习培训，提高信息系统安全管理和管

护工作的水平。

（四）信息系统安全工作机制还有待完善。部门信息系统安

全相关工作机制制度、应急预案等还不健全，还要完善信息系统

安全工作机制，建立完善信息系统安全应急响应机制，以提高机

关网络信息工作的运行效率，促进办公秩序的进一步规范，防范

风险。

三、对信息系统安全检查工作的意见和建议

（一），进一步加大对信息系统安全工作人员的业务培训。由

于很多部门的信息系统安全工作人员均为兼职，均是“半路出家”，非专业人员，没有专业的技能和知识，希望进一步加强对计算机

信息系统安全管理工作的业务操作培训，发放一些信息网络安全

管理方面的业务知识材料。

（二），加强对各级各部门干部职工的信息系统安全教育。通

过开展专题警示教育培训，增强信息系统安全意识，提高做好信

息系统安全工作的主动性和自觉性。

（三），加强分类指导。由于各科的工作性质不同，信息系统

安全的防护级别也不同。希望结合各科室工作实际，对重点信息

系统安全部门和非重点信息系统安全部门进行分类指导。

××××××××

2013年9月9日

第五篇：2011政府信息系统安全检查指南

关于印发2011安徽省政府信息 系统安全检查指南的通知

(节选)

一、检查范围

为各地、各部门履行职能提供支撑的非涉密信息系统，包括自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。各地、各部门的重要业务系统、门户网站是检查重点。

政府信息系统安全检查，是指依据国家、省有关政策规定，参照国家信息安全技术标准规范，对信息系统安全保障工作进行检测评估、查找隐患、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。

涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定和标准执行.五、检查内容

主要检查信息安全有关规章制度落实情况、技术防护措

施及其有效性、2010信息系统安全检查中发现问题的整改情况。

（一）信息安全组织机构

信息安全工作主管领导、信息安全管理机构、信息安全专职工作机构、专职信息安全员等设置情况。按照《安徽省人民政府办公厅转发国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（皖政办发〔2008〕21号）文件要求，各部门要明确一名领导主管信息安全工作，应指定一个内设机构承担信息安全管理工作，各内设机构指定一名专职或兼职信息安全员。

（二）日常信息安全管理

1、人员管理。查验相关文档、文件、记录等，检查信息安全和保密责任制建立及落实情况，重要岗位人员安全保密协议签订情况，人员离岗离职信息安全管理情况，外部人员访问机房等重要区域管理情况，违反制度规定造成信息安全事件的责任查处情况等。

2、资产管理。检查资产管理制度建立及落实情况，办公软件、应用软件等安装与使用情况，计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。

3、运维管理。检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同

和安全保密协议等。

（三）等级保护与风险评估

1、等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档，检查信息系统定级、测评、整改等情况。

2、风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等，检查风险评估工作的开展。

（四）技术防护手段建设

1、网络边界安全防护。检查系统总体网络架构、区域划分及边界防护、网络管理等情况；互联网接入情况；终端接入互联网时是否有安全信息提示措施等；边界防护设备部署、使用及策略配置情况。

2、信息安全产品部署及使用。提供信息系统完整的网络拓扑图，包括总体网络架构、子系统、终端节点、区域划分、边界防护设备（防火墙、入侵检测设备、防病毒网关和安全审计设备）及对外网络接口等，提供边界防护设备日志。

3、服务器安全防护。检查服务器上应用、服务、端口以及系统补丁等情况，账号口令强度及更新情况，病毒木马防护措施及漏洞扫描、病毒木马检测情况。

4、网络设备安全防护。检查安全策略配置有效性；账

号口令强度和更新情况；漏洞扫描情况。

5、终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理方式，计算机账号口令强度和更新情况；终端计算机接入互联网安全控制措施（如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等）；是否安装病毒防护软件，定期进行漏洞扫描、病毒木马检测；是否在非涉密和涉密信息系统间混用了计算机和移动存储设备，是否使用了非涉密计算机处理涉密信息等。

6、门户网站安全防护。检查网站信息发布审批制度建立及落实情况；边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况，以及安全配置策略的有效性；是否定期进行漏洞扫描、木马检测等。

7、密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行防护的情况，使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。

8、网络信任措施。检查采用数字证书实现身份认证和授权管理的情况，使用的数字证书是否符合国家电子认证服务管理规定。

（五）应急管理工作开展

1、应急预案。检查《安徽省网络与信息安全事件应急预案》落实情况，重要信息系统是否制定了本部门信息安全

应急预案文本及宣贯培训记录、灾难备份工作开展情况等。

2、应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的，应检查演练相关文档（包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等）。

3、应急技术支援队伍。检查是否按照要求明确应急技术支援队伍。对于已明确的，应检查签订的合同和安全保密协议，掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。

4、灾难备份。检查重要业务系统和网站的数据是否进行备份，是否配备冗余的通信线路、网络设备、服务器，已进行灾难备份的应查看备份记录、检查相关冗余设备。对于采用社会第三方灾难备份服务的，应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。

5、信息安全事件应急处置。检查本发生的信息安全事件及处置情况。对于发生重大信息安全事件的，应检查是否进行了及时处置，是否按照要求上报和通报等。（信息安全事件分级依据《安徽省网络与信息安全事件应急预案》）。

（六）信息技术产品和信息安全产品使用

1、信息技术产品。检查服务器、网络设备、操作系统、储存设备、终端计算机、字处理软件等国产化情况。在使用捐赠服务器、网络设备、存储阵列等产品，应检查产品应用

范围、签订的相关协议，以及使用前是否进行安全测评等。

2、信息安全产品。在进行网络边界安全防护检查时，查看防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品等国产化情况。使用捐赠的信息安全产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

本指南中的国产终端计算机、国产字处理软件、国产信息安全产品，暂按以下方法进行认定：（1）国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件；（2）国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源代码，并符合法律法规和政策规定的其他条件；（3）国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源代码，通过国家认定的信息安全产品检测实验室的检测，并符合法律和政策规定的其他条件。

（七）信息安全服务

查看信息安全外包服务项目清单，包括外包服务内容、服务商名称、服务商性质（外资、非外资）、合同和安全保密协议、服务方式（远程在线服务、现场服务或其他等）。

（八）信息安全教育培训

机关工作人员参加信息安全教育培训、掌握信息安全常

识和基本技能情况，信息安全管理和技术人员参加信息安全专业培训情况、重点岗位持证上岗等情况。

（九）信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入单位预算，以及本信息安全经费实际投入情况等。

(十)安全隐患排查及整改

重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况，以及分析产生问题的隐患的原因，研究制定和落实整改措施等情况。

六、时间安排

各地、各单位可根据实际情况，统筹规划和组织部署信息系统安全检查工作，并对安全检查工作进行认真总结、分析和评估，于2011年12月31日前将安全检查报告报送安徽省网络与信息安全协调小组办公室。

协调小组办公室将及时跟踪、掌握、汇总安全检查情况，并将安全检查结果报送工业和信息化部。

七、工作要求

（一）各单位要把信息系统安全检查列入重要议事日程，切实加强组织领导，完善检查工作机制，落实检查工作经费，开展宣传教育培训活动，确保检查工作顺利开展。按照《安徽省政府信息系统安全检查实施办法》的要求，参照

本指南制定具体的安全检查实施方案和工作计划，并认真组织实施。建立信息安全检查责任制，明确检查责任，落实检查组织机构、参与单位及检查人员。

（二）可组织所属信息中心等单位开展安全检查工作，也可根据需要委托外部专业机构协助开展技术检测工作。

全面参与技术检测的外部专业机构应至少满足以下条件：

1、事业单位；

2、从事信息安全检测或相关工作两年以上；

3、专业技术检测人员10人以上，均签订两年以上劳动合同；

4、参与技术检测的人员均为中国公民，无违法犯罪记录，并签订安全保密协议。

（三）委托外部专业机构协助开展技术检测，应与检测机构及参与检测的人员签订安全保密协议，明确安全保密责任和义务。

安全保密协议应包括以下内容：

1、检测机构应遵守国家有关法律法规，客观、公正地提供检测服务；

2、检测机构应保证所提供相关材料的真实性；

3、检测机构不得向其他单位和个人泄露数据和检测结果，不得利用检测数据谋取利益；

4、检测机构应采取有效安全措施，防止因技术检测引发信息安全事件；

5、检测机构不得将检测任务分包或转包。

（四）强化安全检查过程的安全保密和风险控制，切实加强对检查活动、检查人员以及相关文档和数据的安全保密

管理，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。

八、检查报告

（一）检查报告内容

检查报告主要包括三方面内容：一是信息安全总体情况。包括本信息安全工作主要情况，安全检查工作开展情况及检查效果，对本单位信息安全状况的总体评价；二是主要问题及整改情况。三是经验总结及意见建议。包括本部门安全检查工作的经验总结，对安徽省网络与信息安全检查工作的意见建议。

根据检查结果编制检查报告，范围限于各部门本级机关及派出机构。

根据检查结果的敏感程度确定检查报告密级，并在检查报告上明确标识。

（二）报送方式

检查报告以各单位办公室名义报送安徽省网络与信息安全协调小组办公室。

九、安全抽查

按照《安徽省政府信息系统安全检查实施办法》要求，省网络与信息安全协调小组办公室会同有关单位组织开展政府信息系统安全抽查工作。抽查方式分为现场安全抽查和外部安全抽查。

（一）现场抽查。主要抽查2010安全检查中发现问题的整改情况，2011安全检查工作开展情况。相关单位应积极配合抽查工作，指定抽查工作负责人和联络员，落实所需办公场所、办公设备、网络资源等必要条件，提供抽查工作涉及的信息系统资产信息、信息系统建设运维情况、信息安全规章制度等相关文件、文档和记录。

（二）外部安全检查。定期对全省各部门、各单位门户网站进行外部检查，重点检测网站漏洞、网页挂马等情况。

附件：信息安全检查报告编制要求

附件：

信息安全检查报告编制要求

信息安全检查报告包括工作报告和技术报告，编制要求分别如下：

一、工作报告主要内容

1、概述

2、检查工作组织和实施情况。

3、检查发现的主要问题及概要统计分析。

4、被检查单位信息安全状况的总体评价。

5、主要的整改建议措施，以及对信息安全检查工作的建议。

二、技术报告主要内容

1、任务来源和检查依据。

2、检查工作开展情况。概要说明检查准备阶段、实施阶段和总结阶段所做的工作。

3、检查的信息系统基本情况，抽取的服务器、网络设备、终端计算机等相关设备情况。

4、检查结果。对照本规范中关于检查内容的要求，逐项、客观陈述检查和技术测试结果。

5、主要问题及分析。对检查中发现的问题、存在的安全漏洞和隐患进行分类汇总，对可能造成的危害与影响进行分析，对检查数据类项目进行统计（辅以图表形式），对被检查单位信息安全状况进行总体评价。

6、整改建议。针对检查中发现得问题，有针对性地提出整改措施建议。