婺府办字[2009]113号

关于印发婺源县2009年度政府信息系统

安全检查工作方案的通知

各乡（镇）人民政府，蚺城街道办事处，县政府各部门，县直各单位：

经县政府同意，现将《婺源县2009年度政府信息系统安全检查工作方案》印发给你们，请认真贯彻执行。

二00九年九月十五日

婺源县2009年度政府信息系统

安全检查工作方案

根据《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》和《江西省2009年度政府信息系统安全检查工作方案》文件要求，为组织和督促各乡（镇、街道）、各部门做好政府信息系统安全检查，现参照《江西省2009年度政府信息系统安全检查工作方案》，结合我县实际情况，制定本工作方案。

一、指导思想和主要原则

以科学发展观为统领，贯彻落实《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发[2008]17号）和《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发[2009]28号）有关要求，针对当前境内外敌对势力大肆利用各种手段对我各级政府信息系统进行网络攻击、破坏、窃密等活动，政府信息系统安全面临严峻挑战的形势，通过定期开展全面的安全检查，进行信息安全风险评估、安全功能测评等，及时掌握政府信息系统安全状况和面临的威胁，认真查找隐患，堵塞安全漏洞，完善安全措施，减少安全风险，提高应急处置能力，确保政府信息系统持续安全稳定运行。

政府信息系统安全检查实行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，采取各单位自查与统一组织的安全抽查相结合的方式进行。全县安全检查工作要统筹安排，突出重点，明确责任，注重实效，确保质量。

二、工作依据

《中华人民共和国国家安全法》

《中华人民共和国保守国家秘密法》

《中华人民共和国电子签名法》

《中华人民共和国政府信息公开条例》

《中华人民共和国计算机信息系统安全保护条例》

《商用密码管理条例》

《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》

《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》

《江西省2009年度政府信息系统安全检查工作方案》

《2009年度江西省政府信息系统安全检查指南》等

三、工作分工

按照上级有关文件精神和要求，结合我县实际，由县政府信息化工作办公室牵头，县政府办、县公安局（县国保大队、县网监支队）、县国家保密局、县机要局等部门共同组成，按照职责分工，负责全县政府信息系统安全检查工作。

1、县政府办负责全县政府信息系统安全检查的监督工作，参加政府信息系统安全检查联席会议。派员参加对各乡（镇、街道）和县直有关单位进行政府信息系统安全抽查。

2、县政府信息化工作办公室负责全县政府信息系统安全检查的协调、指导工作，严格按照《江西省2009年度政府信息系统安全检查工作方案》的要求开展相关工作，制定《2009年度婺源县政府信息系统安全检查指南》；组织对各乡（镇、街道）和县直有关单位进行政府信息系统安全抽查；不定期召开政府信息系统安全检查联席会议，会同有关部门进行综合分析和情况会商；跟踪、收集、汇总有关部门安全检查情况，编辑《政府信息系统安全检查情况简报》，呈报县政府和上级有关部门，并及时向各乡（镇、街道）和县直有关单位通报；组织各乡（镇、街道）和县直有关单位有关人员信息系统安全知识的培训工作；按照省工信委的部署具体落实委托专业安全检测评估机构对有关部门实施安全检测的各项工作。

3、县公安局负责全县政府信息系统涉及信息安全等级保护的相关工作，按照国家信息安全等级保护管理规定开展政府信息系统安全检查工作，参加政府信息系统安全检查联席会议；负责全县政府信息系统涉及国家安全的相关工作，按照国家安全管理规定开展政府信息系统安全检查工作，参加政府信息系统安全检查联席会议；负责全县政府信息系统涉及国家安全的信息安全、网络安全、服务器安全、ICP备案等相关工作，按照国家安全管理规定开展政府信息系统安全检查工作，参加政府信息系统安全检查联席会议。派员参加对各乡（镇、街道）和县直有关单位进行政府信息系统安全抽查。

4、县国家保密局负责全县政府信息系统涉及保密的相关工作，按照国家保密管理规定开展政府信息系统安全检查工作，参加政府信息系统安全检查联席会议。派员参加对各乡（镇、街道）和县直有关单位进行政府信息系统安全抽查。

5、县机要局负责全县政府信息系统涉及密码管理的相关工作，按照国家密码管理规定开展政府信息系统安全检查工作，参加政府信息系统安全检查联席会议。派员参加对各乡（镇、街道）和县直有关单位进行政府信息系统安全抽查。

四、工作重点

以保障新中国成立60周年国庆期间信息安全为重点，针对当前政府信息系统存在的薄弱环节，按照《2009年度婺源县政府信息系统安全检查指南》的要求，重点开展以下工作：

（一）安全检查工作

1、检查安全制度落实情况。重点检查有关单位信息安全主管领导、管理机构和管理人员的落实情况，检查是否按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》等文件要求，明确了一名主管领导负责信息安全工作，指定了一个机构承担信息安全管理工作，指定了专职或兼职安全员；检查信息安全责任制和保密管理、密码管理、等级保护、重要部门（部位）人员管理等制度的建立和落实情况，检查是否建立并落实了岗位信息安全和保密责任制度；检查信息安全经费保障情况。检查是否对新中国成立60周年国庆期间信息安全保障工作进行了专门部署。

2、检查安全防范措施落实情况。重点检查有关单位信息系统的身份认证、访问控制、数据加密、安全审计、责任认定及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性，计算机、移动存储设备、电子文档安全防护措施的落实情况。国庆前要重点检查有关单位是否对账户、口令、软件等进行了清理，是否对重要服务器上的应用、服务、端口和链接进行了检查。

3、检查应急响应机制建设情况。重点检查有关单位应急预案制定、演练、落实情况，应急技术支援队伍建设情况，重大信息安全事件处置情况，重要数据和业务系统的灾难备份情况等，特别是针对新中国成立60周年国庆是否制定完善了应急工作方案和工作计划。

4、检查信息技术产品和服务国产化情况。检查有关单位终端计算机、公文处理软件、信息安全产品、IC卡等使用国产产品情况，信息系统服务外包情况，对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况等。

5、检查密码技术与产品使用情况。检查采用密码技术进行保护的情况，重点是违反国家密码管理规定使用密码技术和产品的情况。

6、检查安全教育培训情况。检查政府各部门机关工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。

7、检查责任追究情况。检查有关单位对违反信息安全规定的行为和泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施落实情况。

8、检查安全隐患排查及整改情况。检查有关单位对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的分析排查情况，研究制定和落实整改措施等情况。

（二）人员培训

拟在参加市政府信息化工作办组织的有关培训后，按照市里的具体要求，组织对各乡（镇、街道）、县直各单位信息安全责任人员进行信息系统安全专项培训，重点培训信息安全常识、技能、信息安全技术和管理防范等内容，切实提高各单位信息安全技术水平和信息系统安全保障能力，确保政府信息系统安全运行；通过培训，指导和帮助各单位建立和完善信息安全应急和防范机制，规范信息安全管理，从制度、机制和管理上堵塞政府信息系统安全漏洞。

（三）资料汇编

为了方便各有关单位学习掌握信息安全法律法规、信息安全常识、信息安全技术、信息安全管理规范等知识，提供由市政府信息化工作办公室组织翻印省工信委汇编的《信息系统安全检查工作相关文件及基础知识汇编》给乡（镇、街道）和县直有关单位使用。

五、工作安排

从2009年7月开始，用半年的时间开展全县政府信息系统安全检查工作。

（一）组织部署阶段（2009年7月1日至8月31日）

一是印发《2009年度婺源县政府信息系统安全检查指南》，指导各乡（镇、街道）和县直有关单位开展政府信息系统安全检查工作；二是建立联席会议制度，协调县政府办、信息化办、公安、国家安全、网监、保密、密码管理等部门的信息检查工作；三是制定工作方案，明确职责分工，安排工作任务；四是组织各乡（镇、街道）和县直有关单位的信息安全责任人员进行信息系统安全专项培训。

（二）检查落实阶段（2009年8月1日至9月30日）

1、督促自查。安全检查以自查为主，由各乡（镇、街道）和县直有关单位按照统一规定，制定具体的检查方案并认真组织实施，特别是围绕保障新中国成立60周年国庆期间的信息安全，进行系统的自查。政务信息网络系统和电子政务系统由县政府信息化办进行自查，其它信息系统由各部门、各单位组织人员进行自我安全检查。县重点新闻网站的安全检查由市新闻办和县新闻办组织安全检查。各乡（镇、街道）和县直各单位的自查结果于2009年9月26日前报县信息化办汇总。汇总后的情况要通过联席会议进行综合分析，加强预警监测和情况会商，开展险情研判，为处置重大信息安全突发事故提供支援，并及时将有关情况进行通报。

2、组织抽查。为了确保安全检查取得实效，县信息化办将会同县政话臁⒐病⒐野踩⑼唷⒈Ｃ堋⒒炔棵牛凑铡墩畔⑾低嘲踩觳榘旆ā返囊螅�/SPAN>2009年9月20日开始，对各县（市、区）和市直有关单位进行安全抽查，及时向被抽查乡（镇、街道）和单位通报发现的问题并提出整改建议。并要求被抽查乡（镇、街道）和单位认真研究落实有关整改建议，在2个月内报告整改情况。

（三）落实整改阶段（2009年10月8日至11月30日）

主要内容包括安全检查中发现信息系统存在的主要安全问题，以及针对这些问题采取的整改措施，对于未能及时整改的，概要说明整改计划和整改方案。

（四）年度报告报送阶段（2009年12月1日至12月15日）

2009年度政府信息系统安全检查报告以各单位名义报送县政府信息化工作办公室，包括纸质文件和电子文档。电子文档以光盘为介质，并使用符合国家标准《中文办公软件文档格式规范》（GB/T20916-2007）的文档格式。

年度安全检查工作于2009年12月15日前完成。

六、安全检测

鉴于政府信息系统安全检查工作技术性和专业性较强，各单位可委托专业机构进行安全检查。专业检测机构的名单由省工信委确定并推荐。

各单位若自行委托安全检测机构参与安全检查工作，委托部门或单位应对安全检测机构及检测人员进行审查，签订安全保密协议，明确安全和保密责任，并将参与检查的专业机构及检测人员（含各部门内部专业机构及人员）情况作为检查报告的内容，提交县政府信息化办转报市政府信息化办，由市政府信息化办转报省工信委审定。

七、工作要求

（一）幌纾ㄕ颉⒔值溃┖拖刂庇泄氐ノ灰颜畔⑾低嘲踩觳夤ぷ髁腥胫匾槭氯粘蹋忧苛斓迹魅芳觳樵鹑危涫导觳槿嗽焙图觳榫眩Ｖぜ觳楣ぷ魉忱小６约觳楣ぷ髯橹斓疾涣Α⒂泄匾蟛宦涫担枰酝ūㄅ馈�/SPAN>

（二）各实施检查（抽查）的部门、机构及人员要严格遵守检查纪律，周密制定应急预案，控制安全风险，加强保密措施，保证被检查单位的信息系统安全正常运行。检查结果除按规定报送外，不得提供给其他单位和个人。委托参加检查的安全检测机构，未经许可不得保留检测结果和安全检查报告。对违反信息安全和保密管理规定造成泄密事件和信息安全事故的，要依法追究当事人和有关责任人的责任。

（三）建立信息安全检查工作责任制。凡开展信息安全检查或抽查工作，要明确一位检查（抽查）责任人，检查（抽查）责任人必须对检查结果负责，未能及时发现问题或漏洞导致安全事故的，要承担相应的责任。

（四）我县属地内的电信、电力、金融、交通等面向社会提供服务的重要行业信息系统，按照本行业上级要求进行检查，并将检查结果材料报送县政府信息化办。

（五）各乡（镇、街道）和县直有关单位，可结合实际，制定具体的信息安全检查实施工作方案。

主题词：政务  政府信息系统  安全检查  工作方案  通知        

  抄送：县委、人大、政协办公室，县纪委，县法院、检察院 

  婺源县人民政府办公室秘书股        2009年9月15日印发