海南國税信息安全检查.docVIP

2010年度海南省国税系统 信息安全检查方案 二〇一〇年五月十一日 目录 1.检查目的 3 2.检查依据 3 3.检查对象 3 4检查方式 3 5.检查内容 3 6.安全管理检查内容 3 7.基本情况调查 4 8.安全技术检查内容 4 9检查情况上报 5 10落实整改措施 5 附录： 6 附录1：管理检查表 6 附录2：基本情况调查表 8 附录3：网络设备检查列表 9 附录4：防病毒系统检查列表 10 附录5：公文处理服务器检查列表 11 附录6：终端PC机检查列表 13 1.检查目的 按照《国家税务总局办公厅关于印发〈税务信息系统安全检查工作的通知》等文件要求，开展信息安全检查工作，查找薄弱环节和安全隐患，分析网络与信息系统面临的风险，评估网络与信息系统的安全状况，进一步强化信息安全意识、规范信息安全管理。对检查发现的信息安全漏洞或隐患，要立即采取相关措施，提高网络与信息系统的安全保障能力，切实保障全省国税系统网络与信息系统安全运行。 2.检查依据 《国家税务总局办公厅关于开展税务信息系统安全检查工作的通知》（国税办法〔2010〕36号）。 3.检查对象 本次检查对象是各单位所辖的网络设备、服务器、终端设备和信息安全产品等，包括各单位的路由器、公文处理服务器、瑞星防病毒系统、终端PC机等。 4检查方式 各单位应按照“谁主管谁负责、谁使用谁负责”的原则，对所辖的网络设备、服务器、终端设备和信息安全产品组织开展安全检查。检查可采用组织各单位自查，由各单位技术骨干对本单位进行自查与省局对单位进行抽查相结合的方式进行。 5.检查内容 此次安全检查主要包括安全管理检查和安全技术检查两方面。 6.安全管理检查内容 1.检查省局下发的信息安全相关制度的落实情况，以及本单位自行制定的安全章制度及其落实情况； 2.检查信息安全组织机构和信息安全岗位建立情况和职责落实情况； 3.检查对关键设备和服务的安全管控情况； 4.检查在工作人员在职和调离的全过程中，相关的信息安全和必威体育官网网址规章制度的建立和落实情况； 5.检查信息安全教育与培训开展情况。包括信息安全意识教育、信息安全技能培训和信息安全管理培训等相关内容； 6.检查对违反信息安全规定的行为和信息安全事故的查处情况； 7.检查保障信息化设备的安全制度建立和落实情况； 8.检查办公、业务系统以及敏感信息在暂时不使用时的安全管控措施，以及重要信息资产迁移时的管理要求以及落实情况； 9.检查重要设备和机房环境的监控情况； 10.检查各单位使用数据的控制情况； 11.检查制定并实施具备可操作性的访问控制策略； 12.检查用户访问权限的定期检查情况； 13.检查对内部网络服务的访问控制情况； 14.检查文档管理制度建立及落实情况； 15.检查存储介质保存、使用和销毁的管理情况； 16.检查台式机、笔记本和移动存储介质的管控情况； 17.检查终端计算机设备的安全防护情况。 通过对以上情况的调查，填写《管理检查表》（附录1）。 7.基本情况调查 按照有关部门要求，对信息安全管理机构基本情况、产品的国产化情况，进行调查和汇总，并填写《基本情况调查表》（附录3）。 8.安全技术检查内容 1.路由器检查：安全配置方面，口令策略，设置管理口令，口令是否定期更换，开放的服务， 是否存在不明路由，是否屏蔽了高位端口，是否开启了日志功能，能对安全事件进行基本的记录，热/冷备份。（详见附录3：网络设备检查列表） 2.检查防病毒系统分发管理、事件响应、升级管理，事件记录等情况。（详见附录4：防病毒系统检查列表） 3.检查公文处理服务器的用户管理、系统配置、安全策略、日志审计、规范和操作流程，变更管理，远程控制、操作记录等情况。（详见附录5：公文处理服务器检查列表） 4.检查终端PC机的主机信息、漏洞核查、服务共享、木马检测、恶评插件等情况。（在互联网上下载必威体育精装版版360安全卫士进行检查，详见附录6：终端PC机检查列表） 9检查情况上报 各单位完成自查工作后，形成自查报告并以正式文件形式上报省局（信息中心），同时将《2010年度海南省国税系统信息安全检查方案》中《管理检查表》、《基本情况调查表》、《网络设备检查列表》、《防病毒系统检查列表》、《公文处理服务器检查列表》、《终端PC机检查列表》内容通过附件上报。 10落实整改措施 各单位应根据自查结果，综合分析本单位网络与信息系统的整体安全状况，制定整改计划，落实整改措施，排除发现的信息安全漏洞和隐患，切实保障全省国税系统网络与信息系统安全运行。 附录： 附录1：管理检查表 附录2：基本情况调查表 附录3：网络设备检查列表 附录4：防病毒系统检查列表 附录5