(四)检查中涉及国家安全工作的,按照
国家安全法及其相关规定执行;涉及保密工作的,按照国家保密管理规定和标准执行;涉及密码工作的,按照国家密码管理规定执行;涉及信息安全等级保护的,按照国家信息安全等级保护管理规定执行。
三、检查范围
各区县政府、市级各部门、各开发区管委会自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、重要业务系统、网站系统以及重要新闻网站。
部门(单位)管理的全市信息系统,由主管部门(单位)按照本办法统一组织部署安全检查工作。
四、检查内容
重点检查与网络和信息系统相关的硬件、软件、服务、信息和人员的基本情况,对信息系统存在的管理和技术薄弱环节进行查找、分析归纳;对已有安全管理体系、安全措施进行核实和评价,主要包括以下内容:
(一)安全管理制度建立与落实。重点检查信息安全责任制的落实情况,包括机构到位、人员到位、责任到位、措施到位。运维管理、保密管理、密码管理、等级保护、重要部门(重点、敏感岗位)人员管理等制度建立和落实情况。
(二)安全防范措施建立与落实。重点检查身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性,以及计算机、移动存储设备、电子文档的安全防护措施的落实情况。
(三)应急响应机制建立与落实。重点检查应急预案制定、演练、落实情况,应急技术支援队伍建设情况,重大信息安全事故发生及处置情况,重要数据和业务系统采取的备份措施及备份方式情况。
(四)信息技术产品和服务国产化情况。重点检查终端计算机、公文处理软件、信息安全产品等使用国产产品的情况,包括信息系统关键部位的服务器、路由器、交换机等使用国产产品的情况,以及信息安全服务外包情况。对因特殊原因选用国外信息安全技术产品和信息安全服务安全审查情况。
(五)安全教育培训情况。重点检查工作人员安全和保密意识教育、安全技能培训,以及对信息安全常识和技能掌握情况的考核。重点、敏感岗位人员制订特殊管理措施,重点岗位持证上岗情况。
(六)责任追究情况。重点检查对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况,对责任人和有关负责人的责任追究以及惩处措施的落实情况。
(七)运维管理情况。重点检查信息系统制度的维护,详细的设备、系统运维记录和安全日志分析报告,系统性能的监控措施及运行状况。
