一、检查目的
通过开展网络安全检查,以查促建、以查促管、以查促改、以查促防,增强安全意识,落实安全责任,分析安全风险,评估安全状况,排查安全隐患,健全管理制度,完善防护措施,提升自主可控水平和安全防护能力,预防和减少网络安全事件的发生,切实保障学院重要网络与信息系统的安全运行。
二、检查范围
检查范围主要包括学院两个校区的各职能部门办公室、教室、实训楼、实验室、学生宿舍的重要网络与信息系统。检查重点是非涉密网络中的重要业务系统和网站系统。涉及国家秘密的信息系统安全检查,按照国家保密管理规定执行,不在此次检查范围中。
三、检查内容
(一)网络安全管理情况
按照省、市网络安全政策和标准规范要求,建立健全网络安全管理制度及落实情况。重点检查网络安全主管领导、管理机构和信息安全员岗位设置及履职情况,网络安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,网络安全经费保障情况等。
(二)技术防护情况
按照省、市网络安全政策和标准规范要求,建立健全技术防护体系及安全防护情况。重点检查防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;风险评估与等级保护等保障工作落实情况;网络边界防护措施,互联网接入安全措施,无线网络安全防护策略;服务器、网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(三)应急工作情况
按照省、市网络与信息安全事件应急预案要求,建立健全网络安全应急工作体系情况。重点检查网络安全事件应急预案制定、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;重大网络安全事件处置情况等。
(四)宣传教育培训情况
重点检查网络安全宣传教育、领导干部及各级人员网络安全基础培训、信息安全员接受持证上岗培训情况等。
(五) WindowsXP停止安全服务应对工作情况
重点检查WindowsXP使用情况,安全保护方案制定情况,安全防护产品部署情况,采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况,推广国产操作系统和应用软件的工作落实情况等。
(六)数据及系统可控可管
重点检查数据中心及使用的云计算服务设施是否设在境外,采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构,系统是否被境外机构远程控制等情况。
(七)安全问题整改情况
上一年度安全检查问题的整改情况及整改效果,本年度安全检查发现问题的整改情况及整改效果,进一步分析安全风险状况。
四、检查方式
网络安全检查以自查为主,网络信息安全工作小组将对部分重要网络及信息系统进行安全抽查。
(一)安全自查
各职能部门、各师生个体按要求对个人PC开展自查。
各智能部门、教学单位应制定检查实施方案,明确检查范围,周密计划,精心部署,认真实施。为确保检查工作取得实效,各职能部门、教学单位可组织开展安全抽查和技术检测,深入挖掘安全隐患,及时整改安全问题。
各职能部门、教学单位针对防护管理、应急管理、教育培训、安全检查等方面进行量化评估,总结成绩、查找不足,更好地推动网络安全管理工作。
(二)安全抽查
由主管院领导、学院信息中和各职能部门、教学单位信息安全联络员组成的抽查组,对重要网站、重要信息网络和系统进行安全抽查,将抽查中发现的问题通报给相关部门,督促其进行核查和整改,对不认真整改的单位予以通报批评,按照相关法规和学院制度责令整顿。
六、时间安排
2015年6月1日---6月14日,为自查阶段。6月15日前,各职能部门、教学单位将检查材料报送网络信息安全工作小组。
2015年7月,主管院领导组织网络信息安全工作小组和各职能部门、教学单位网络信息安全联络员对学院重要的网络信息系统进行抽查。
七、工作要求
(一)加强领导,落实责任
各职能部门、教学单位要把网络安全检查工作列入重要议事日程,加强组织领导,明确检查责任,落实检查机构、检查人员、检查经费及其他保障条件,确保检查工作顺利进行。
(二)认真实施,确保成效
各职能部门、教学单位要周密制定检查实施方案,全面深入查找安全问题和隐患,切实做到不走过场、不漏环节、不留死角。对发现的问题要及时整改,举一反三,标本兼治,因条件不具备暂时不能整改的问题应采取临时防范措施。
(三)控制风险,强化保密
各职能部门、教学单位要强化风险控制,有针对性地制定检查工作应急预案,确保被检查系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。