您当前的位置:首页>>通知公告

关于开展关键信息基础设施网络安全检查的通知

发布时间:2017-11-03 丨 阅读次数:

各县(市、区)党委网络安全和信息化领导小组,市直各部门,各人民团体,各重点行业相关主管部门:

根据中央网信办《关于做好关键信息基础设施安全保障工作的实施方案》和省委网信办关于网络安全工作的有关要求,定于201711月至12月,在全市范围内开展关键信息基础设施网络安全检查工作。现将有关事项通知如下:

一、工作目标

通过对我市关键信息基础设施进行全面系统排查,掌握信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,全面提升我市信息安全防护能力,切实做好我市关键信息基础设施安全保障工作。

二、检查内容

(一)关键信息基础设施基本情况。关键信息基础设施的数量、分布情况、责任单位落实网络安全管理机构、工作体制机制、运维机构以及联系方式等情况。关键信息基础设施的主要功能、服务范围、数据存储情况以及遭受破坏后的危害性等情况。关键信息基础设施网络安全应急预案制定、演练、修订及完善情况。关键信息基础设施具体确定方法参见《关键信息基础设施确定指南》(附件1

(二)关键信息基础设施网络安全防护情况。关键信息基础设施防攻击、防病毒、防篡改、防瘫痪安全防护情况。关键信息基础设施防失窃密、破坏活动等安全保密工作情况。

(三)单位网络安全建设情况。网络安全工作领导到位、责任到位、人员到位、经费到位和措施到位情况,单位网络安全应急预案制定和演练情况等。

三、检查范围

(一)网站类。包括各县(市、区)以上党政机关门户网站、重要企事业单位网站、新闻网站等。

(二)平台类。包括网上购物、论坛、音视频等网络服务平台。

(三)生产业务类。包括工业控制系统、大型数据中心、云计算平台、电视转播系统等。

四、组织方式

(一)市委网络安全和信息化领导小组统筹协调全市网络安全检查和相关工作。

(二)各县(市、区)委宣传部(网信部门)统筹组织开展本地区各项检查工作,并按规定时间汇总、上报自查情况。电力、交通、水利、医疗卫生、环境保护、工业制造、市政、广播电视等行业主管部门应指导本行业各部门开展好本次网络安全检查工作。

五、工作安排

(一)自查摸底阶段(20171131日前)

各受检单位应按照检查内容要求,对本单位关键信息基础设施进行网络安全检查,排除网络安全隐患,并提交本单位网络安全检查相关材料,包括:关键信息基础设施采集表(附件2)、网络安全自查表(附件3)和网络安全自查报告(附件4)。

1、市直行业主管部门负责收集整理本行业本系统的网络安全检查相关材料,并撰写本行业网络安全自查报告。

2、市直各部门负责填写本单位网络安全检查相关材料。

3、各县(市、区)委宣传部(网信部门)统筹组织开展本地区各项检查工作,对本地区网络安全检查相关材料进行汇总,并撰写本地区网络安全自查报告。

请各单位于20171122日前将关键信息基础设施采集表、网络安全自查表和网络安全自查报告(纸质版加盖单位公章和电子版)统一报送至市委宣传部848房间。

(二)检查整改阶段(20171230日前

市网管办会同市工信委、市公安局、市保密局、市通管办等相关部门和第三方信息安全服务机构开展实地检查、督导和评估。

六、工作要求

(一)各地各部门各单位要高度重视网络安全检查,加强组织领导,严格落实网络安全责任制,将本次检查列入重要议事日程。

(二)市直各单位、各县(市、区)要抓紧组织开展自查,并按要求报送相关材料,提前做好实地检查相关准备工作。

(三)涉及国家秘密的网络和信息系统安全检查,按照国家保密管理规定执行。

联系人:张磊昂  胡涛涛

联系电话:3698081

附件1:关键信息基础设施确定指南

附件2:关键信息基础设施采集表

附件3:网络安全自查表

附件4:网络安全检查总结报告参考格式

                                          新乡市互联网宣传管理办公室

                                                                                                                 2017111

附件1

关键信息基础设施确定指南

(试行)

一、什么是关键信息基础设施

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如网上购物、网上支付、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

二、如何确定关键信息基础设施

关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

(一)确定本地区、本部门、本行业的关键业务。

可参考下表,结合本地区、本部门、本行业实际梳理关键业务。

(二)确定关键业务相关的信息系统或工业控制系统。

根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。

(三)认定关键信息基础设施。

对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。

A.网站类

符合以下条件之一的,可认定为关键信息基础设施:

1. 县级(含)以上党政机关网站。

2. 重点新闻网站。

3. 日均访问量超过100万人次的网站。

4. 一旦发生网络安全事故,可能造成以下影响之一的:

1)影响超过100万人工作、生活;

2)影响单个地市级行政区30%以上人口的工作、生活;

3)造成超过100万人个人信息泄露;

4)造成大量机构、企业敏感信息泄露;

5)造成大量地理、人口、资源等国家基础数据泄露;

6)严重损害政府形象、社会秩序,或危害国家安全。

5. 其他应该认定为关键信息基础设施。

B.平台类

符合以下条件之一的,可认定为关键信息基础设施:

1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。

2. 日均成交订单额或交易额超过1000万元。

3. 一旦发生网络安全事故,可能造成以下影响之一的:

1)造成1000万元以上的直接经济损失;

2)直接影响超过1000万人工作、生活;

3)造成超过100万人个人信息泄露;

4)造成大量机构、企业敏感信息泄露;

5)造成大量地理、人口、资源等国家基础数据泄露;

6)严重损害社会和经济秩序,或危害国家安全。

4.其他应该认定为关键信息基础设施。

C.生产业务类

符合以下条件之一的,可认定为关键信息基础设施:

1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。

2. 规模超过1500个标准机架的数据中心。

3. 一旦发生安全事故,可能造成以下影响之一的:

1)影响单个地市级行政区30%以上人口的工作、生活;

2)影响10万人用水、用电、用气、用油、取暖或交通出行等;

3)导致5人以上死亡或50人以上重伤;

4)直接造成5000万元以上经济损失;

5)造成超过100万人个人信息泄露;

6)造成大量机构、企业敏感信息泄露;

7)造成大量地理、人口、资源等国家基础数据泄露;

8)严重损害社会和经济秩序,或危害国家安全。

4.其他应该认定为关键信息基础设施。

附件2

关键信息基础设施采集表

备注:信息安全具体负责人即为此次实地检查联络人。

附件3

网络安全自查表

附件4

网络安全检查总结报告参考格式

一、报告名称

×××(单位名称)2017年网络安全检查总结报告。

二、检查总结报告组成

检查总结报告包括主报告、信息基础设施采集表及网络安全自查表三部分。

三、主报告内容要求

(一)网络安全检查工作组织开展情况

概述检查工作组织开展情况、所梳理的关键信息基础设施情况。

(二)关键信息基础设施确定情况

此次检查确定关键信息基础设施的数量、分布、功能等情况。

(三)2017年网络安全主要工作情况

详细描述本单位2017年在网络安全管理、技术防护、应急管理、宣传教育等方面开展的工作情况。

(四)检查发现的主要问题和面临的威胁分析

1. 发现的主要问题和薄弱环节

2. 面临的安全威胁与风险

3. 整体安全状况的基本判断

(五)改进措施与整改效果

1. 改进措施      2. 整改效果

(六)关于加强网络安全工作的意见和建

 

摄影作品
最新文章|更多