| 發(fā)文字號 | 索引號 | 00wgs-00000-2020-00018 | 發(fā)布日期 | 2020-12-07 | 有效性 | |
| 主題分類 | 市政府辦文件 | 體裁分類 | 服務(wù)對象 |
關(guān)于開展全市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作的通知
各鄉(xiāng)鎮(zhèn)人民政府、街道辦事處,市人民政府各部門,市直各單位:
《按照國家電子政務(wù)外網(wǎng)建設(shè)和管理協(xié)調(diào)小組辦公室關(guān)于開展全國電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作的通知》《河南省大數(shù)據(jù)管理局關(guān)于開展全省電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作的通知》和《平頂山市政務(wù)服務(wù)和大數(shù)據(jù)管理局關(guān)于開展全市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作的通知》要求,為做好我市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作,落實(shí)各鄉(xiāng)鎮(zhèn)(街道)、市政府各部門網(wǎng)絡(luò)安全主體責(zé)任,研究風(fēng)險應(yīng)對措施和方案,全面提升我市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保護(hù)水平,經(jīng)市政府研究,決定于2020年11月6日至2020年11月30日組織開展全市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作,現(xiàn)將《舞鋼市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作方案》印發(fā)你們,請按照方案認(rèn)真組織實(shí)施。
舞鋼市人民政府辦公室
2020年11月5日
舞鋼市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查
工作方案
為落實(shí)《平頂山市政務(wù)服務(wù)和大數(shù)據(jù)管理局關(guān)于開展全市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作的通知》,切實(shí)做好我市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作,排查全市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全隱患和風(fēng)險薄弱點(diǎn),落實(shí)各鄉(xiāng)鎮(zhèn)(街道)、市政府各部門的網(wǎng)絡(luò)安全主體責(zé)任,研究風(fēng)險應(yīng)對措施和應(yīng)急處置方案,全面提升我市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保護(hù)水平,特制定本方案。
一、風(fēng)險排查范圍
本次風(fēng)險排查范圍包括:縣、鄉(xiāng)二級電子政務(wù)外網(wǎng)平臺和電子政務(wù)外網(wǎng)接入單位的邊界安全,以及依托電子政務(wù)外網(wǎng)部署的縣、鄉(xiāng)二級政務(wù)信息系統(tǒng)。其中,電子政務(wù)外網(wǎng)平臺包括基礎(chǔ)核心網(wǎng)絡(luò)平臺、統(tǒng)一政務(wù)云平臺、數(shù)據(jù)共享交換平臺、數(shù)據(jù)中心、網(wǎng)絡(luò)信任設(shè)施等。
二、風(fēng)險排查內(nèi)容
本次風(fēng)險排查的重點(diǎn)內(nèi)容包括安全管理制度、安全防護(hù)措施、數(shù)據(jù)安全管理和日常安全管理等(政務(wù)外網(wǎng)風(fēng)險排查清單詳見附件1)。
(一)安全管理制度
重點(diǎn)排查政務(wù)外網(wǎng)安全建設(shè)和制度建立是否完備,安全管理機(jī)構(gòu)設(shè)置是否合理,安全管理職責(zé)劃分是否清晰,各級政務(wù)外網(wǎng)平臺、政務(wù)信息系統(tǒng)是否開展等級保護(hù)備案,是否通過信息安全等級保護(hù)三級認(rèn)證等。
(二)安全防護(hù)措施
重點(diǎn)排查網(wǎng)絡(luò)邊界、終端、數(shù)據(jù)中心、云平臺等安全防護(hù)措施是否完備,政務(wù)外網(wǎng)與互聯(lián)網(wǎng)是否部署有效的安全隔離措施,政務(wù)外網(wǎng)終端、服務(wù)器及其他設(shè)施是否存在兩網(wǎng)通聯(lián)情況,政務(wù)部門接入是否部署安全域、防火墻等安全隔離設(shè)備(參照信息安全等級保護(hù)二級認(rèn)證要求)等。
(三)數(shù)據(jù)安全保護(hù)
重點(diǎn)排查政務(wù)云、數(shù)據(jù)中心等是否存在數(shù)據(jù)運(yùn)維主體是第三方單位,相關(guān)管理要求是否完備,數(shù)據(jù)使用、流轉(zhuǎn)過程中能否做到全程留痕,是否部署數(shù)據(jù)加密、脫敏等數(shù)據(jù)安全保護(hù)措施等。
(四)日常安全管理
重點(diǎn)排查安全運(yùn)維管理機(jī)制是否健全,安全事件分析預(yù)警是否發(fā)揮作用,應(yīng)急響應(yīng)流程是否高效合理,運(yùn)維人員業(yè)務(wù)能力素質(zhì)是否達(dá)到要求等。
三、工作組織
(一)任務(wù)分工
市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心負(fù)責(zé)總體協(xié)調(diào)、組織推進(jìn)、督促檢查風(fēng)險排查工作,組織有關(guān)方面研究應(yīng)對措施,制定全市整改方案。
各鄉(xiāng)鎮(zhèn)(街道):負(fù)責(zé)組織本區(qū)域電子政務(wù)外網(wǎng)風(fēng)險排查工作,形成本區(qū)域電子政務(wù)外網(wǎng)風(fēng)險排查清單和風(fēng)險排查報告(報告模板詳見附件2),按期報送市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心。
市直各有關(guān)單位:負(fù)責(zé)組織本單位及所屬二級機(jī)構(gòu)電子政務(wù)外網(wǎng)風(fēng)險排查工作,形成本單位電子政務(wù)外網(wǎng)風(fēng)險排查清單和風(fēng)險排查報告(報告模板詳見附件3),按期報送市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心。
(二)時間安排
本次風(fēng)險排查工作分三個階段進(jìn)行:
1.自查階段
時間:2020年11月6日至11月8日
各鄉(xiāng)鎮(zhèn)(街道)、有關(guān)單位組織開展政務(wù)外網(wǎng)風(fēng)險自查摸排,梳理匯總政務(wù)外網(wǎng)各方面存在的風(fēng)險點(diǎn),形成本轄區(qū)、本單位政務(wù)外網(wǎng)風(fēng)險排查清單和風(fēng)險排查報告,于2020年11月9日前報市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心。
2.抽查階段
時間:2020年11月9日至11月13日
市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心組建抽查調(diào)研工作組,選擇部分鄉(xiāng)鎮(zhèn)(街道)、市級政務(wù)外網(wǎng)接入單位抽查風(fēng)險排查工作的落實(shí)情況并實(shí)地了解政務(wù)外網(wǎng)存在的風(fēng)險隱患。
3.總結(jié)階段
時間:2020年11月16日至11月30日
市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心針對各鄉(xiāng)鎮(zhèn)(街道)、有關(guān)單位報送材料及調(diào)研情況,組織有關(guān)方面梳理政務(wù)外網(wǎng)存在的突出問題和風(fēng)險點(diǎn),逐項研究提出風(fēng)險應(yīng)對措施,形成整改方案。
(三)其他說明
請各鄉(xiāng)鎮(zhèn)(街道)、有關(guān)單位要高度重視此次風(fēng)險排查工作,責(zé)任落實(shí)到人。填寫《舞鋼市2020年度電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查工作聯(lián)系人表》,11月6日下午16:00前,報送市政務(wù)服務(wù)和大數(shù)據(jù)服務(wù)中心郵箱。
聯(lián) 系 人:王會軍: 15238223077
白 兵:18236675666
技術(shù)咨詢:杜瑞蓮: 0375-8163018,13503756116
周帥宗: 16637536022
附件:1.政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查清單
2.鄉(xiāng)鎮(zhèn)(街道)政務(wù)外網(wǎng)安全風(fēng)險排查報告模板
3.市直單位接入部門政務(wù)外網(wǎng)安全風(fēng)險排查報
告模板
4.舞鋼市2020年度電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險
排查工作聯(lián)系人表
附件1
政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查清單
序號 | 風(fēng)險點(diǎn) | 是否存在 |
(一)安全管理制度 | ||
1 | 參照等保三級要求(縣級以下參照等保二級要求),政務(wù)外網(wǎng)安全管理制度不健全,或落實(shí)不到位 | |
2 | 政務(wù)外網(wǎng)安全管理機(jī)構(gòu)缺失,安全管理無專人負(fù)責(zé),或一人兼任多職 | |
3 | 政務(wù)外網(wǎng)安全管理職能交叉,安全管理存在死角或空白區(qū)域 | |
4 | 對接入政務(wù)外網(wǎng)的用戶缺少管理手段,安全管理要求無法在末端落實(shí) | |
5 | 政務(wù)外網(wǎng)平臺和接入政務(wù)外網(wǎng)的各級政務(wù)部門業(yè)務(wù)系統(tǒng)未開展等級保護(hù)備案工作 | |
6 | 政務(wù)外網(wǎng)平臺和接入政務(wù)外網(wǎng)的各級政務(wù)部門業(yè)務(wù)系統(tǒng)未通過等級保護(hù)測評 | |
7 | 政務(wù)外網(wǎng)平臺和接入政務(wù)外網(wǎng)的各級政務(wù)部門業(yè)務(wù)系統(tǒng)未定期開展等級保護(hù)測評工作 | |
8 | ...... | |
(二)安全防護(hù)措施 | ||
1 | 政務(wù)外網(wǎng)邊界及互聯(lián)網(wǎng)出口安全防護(hù)措施不健全,沒有部署抵抗大規(guī)模流量攻擊或檢測高級可持續(xù)威脅等攻擊安全設(shè)施 | |
2 | 政務(wù)外網(wǎng)邊界安全策略開放范圍過寬,未按最小化授權(quán)原則部署限制策略 | |
3 | 數(shù)據(jù)中心政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)之間沒有嚴(yán)格按照外網(wǎng)標(biāo)準(zhǔn)實(shí)施強(qiáng)邏輯隔離 | |
4 | 政務(wù)外網(wǎng)側(cè)設(shè)施存在通聯(lián)互聯(lián)網(wǎng)的情況 | |
5 | 政務(wù)部門接入政務(wù)外網(wǎng)的安全措施缺失或不足 | |
6 | 網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力欠缺,無法及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊,沒有覆蓋本區(qū)域內(nèi)政務(wù)外網(wǎng) | |
7 | 移動辦公未采用基于國密算法的安全接入VPN通道或移動端的安全防護(hù)措施不足 | |
8 | 政務(wù)外網(wǎng)終端(含政務(wù)外網(wǎng)接入部門局域網(wǎng)終端)存在同時訪問政務(wù)外網(wǎng)和互聯(lián)網(wǎng)情況 | |
9 | 政務(wù)外網(wǎng)終端主機(jī)防護(hù)措施未按照政務(wù)外網(wǎng)標(biāo)準(zhǔn)落實(shí),存在被植入病毒木馬情況 | |
10 | 政務(wù)外網(wǎng)數(shù)據(jù)中心安全防護(hù)措施不到位,不具備各區(qū)域間橫向隔離措施 | |
11 | 政務(wù)外網(wǎng)云平臺安全防護(hù)措施不到位,不具備租戶之間的橫向隔離措施 | |
12 | ...... | |
(三)數(shù)據(jù)安全保護(hù) | ||
1 | 政務(wù)外網(wǎng)所承載的數(shù)據(jù)資源運(yùn)維工作外包給數(shù)據(jù)服務(wù)外部公司,但缺乏監(jiān)督和相應(yīng)管理措施 | |
2 | 數(shù)據(jù)服務(wù)外包公司可以在不受監(jiān)控的狀態(tài)下完成數(shù)據(jù)操作 | |
3 | 沒有與數(shù)據(jù)服務(wù)外包公司簽訂保密協(xié)議 | |
4 | 數(shù)據(jù)沒有存儲在政府部門受控機(jī)房內(nèi)部 | |
5 | 數(shù)據(jù)集中存放區(qū)域缺少安全隔離措施,缺乏數(shù)據(jù)脫敏手段和數(shù)據(jù)加密措施 | |
6 | 數(shù)據(jù)資源審計手段缺失,沒有實(shí)現(xiàn)數(shù)據(jù)全生命周期的監(jiān)管 | |
7 | 未對數(shù)據(jù)進(jìn)行分類分級安全管理,不能區(qū)分重要及敏感數(shù)據(jù) | |
8 | 數(shù)據(jù)資源使用權(quán)限管理缺失,存在多人共用一個賬號情況,防止數(shù)據(jù)導(dǎo)出泄露措施不足 | |
9 | ...... | |
(四)日常安全管理 | ||
1 | 信息安全通報制度落實(shí)不到位,無法及時向上級部門通報重大信息安全事件 | |
2 | 未制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案,或未定期開展應(yīng)急演練,缺少及時處置安全事件的能力 | |
3 | 安全審計工作落實(shí)不到位,審計記錄保存時間少于半年 | |
4 | 缺乏針對安全事件分析、風(fēng)險預(yù)警能力 | |
5 | 缺少系統(tǒng)上線前的安全檢測機(jī)制 | |
6 | 缺少對于安全策略的審批監(jiān)管機(jī)制 | |
7 | 運(yùn)維人員缺乏基本的安全運(yùn)維素質(zhì),無法及時響應(yīng)安全事件 | |
8 | 沒有按照“分工負(fù)責(zé)、職責(zé)明確、最小授權(quán)和任期有限”的原則進(jìn)行人員管理 | |
9 | 沒有建立信息安全工作重要崗位上崗資格認(rèn)定和年度審查制度 | |
10 | ...... | |
注:風(fēng)險排查包括但不限于上述風(fēng)險,請各單位、各部門自行補(bǔ)充填報。
附件2
鄉(xiāng)鎮(zhèn)(街道)政務(wù)外網(wǎng)安全風(fēng)險排查報告模板
一、政務(wù)外網(wǎng)整體情況
簡要概述政務(wù)外網(wǎng)平臺整體運(yùn)行、承載的業(yè)務(wù)系統(tǒng)、接入的政務(wù)部門、安全管理機(jī)構(gòu)、安全管理制度、等保備案測評等情況。統(tǒng)計數(shù)據(jù)應(yīng)準(zhǔn)確有效,要有具體數(shù)量及占比分析。
二、風(fēng)險排查情況
簡要概述風(fēng)險排查工作推進(jìn)情況,對應(yīng)政務(wù)外網(wǎng)風(fēng)險排查清單具體闡述本區(qū)域內(nèi)政務(wù)外網(wǎng)存在各項安全風(fēng)險,統(tǒng)計數(shù)據(jù)應(yīng)準(zhǔn)確有效,要有具體數(shù)量及占比分析。
三、下一步措施
針對風(fēng)險排查匯總的情況,提出相應(yīng)的解決措施,如存在無法解決的風(fēng)險點(diǎn),應(yīng)提出具體的原因及建議。
附件3
市直單位接入部門政務(wù)外網(wǎng)安全風(fēng)險排查報告模 板
一、政務(wù)外網(wǎng)整體情況
簡要概述政務(wù)外網(wǎng)平臺整體運(yùn)行、承載的業(yè)務(wù)系統(tǒng)、安全管理機(jī)構(gòu)、安全管理制度、等保備案測評等情況。統(tǒng)計數(shù)據(jù)應(yīng)準(zhǔn)確有效,要有具體數(shù)量及占比分析。
二、風(fēng)險排查情況
簡要概述風(fēng)險排查工作推進(jìn)情況,對應(yīng)政務(wù)外網(wǎng)風(fēng)險排查清單具體闡述本區(qū)域內(nèi)政務(wù)外網(wǎng)存在各項安全風(fēng)險,統(tǒng)計數(shù)據(jù)應(yīng)準(zhǔn)確有效,要有具體數(shù)量及占比分析。
三、下一步措施
針對風(fēng)險排查匯總的情況,提出相應(yīng)的解決措施,如存在無法解決的風(fēng)險點(diǎn),應(yīng)提出具體的原因及建議。
附件4
舞鋼市2020年度電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險排查
工作聯(lián)系人表
類別 | 單位/鄉(xiāng)鎮(zhèn)(街道) | 姓名 | 職務(wù) | 辦公電話 | 聯(lián)系電話 | 郵箱 |
分管領(lǐng)導(dǎo) | ||||||
聯(lián)系人 |
豫公網(wǎng)安備41048102000015號