關于開展農(nóng)業(yè)部門網(wǎng)絡與信息安全檢查的通知
農(nóng)辦市[2012]16號

???各省、自治區(qū)、直轄市（農(nóng)牧、農(nóng)村經(jīng)濟）、畜牧、農(nóng)機、鄉(xiāng)企、獸醫(yī)、農(nóng)墾、漁業(yè)廳（局、委、辦），新疆生產(chǎn)建設兵團農(nóng)業(yè)局，部機關各司局、直屬各事業(yè)單位：

????近日，國務院辦公廳、公安部等有關部門先后印發(fā)了《國務院辦公廳關于開展重點領域網(wǎng)絡與信息安全檢查行動的通知》（國辦函[2012]102號）、《公安部信息安全等級保護監(jiān)督檢查通知書》（公信安?檢字[2012]001號）等文件并召開會議，要求各地區(qū)、各部門和有關重點行業(yè)抓緊部署開展網(wǎng)絡與信息安全檢查，全力保障網(wǎng)絡與信息安全。對此，我部領導高度重視，專門批示有關部門要認真組織好網(wǎng)絡安全檢查工作。為切實做好農(nóng)業(yè)部門網(wǎng)絡與信息安全檢查工作，現(xiàn)就有關工作通知如下：

????一、檢查目的

????全面摸清各單位信息系統(tǒng)安全等級保護定級備案、等級測評、安全建設整改等工作部署和落實情況。深入排查信息系統(tǒng)中存在的安全隱患和薄弱環(huán)節(jié)，分析評估面臨的安全威脅和風險，有針對性地采取防范對策和改進措施。切實加強網(wǎng)絡與信息系統(tǒng)安全管理、技術防護和人才隊伍建設，促進安全防護能力和水平提升，防止重大信息安全事件的發(fā)生，切實保障農(nóng)業(yè)部門網(wǎng)絡與信息安全。

????二、檢查范圍

????本次檢查的范圍是為各單位履行政府職能或自身工作運轉提供支撐的信息系統(tǒng)，包括自行維護管理以及委托其他機構運行維護管理的辦公系統(tǒng)、業(yè)務系統(tǒng)、網(wǎng)站系統(tǒng)、郵件服務系統(tǒng)等。檢查的重點是依托互聯(lián)網(wǎng)運行的各類網(wǎng)站和信息安全等級保護級別在第三級（含）以上的重要網(wǎng)絡和信息系統(tǒng)。

????涉及國家秘密的網(wǎng)絡和信息系統(tǒng)按國家保密規(guī)定執(zhí)行，不在本次檢查范圍之內。

????三、檢查內容

????（一）信息安全責任制建立及落實情況

????檢查是否明確了信息安全主管領導，并對信息安全工作做出批示和具體部署；是否指定了信息安全管理機構，制定了工作計劃、工作方案、管理規(guī)章制度等；是否配備了信息安全工作人員，并認真開展各項工作；是否發(fā)生過因違反制度規(guī)定而發(fā)生信息安全事故，并對事故責任進行了追究。

????（二）日常安全管理制度建立及落實情況

????1.人員管理制度

????檢查是否有崗位信息安全責任、人員離崗離職管理、外部人員訪問管理等相關規(guī)定；系統(tǒng)管理員、網(wǎng)絡管理員、信息安全員等重點崗位人員是否簽訂了安全保密協(xié)議；離崗離職人員信息系統(tǒng)訪問權限是否及時終止；外部人員訪問記錄是否完整。

????2.資產(chǎn)管理制度

????檢查是否有設備發(fā)放、使用、維修、維護和報廢等相關規(guī)定；對應的實物，檢查資產(chǎn)臺賬是否完整，實物是否符合；是否指定了專人負責資產(chǎn)管理工作。

????3.存儲介質管理制度

????檢查是否有介質領用、交回、維修、報廢、銷毀等相關規(guī)定；了解存儲陣列、磁帶庫等大容量存儲介質是否外聯(lián)，外聯(lián)時是否有安全防護措施，是否存在遠程維護。

????4.運行維護管理制度

????檢查運行維護管理制度等相關文件是否包含備份、應急、監(jiān)控、審計、變更管理等相關內容；是否有運維操作手冊；運行維護管理制度是否認真落實，相關記錄是否完整。

????5.年度教育培訓

????檢查年度培訓計劃制定情況和培訓記錄（培訓時間、培訓內容、人員簽到、培訓講師等內容），確認信息安全管理人員和技術人員培訓內容中是否包含專業(yè)技能培訓，機關工作人員培訓內容中是否包含信息安全基本技能培訓。

????（三）信息安全等級保護制度落實情況

????檢查是否組織部署等級保護有關工作；是否制定發(fā)布等級保護政策文件、行業(yè)標準規(guī)范和管理制度等;所屬信息系統(tǒng)是否全部完成信息系統(tǒng)定級和備案;安全保護等級第三級（含）以上的重要信息系統(tǒng)每年是否開展等級測評和安全建設整改；信息安全產(chǎn)品與服務的使用是否符合等級保護制度的規(guī)定（等級保護制度具體內容可登陸www.djbh.net網(wǎng)站查詢）。

????（四）應急處置及容災備份情況

????檢查是否制定了信息安全事件應急預案，并及時進行了修訂和完善；是否定期組織開展預案實施演練，相關人員是否熟悉操作流程；是否建立了災難備份和恢復措施，應急資源（技術支撐隊伍、備機備件等）是否配備到位。

????四、檢查方式

????本次檢查按照“誰主管誰負責、誰運行誰負責”的原則，采取自查與抽查相結合、以自查為主的方式開展。

????（一）自查

????各單位要全面系統(tǒng)地檢查所涉及網(wǎng)絡與信息系統(tǒng)的安全情況，深入分析存在的隱患和問題。自查方式應以技術檢測為主，可聘請經(jīng)有關部門認定的網(wǎng)絡安全測評機構，使用檢測工具檢測操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、應用系統(tǒng)等的端口、應用、服務及補丁更新情況，檢測是否關閉了不必要的端口、應用、服務，是否存在安全漏洞。鼓勵各單位組織專業(yè)技術力量，采取模擬攻擊方式對系統(tǒng)進行滲透測試，檢驗系統(tǒng)防入侵、防攻擊、防泄漏、防篡改等能力。

????（二）抽查

????1.部機關和直屬事業(yè)單位。部市場司、辦公廳、信息中心等有關單位將組成聯(lián)合檢查組，采取非破壞性攻擊滲透測試、現(xiàn)場核查等方式，對部分單位網(wǎng)絡與信息系統(tǒng)進行安全抽查，查找安全漏洞和隱患，評估安全防護能力，研究提出改進和加強安全保障的措施建議，并及時反饋有關單位。

????此外，公安部、工信部擬于近期派出檢查組對國務院各部門開展網(wǎng)絡安全工作抽查。

????2.各地農(nóng)業(yè)部門。應由本單位網(wǎng)絡安全監(jiān)管部門牽頭，會同本單位信息中心等有關單位，按照當?shù)鼐W(wǎng)絡與信息安全協(xié)調小組及公安、工信等相關部門要求，認真組織開展信息網(wǎng)絡安全抽查工作。對發(fā)現(xiàn)的問題要及時反饋有關單位，提出整改意見并督促落實。

????五、有關要求

????（一）邊檢查邊整改

????各單位要切實做好整改工作，檢查中發(fā)現(xiàn)問題要及時采取有效措施加以整改。因條件不具備不能立即整改的，要制定整改計劃及整改方案，并采取臨時防范措施，確保網(wǎng)絡與信息系統(tǒng)安全正常運行。要舉一反三，在同類系統(tǒng)、同類設備中排查類似問題，切實提高信息系統(tǒng)安全防護水平。

????（二）加強風險控制與保密管理

????在開展安全檢查工作時，要明確相關工作紀律并嚴格執(zhí)行。要識別檢查中的安全風險，周密制定應急預案，強化風險控制措施，明確發(fā)生重大安全問題時的處置流程，確保被檢查信息系統(tǒng)的正常運行。要對技術檢測活動的安全風險進行評估，防止引入新的風險，并要求相關人員嚴格遵守操作規(guī)程。應對重要數(shù)據(jù)和配置進行備份，盡量避開業(yè)務高峰期進行技術檢測。

????各單位要高度重視保密工作，指定專人負責，對檢查活動、檢查實施人員以及相關文檔和數(shù)據(jù)進行嚴格管理，確保檢查工作中涉及到的國家秘密和商業(yè)秘密得到有效控制；對檢查人員進行保密培訓，確保檢查工作中獲知的信息不被泄露，檢查數(shù)據(jù)和檢查結果不向其他單位透露。

????（三）認真做好總結

????各單位要對自查情況進行全面總結，認真撰寫自查報告（參考格式見附件，可登陸www.scs.moa.gov.cn/tzgg下載）。自查報告須給出對本單位安全狀況和安全防護能力的總體判斷。填寫檢查情況報告表時，應避免出現(xiàn)漏項、錯項、前后不一致等情況。要根據(jù)檢查報告內容的敏感程度，確定報告密級并在報告首頁明確標識。

????部機關和直屬事業(yè)單位請于7月25日前將自查報告報送市場與經(jīng)濟信息司。

????各地農(nóng)業(yè)部門請于7月25日前將自查報告通過電子郵件或傳真報送農(nóng)業(yè)部市場與經(jīng)濟信息司，同時抄報當?shù)毓?、工信等有關部門。

????聯(lián)系單位：農(nóng)業(yè)部市場與經(jīng)濟信息司

????聯(lián)系人：徐佳男

????聯(lián)系方式：010-5919150759192395（傳真）

????E-mail:xujianan@agri.gov.cn

????二〇一二年七月十七日