關(guān)于開(kāi)展農(nóng)業(yè)部門網(wǎng)絡(luò)與信息安全檢查的通知
農(nóng)辦市[2012]16號(hào)

???各省、自治區(qū)、直轄市（農(nóng)牧、農(nóng)村經(jīng)濟(jì)）、畜牧、農(nóng)機(jī)、鄉(xiāng)企、獸醫(yī)、農(nóng)墾、漁業(yè)廳（局、委、辦），新疆生產(chǎn)建設(shè)兵團(tuán)農(nóng)業(yè)局，部機(jī)關(guān)各司局、直屬各事業(yè)單位：

????近日，國(guó)務(wù)院辦公廳、公安部等有關(guān)部門先后印發(fā)了《國(guó)務(wù)院辦公廳關(guān)于開(kāi)展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知》（國(guó)辦函[2012]102號(hào)）、《公安部信息安全等級(jí)保護(hù)監(jiān)督檢查通知書》（公信安?檢字[2012]001號(hào)）等文件并召開(kāi)會(huì)議，要求各地區(qū)、各部門和有關(guān)重點(diǎn)行業(yè)抓緊部署開(kāi)展網(wǎng)絡(luò)與信息安全檢查，全力保障網(wǎng)絡(luò)與信息安全。對(duì)此，我部領(lǐng)導(dǎo)高度重視，專門批示有關(guān)部門要認(rèn)真組織好網(wǎng)絡(luò)安全檢查工作。為切實(shí)做好農(nóng)業(yè)部門網(wǎng)絡(luò)與信息安全檢查工作，現(xiàn)就有關(guān)工作通知如下：

????一、檢查目的

????全面摸清各單位信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改等工作部署和落實(shí)情況。深入排查信息系統(tǒng)中存在的安全隱患和薄弱環(huán)節(jié)，分析評(píng)估面臨的安全威脅和風(fēng)險(xiǎn)，有針對(duì)性地采取防范對(duì)策和改進(jìn)措施。切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理、技術(shù)防護(hù)和人才隊(duì)伍建設(shè)，促進(jìn)安全防護(hù)能力和水平提升，防止重大信息安全事件的發(fā)生，切實(shí)保障農(nóng)業(yè)部門網(wǎng)絡(luò)與信息安全。

????二、檢查范圍

????本次檢查的范圍是為各單位履行政府職能或自身工作運(yùn)轉(zhuǎn)提供支撐的信息系統(tǒng)，包括自行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)、郵件服務(wù)系統(tǒng)等。檢查的重點(diǎn)是依托互聯(lián)網(wǎng)運(yùn)行的各類網(wǎng)站和信息安全等級(jí)保護(hù)級(jí)別在第三級(jí)（含）以上的重要網(wǎng)絡(luò)和信息系統(tǒng)。

????涉及國(guó)家秘密的網(wǎng)絡(luò)和信息系統(tǒng)按國(guó)家保密規(guī)定執(zhí)行，不在本次檢查范圍之內(nèi)。

????三、檢查內(nèi)容

????（一）信息安全責(zé)任制建立及落實(shí)情況

????檢查是否明確了信息安全主管領(lǐng)導(dǎo)，并對(duì)信息安全工作做出批示和具體部署；是否指定了信息安全管理機(jī)構(gòu)，制定了工作計(jì)劃、工作方案、管理規(guī)章制度等；是否配備了信息安全工作人員，并認(rèn)真開(kāi)展各項(xiàng)工作；是否發(fā)生過(guò)因違反制度規(guī)定而發(fā)生信息安全事故，并對(duì)事故責(zé)任進(jìn)行了追究。

????（二）日常安全管理制度建立及落實(shí)情況

????1.人員管理制度

????檢查是否有崗位信息安全責(zé)任、人員離崗離職管理、外部人員訪問(wèn)管理等相關(guān)規(guī)定；系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等重點(diǎn)崗位人員是否簽訂了安全保密協(xié)議；離崗離職人員信息系統(tǒng)訪問(wèn)權(quán)限是否及時(shí)終止；外部人員訪問(wèn)記錄是否完整。

????2.資產(chǎn)管理制度

????檢查是否有設(shè)備發(fā)放、使用、維修、維護(hù)和報(bào)廢等相關(guān)規(guī)定；對(duì)應(yīng)的實(shí)物，檢查資產(chǎn)臺(tái)賬是否完整，實(shí)物是否符合；是否指定了專人負(fù)責(zé)資產(chǎn)管理工作。

????3.存儲(chǔ)介質(zhì)管理制度

????檢查是否有介質(zhì)領(lǐng)用、交回、維修、報(bào)廢、銷毀等相關(guān)規(guī)定；了解存儲(chǔ)陣列、磁帶庫(kù)等大容量存儲(chǔ)介質(zhì)是否外聯(lián)，外聯(lián)時(shí)是否有安全防護(hù)措施，是否存在遠(yuǎn)程維護(hù)。

????4.運(yùn)行維護(hù)管理制度

????檢查運(yùn)行維護(hù)管理制度等相關(guān)文件是否包含備份、應(yīng)急、監(jiān)控、審計(jì)、變更管理等相關(guān)內(nèi)容；是否有運(yùn)維操作手冊(cè)；運(yùn)行維護(hù)管理制度是否認(rèn)真落實(shí)，相關(guān)記錄是否完整。

????5.年度教育培訓(xùn)

????檢查年度培訓(xùn)計(jì)劃制定情況和培訓(xùn)記錄（培訓(xùn)時(shí)間、培訓(xùn)內(nèi)容、人員簽到、培訓(xùn)講師等內(nèi)容），確認(rèn)信息安全管理人員和技術(shù)人員培訓(xùn)內(nèi)容中是否包含專業(yè)技能培訓(xùn)，機(jī)關(guān)工作人員培訓(xùn)內(nèi)容中是否包含信息安全基本技能培訓(xùn)。

????（三）信息安全等級(jí)保護(hù)制度落實(shí)情況

????檢查是否組織部署等級(jí)保護(hù)有關(guān)工作；是否制定發(fā)布等級(jí)保護(hù)政策文件、行業(yè)標(biāo)準(zhǔn)規(guī)范和管理制度等;所屬信息系統(tǒng)是否全部完成信息系統(tǒng)定級(jí)和備案;安全保護(hù)等級(jí)第三級(jí)（含）以上的重要信息系統(tǒng)每年是否開(kāi)展等級(jí)測(cè)評(píng)和安全建設(shè)整改；信息安全產(chǎn)品與服務(wù)的使用是否符合等級(jí)保護(hù)制度的規(guī)定（等級(jí)保護(hù)制度具體內(nèi)容可登陸www.djbh.net網(wǎng)站查詢）。

????（四）應(yīng)急處置及容災(zāi)備份情況

????檢查是否制定了信息安全事件應(yīng)急預(yù)案，并及時(shí)進(jìn)行了修訂和完善；是否定期組織開(kāi)展預(yù)案實(shí)施演練，相關(guān)人員是否熟悉操作流程；是否建立了災(zāi)難備份和恢復(fù)措施，應(yīng)急資源（技術(shù)支撐隊(duì)伍、備機(jī)備件等）是否配備到位。

????四、檢查方式

????本次檢查按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，采取自查與抽查相結(jié)合、以自查為主的方式開(kāi)展。

????（一）自查

????各單位要全面系統(tǒng)地檢查所涉及網(wǎng)絡(luò)與信息系統(tǒng)的安全情況，深入分析存在的隱患和問(wèn)題。自查方式應(yīng)以技術(shù)檢測(cè)為主，可聘請(qǐng)經(jīng)有關(guān)部門認(rèn)定的網(wǎng)絡(luò)安全測(cè)評(píng)機(jī)構(gòu)，使用檢測(cè)工具檢測(cè)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的端口、應(yīng)用、服務(wù)及補(bǔ)丁更新情況，檢測(cè)是否關(guān)閉了不必要的端口、應(yīng)用、服務(wù)，是否存在安全漏洞。鼓勵(lì)各單位組織專業(yè)技術(shù)力量，采取模擬攻擊方式對(duì)系統(tǒng)進(jìn)行滲透測(cè)試，檢驗(yàn)系統(tǒng)防入侵、防攻擊、防泄漏、防篡改等能力。

????（二）抽查

????1.部機(jī)關(guān)和直屬事業(yè)單位。部市場(chǎng)司、辦公廳、信息中心等有關(guān)單位將組成聯(lián)合檢查組，采取非破壞性攻擊滲透測(cè)試、現(xiàn)場(chǎng)核查等方式，對(duì)部分單位網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全抽查，查找安全漏洞和隱患，評(píng)估安全防護(hù)能力，研究提出改進(jìn)和加強(qiáng)安全保障的措施建議，并及時(shí)反饋有關(guān)單位。

????此外，公安部、工信部擬于近期派出檢查組對(duì)國(guó)務(wù)院各部門開(kāi)展網(wǎng)絡(luò)安全工作抽查。

????2.各地農(nóng)業(yè)部門。應(yīng)由本單位網(wǎng)絡(luò)安全監(jiān)管部門牽頭，會(huì)同本單位信息中心等有關(guān)單位，按照當(dāng)?shù)鼐W(wǎng)絡(luò)與信息安全協(xié)調(diào)小組及公安、工信等相關(guān)部門要求，認(rèn)真組織開(kāi)展信息網(wǎng)絡(luò)安全抽查工作。對(duì)發(fā)現(xiàn)的問(wèn)題要及時(shí)反饋有關(guān)單位，提出整改意見(jiàn)并督促落實(shí)。

????五、有關(guān)要求

????（一）邊檢查邊整改

????各單位要切實(shí)做好整改工作，檢查中發(fā)現(xiàn)問(wèn)題要及時(shí)采取有效措施加以整改。因條件不具備不能立即整改的，要制定整改計(jì)劃及整改方案，并采取臨時(shí)防范措施，確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運(yùn)行。要舉一反三，在同類系統(tǒng)、同類設(shè)備中排查類似問(wèn)題，切實(shí)提高信息系統(tǒng)安全防護(hù)水平。

????（二）加強(qiáng)風(fēng)險(xiǎn)控制與保密管理

????在開(kāi)展安全檢查工作時(shí)，要明確相關(guān)工作紀(jì)律并嚴(yán)格執(zhí)行。要識(shí)別檢查中的安全風(fēng)險(xiǎn)，周密制定應(yīng)急預(yù)案，強(qiáng)化風(fēng)險(xiǎn)控制措施，明確發(fā)生重大安全問(wèn)題時(shí)的處置流程，確保被檢查信息系統(tǒng)的正常運(yùn)行。要對(duì)技術(shù)檢測(cè)活動(dòng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，防止引入新的風(fēng)險(xiǎn)，并要求相關(guān)人員嚴(yán)格遵守操作規(guī)程。應(yīng)對(duì)重要數(shù)據(jù)和配置進(jìn)行備份，盡量避開(kāi)業(yè)務(wù)高峰期進(jìn)行技術(shù)檢測(cè)。

????各單位要高度重視保密工作，指定專人負(fù)責(zé)，對(duì)檢查活動(dòng)、檢查實(shí)施人員以及相關(guān)文檔和數(shù)據(jù)進(jìn)行嚴(yán)格管理，確保檢查工作中涉及到的國(guó)家秘密和商業(yè)秘密得到有效控制；對(duì)檢查人員進(jìn)行保密培訓(xùn)，確保檢查工作中獲知的信息不被泄露，檢查數(shù)據(jù)和檢查結(jié)果不向其他單位透露。

????（三）認(rèn)真做好總結(jié)

????各單位要對(duì)自查情況進(jìn)行全面總結(jié)，認(rèn)真撰寫自查報(bào)告（參考格式見(jiàn)附件，可登陸www.scs.moa.gov.cn/tzgg下載）。自查報(bào)告須給出對(duì)本單位安全狀況和安全防護(hù)能力的總體判斷。填寫檢查情況報(bào)告表時(shí)，應(yīng)避免出現(xiàn)漏項(xiàng)、錯(cuò)項(xiàng)、前后不一致等情況。要根據(jù)檢查報(bào)告內(nèi)容的敏感程度，確定報(bào)告密級(jí)并在報(bào)告首頁(yè)明確標(biāo)識(shí)。

????部機(jī)關(guān)和直屬事業(yè)單位請(qǐng)于7月25日前將自查報(bào)告報(bào)送市場(chǎng)與經(jīng)濟(jì)信息司。

????各地農(nóng)業(yè)部門請(qǐng)于7月25日前將自查報(bào)告通過(guò)電子郵件或傳真報(bào)送農(nóng)業(yè)部市場(chǎng)與經(jīng)濟(jì)信息司，同時(shí)抄報(bào)當(dāng)?shù)毓病⒐ば诺扔嘘P(guān)部門。

????聯(lián)系單位：農(nóng)業(yè)部市場(chǎng)與經(jīng)濟(jì)信息司

????聯(lián)系人：徐佳男

????聯(lián)系方式：010-5919150759192395（傳真）

????E-mail:xujianan@agri.gov.cn

????二〇一二年七月十七日