为认真落实上级文件要求,指导全区组织开展网络和重要信息系统、关键信息基础设施网络安全自查评估工作,依据《网络安全法》、《信息安全技术信息安全风险评估实施指南》(GB/T31509-2015)等法律规范,制定本指南。
本指南用于各单位在开展本部门网络安全自查评估工作时参考。
一、工作目标
按照统筹协调、分工负责的原则,坚持目标导向和问题导向,全面梳理全市网络和重要信息系统、关键信息基础设施底数,摸清现状,发现突出问题,排查风险隐患,建立健全网络安全责任制和防范机制,切实提升全市网络和重要信息系统、关键信息基础设施网络安全风险防控能力,筑牢守好网上政治安全“护城河”。
二、自查内容
(一)系统基础信息情况
网络和重要信息系统、关键信息基础设施的数量、分布情况、主管单位、网络安全管理部门、运维单位以及联系方式等。
(二)网络安全管理情况
网络安全管理机构和网络安全负责人设置,网络安全保护责任人和关键岗位人员的背景审查和履职情况;关键信息基础设施认定、变更,网络安全制度建立及网络安全责任制落实情况;人员、资产、外包服务等日常安全管理,与关键信息基础设施服务商签署安全保密协议情况;网络安全技术措施规划建设,服务器、存储设备、安全设备等国产化率情况;网络和重要信息系统运行维护,网络安全经费保障等情况。
(三)网络安全技术防护情况
网络和重要信息系统、关键信息基础设施的安全技术措施“三同步”情况;网络边界安全防护措施,互联网接入安全措施,无线网络安全防护策略;服务器、网络设备、安全防护设备等的安全策略配置及其有效性;终端计算机和移动存储介质的安全防护措施……
