| 发文字号 | 索引号 | 00wgs-00000-2020-00018 | 发布日期 | 2020-12-07 | 有效性 | |
| 主题分类 | 市政府办文件 | 体裁分类 | 服务对象 |
关于开展全市电子政务外网网络安全风险排查工作的通知
各乡镇人民政府、街道办事处,市人民政府各部门,市直各单位:
《按照国家电子政务外网建设和管理协调小组办公室关于开展全国电子政务外网网络安全风险排查工作的通知》《河南省大数据管理局关于开展全省电子政务外网网络安全风险排查工作的通知》和《平顶山市政务服务和大数据管理局关于开展全市电子政务外网网络安全风险排查工作的通知》要求,为做好我市电子政务外网网络安全风险排查工作,落实各乡镇(街道)、市政府各部门网络安全主体责任,研究风险应对措施和方案,全面提升我市电子政务外网网络安全保护水平,经市政府研究,决定于2020年11月6日至2020年11月30日组织开展全市电子政务外网网络安全风险排查工作,现将《舞钢市电子政务外网网络安全风险排查工作方案》印发你们,请按照方案认真组织实施。
舞钢市人民政府办公室
2020年11月5日
舞钢市电子政务外网网络安全风险排查
工作方案
为落实《平顶山市政务服务和大数据管理局关于开展全市电子政务外网网络安全风险排查工作的通知》,切实做好我市电子政务外网网络安全工作,排查全市电子政务外网网络的安全隐患和风险薄弱点,落实各乡镇(街道)、市政府各部门的网络安全主体责任,研究风险应对措施和应急处置方案,全面提升我市电子政务外网网络安全保护水平,特制定本方案。
一、风险排查范围
本次风险排查范围包括:县、乡二级电子政务外网平台和电子政务外网接入单位的边界安全,以及依托电子政务外网部署的县、乡二级政务信息系统。其中,电子政务外网平台包括基础核心网络平台、统一政务云平台、数据共享交换平台、数据中心、网络信任设施等。
二、风险排查内容
本次风险排查的重点内容包括安全管理制度、安全防护措施、数据安全管理和日常安全管理等(政务外网风险排查清单详见附件1)。
(一)安全管理制度
重点排查政务外网安全建设和制度建立是否完备,安全管理机构设置是否合理,安全管理职责划分是否清晰,各级政务外网平台、政务信息系统是否开展等级保护备案,是否通过信息安全等级保护三级认证等。
(二)安全防护措施
重点排查网络边界、终端、数据中心、云平台等安全防护措施是否完备,政务外网与互联网是否部署有效的安全隔离措施,政务外网终端、服务器及其他设施是否存在两网通联情况,政务部门接入是否部署安全域、防火墙等安全隔离设备(参照信息安全等级保护二级认证要求)等。
(三)数据安全保护
重点排查政务云、数据中心等是否存在数据运维主体是第三方单位,相关管理要求是否完备,数据使用、流转过程中能否做到全程留痕,是否部署数据加密、脱敏等数据安全保护措施等。
(四)日常安全管理
重点排查安全运维管理机制是否健全,安全事件分析预警是否发挥作用,应急响应流程是否高效合理,运维人员业务能力素质是否达到要求等。
三、工作组织
(一)任务分工
市政务服务和大数据服务中心负责总体协调、组织推进、督促检查风险排查工作,组织有关方面研究应对措施,制定全市整改方案。
各乡镇(街道):负责组织本区域电子政务外网风险排查工作,形成本区域电子政务外网风险排查清单和风险排查报告(报告模板详见附件2),按期报送市政务服务和大数据服务中心。
市直各有关单位:负责组织本单位及所属二级机构电子政务外网风险排查工作,形成本单位电子政务外网风险排查清单和风险排查报告(报告模板详见附件3),按期报送市政务服务和大数据服务中心。
(二)时间安排
本次风险排查工作分三个阶段进行:
1.自查阶段
时间:2020年11月6日至11月8日
各乡镇(街道)、有关单位组织开展政务外网风险自查摸排,梳理汇总政务外网各方面存在的风险点,形成本辖区、本单位政务外网风险排查清单和风险排查报告,于2020年11月9日前报市政务服务和大数据服务中心。
2.抽查阶段
时间:2020年11月9日至11月13日
市政务服务和大数据服务中心组建抽查调研工作组,选择部分乡镇(街道)、市级政务外网接入单位抽查风险排查工作的落实情况并实地了解政务外网存在的风险隐患。
3.总结阶段
时间:2020年11月16日至11月30日
市政务服务和大数据服务中心针对各乡镇(街道)、有关单位报送材料及调研情况,组织有关方面梳理政务外网存在的突出问题和风险点,逐项研究提出风险应对措施,形成整改方案。
(三)其他说明
请各乡镇(街道)、有关单位要高度重视此次风险排查工作,责任落实到人。填写《舞钢市2020年度电子政务外网网络安全风险排查工作联系人表》,11月6日下午16:00前,报送市政务服务和大数据服务中心邮箱。
联 系 人:王会军: 15238223077
白 兵:18236675666
技术咨询:杜瑞莲: 0375-8163018,13503756116
周帅宗: 16637536022
邮 箱:wgszwfwhdsjfwzx@163.com
附件:1.政务外网网络安全风险排查清单
2.乡镇(街道)政务外网安全风险排查报告模板
3.市直单位接入部门政务外网安全风险排查报
告模板
4.舞钢市2020年度电子政务外网网络安全风险
排查工作联系人表
附件1
政务外网网络安全风险排查清单
序号 | 风险点 | 是否存在 |
(一)安全管理制度 | ||
1 | 参照等保三级要求(县级以下参照等保二级要求),政务外网安全管理制度不健全,或落实不到位 | |
2 | 政务外网安全管理机构缺失,安全管理无专人负责,或一人兼任多职 | |
3 | 政务外网安全管理职能交叉,安全管理存在死角或空白区域 | |
4 | 对接入政务外网的用户缺少管理手段,安全管理要求无法在末端落实 | |
5 | 政务外网平台和接入政务外网的各级政务部门业务系统未开展等级保护备案工作 | |
6 | 政务外网平台和接入政务外网的各级政务部门业务系统未通过等级保护测评 | |
7 | 政务外网平台和接入政务外网的各级政务部门业务系统未定期开展等级保护测评工作 | |
8 | ...... | |
(二)安全防护措施 | ||
1 | 政务外网边界及互联网出口安全防护措施不健全,没有部署抵抗大规模流量攻击或检测高级可持续威胁等攻击安全设施 | |
2 | 政务外网边界安全策略开放范围过宽,未按最小化授权原则部署限制策略 | |
3 | 数据中心政务外网公用网络区与互联网接入区之间没有严格按照外网标准实施强逻辑隔离 | |
4 | 政务外网侧设施存在通联互联网的情况 | |
5 | 政务部门接入政务外网的安全措施缺失或不足 | |
6 | 网络安全监测预警能力欠缺,无法及时发现网络攻击,没有覆盖本区域内政务外网 | |
7 | 移动办公未采用基于国密算法的安全接入VPN通道或移动端的安全防护措施不足 | |
8 | 政务外网终端(含政务外网接入部门局域网终端)存在同时访问政务外网和互联网情况 | |
9 | 政务外网终端主机防护措施未按照政务外网标准落实,存在被植入病毒木马情况 | |
10 | 政务外网数据中心安全防护措施不到位,不具备各区域间横向隔离措施 | |
11 | 政务外网云平台安全防护措施不到位,不具备租户之间的横向隔离措施 | |
12 | ...... | |
(三)数据安全保护 | ||
1 | 政务外网所承载的数据资源运维工作外包给数据服务外部公司,但缺乏监督和相应管理措施 | |
2 | 数据服务外包公司可以在不受监控的状态下完成数据操作 | |
3 | 没有与数据服务外包公司签订保密协议 | |
4 | 数据没有存储在政府部门受控机房内部 | |
5 | 数据集中存放区域缺少安全隔离措施,缺乏数据脱敏手段和数据加密措施 | |
6 | 数据资源审计手段缺失,没有实现数据全生命周期的监管 | |
7 | 未对数据进行分类分级安全管理,不能区分重要及敏感数据 | |
8 | 数据资源使用权限管理缺失,存在多人共用一个账号情况,防止数据导出泄露措施不足 | |
9 | ...... | |
(四)日常安全管理 | ||
1 | 信息安全通报制度落实不到位,无法及时向上级部门通报重大信息安全事件 | |
2 | 未制定网络与信息安全应急预案,或未定期开展应急演练,缺少及时处置安全事件的能力 | |
3 | 安全审计工作落实不到位,审计记录保存时间少于半年 | |
4 | 缺乏针对安全事件分析、风险预警能力 | |
5 | 缺少系统上线前的安全检测机制 | |
6 | 缺少对于安全策略的审批监管机制 | |
7 | 运维人员缺乏基本的安全运维素质,无法及时响应安全事件 | |
8 | 没有按照“分工负责、职责明确、最小授权和任期有限”的原则进行人员管理 | |
9 | 没有建立信息安全工作重要岗位上岗资格认定和年度审查制度 | |
10 | ...... | |
注:风险排查包括但不限于上述风险,请各单位、各部门自行补充填报。
附件2
乡镇(街道)政务外网安全风险排查报告模板
一、政务外网整体情况
简要概述政务外网平台整体运行、承载的业务系统、接入的政务部门、安全管理机构、安全管理制度、等保备案测评等情况。统计数据应准确有效,要有具体数量及占比分析。
二、风险排查情况
简要概述风险排查工作推进情况,对应政务外网风险排查清单具体阐述本区域内政务外网存在各项安全风险,统计数据应准确有效,要有具体数量及占比分析。
三、下一步措施
针对风险排查汇总的情况,提出相应的解决措施,如存在无法解决的风险点,应提出具体的原因及建议。
附件3
市直单位接入部门政务外网安全风险排查报告模 板
一、政务外网整体情况
简要概述政务外网平台整体运行、承载的业务系统、安全管理机构、安全管理制度、等保备案测评等情况。统计数据应准确有效,要有具体数量及占比分析。
二、风险排查情况
简要概述风险排查工作推进情况,对应政务外网风险排查清单具体阐述本区域内政务外网存在各项安全风险,统计数据应准确有效,要有具体数量及占比分析。
三、下一步措施
针对风险排查汇总的情况,提出相应的解决措施,如存在无法解决的风险点,应提出具体的原因及建议。
附件4
舞钢市2020年度电子政务外网网络安全风险排查
工作联系人表
类别 | 单位/乡镇(街道) | 姓名 | 职务 | 办公电话 | 联系电话 | 邮箱 |
分管领导 | ||||||
联系人 |
豫公网安备41048102000015号