关键信息基础设施网络安全检查操作指引

1、国家网络安全检查操作指南中央网络安全和信息化领导小组办公室网络安全协调局2016年6月目 录1 概述11.1 检查目的11.2 检查工作流程12 检查工作部署32.1 研究制定检查方案32.2 成立检查办公室32.3 下达检查通知32.4 组织专项培训33 关键信息基础设施摸底43.1 关键信息基础设施定义及范围43.2 确定关键信息基础设施步骤43.3 关键信息基础设施信息登记64 网络安全检查74.1 网络安全责任制落实情况检查74.2 网络安全日常管理情况检查84.3.1人员管理检查84.3.2信息资产管理情况检查84.3.3 经费保障情况检查94.3 信息系统基本情况检查104.1.1 基本信息梳理104.1.2系统构成情况梳理104.1.2.1 主要硬件构成104.1.2.2 主要软件构成124.4 网络安全技术防护情况检查134.4.1 网络边界安全防护情况检查134.4.2 无线网络安全防护情况检查134.4.3 电子邮件系统安全防护情况检查144.4.4 终端计算机安全防护情况检查154.4.5 移动存储介质检查164.4.6 漏洞修复情况检查174.5 网络安全应急工

2、作情况检查194.6 网络安全教育培训情况检查204.7 技术检测及网络安全事件情况214.7.1 技术检测情况214.7.1.1 渗透测试214.7.1.2 恶意代码及安全漏洞检测214.7.2 网络安全事件情况234.8 外包服务管理情况检查245 检查总结整改265.1 汇总检查结果265.2 分析问题隐患265.3 研究整改措施265.4 编写总结报告266 注意事项276.1 认真做好总结276.2 加强风险控制276.3 加强保密管理27附件网络安全检查总结报告参考格式28国家网络安全检查操作指南为指导关键信息基础设施网络安全检查工作，依据关于开展关键信息基础设施网络安全检查的通知（中网办发20163号，以下简称检查通知），参照信息安全技术 政府部门信息安全管理基本要求（GB/T 29245-2012）等国家网络安全技术标准规范，制定本指南。本指南主要用于各地区、各部门、各单位在开展关键信息基础设施网络安全检查工作（以下简称“检查工作”）时参考。1 概述1.1 检查目的为贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”，“全面加强网络安全检查，摸清家底，认清

3、风险，找出漏洞，通报结果，督促整改”的重要指示精神，摸清关键信息基础设施底数，掌握关键信息基础设施风险和防护状况，以查“促建、促管、促改、促防”，推动建立关键信息基础设施网络安全责任制和防范体系，保障关键信息基础设施的安全稳定运行。1.2 检查工作流程检查工作流程通常包括检查工作部署、关键信息基础设施摸底、网络安全检查、检查总结整改四个步骤。其中，网络安全检查包括信息系统基本情况检查、网络安全责任制落实情况检查、网络安全日常管理情况检查、网络安全防护情况检查、网络安全应急工作情况检查、网络安全教育培训情况检查、技术检测及网络安全事件情况检查、信息技术外包服务机构情况检查等八个环节，如下图所示。图1 网络安全检查工作流程图2 检查工作部署检查工作部署通常包括研究制定检查方案、成立检查办公室、下达检查通知等具体工作。2.1 研究制定检查方案 本单位网络安全管理部门根据检查通知统一安排，结合工作实际，制定检查方案，并报本单位网络安全主管领导批准。检查方案应当明确以下内容：（1）检查工作负责人、组织机构和具体实施机构；（2）检查范围和检查重点；（3）检查内容；（4）检查工作组织开展方式；（5）

4、检查工作时间进度安排；（6）有关工作要求。1. 关于检查范围。检查的范围通常包括本单位各内设机构，以及为本单位信息系统（包括网站系统、平台系统、生产业务系统等）提供运行维护支撑服务的下属单位。可根据本单位网络安全保障工作需要，将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。2. 关于检查重点。在对各类信息系统进行全面检查的基础上，应突出重点，对事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的关键信息基础设施进行重点检查。3. 关于关键信息基础设施确定，应结合本单位实际，参考关于开展关键信息基础设施网络安全检查的通知中的关键信息基础设施确定指南进行确定。2.2 成立检查办公室本单位网络安全管理部门制定完成检查方案后，应及时成立检查办公室，明确人员、经费和技术保障；组织开展培训，保证办公室成员熟悉检查方案，掌握检查内容、填报工具使用方法等。办公室成员通常由网络安全管理及运维部门、信息化部门有关人员，相关业务部门中熟悉业务、具备网络安全知识的人员，以及本单位相关技术支撑机构的业务骨干等组成。对于网络与信息系统复杂、检查工作涉

5、及部门多的单位，可根据需要成立检查工作领导小组，负责检查工作的组织协调与资源配置。领导小组组长可由本单位主要负责同志担任，领导小组成员可包括网络安全管理机构负责人（如办公厅主任）、信息化部门负责人（如信息中心主任），以及其他相关部门负责人（如人事部门、财务部门、业务部门领导）等。2.3 下达检查通知本单位网络安全管理部门应以书面形式部署关键信息基础设施网络安全检查工作，明确检查时间、检查范围、检查内容、工作要求等具体事项。2.4 组织专项培训本单位要组织专项培训，对本单位负责检查工作的干部、专家、技术人员、有关关键信息基础设施运维人员等进行广泛培训，确保检查工作质量，培训内容应包括检查目的意义、流程方法、关键信息基础设施确定方法及登记表填报说明、网络安全检查方法等。3 关键信息基础设施摸底3.1 关键信息基础设施定义及范围关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设

6、施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。3.2 确定关键信息基础设施步骤关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。（一）确定本地区、本部门、本行业的关键业务。可参考表1，结合本地区、本部门、本行业实际梳理关键业务。表1 关键信息基础设施业务判定表行业关键业务能源电力l 电力生产（含火电、水电、核电等）l 电力传输l 电力配送石油石化l 油气开采l 炼化加工l 油气输送l 油气储存煤炭l 煤炭开采l 煤化工金融l 银行运营l 证券期货交易l 清算支付l 保险运营交通铁路l 客运服务l 货运服务l 运输生产l 车站运行民航l 空运交通管控l 机场运行l 订票、离港及飞行调度检查安排l 航空公司运营公路l 公路交通管控

7、l 智能交通系统（一卡通、ETC收费等）水运l 水运公司运营（含客运、货运）l 港口管理运营l 航运交通管控水利l 水利枢纽运行及管控l 长距离输水管控l 城市水源地管控医疗卫生l 医院等卫生机构运行l 疾病控制l 急救中心运行环境保护l 环境监测及预警（水、空气、土壤、核辐射等）工业制造（原材料、装备、消费品、电子制造）l 企业运营管理l 智能制造系统（工业互联网、物联网、智能装备等）l 危化品生产加工和存储管控（化学、核等）l 高风险工业设施运行管控市政l 水、暖、气供应管理l 城市轨道交通l 污水处理l 智慧城市运行及管控电信与互联网l 语音、数据、互联网基础网络及枢纽l 域名解析服务和国家顶级域注册管理l 数据中心/云服务广播电视l 电视播出管控l 广播播出管控政府部门l 信息公开l 面向公众服务l 办公业务系统（二）确定关键业务相关的信息系统或工业控制系统。根据关键业务，逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统，形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等；市政供水相关的水厂生产控制系统、供水管网监控系统等。（三

8、）认定关键信息基础设施。对候选关键信息基础设施清单中的信息系统或工业控制系统，根据本地区、本部门、本行业实际，参照以下标准认定关键信息基础设施。A.网站类符合以下条件之一的，可认定为关键信息基础设施：1. 县级（含）以上党政机关网站。（2016年检查中，所有党政机关网站均应填写上报登记表）2. 重点新闻网站。（2016年检查中，所有新闻网站均应填写上报登记表）3. 日均访问量超过100万人次的网站。4. 一旦发生网络安全事故，可能造成以下影响之一的：（1）影响超过100万人工作、生活；（2）影响单个地市级行政区30%以上人口的工作、生活；（3）造成超过100万人个人信息泄露；（4）造成大量机构、企业敏感信息泄露；（5）造成大量地理、人口、资源等国家基础数据泄露；（6）严重损害政府形象、社会秩序，或危害国家安全。5. 其他应该认定为关键信息基础设施。B.平台类符合以下条件之一的，可认定为关键信息基础设施：1. 注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万。2. 日均成交订单额或交易额超过1000万元。3. 一旦发生网络安全事故，可能造成以下影响之一的：（1）造成1000万元以上的直接经济损失；（2）直接影响超过1000万人工作、生活；（3）造成超过100万人个人信息泄露；（4）造成大量机构、企业敏感信息泄露；（5）造成大量地理、人口、资源等国家基础数据泄露；（6）严重损害社会和经济秩序，或危害国家安全。4.其他应该认定为关键信息基础设施。C.生产业务类符合以下条件之一的，可认定为关键信息基础设施：1. 地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。2. 规模超过1500个标准机架的数据中心。3. 一旦发生安全事故，可能造成以下影响之一的：（1）影响单个地市级行政区30%以上人口的工作、生活；（2）影响10万人用水、用电、用气、用油、取暖或交通出行等；（3）导致5人以上死亡或50人以上重伤；（4）直接造成5000万元以上经济损失；（5）造成超过100万人个人信息泄露；（6）造成大量机构、企业敏感信息泄露；（7）造成大量地理、人口、资源等国家基础数据泄露；（8）严重损害社会和经济秩序，或危害国家安全。4.其他应该认定为关键信息基础设施。3.3 关键信息

《关键信息基础设施网络安全检查操作指引》由会员博****1分享，可在线阅读，更多相关《关键信息基础设施网络安全检查操作指引》请在金锄头文库上搜索。