漯公积金〔2021〕15号
漯河市住房公积金中心
关于印发《漯河市住房公积金中心网络安全风险评估制度》等三个管理制度的通知
中心各部室:
为进一步保障中心网络安全,经中心领导研究,制定了《漯河市住房公积金中心网络安全风险评估制度》《漯河市住房公积金管理中心网络安全责任制检查考核制度》,并对《漯河市住房公积金中心网络安全突发事件应急处置预案》进行了修订,现印发给你们,请认真贯彻执行。
附件: 1.漯河市住房公积金中心网络安全风险评估制度
2.漯河市住房公积金管理中心网络安全责任制检查考核制度
3.漯河市住房公积金中心网络安全突发事件应急处置预案
漯河市住房公积金中心
2021年6月7日
附件1
漯河市住房公积金中心网络安全风险评估制度
第一章 总则
第一条 为进一步提高漯河市住房公积金中心网络安全风险评估,及时排查、接收、研判、通报可能引发网络安全事件的情报信息,识别网络与信息系统的安全弱点,消除潜在的安全风险,制定本制度。
第二条 网络安全风险评估的对象包括服务器、数据库、网络和信息系统等(以下简称评估对象”),评估流程包括监测、识别、预警、处置等方式。
第二章 职责
第三条 网络与信息安全工作领导小组办公室负责网络安全风险评估总体工作。
第四条 建设或改变业务系统、网络环境等对中心网络安全影响重大的工作,需要进行系统性风险评估。
第五条 确保相关部室知晓和理解并遵守本制度。 在风险评估中发现风险隐患,相关部室应积极配合,并根据评估结果进行整改。
第三章 风险评估
第六条 风险评估意义
风险评估就是量化评判安全事件带来的影响或损失的可能程度,从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
第七条 风险评估流程
1、识别面临的各种风险;
2、评估风险概率和可能带来的负面影响;
3、确定承受风险的能力;
4、确定风险消减和控制的优先等级;
5、提出风险消减对策;
第八条 风险评估内容
1、通过网络弱点检测手段,识别信息系统在技术层面存在的安全弱点。
2、通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、业务系统等方面的信息,并进行相应的分析。
3、通过对人员、制度等相关安全管理措施的分析,了解现有的信息安全管理状况。通过对以上各种安全风险的分析和汇总,形成风险评估报告。
4、根据风险评估报告,提出相应的安全建议,指导下一步的信息安全建设。
第九条 风险评估执行后,由风险评估的执行者撰写并向网络与信息安全领导小组提交《风险评估报告》。
第十条 网络与信息安全领导小组办公室根据风险评估结果,组织进行整改。
附件2
漯河市住房公积金中心网络安全责任制检查
考核制度
第一章 总则
第一条 为加强我中心网络信息化安全管理,全面掌握中心各业务系统网络与信息安全现状,及时发现存在的薄弱环节和安全隐患,有效防范信息安全事件的发生,构建良好的网络环境,规范网络与信息安全检查工作,制定本检查考核制度。
第二条 网络与信息安全检查坚持“贵在真实,重在整改”的工作原则。
第三条 网络与信息安全检查工作由主要领导负责,分管副职组织实施,做到责任明确,措施到位。
第二章 检查方式和周期
第四条 网络信息安全工作检查采取自查、抽查和专项检查相结合的方式。
(一)自查是中心各部室基于本办法的要求,周期性开展的网络与信息安全检查。检查工作可以由各部室相关人员承担,也可以委托信息中心信息安全人员配合承担。
(二)抽查是指网络安全与信息化建设领导小组组织的网络与信息安全检查。网络安全与信息化建设领导小组办公室制定并实施中心的年度信息安全检查计划,检查工作可以由信息中心信息安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
(三)专项检查是由上级主管部门和当地网信部门具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。
第五条 检查周期
中心每年至少开展一次自查工作,检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。
第三章 检查内容和方法
第六条 检查内容可分为管理和技术两个方面。
管理方面是检查安全管理要求和制度的执行情况;技术方面是检查各软硬件、网络是否符合安全技术要求、安全配置要求以及其它安全技术规范。
第七条 检查方法应采取人工与技术手段相结合的方式进行,包括对系统进行漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和完整性。
第四章 检查流程和要求
第八条 检查流程包括:制定计划、准备、实施、改进等四个阶段。
第九条 计划阶段
检查前,组织者应制订具体的检查计划,确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。
第十条 准备阶段
(一)细化检查内容。如:检查的系统范围,检查的重点风险项,检查的技术手段等情况。
(二)配置必要的技术设备,如漏洞扫描工具、正版软件检查工具、WEB扫描工具等。
第十一条 实施阶段
(一)按照检查流程进行检查并如实记录。
(二)检查结束后,检查组织者出具《网络与信息安全检查报告》。
第十二条 改进阶段
对于检查过程中心发现的问题及时通报整改,整改完成后,并进行复检。
第十三条 妥善保留《网络与信息安全检查报告》、《网络与信息安全检查整改情况报告》等相关检查文档和报告。
第十四条 各种形式的检查都应获得相应授权,不得违反相关信息安全管理规定要求,应遵循对应用系统影响最小化的原则,严格控制可能带来高风险的检查方法;对于在线业务系统的评估检查时间必须避开业务高峰时期。
第五章 评价与考核
第十五条 检查考核组将按照《网络安全信息系统管理制度》,对各网络与信息安全检查工作、检查结果以及整改情况进行评价考核。
第十六条 网络安全建设和绩效纳入审计范围,作为领导班子、领导干部考核评价的主要内容。
第十七条 在网络与信息安全检查与整改工作中弄虚作假的,一经查实,将按照有关管理制度对该部室的相关责任人进行处罚。
附件3
漯河市住房公积金中心
网络安全突发事件应急处置预案
随着我中心信息化建设的不断发展,网络已成为中心业务办理的重要支撑平台,因此加强网络安全突发事件应急处置能力,保障中心业务的正常开展,是我们持续面临的一项重要任务。为了有效预防、及时控制和妥善处理我中心网络和信息突发事件,提高我中心快速反应和应急处理能力,建立健全应急机制,确保我中心信息系统安全,根据国家有关法律法规和我中心有关规定,制定本预案。
一、突发事件分级
根据突发事件的可控性、严重程度和影响范围,共分为三级:I级(一般)、II级(较大)和III级(重大)。
1.I级(一般)。网络设备故障、业务系统瘫痪或者网站瘫痪,但不危及中心业务数据安全,对业务办理秩序基本不造成影响,两小时内可以恢复的突发事件。
2.II级(较大)。网络设备故障、业务系统瘫痪或者网站瘫痪,但不危及中心业务数据安全,对业务办理秩序造成一定影响,两个小时内无法恢复,但在24小时内可以恢复的突发事件。
3.III级(重大)。网络设备故障、业务系统瘫痪或者网站瘫痪,对业务数据安全造成一定影响、业务办理秩序造成重大影响,在24小时内无法恢复的突发事件。
二、应急处理组织及职责
信息与网络安全突发事件由网络与信息安全工作领导小组负责,对网络安全事件进行组织指挥和应急处置。
三、信息与网络安全突发事件处理原则
1.预防为主。立足安全防护,加强预警,重点保护基础网络和关系业务稳定开展的重要信息系统,采取多种措施,充分发挥各方面的作用,共同构筑中心信息与网络安全保障体系。
2.快速反应。在信息与网络安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
3.分级负责。按照“谁主管,谁负责”的原则,建立和完善安全责任制及联动工作机制。
4.常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
5.人员保障。对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
四、信息与网络安全突发事件的报告与处置
1.事件发生并得到确认后,有关人员应立即将情况报告网络与信息安全工作领导小组领导,由领导决定是否启动预案。
2.相关工作人员进入应急处置工作状态,对相关事件进行跟踪,密切关注事件动向,协助调查取证,进行现场保护,系统恢复等工作,并且随时将新情况报告领导。
3.一旦发生相关人员不在岗的情况,由备用人员上岗操作,并向领导汇报情况。
五、突发事件应急处置预案
I级突发事件预案
1.由网络与信息安工作领导小组办公室组织人员进行处置。
2.事件处置相关人员应及时到位,通过虚拟化平台查明造成业务中断的原因,2小时内恢复业务。
3.事件处置完毕后,相关人员应及时上报事件发生的原因和处置情况。
II级突发事件预案
1.由网络与信息安全工作领导小组办公室组织人员进行处置。
2.如果需要其他部门协助的,可以由网络与信息安全工作领导小组进行协调。
3.事件处置相关人员应及时到位,通过天眼、防火墙等网络安全设备,第一时间隔离攻击源或泄密服务器,在确保数据安全的情况下,24小时内恢复业务服务。
4.事件处置完毕后,相关人员应及时上报事件发生的原因和处置情况。
III级突发事件预案
1.由网络与信息安工作领导小组组织人员进行处置。
2.事件处置相关人员应及时到位,通过天眼、防火墙等网络安全设备,第一时间检查数据泄露情况,如数据出现泄露情况,通过防火墙设备禁停一切访问与服务,保证备份系统与数据完好。立刻上报领导小组,通知设备厂商进行技术支持。以确保数据损失最低。
3.经过技术人员确认自己无法有效处置的,应立即向有关厂商或网络运营商请求紧急支援,并向网安部门报告。
4.事件处置完毕后,相关人员应及时上报事件发生的原因和处置情况。
突发事件应急处置具有一定的技巧性,在实际的应急事故处置过程中应注重创新及实效,切实加强我中心信息与网络安全突发事件应急处置机制建设,提高应急事件的处置能力,最大限度地减轻信息与网络安全突发事件的危害,保护缴存职工的公共利益,确保中心业务正常开展。
漯河市住房公积金中心办公室 2021年6月7日印发