|
一、安全检查服务背景
保密工作事关党和国家的安全和利益,它直接关系着改革、发展、稳定的大局。当前,国际国内形势继续发生深刻变化,我国面临的安全环境日趋复杂,窃密与反窃密斗争更加尖锐。特别是随着云计算、物联网、三网融合、移动互联和“大数据”等新技术的广泛运用,泄密风险隐患不断增多,保密工作面临的风险挑战前所未有。面对“剑悬头顶、刻不容缓”的严峻形势,我们要进一步提高对安全检查工作的重视程度,有效提升泄密隐患发现能力,为信息安全工作提供有力支撑。
安全检查是健全信息安全保障体系的重要举措,对于提升保密工作整体水平具有重要而深远的意义。以查促管、以查促防、以查促改、以查促教,将建设管理与检查有机结合,有利于形成安全检查工作的强大合力,提升单位的安全水平。因此,安全检查的周期化、规范化、专业化有利于完善长效机制,更好地保障安全工作的开展。
安全检查是一项专业性、严肃性较强的工作,各涉密单位临时抽人员、拉队伍的做法已无法适应检查任务需要。如何在不增加人员编制的情况下,充分考虑检查工作实际要求,整合保密及信息中心资源,对本单位本部门进行高效高质量的安全检查,成了本单位保密工作领导小组必须考虑的一件大事。方案建立基础是依托外部人员提供的安全辅助检查服务,明确涉密单位的安全检查实践中的具体操作,最终为涉密单位提供专业的安全检查报告、具体的保密隐患清单和改进意见以及必要的隐患整改复查服务,形成涉密单位年度保密自查资料。
二、安全检查服务目的
1.提升单位的安全水平:检查技术防护落实情况,排查安全隐患。
2.安全自查,形成自查报告:信息系统每年至少一次安全自查,并形成技术管理文档。
三、安全检查服务项目工作内容
安全检查分项工作汇总表 | |||
检查总项 | 检查分项 | 服务目标 | 服务方式 |
安全检查总体设计 | 安全检查总体方案设计 | 检查组 | 专家编写 |
检查前现状分析及梳理 | 检查组 | 专家组调研 | |
安全保密方案商榷 | 检查组 | 专家参与 | |
通知编写或动员培训配合 | 受检全员 | 专家参与 | |
安全检查现场服务 | 基本信息检查 | 终端、服务器 | 技术+人工 |
上网信息检查 | 终端、服务器 | 技术+人工 | |
USB设备信息检查 | 终端、服务器 | 技术+人工 | |
主机设备信息 | 终端、服务器 | 技术+人工 | |
系统安全信息 | 终端、服务器 | 技术+人工 | |
本地安全设置 | 终端、服务器 | 技术+人工 | |
终端打印权限检查 | 终端、服务器 | 技术+人工 | |
终端刻录权限检查 | 终端、服务器 | 技术+人工 | |
终端高危漏洞检查 | 终端、服务器 | 技术+人工 | |
现有文件敏感信息检查 | 终端、服务器 | 技术+人工 | |
检查报告(含隐患梳理) | 检查组 | 专家编写 | |
整改意见 | 检查组 | 专家编写 | |
安全检查风险评估 | 隐患复测 | 终端、服务器 | 技术+人工 |
复测结论 | 终端、服务器 | 专家编写 | |
风险评估报告编制 | 检查组 | 专家编写 |
四、安全检查服务项目成果
1.安全检查方案。
2.安全检查现场实施服务记录单。
3.安全保密隐患清单、隐患消除建议、隐患复查及复查结论。
4.安全检查报告。