43．北京市人民政府办公厅 关于印发《北京市政府信息系统安全检查实施办法》的通知 （京政办发〔2010〕25 号） 各区、县人民政府，市政府各委、办、局，各市属机构： 《北京市政府信息系统安全检查实施办法》已经市政府同意，现印发给你们， 请认真贯彻执行。 北京市人民政府办公厅 二〇一〇年七月一日 北京市政府信息系统安全检查实施办法 第一章 总则 第一条 为贯彻落实《国务院办公厅关于印发〈政府信息系统安全检查办法〉 的通知》 （国办发〔2009〕28 号）精神，规范和加强本市政府信息系统安全检查 工作，结合本市实际情况，制定本实施办法。 第二条 各区县政府、市政府各部门和相关单位的信息系统适用本办法。 第三条 市经济信息化委负责本市政府信息系统安全检查的组织协调、指导 和监督工作，市公安局、市安全局、市保密局、市密码管理局等部门按照职责分 工负责安全检查的相关工作。各区县信息化主管部门负责本区县政府信息系统安 全检查的组织协调、指导和监督工作。 市政府各相关部门和单位使用的全国性信息系统，按国家主管部门和单位的 要求组织安全检查工作；市政府各相关部门和单位管理的全市性信息系统，由市 政府各相关部门和单位统一组织安全检查工作。 第四条 政府信息系统安全检查采取自查与抽查相结合的方式进行。按照“谁 主管谁负责、谁运行谁负责、谁使用谁负责”的原则，各区县政府、市政府各部 门和相关单位对自行或委托其他机构运行和维护管理，以及在建的办公系统、业 1 务系统、网站系统每半年组织一次安全检查，分别于每年的 6 月 30 日、11 月 30 日前完成。市经济信息化委会同市公安局、市安全局及市保密局、市密码管理局 等有关部门适时对重要网络与信息系统组织联合抽查。政府的办公系统、重要业 务系统、门户网站以及重要新闻网站，要作为检查重点。安全检查要统筹安排， 突出重点，明确责任，注重实效，保证质量。 第二章 检查内容 第五条 安全制度落实情况。重点检查信息安全主管领导、管理机构和管理 人员的落实情况，信息安全责任制和保密管理、密码管理、等级保护、服务外包、 重要部门（部位）人员管理等制度的建立和落实情况，信息安全经费保障情况。 第六条 信息安全等级保护工作落实情况。重点检查政府信息系统定级备案、 安全整改和等级测评情况。 第七条 电子公文的管理、审批、发布、传输情况。检查市政府各相关部门 和单位电子公文的传输途径，信息发布流程，相关审批制度以及应用系统的管理 情况，重点是涉密电子公文的管理、传输和使用情况。 第八条 政府信息系统中的密码使用情况。检查政府信息系统中使用密码是 否符合密码管理部门的要求，重点是使用商用密码是否符合国家密码管理局《关 于印发〈信息安全等级保护商用密码技术要求〉等规范的通知》 （国密局字〔2008〕 149 号）等文件要求，按照《商用密码产品目录》选用产品，并报市密码管理局 备案，以及产品使用的情况等。 第九条 安全防范措施落实情况。重点检查身份认证、访问控制、数据加密、 安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施 的有效性，以及计算机、移动存储设备、电子文档安全防护措施的落实情况。 第十条 应急响应机制建设情况。重点检查应急预案制定、演练、落实情况， 应急技术支援队伍建设情况，重大信息安全事故报告及处置情况，以及重要数据 和业务系统的备份情况。 第十一条 信息技术产品和服务国产化情况。重点检查终端计算机、公文处 理软件等使用国产产品的情况，信息化项目服务外包情况，对因特殊原因选用国 外信息技术产品和信息化服务的安全审查情况，以及信息安全产品政府采购和数 字证书应用情况。 2 第十二条 安全教育培训情况。重点检查工作人员参加信息安全教育培训、 掌握信息安全常识和技能、重点岗位持证上岗情况。 第十三条 责任追究情况。重点检查对违反信息安全规定行为和造成泄密事 故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施 落实情况。 第十四条 安全隐患排查及整改情况。重点检查政府信息系统风险评估及安 全测评情况，对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的 排查情况，以及分析产生问题和隐患的原因，研究制定和落实整改措施等情况。 第十五条 安全形势、安全风险状况等。系统、深入分析外部安全形势和内 部防范措施的有效性，全面评估政府信息系统的安全风险状况，提出改进意见。 第三章 检查方式 第十六条 安全检查以自查为主，各区县政府、市政府各部门和相关单位按 照本实施办法，制定具体的检查方案并认真组织实施。市经济信息化委、各区县 信息化主管部门要加强指导和监督。 第十七条 市经济信息化委会同有关部门制订年度政府信息系统安全检查指 南，明确检查的具体内容和要求，指导各区县政府、市政府各部门和相关单位做 好检查工作。 第十八条 为确保安全检查取得实效，市经济信息化委会同有关部门部署并 组织安全抽查工作，及时向被抽查单位通报发现的问题并提出整改建议。被抽查 单位要及时采取临时性控制措施，确保系统安全稳定运行，并认真研究落实整改 建议，在 1 个月内报告整改情况。 第十九条 各区县政府、市政府各部门和相关单位要将自查情况及时报市经 济信息化委，市经济信息化委汇集检查情况并会同有关部门进行综合分析，加强 预警监测和情况会商，开展险情研判，为处置重大信息安全突发事故提供支援， 并及时将有关情况通报各单位。 第四章 安全检测 第二十条 鉴于政府信息系统安全检查工作技术性和专业性较强，各区县政 府市政府各部门和相关单位应委托国家工业和信息化、公安、安全、保密、密码 3 管理等部门及本市所属的安全检测机构进行安全检测。各区县政府、市政府各部 门和相关单位要将政府信息系统信息安全检测费用纳入年度预算，市、区县财政 部门给予支持。 第二十一条 委托安全检测机构参与检查工作时，委托部门或单位应与安全 检测机构及检测人员签订安全保密协议，明确保密责任和保密期限。必要时，应 对参与检测的安全检测机构及检测人员的背景进行审查。 第五章 保障措施 第二十二条 各区县政府、市政府各部门和相关单位要把政府信息系统安全 检查工作列入重要议事日程，加强组织领导，明确检查责任，落实检查人员和经 费，保证检查工作顺利进行。对检查工作组织领导不力、要求不落实的，要予以 通报批评。 第二十三条 实施安全检查（抽查）的机构及人员要严格遵守检查工作纪律， 周密制定应急预案，控制安全风险，加强保密措施，保证被检查的信息系统正常 运行。检查结果除按规定报送外，不得提供给其他单位和个人。 第二十四条 建立信息安全检查工作责任制。凡开展信息安全自查工作，要 明确一位自查责任人。自查责任人必须对检查结果负责，未能及时发现问题或漏 洞导致安全事故的，要承担相应的责任。 第二十五条 各区县政府、市政府各部门和相关单位信息系统安全检查结果 列入年度信息化绩效考核成绩，对发生重大以上（含重大）信息安全事件的单位 实行一票否决。 第二十六条 对于违反本办法，造成危害公共安全、国家安全，泄露国家秘 密等后果，以及其他违反法律、法规和规章规定的情形，由公安、国家安全、保 密、密码管理、信息化等主管部门依法处理。 第六章 附则 第二十七条 电信、电力、金融、交通、广电、卫生、教育、市政市容等面 向社会提供服务的重要行业信息系统，参照本实施办法进行信息安全检查。 第二十八条 本办法自发布之日起实施。 4