信息安全檢查管理辦法

1、信息平安檢查管理方法第一章 總 那么第一條 為加強(qiáng)單位 公司 網(wǎng)絡(luò)與信息平安管理，全面掌握公司與所屬各業(yè)務(wù) 系統(tǒng)網(wǎng)絡(luò)與信息平安現(xiàn)狀，與時發(fā)現(xiàn)存在的薄弱環(huán)節(jié)和平安隱患，有效防信息平安 事件的發(fā)生，規(guī)網(wǎng)絡(luò)與信息平安檢查工作，制定本方法。第二條 網(wǎng)絡(luò)與信息平安檢查堅持“貴在真實，重在整改的工作原那么。第三條 網(wǎng)絡(luò)與信息平安檢查工作由各企業(yè)行政正職負(fù)責(zé)，分管副職組織實 施，做到責(zé)任明確，措施到位。第四條 本方法適用公司各部門。第二章 工作職責(zé)第五條 公司科技信息技術(shù)部的主要職責(zé)：一落實國家有關(guān)職能部門安排的各項網(wǎng)絡(luò)與信息平安檢查工作；二制定公司組織的網(wǎng)絡(luò)與信息平安檢查方案，并組織專家實施檢查與考 核工

2、作；三匯總、審閱系統(tǒng)各網(wǎng)絡(luò)與信息平安自查方案和自查報告，審核風(fēng)險控 制措施和整改方案，催促解決檢查中發(fā)現(xiàn)的突出問題；四組織研究網(wǎng)絡(luò)與信息平安檢查工作中存在的共性問題，并提出對策； 對涉與公司層面的重大問題，提出整改意見；五指導(dǎo)系統(tǒng)各企業(yè)全面、深入開展網(wǎng)絡(luò)與信息平安檢查工作，制定檢查 標(biāo)準(zhǔn)、制度與實施細(xì)那么第六條 公司各業(yè)務(wù)部門應(yīng)積極配合開展網(wǎng)絡(luò)與信息平安檢查工作。第七條 檢查人員應(yīng)嚴(yán)格遵守有關(guān)規(guī)定。第三章 檢查依據(jù)與容第八條 公司應(yīng)依據(jù)?信息技術(shù) 平安技術(shù) 信息平安管理體系? GB/T22080 和?信息平安管理實用規(guī)那么? ISO 27001:2005的要求，結(jié)合本公司網(wǎng)絡(luò)與信 息平安現(xiàn)狀以

3、與公司有關(guān)管理制度，確定檢查容。第九條 網(wǎng)絡(luò)與信息平安檢查容應(yīng)重點包括組織機(jī)構(gòu)與管理體系建設(shè)、規(guī)章制 度的貫徹執(zhí)行和監(jiān)視檢查、網(wǎng)絡(luò)平安管理、應(yīng)用系統(tǒng)平安管理、桌面辦公系統(tǒng)的使 用和平安管理、運行環(huán)境管理、運行值班與技術(shù)維護(hù)管理、 運行平安控制管理等容。第十條 各部門根據(jù)檢查目的和檢查重點的不同，可以直接引用?網(wǎng)絡(luò)與信息 平安檢查實施導(dǎo)那么?見附件一，也可以在此根底上定制適合的檢查表。第四章 檢查方式和周期第十一條 公司網(wǎng)絡(luò)與信息平安檢查采取自查、抽查和專項檢查相結(jié)合的方 式。一自查是個部門基于本方法的要求，周期性開展的網(wǎng)絡(luò)與信息平安檢查。 信息化主管部門制定并實施網(wǎng)絡(luò)與信息平安檢查的方案， 檢

4、查工作可以由信息平安 人員承擔(dān)，也可以委托具有相關(guān)平安認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請專家承擔(dān)。二抽查是指信息平安工作領(lǐng)導(dǎo)小組組織的網(wǎng)絡(luò)與信息平安檢查。公司信 息平安工作領(lǐng)導(dǎo)小組制定并實施公司的年度信息平安檢查方案， 檢查工作可以由系 統(tǒng)相關(guān)信息平安人員承擔(dān)， 也可以委托具有相關(guān)平安認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請專家承三專項檢查是由國家主管部門具有特定目的的網(wǎng)絡(luò)與信息平安檢查。檢 查工作由檢查組織單位委托具有相關(guān)平安認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請專家承擔(dān)。第十二條 檢查周期。一系統(tǒng)各企業(yè)每年至少開展一次自查工作。原那么上可選在“兩會與 國慶節(jié)前進(jìn)展，檢查重點為上次自查、抽查或者專項檢查問題的整改情況和發(fā)生變 化的系統(tǒng)。二抽查

5、工作是與階段性的重點工作、重大活動和節(jié)假日保電工作相結(jié)合 而開展的。三專項檢查工作是根據(jù)國家的階段性重點工作或者針對網(wǎng)絡(luò)與信息平安 事件原因而開展的。第五章 檢查容和方法第十三條 檢查容可分為管理和技術(shù)兩個方面。 管理方面檢查平安管理要求和 流程的執(zhí)行情況；技術(shù)方面檢查各軟硬件系統(tǒng)是否符合平安技術(shù)要求、平安配置要 求以與其它平安技術(shù)規(guī)。第十四條 檢查方法應(yīng)采取人工與技術(shù)手段相結(jié)合的方式進(jìn)展， 包括對系統(tǒng)進(jìn) 展基線檢查、漏洞掃描、滲透測試、日志審查、人員訪談、現(xiàn)場觀察、資料查閱等， 確保檢查的有效性和完整性。第六章 檢查流程和要求第十五條 檢查流程包括：制定方案、準(zhǔn)備、實施、改進(jìn)等四個階段。第十

6、六條 方案階段。 檢查前，組織者應(yīng)制訂具體的檢查方案， 確定本次檢查 圍、重點容、檢查方法、時間安排、人員安排、主要風(fēng)險與防措施等。第十七條 準(zhǔn)備階段一細(xì)化檢查容。如：檢查的系統(tǒng)圍，檢查的重點項，各個系統(tǒng)中增、刪、 改等重點操作的指令與關(guān)鍵詞等。二編寫?網(wǎng)絡(luò)與信息平安檢查表? 參見附件二。檢查表應(yīng)包含依據(jù)標(biāo) 準(zhǔn)、檢查方式、檢查容、檢查方法、檢查結(jié)果、問題描述、檢查人員和被檢查人員 簽字等容。三培訓(xùn)。重點培訓(xùn)檢查人員，說明檢查容和方法、主要風(fēng)險與防措施、 表格填寫要求、問題處理方法等。四配置必要的技術(shù)裝備，如漏洞掃描工具、WE掃描工具等。第十八條 實施階段一按照?網(wǎng)絡(luò)與信息平安檢查表?進(jìn)展檢查并

7、如實記錄。二檢查人員、配合人員共同簽字確認(rèn)檢查結(jié)果。三檢查完畢后，檢查組織者編寫?網(wǎng)絡(luò)與信息平安檢查報告? 參見附件 三，被檢查企業(yè)負(fù)責(zé)人在報告書簽字確認(rèn)后，于 3日提交上級主管部門備案。第十九條 改進(jìn)階段一被檢查部門認(rèn)真分析發(fā)現(xiàn)的問題，在 7日制訂?網(wǎng)絡(luò)與信息平安檢查問 題整改方案與實施方案?，做到“工程、措施、責(zé)任、時間和資金五落實；每月 對整改情況進(jìn)展督察。二整改完成后，向上級信息主管部門提交?網(wǎng)絡(luò)與信息平安檢查整改情 況報告?參見附件四，并提請復(fù)核。第二十條 ?網(wǎng)絡(luò)與信息平安檢查報告?、?網(wǎng)絡(luò)與信息平安檢查問題整改 方案與實施方案?、?網(wǎng)絡(luò)與信息平安檢查整改情況報告?等相關(guān)文檔，經(jīng)過審

8、批 后存檔。第二十一條 對于國家主管部門組織的各種網(wǎng)絡(luò)與信息平安檢查，被查企業(yè)要以、 或電子形式與時、逐級上報至公司科技信息技術(shù)部。被檢查部門應(yīng)按照本 方法相關(guān)要求進(jìn)展改進(jìn)，妥善保存有關(guān)檢查結(jié)果和報告并存檔。第二十二條 各種形式的檢查都應(yīng)獲得相應(yīng)授權(quán)，不得違反公司相關(guān)信息平安 管理規(guī)定要求，應(yīng)遵循對業(yè)務(wù)影響最小化的原那么，嚴(yán)格控制可能帶來高風(fēng)險的檢 查方法；對于在線業(yè)務(wù)系統(tǒng)的評估檢查時間必須避開業(yè)務(wù)頂峰時期。第七章 評價與考核第二十三條 集團(tuán)公司科技信息部將按照?公司工作評價與考核管理方法?， 對各網(wǎng)絡(luò)與信息平安檢查工作、檢查結(jié)果以與整改情況進(jìn)展評價考核。第二十四條 在網(wǎng)絡(luò)與信息平安檢查與整改

9、工作中弄虛作假的，一經(jīng)查實，將 按照公司有關(guān)管理制度對該企業(yè)的相關(guān)領(lǐng)導(dǎo)和責(zé)任人進(jìn)展處分。第八章 附 那么第二十五條 本方法自印發(fā)之日起實行。第二十六條 本方法由單位 公司科技信息技術(shù)部負(fù)責(zé)解釋。附件一、網(wǎng)絡(luò)與信息平安檢查表網(wǎng)絡(luò)與信息平安檢查表檢查序號檢杳類別檢杳要點檢杳依據(jù)檢杳力式結(jié)果記錄存在冋題描述檢杳人員簽字配合人員簽字附件二、網(wǎng)絡(luò)與信息平安檢查報告單位公司 網(wǎng)絡(luò)與信息平安檢查報告一、本次檢查概述 一 目的 二 時間三圍 四 依據(jù) 五 容 六 方法 七 檢查人員與配合人員二、檢查對象情況概述 一 系統(tǒng)效勞情況 二 組網(wǎng)情況 三 維護(hù)部門情況 四 平安防護(hù)現(xiàn)狀等等三、結(jié)果分析 一 列舉所有平安問題和平安隱患，并按照嚴(yán)重程度進(jìn)展劃分 二 說明平安問題和平安隱患的責(zé)任人員或責(zé)任部門四、改進(jìn)意見五、檢查結(jié)論六、本檢查報告分發(fā)圍檢查工程負(fù)責(zé)人簽名：附件1) 平安檢查表2) 其它輔助材