信息安全檢查規(guī)范1.0.docx

信息安全檢查規(guī)范 1 前言 本文件的目標(biāo)是規(guī)范XX（單位）信息安全檢查工作的具體過(guò)程，明確各相關(guān)方的職責(zé)和工作內(nèi)容，為信息安全檢查工作的順利開展提供有效的指導(dǎo)。 本文件主要描述了信息安全檢查的工作職責(zé)，安全檢查的主要類型、內(nèi)容，以及信息安全檢查的實(shí)施過(guò)程，包括檢查前準(zhǔn)備，檢查實(shí)施，檢查后總結(jié)，并明確了檢查結(jié)果的使用。本文件主要規(guī)范本單位內(nèi)部信息安全檢查工作，對(duì)于外部監(jiān)管/上級(jí)機(jī)構(gòu)和具有安全檢查資質(zhì)的外部單位的信息安全檢查工作不屬于本文件的范圍。 2 信息安全檢查工作職責(zé) （1） 信息安全管理小組在信息安全檢查工作中的職責(zé)包括但不限于： n 根據(jù)實(shí)際工作需要，組織安排信息安全檢查。 n 聽取信息安全工作小組的信息安全檢查總結(jié)報(bào)告。 （2） 信息安全工作小組在信息安全檢查工作中的職責(zé)包括但不限于： n 組織協(xié)調(diào)各被檢查部門和人員開展信息安全檢查工作。 n 匯總檢查結(jié)果，編制信息安全檢查報(bào)告，向信息安全管理小組進(jìn)行匯報(bào)。 （3） 各被檢查部門需協(xié)助和配合對(duì)本部門/機(jī)構(gòu)信息安全檢查工作的開展，提供檢查所需相關(guān)資料、資源及其他便利條件，并根據(jù)需要進(jìn)行自查或者互查工作，針對(duì)檢查結(jié)果進(jìn)行相應(yīng)的整改。 3 信息安全檢查內(nèi)容 3.1 信息安全檢查內(nèi)容 3.1.1 信息安全管理領(lǐng)域主要檢查內(nèi)容 （1） 信息安全相關(guān)制度 n 信息安全相關(guān)制度的覆蓋范圍以及制度的適宜程度； n 信息安全相關(guān)制度管理工作的開展情況，包括制度的制定、落實(shí)、評(píng)審與修訂等是否符合規(guī)范要求等。 （2） 人員安全管理 n 崗位設(shè)置及人員配備：包括安全相關(guān)崗位的設(shè)立以及職責(zé)的明確/落實(shí)、崗位的授權(quán)等； 第 4 頁(yè) 共 9 頁(yè) n 內(nèi)部人員安全管理：包括員工的安全培訓(xùn)及考核、崗位授權(quán)管理等； n 外部組織人員安全管理：包括外部組織訪問(wèn)事前、事中及事后不同階段的安全控制措施的落實(shí)情況等。 （3） 物理安全管理 n 物理環(huán)境安全：包括物理區(qū)域的電源、防雷、防火、防潮、防靜電等周邊環(huán)境安全控制措施落實(shí)情況等； n 訪問(wèn)控制：為保護(hù)區(qū)域內(nèi)信息不受非授權(quán)物理訪問(wèn)，機(jī)房及重要辦公場(chǎng)所的訪問(wèn)控制措施（如門禁、值守等），以及防盜竊、防破壞措施的實(shí)施情況。 （4） 系統(tǒng)建設(shè)和運(yùn)維安全 n 系統(tǒng)建設(shè)安全：系統(tǒng)建設(shè)整個(gè)生命周期，包括系統(tǒng)建設(shè)設(shè)計(jì)階段、實(shí)施階段以及驗(yàn)收階段中涉及的信息安全控制措施落實(shí)情況； n 系統(tǒng)運(yùn)維安全：系統(tǒng)日常運(yùn)行維護(hù)相關(guān)安全控制（如監(jiān)控、惡意代碼防范、變更管理等）的落實(shí)情況。 （5） 信息資產(chǎn)管理 n 資產(chǎn)管理：包括信息資產(chǎn)識(shí)別、分類、標(biāo)識(shí)； n 介質(zhì)管理：包括介質(zhì)在使用、傳輸、保存、清除及銷毀等過(guò)程中的安全控制落實(shí)情況； n 設(shè)備管理：包括各類設(shè)備在使用和管理維護(hù)過(guò)程中的安全控制措施落實(shí)情況。 （6） 安全事件處理與應(yīng)急響應(yīng) n 安全事件處理：對(duì)于安全事件分類分級(jí)及安全事件處理、報(bào)告等相關(guān)控制要求的落實(shí)情況進(jìn)行檢查； 應(yīng)急響應(yīng)與災(zāi)難恢復(fù)：對(duì)于應(yīng)急響應(yīng)與災(zāi)難恢復(fù)的預(yù)案/計(jì)劃制定情況以及相關(guān)管理工作的落實(shí)情況（如修編、演練等）進(jìn)行檢查。 3.1.2 信息安全技術(shù)領(lǐng)域主要檢查內(nèi)容 （1） 應(yīng)用安全檢查 n 應(yīng)用系統(tǒng)安全：對(duì)于應(yīng)用系統(tǒng)技術(shù)安全控制落實(shí)情況的檢查，包括身份鑒別、訪問(wèn)控制、交易安全、數(shù)據(jù)安全、密碼安全、輸入輸出合法性、備份恢復(fù)、日志及審計(jì)等； n 數(shù)據(jù)庫(kù)安全：對(duì)于數(shù)據(jù)庫(kù)（Oracle）的安全配置、訪問(wèn)控制、備份恢復(fù)、日志及審計(jì)情況等進(jìn)行檢查； n 中間件安全：對(duì)于中間件的安全配置、訪問(wèn)控制、備份恢復(fù)、日志及審計(jì)情況等進(jìn)行檢查。 （2） 網(wǎng)絡(luò)安全檢查 n 網(wǎng)絡(luò)架構(gòu)：對(duì)網(wǎng)絡(luò)整體架構(gòu)的安全情況，包括網(wǎng)絡(luò)可用性、訪問(wèn)控制、網(wǎng)絡(luò)管理與審計(jì)、網(wǎng)絡(luò)防護(hù)等方面的安全控制情況進(jìn)行檢查； n 網(wǎng)絡(luò)設(shè)備安全：包括針對(duì)網(wǎng)絡(luò)主要設(shè)備（如路由器、交換機(jī)等）以及網(wǎng)絡(luò)中部署的安全設(shè)備（防火墻、入侵檢測(cè)、防病毒系統(tǒng)）等的安全配置、訪問(wèn)控制、備份、日志與審計(jì)等進(jìn)行檢查。 （3） 服務(wù)器主機(jī)安全檢查 n 主機(jī)操作系統(tǒng)的安全性，主要包括目前使用的Windows、AIX等操作系統(tǒng)的安全檢查。 （4） 終端安全檢查 終端的安全，包括終端安全配置，補(bǔ)丁安裝情況、終端系統(tǒng)以及帳戶情況，終端口令策略檢查，終端使用安全檢查，終端開啟服務(wù)檢查，終端防病毒檢查。 在信息安全檢查工作的開展過(guò)程中，可根據(jù)檢查的類型和范圍要求，對(duì)檢查內(nèi)容進(jìn)行適當(dāng)?shù)牟脺p。 4 信息安全檢查的組織與實(shí)施 本單位 每年應(yīng)組織全單位信息安全檢查，原則每年一次，以抽查為主，全面檢查為輔，實(shí)現(xiàn)對(duì)單位各部門信息安全工作的檢驗(yàn)和考核。 4.1.1 檢查的準(zhǔn)備與組織 4.1.1.1 組建信息安全檢查小組 （1） 由信息安全管理小組根據(jù)實(shí)際需求，協(xié)調(diào)人員，組建信息安全檢查小組（以下簡(jiǎn)稱檢查小組），指定小組負(fù)責(zé)人，檢查小組主要由信息安全工作小組成員組成，并根據(jù)實(shí)際需要從技術(shù)部門抽調(diào)人員參與。 （2） 為了保證安全檢查的效果，可根據(jù)實(shí)際需要外聘信息安全領(lǐng)域的專家協(xié)助檢查小組開展安全檢查。 4.1.2 檢查實(shí)施 （1） 檢查小組在被檢查對(duì)象的協(xié)助下進(jìn)行現(xiàn)場(chǎng)檢查，主要采用以下方式進(jìn)行檢查： n 文件審閱：檢查小組成員在現(xiàn)場(chǎng)檢查之前，對(duì)提交的各種資料、文檔、執(zhí)行記錄進(jìn)行審閱。 現(xiàn)場(chǎng)觀察：檢查小組成員直接到工作現(xiàn)場(chǎng)，觀察并獲取關(guān)于現(xiàn)場(chǎng)物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動(dòng)的情況，為驗(yàn)證控制措施的落實(shí)情況提供依據(jù)。 n 人員訪談：檢查小組成員與相關(guān)人員進(jìn)行面談，了解其職責(zé)范圍、工作陳述、基本安全意識(shí)、對(duì)安全管理獲知的程度等信息；要做好記錄和總結(jié)，必要時(shí)和訪談對(duì)象進(jìn)行確認(rèn)。 （2） 檢查小組根據(jù)檢查內(nèi)容和檢查表，對(duì)檢查對(duì)象的信息安全狀況進(jìn)行打分。 4.1.3 檢查總結(jié) （1） 檢查小組整理本次檢查的評(píng)分結(jié)果，整理檢查情況以及檢查中發(fā)現(xiàn)的問(wèn)題，上報(bào)給信息安全