信息安全檢查管理辦法_第1頁
信息安全檢查管理辦法_第2頁
信息安全檢查管理辦法_第3頁
信息安全檢查管理辦法_第4頁
信息安全檢查管理辦法_第5頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、信息安全檢查管理辦法信息安全檢查管理辦法第一章 總 則第一條 為加強(qiáng)單位(公司)網(wǎng)絡(luò)與信息安全管理,全面掌握公司及所屬各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全現(xiàn)狀,及時發(fā)現(xiàn)存在的薄弱環(huán)節(jié)和安全隱患,有效防范信息安全事件的發(fā)生,規(guī)范網(wǎng)絡(luò)與信息安全檢查工作,制定本辦法。第二條 網(wǎng)絡(luò)與信息安全檢查堅(jiān)持“貴在真實(shí),重在整改”的工作原則。第三條 網(wǎng)絡(luò)與信息安全檢查工作由各企業(yè)行政正職負(fù)責(zé),分管副職組織實(shí)施,做到責(zé)任明確,措施到位。第四條 本辦法適用公司各部門。第二章 工作職責(zé)第五條 公司科技信息技術(shù)部的主要職責(zé):(一) 落實(shí)國家有關(guān)職能部門安排的各項(xiàng)網(wǎng)絡(luò)與信息安全檢查工作;(二) 制定公司組織的網(wǎng)絡(luò)與信息安全檢查計劃,

2、并組織專家實(shí)施檢查與考核工作;(三) 匯總、審閱系統(tǒng)各網(wǎng)絡(luò)與信息安全自查計劃和自查報告,審核風(fēng)險控制措施和整改方案,督促解決檢查中發(fā)現(xiàn)的突出問題;(四) 組織研究網(wǎng)絡(luò)與信息安全檢查工作中存在的共性問題,并提出對策;對涉及公司層面的重大問題,提出整改意見;(五) 指導(dǎo)系統(tǒng)各企業(yè)全面、深入開展網(wǎng)絡(luò)與信息安全檢查工作,制定檢查標(biāo)準(zhǔn)、制度與實(shí)施細(xì)則。第六條 公司各業(yè)務(wù)部門應(yīng)積極配合開展網(wǎng)絡(luò)與信息安全檢查工作。第七條 檢查人員應(yīng)嚴(yán)格遵守有關(guān)保密規(guī)定。第三章 檢查依據(jù)與內(nèi)容第八條 公司應(yīng)依據(jù)信息技術(shù) 安全技術(shù) 信息安全管理體系(GB/T22080)和信息安全管理實(shí)用規(guī)則(ISO 27001:2005)的要

3、求,結(jié)合本公司網(wǎng)絡(luò)與信息安全現(xiàn)狀以及公司有關(guān)管理制度,確定檢查內(nèi)容。第九條 網(wǎng)絡(luò)與信息安全檢查內(nèi)容應(yīng)重點(diǎn)包括組織機(jī)構(gòu)與管理體系建設(shè)、規(guī)章制度的貫徹執(zhí)行和監(jiān)督檢查、網(wǎng)絡(luò)安全管理、應(yīng)用系統(tǒng)安全管理、桌面辦公系統(tǒng)的使用和安全管理、運(yùn)行環(huán)境管理、運(yùn)行值班及技術(shù)維護(hù)管理、運(yùn)行安全控制管理等內(nèi)容。第十條 各部門根據(jù)檢查目的和檢查重點(diǎn)的不同,可以直接引用網(wǎng)絡(luò)與信息安全檢查實(shí)施導(dǎo)則(見附件一),也可以在此基礎(chǔ)上定制適合的檢查表。第四章 檢查方式和周期第十一條 公司網(wǎng)絡(luò)與信息安全檢查采取自查、抽查和專項(xiàng)檢查相結(jié)合的方式。(一) 自查是個部門基于本辦法的要求,周期性開展的網(wǎng)絡(luò)與信息安全檢查。信息化主管部門制定并實(shí)

4、施網(wǎng)絡(luò)與信息安全檢查的計劃,檢查工作可以由信息安全人員承擔(dān),也可以委托具有相關(guān)安全認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請專家承擔(dān)。(二) 抽查是指信息安全工作領(lǐng)導(dǎo)小組組織的網(wǎng)絡(luò)與信息安全檢查。公司信息安全工作領(lǐng)導(dǎo)小組制定并實(shí)施公司的年度信息安全檢查計劃,檢查工作可以由系統(tǒng)內(nèi)相關(guān)信息安全人員承擔(dān),也可以委托具有相關(guān)安全認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請專家承擔(dān)。(三) 專項(xiàng)檢查是由國家主管部門具有特定目的的網(wǎng)絡(luò)與信息安全檢查。檢查工作由檢查組織單位委托具有相關(guān)安全認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請專家承擔(dān)。第十二條 檢查周期。(一) 系統(tǒng)各企業(yè)每年至少開展一次自查工作。原則上可選在“兩會”與國慶節(jié)前進(jìn)行,檢查重點(diǎn)為上次自查、抽查或者專項(xiàng)檢查

5、問題的整改情況和發(fā)生變化的系統(tǒng)。(二) 抽查工作是與階段性的重點(diǎn)工作、重大活動和節(jié)假日保電工作相結(jié)合而開展的。(三) 專項(xiàng)檢查工作是根據(jù)國家的階段性重點(diǎn)工作或者針對網(wǎng)絡(luò)與信息安全事件原因而開展的。第五章 檢查內(nèi)容和方法第十三條 檢查內(nèi)容可分為管理和技術(shù)兩個方面。管理方面檢查安全管理要求和流程的執(zhí)行情況;技術(shù)方面檢查各軟硬件系統(tǒng)是否符合安全技術(shù)要求、安全配置要求以及其它安全技術(shù)規(guī)范。第十四條 檢查方法應(yīng)采取人工與技術(shù)手段相結(jié)合的方式進(jìn)行,包括對系統(tǒng)進(jìn)行基線檢查、漏洞掃描、滲透測試、日志審查、人員訪談、現(xiàn)場觀察、資料查閱等,確保檢查的有效性和完整性。第六章 檢查流程和要求第十五條 檢查流程包括:制

6、定計劃、準(zhǔn)備、實(shí)施、改進(jìn)等四個階段。第十六條 計劃階段。檢查前,組織者應(yīng)制訂具體的檢查計劃,確定本次檢查范圍、重點(diǎn)內(nèi)容、檢查方法、時間安排、人員安排、主要風(fēng)險及防范措施等。第十七條 準(zhǔn)備階段(一) 細(xì)化檢查內(nèi)容。如:檢查的系統(tǒng)范圍,檢查的重點(diǎn)項(xiàng),各個系統(tǒng)中增、刪、改等重點(diǎn)操作的指令與關(guān)鍵詞等。(二) 編寫網(wǎng)絡(luò)與信息安全檢查表(參見附件二)。檢查表應(yīng)包含依據(jù)標(biāo)準(zhǔn)、檢查方式、檢查內(nèi)容、檢查方法、檢查結(jié)果、問題描述、檢查人員和被檢查人員簽字等內(nèi)容。(三) 培訓(xùn)。重點(diǎn)培訓(xùn)檢查人員,說明檢查內(nèi)容和方法、主要風(fēng)險及防范措施、表格填寫要求、問題處理方法等。(四) 配置必要的技術(shù)裝備,如漏洞掃描工具、WEB掃

7、描工具等。第十八條 實(shí)施階段(一) 按照網(wǎng)絡(luò)與信息安全檢查表進(jìn)行檢查并如實(shí)記錄。(二) 檢查人員、配合人員共同簽字確認(rèn)檢查結(jié)果。(三) 檢查結(jié)束后,檢查組織者編寫網(wǎng)絡(luò)與信息安全檢查報告(參見附件三),被檢查企業(yè)負(fù)責(zé)人在報告書簽字確認(rèn)后,于3日內(nèi)提交上級主管部門備案。第十九條 改進(jìn)階段(一) 被檢查部門認(rèn)真分析發(fā)現(xiàn)的問題,在7日內(nèi)制訂網(wǎng)絡(luò)與信息安全檢查問題整改計劃及實(shí)施方案,做到“項(xiàng)目、措施、責(zé)任、時間和資金”五落實(shí);每月對整改情況進(jìn)行督察。(二) 整改完成后,向上級信息主管部門提交網(wǎng)絡(luò)與信息安全檢查整改情況報告(參見附件四),并提請復(fù)核。第二十條 網(wǎng)絡(luò)與信息安全檢查報告、網(wǎng)絡(luò)與信息安全檢查問題

8、整改計劃及實(shí)施方案、網(wǎng)絡(luò)與信息安全檢查整改情況報告等相關(guān)文檔,經(jīng)過審批后存檔。第二十一條 對于國家主管部門組織的各種網(wǎng)絡(luò)與信息安全檢查,被查企業(yè)要以電話、傳真或電子郵件形式及時、逐級上報至公司科技信息技術(shù)部。被檢查部門應(yīng)按照本辦法相關(guān)要求進(jìn)行改進(jìn),妥善保留有關(guān)檢查結(jié)果和報告并存檔。第二十二條 各種形式的檢查都應(yīng)獲得相應(yīng)授權(quán),不得違反公司相關(guān)信息安全管理規(guī)定要求,應(yīng)遵循對業(yè)務(wù)影響最小化的原則,嚴(yán)格控制可能帶來高風(fēng)險的檢查方法;對于在線業(yè)務(wù)系統(tǒng)的評估檢查時間必須避開業(yè)務(wù)高峰時期。 第七章 評價與考核第二十三條 集團(tuán)公司科技信息部將按照公司工作評價與考核管理辦法,對各網(wǎng)絡(luò)與信息安全檢查工作、檢查結(jié)果

9、以及整改情況進(jìn)行評價考核。第二十四條 在網(wǎng)絡(luò)與信息安全檢查與整改工作中弄虛作假的,一經(jīng)查實(shí),將按照公司有關(guān)管理制度對該企業(yè)的相關(guān)領(lǐng)導(dǎo)和責(zé)任人進(jìn)行處罰。第八章 附 則第二十五條 本辦法自印發(fā)之日起實(shí)行。第二十六條 本辦法由單位(公司)科技信息技術(shù)部負(fù)責(zé)解釋。版權(quán)所有 江蘇天網(wǎng)計算機(jī)技術(shù)有限公司 8附件一、網(wǎng)絡(luò)與信息安全檢查表網(wǎng)絡(luò)與信息安全檢查表 檢查時間:序號檢查類別檢查要點(diǎn)檢查依據(jù)檢查方式結(jié)果記錄存在問題描述檢查人員簽字配合人員簽字附件二、網(wǎng)絡(luò)與信息安全檢查報告單位(公司)網(wǎng)絡(luò)與信息安全檢查報告一、 本次檢查概述(一) 目的(二) 時間(三) 范圍(四) 依據(jù)(五) 內(nèi)容(六) 方法(七) 檢查人員及配合人員二、 檢查對象情況概述(一) 系統(tǒng)服務(wù)情況(二) 組網(wǎng)情況(三) 維護(hù)部門情況(四) 安全防護(hù)現(xiàn)狀等等三、 結(jié)果分析(一) 列舉所有安全問題和安全隱患,并按照嚴(yán)重程度進(jìn)行劃分(二) 說明安全問題和安全隱患的責(zé)任人員或責(zé)任部門四、 改進(jìn)意見五、 檢查結(jié)論六、 本檢查報告分發(fā)范圍檢查項(xiàng)目負(fù)責(zé)人簽名:附件(1) 安全檢查表(2

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論