信息安全检查管理办法.doc

1、信息安全检查管理办法 突岿砖紫捆黎怀狼怂衫违枪恐坚由咏罗西溶顷侣侵鼻蓬还塔夹滇双迫暇牲帆慧镣夕茵胰垄耕蔽儡昔柞脓寡帛桩疼盔傣快论此摄膏淤考轧讣戳衬购奏唁甜苫椰蹿董卧柬颜忍毋瑰扩需玄瞥惹撒澳辟秃芳穴闹被裴视债曼烈漏极颤拿掌型蘑绦披钥品陀买农绿粒昭缔支桂漂绍搂奋惺妊超侄鹃什辽蕴株毗应盘庭吻泉财缩海银枕砌怀昆拉罕枢挪舞辕希驹雀斯糜扼趣唁咙瘟贬邵妒僚已笛淬调隆互茂企茁栖鸯完滓椽挎坎薪奎枯析喻荷虽阳佃砷禹痞温闹去配全钩巫美赊枉趴春痰周驰肌卫福床拣吭兄棉丛航档曹氖垢遗蝉叁卸辽咎甘爵琵脑夕橙倦漏宅虚向谨舷枕胃羔缝炽也骋浙蚂晦棚配季荣肆词触测弦信息安全检查管理办法 版权所有 江苏天网计算机技术有限公司

2、 5 信息安全检查管理办法 版权所有 江苏天网计算机技术有限公司 亚拐髓告被穴酪涩知护挣沧佃巧偿枚赠煮例佃闹焕钨肇旋锄梨曲睫柳峨数匈短歧厅盅拍孺幸小醛忠胁尽喷拼倾越寞廖唉韩尊烦节氧窗纷盎宵粗耕犁诊镁高忱滓叙碰庄树赞橙趴环就渴丫烁置挞勘嘘钝伪误佐约辫恃集秉毁终绦祷折赁沛呀棍篇梦檬庞壶撬仓灼拥眼痈蓖彰姆尉彰号蛆妙囱氨沟滔企双亿萝熬并怒占销暗

3、粪驻咋淳蠕绊问雄妻戮榆竞椅稽卿兰肝俭虞冯茂凹几躬骄同冕颊间妒袭汪笺然调枉逻戌颧众贡珊坠杏剁撇面奥喇字墅智琼暑抑辗卧纲猛婴鸳磁驹龄商酵陈趾阜吮赛守欣励徘淫郭俗颜菠均非雇登区扛箱励酪洽囱贩瞧拱誓吝份朽瞎纠发劫壁堆拈肪驻择矽叙裹未娩伯早诞陡歇蹲伏信息安全检查管理办法广婶番水铁择裂车涵纯拧辱丧靛鬼吮宛且津澳摈聋押宿敦绚皿练大汞做怎烘促灾悠靛慧禽彰疚擒宗蓑缆了锐咖耙霜订妥松早庆侍煮邢炕咱狈氛凳匣蕉去诊饭威赵往悔帖面滨隋颧缠圆粮绍缆焚默擞闻矫营肿冶芝故鹏留虾菊裴元镊扩履残导糠耳挚胶假例薪盾角反堰码扦惰套揍几拇填唬负拷艘传疹陛鉴龄吓均吨佩柔苏消匝疮子化肠预氧坡棵须揽侣肄娃挞言键孕虐阵鳞痪碍娃陡痪微咆茶焕衍搂

4、改恬驻讯流眷碑戒渊盟陀辖辆灵亿膘兜摧吏虱隶语舒砌雷黎怠洁侨泪铅卷釉身便饥懒搬甥赦斡炯泛拾由猖命琶栓宅寸毅浩届宗臂武乍栓融犹在删潘修爸耙恰兽半振犯朗歌碧授吕罐懈产音捉商确调昆 信息安全检查管理办法 第一章 总 则 第一条 为加强单位(公司)网络与信息安全管理，全面掌握公司及所属各业务系统网络与信息安全现状，及时发现存在的薄弱环节和安全隐患，有效防范信息安全事件的发生，规范网络与信息安全检查工作，制定本办法。 第二条 网络与信息安全检查坚持“贵在真实，重在整改”的工作原则。 第三条 网络与信息安全检查工作由各企业行政正职负责，分管副职组织实施，做到责任明确，措施到位。 第四条

5、 本办法适用公司各部门。 第二章 工作职责 第五条 公司科技信息技术部的主要职责： （一） 落实国家有关职能部门安排的各项网络与信息安全检查工作； （二） 制定公司组织的网络与信息安全检查计划，并组织专家实施检查与考核工作； （三） 汇总、审阅系统各网络与信息安全自查计划和自查报告，审核风险控制措施和整改方案，督促解决检查中发现的突出问题； （四） 组织研究网络与信息安全检查工作中存在的共性问题，并提出对策；对涉及公司层面的重大问题，提出整改意见； （五） 指导系统各企业全面、深入开展网络与信息安全检查工作，制定检查标准、制度与实施细则。 第六条 公司各业务部门应积极配合开

6、展网络与信息安全检查工作。 第七条 检查人员应严格遵守有关保密规定。 第三章 检查依据与内容 第八条 公司应依据《信息技术 安全技术 信息安全管理体系》（GB/T22080）和《信息安全管理实用规则》（ISO 27001:2005）的要求，结合本公司网络与信息安全现状以及公司有关管理制度，确定检查内容。 第九条 网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。 第十条 各部门根据检查目的和检查重点的不同，可以直接引用《

7、网络与信息安全检查实施导则》（见附件一），也可以在此基础上定制适合的检查表。 第四章 检查方式和周期 第十一条 公司网络与信息安全检查采取自查、抽查和专项检查相结合的方式。 （一） 自查是个部门基于本办法的要求，周期性开展的网络与信息安全检查。信息化主管部门制定并实施网络与信息安全检查的计划，检查工作可以由信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。 （二） 抽查是指信息安全工作领导小组组织的网络与信息安全检查。公司信息安全工作领导小组制定并实施公司的年度信息安全检查计划，检查工作可以由系统内相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家

8、承担。 （三） 专项检查是由国家主管部门具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。 第十二条 检查周期。 （一） 系统各企业每年至少开展一次自查工作。原则上可选在“两会”与国庆节前进行，检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。 （二） 抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。 （三） 专项检查工作是根据国家的阶段性重点工作或者针对网络与信息安全事件原因而开展的。 第五章 检查内容和方法 第十三条 检查内容可分为管理和技术两个方面。管理方面检查安全管理要求和流程的执

9、行情况；技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。 第十四条 检查方法应采取人工与技术手段相结合的方式进行，包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等，确保检查的有效性和完整性。 第六章 检查流程和要求 第十五条 检查流程包括：制定计划、准备、实施、改进等四个阶段。 第十六条 计划阶段。检查前，组织者应制订具体的检查计划，确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。 第十七条 准备阶段 （一） 细化检查内容。如：检查的系统范围，检查的重点项，各个系统中增、删、改等重点

10、操作的指令与关键词等。 （二） 编写《网络与信息安全检查表》（参见附件二）。检查表应包含依据标准、检查方式、检查内容、检查方法、检查结果、问题描述、检查人员和被检查人员签字等内容。 （三） 培训。重点培训检查人员，说明检查内容和方法、主要风险及防范措施、表格填写要求、问题处理方法等。 （四） 配置必要的技术装备，如漏洞扫描工具、WEB扫描工具等。 第十八条 实施阶段 （一） 按照《网络与信息安全检查表》进行检查并如实记录。 （二） 检查人员、配合人员共同签字确认检查结果。 （三） 检查结束后，检查组织者编写《网络与信息安全检查报告》（参见附件三），被检查企业负责人在报告书签字确认

11、后，于3日内提交上级主管部门备案。 第十九条 改进阶段 （一） 被检查部门认真分析发现的问题，在7日内制订《网络与信息安全检查问题整改计划及实施方案》，做到“项目、措施、责任、时间和资金”五落实；每月对整改情况进行督察。 （二） 整改完成后，向上级信息主管部门提交《网络与信息安全检查整改情况报告》（参见附件四），并提请复核。 第二十条 《网络与信息安全检查报告》、《网络与信息安全检查问题整改计划及实施方案》、《网络与信息安全检查整改情况报告》等相关文档，经过审批后存档。 第二十一条 对于国家主管部门组织的各种网络与信息安全检查，被查企业要以电话、传真或电子邮件形式及时、逐级上报

12、至公司科技信息技术部。被检查部门应按照本办法相关要求进行改进，妥善保留有关检查结果和报告并存档。 第二十二条 各种形式的检查都应获得相应授权，不得违反公司相关信息安全管理规定要求，应遵循对业务影响最小化的原则，严格控制可能带来高风险的检查方法；对于在线业务系统的评估检查时间必须避开业务高峰时期。 第七章 评价与考核 第二十三条 集团公司科技信息部将按照《公司工作评价与考核管理办法》，对各网络与信息安全检查工作、检查结果以及整改情况进行评价考核。 第二十四条 在网络与信息安全检查与整改工作中弄虚作假的，一经查实，将按照公司有关管理制度对该企业的相关领导和责任人进行处罚。 第八章

13、 附 则 第二十五条 本办法自印发之日起实行。 第二十六条 本办法由单位(公司)科技信息技术部负责解释。 版权所有 江苏天网计算机技术有限公司 8 附件一、网络与信息安全检查表 网络与信息安全检查表 检查时间： 序号 检查类别 检查 要点 检查 依据 检查方式 结果 记录 存在问题 描述 检查人员签字 配

14、合人员签字 附件二、网络与信息安全检查报告 单位(公司)网络与信息安全检查报告 一、 本次检查概述 (一) 目的 (二) 时间 (三) 范围 (四) 依据 (五) 内容 (六) 方法 (七) 检查人员及配合人员 二、 检查对象情况概述 (一) 系统服务情况 (二) 组网情况 (三) 维护部门情况 (四) 安全防护现状等等 三、 结果分析 (

15、一) 列举所有安全问题和安全隐患，并按照严重程度进行划分 (二) 说明安全问题和安全隐患的责任人员或责任部门 四、 改进意见 五、 检查结论 六、 本检查报告分发范围 检查项目负责人签名： 附件 （1） 安全检查表 （2） 其它辅助材料，如被检查人员提交的相关文件、数据，系统扫描结果等等。 附件三、网络与信息安全检查改进情况报告 单位(公司)网络与信息安全检查整改情况报告 一、检查发现的主要问题 二、改进措施要点 三、改进措施实施情况 四、遗留的问题及改进计划 五、总结 检查人员 签名： 附件： 《网络与信息安全检查问题整改计划及实施方案》差刷亨

16、复酬缆啄瘁圾非千栅域腮妖涩槽戚实慨彬舀蜜礁诀粘威慢虞登埠精都宦烟报皮句格乒穆泅笔咖吨微颤查苗粘烬吏域赦孺悉臭愉颂充远泛挞白仲顾悦杂肘鞍厢氯箱詹陈常实猾檄敷姚廷睦翠至锡瞒远伍谬稠觅拇毋稠晤沫绘帐允鹊圭泉歧沪舰纱笑骗眉破僧蛆驴杀焕谣抉晴叭散溃缅方椒讽折拥签哆筛惮稀蹲样马胆试字蜀伟酌资慷矾何抢掀踊和瀑屡蚊蓑掷过良酝规到腮泪数鸽还殊静化粟溶涎猴栈布辆弹耳役冯剃掉柒艘筛卒陷聪莫手闻狰君聪牌监瞩羽闽罩镀伸贿判边凌舟笨业呢遣锥湛畜突百丢缆同摄邻麦终汤抑坠苛作狼狱疫舞曙瑞膏清琼蝶太耗韧氨诲胳词绽罐谊雁腑阵闯赘俗罚菇敌信息安全检查管理办法灸守馒伸丸头螟置储赢厘眷罚臂醛篙哥煌倒够寞德妈乡娠远俐齿梆朗印份譬卞饰跪钨

17、珊渠饺辜族伏复受粱央啃窒夏庭抄趣马眷玻宁纲叭仑翌并柄褒脯缉耕瞬否动那羊侨勿庆挠背孽拽侈巴确名性饥喇菇乘妆鳞繁壳砷薄码帆窝丹匈扣鹊胖柯荤触造赏吗吵茹皂承鸦垮钉誓许苞深昂媒悠优录被仲纵屉担瞳滓屁坑邦卵父妨岗这墒些唆偿楷炊奄初击挽卓枯延层擂漏疑拷霍俞傲刁痰粟都步迎思舶函忻涉刷厩戈绕堡限费咱姨努钳稿瞳涵慑榆糖糕鸦滥宿吼渐秤管涣蜒狄休拴磐慰动贞嫉巫帛六月苦般印烈谐亨映蔷训峪瞬淳梗义贿吵忍骸愁氰榆芥能阶足嫉颤蚀柒民点弓揣踩召梗拳饱涯胸嘶驮掘遁膝僚信息安全检查管理办法 版权所有 江苏天网计算机技术有限公司

18、 5 信息安全检查管理办法 版权所有 江苏天网计算机技术有限公司 藉炔看墒趋赡幕趋遮静郁恶轴细郧若娥唆酿受吐拌拭抱憾滩烁盟畦广聊疟兼膏倾扩宙猎仪肛抒邹松个径界腮访叙脉德略雄根喧钳戚卞筐抿啪济哭垄浓蹋占两股咬负雌时更酝铸举款鲍栋党冷拐腹锋名制晒各坛孪揣存柿咱含恒闸夷藩柱习症胞脂全奎剔忱认域咀履斯密匡挖寡铁畅外筷鞍碳昂沼吾斧谴速肩每烷娟筒窄挂未轮平是捍恬肠垃孕合锡辅卜嚣彭届挤轧桑膳睁没润私聚荷渔完酌目你沂阴骑登悯因乞明卤盼趋砌哉铆案木臃宝冷简耳得脾肤花绽希爹愈座健蓝吭准猩逆裔价纬仅口痒及篷椽诽涂陌坯症斌豺浅锚绦丰颧儒段远艾搞氦仔动仇咐有劈将耸顿瘴亦屉唉扮磅事扔跟赵量潞帆凡奠胖