信息安全检查管理办法.doc

该【信息安全检查管理办法 】是由【Alone-丁丁】上传分享，文档一共【12】页，该文档可以免费在线阅读，需要了解更多关于【信息安全检查管理办法 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。信息安全检查管理办法
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司8
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司8
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
指导系统各企业全面、深入开展网络与信息安全检查工作,制定检查标准、制度与实施细则。
公司各业务部门应积极配合开展网络与信息安全检查工作。
检查人员应严格遵守有关保密规定。
检查依据与内容
公司应依据《信息技术安全技术信息安全管理体系》(GB/T22080)和《信息安全管理实用规则》(ISO27001:2005)的要求,结合本公司网络与信息安全现状以及公司有关管理制度,确定检查内容。
网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。
各部门根据检查目的和检查重点的不同,可以直接引用《网络与信息安全检查实施导则》(见附件一),也可以在此基础上定制适合的检查表。
检查方式和周期
公司网络与信息安全检查采取自查、抽查和专项检查相结合的方式。
自查是个部门基于本办法的要求,周期性开展的网络与信息安全检查。信息化主管部门制定并实施网络与信息安全检查的计划,检查工作可以由信息安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司8
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
抽查是指信息安全工作领导小组组织的网络与信息安全检查。公司信息安全工作领导小组制定并实施公司的年度信息安全检查计划,检查工作可以由系统内相关信息安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
专项检查是由国家主管部门具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。
检查周期。
系统各企业每年至少开展一次自查工作。原则上可选在“两会”与国庆节前进行,检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。
抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。
专项检查工作是根据国家的阶段性重点工作或者针对网络与信息安全事件原因而开展的。
检查内容和方法
检查内容可分为管理和技术两个方面。管理方面检查安全管理要求和流程的执行情况;技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。
检查方法应采取人工与技术手段相结合的方式进行,包括对系统进行基线检查、***、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和完整性。
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司2
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
检查流程和要求
检查流程包括:制定计划、准备、实施、改进等四个阶段。
计划阶段。检查前,组织者应制订具体的检查计划,确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。
准备阶段
细化检查内容。如:检查的系统范围,检查的重点项,各个系统中增、删、改等重点操作的指令与关键词等。
编写《网络与信息安全检查表》(参见附件二)。检查表应包含依据标准、检查方式、检查内容、检查方法、检查结果、问题描述、检查人员和被检查人员签字等内容。
培训。重点培训检查人员,说明检查内容和方法、主要风险及防范措施、表格填写要求、问题处理方法等。
配置必要的技术装备,如***工具、WEB扫描工具等。
实施阶段
按照《网络与信息安全检查表》进行检查并如实记录。
检查人员、配合人员共同签字确认检查结果。
检查结束后,检查组织者编写《网络与信息安全检查报告》(参见附件三),被检查企业负责人在报告书签字确认后,于3日内提交上级主管部门备案。
改进阶段
被检查部门认真分析发现的问题,在7日内制订《网络与信息安全检查问题整改计划及实施方案》,做到
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司4
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
“项目、措施、责任、时间和资金”五落实;每月对整改情况进行督察。
整改完成后,向上级信息主管部门提交《网络与信息安全检查整改情况报告》(参见附件四),并提请复核。
《网络与信息安全检查报告》、《网络与信息安全检查问题整改计划及实施方案》、《网络与信息安全检查整改情况报告》等相关文档,经过审批后存档。
对于国家主管部门组织的各种网络与信息安全检查,被查企业要以电话、传真或电子邮件形式及时、逐级上报至公司科技信息技术部。被检查部门应按照本办法相关要求进行改进,妥善保留有关检查结果和报告并存档。
各种形式的检查都应获得相应授权,不得违反公司相关信息安全管理规定要求,应遵循对业务影响最小化的原则,严格控制可能带来高风险的检查方法;对于在线业务系统的评估检查时间必须避开业务高峰时期。
评价与考核
集团公司科技信息部将按照《公司工作评价与考核管理办法》,对各网络与信息安全检查工作、检查结果以及整改情况进行评价考核。
在网络与信息安全检查与整改工作中弄虚作假的,一经查实,将按照公司有关管理制度对该企业的相关领导和责任人进行处罚。
附则
本办法自印发之日起实行。
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司4
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
本办法由单位(公司)科技信息技术部负责解释。
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司5
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司1
版权所有江苏天网计算机技术有限公司6
附件一、网络与信息安全检查表
网络与信息安全检查表
检查时间:
序号
检查类别
检查
要点
检查
依据
检查方式
结果
记录
存在问题
描述
检查人员签字
配合人员签字
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司8
信息安全检查管理办法
附件二、网络与信息安全检查报告
单位(公司)网络与信息安全检查报告
本次检查概述
目的
时间
范围
依据
内容
方法
检查人员及配合人员
检查对象情况概述
系统服务情况
组网情况
维护部门情况
安全防护现状等等
结果分析
列举所有安全问题和安全隐患,并按照严重程度进行划分
说明安全问题和安全隐患的责任人员或责任部门
改进意见
检查结论
本检查报告分发范围
检查项目负责人签名:
版权所有江苏天网计算机技术有限公司7
信息安全检查管理办法
版权所有江苏天网计算机技术有限公司8
信息安全检查管理办法