信息安全檢查管理辦法2_第1頁
信息安全檢查管理辦法2_第2頁
信息安全檢查管理辦法2_第3頁
信息安全檢查管理辦法2_第4頁
信息安全檢查管理辦法2_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信息平安檢查管理方法總 則 為加強(qiáng)單位(公司)網(wǎng)絡(luò)與信息平安管理,全面駕馭公司及所屬各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與信息平安現(xiàn)狀,剛好發(fā)覺存在的薄弱環(huán)節(jié)和平安隱患,有效防范信息平安事務(wù)的發(fā)生,規(guī)范網(wǎng)絡(luò)與信息平安檢查工作,制定本方法。 網(wǎng)絡(luò)與信息平安檢查堅(jiān)持“貴在真實(shí),重在整改”的工作原則。 網(wǎng)絡(luò)與信息平安檢查工作由各企業(yè)行政正職負(fù)責(zé),分管副職組織實(shí)施,做到責(zé)任明確,措施到位。 本方法適用公司各部門。工作職責(zé) 公司科技信息技術(shù)部的主要職責(zé):落實(shí)國家有關(guān)職能部門支配的各項(xiàng)網(wǎng)絡(luò)與信息平安檢查工作;制定公司組織的網(wǎng)絡(luò)與信息平安檢查支配,并組織專家實(shí)施檢查與考核工作;匯總、批閱系統(tǒng)各網(wǎng)絡(luò)與信息平安自查支配和自查報(bào)告,審

2、核風(fēng)險(xiǎn)限制措施和整改方案,督促解決檢查中發(fā)覺的突出問題;組織探討網(wǎng)絡(luò)與信息平安檢查工作中存在的共性問題,并提出對(duì)策;對(duì)涉及公司層面的重大問題,提出整改看法;指導(dǎo)系統(tǒng)各企業(yè)全面、深化開展網(wǎng)絡(luò)與信息平安檢查工作,制定檢查標(biāo)準(zhǔn)、制度與實(shí)施細(xì)則。 公司各業(yè)務(wù)部門應(yīng)主動(dòng)協(xié)作開展網(wǎng)絡(luò)與信息平安檢查工作。檢查人員應(yīng)嚴(yán)格遵守有關(guān)保密規(guī)定。檢查依據(jù)與內(nèi)容 公司應(yīng)依據(jù)信息技術(shù) 平安技術(shù) 信息平安管理體系(GB/T22080)和信息平安管理好用規(guī)則(ISO 27001:2005)的要求,結(jié)合本公司網(wǎng)絡(luò)與信息平安現(xiàn)狀以及公司有關(guān)管理制度,確定檢查內(nèi)容。 網(wǎng)絡(luò)與信息平安檢查內(nèi)容應(yīng)重點(diǎn)包括組織機(jī)構(gòu)與管理體系建設(shè)、規(guī)章制度

3、的貫徹執(zhí)行和監(jiān)督檢查、網(wǎng)絡(luò)平安管理、應(yīng)用系統(tǒng)平安管理、桌面辦公系統(tǒng)的運(yùn)用和平安管理、運(yùn)行環(huán)境管理、運(yùn)行值班及技術(shù)維護(hù)管理、運(yùn)行平安限制管理等內(nèi)容。 各部門依據(jù)檢查目的和檢查重點(diǎn)的不同,可以干脆引用網(wǎng)絡(luò)與信息平安檢查實(shí)施導(dǎo)則(見附件一),也可以在此基礎(chǔ)上定制適合的檢查表。檢查方式和周期公司網(wǎng)絡(luò)與信息平安檢查實(shí)行自查、抽查和專項(xiàng)檢查相結(jié)合的方式。自查是個(gè)部門基于本方法的要求,周期性開展的網(wǎng)絡(luò)與信息平安檢查。信息化主管部門制定并實(shí)施網(wǎng)絡(luò)與信息平安檢查的支配,檢查工作可以由信息平安人員擔(dān)當(dāng),也可以托付具有相關(guān)平安認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請(qǐng)專家擔(dān)當(dāng)。抽查是指信息平安工作領(lǐng)導(dǎo)小組組織的網(wǎng)絡(luò)與信息平安檢查。公司信

4、息平安工作領(lǐng)導(dǎo)小組制定并實(shí)施公司的年度信息平安檢查支配,檢查工作可以由系統(tǒng)內(nèi)相關(guān)信息平安人員擔(dān)當(dāng),也可以托付具有相關(guān)平安認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請(qǐng)專家擔(dān)當(dāng)。專項(xiàng)檢查是由國家主管部門具有特定目的的網(wǎng)絡(luò)與信息平安檢查。檢查工作由檢查組織單位托付具有相關(guān)平安認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請(qǐng)專家擔(dān)當(dāng)。檢查周期。系統(tǒng)各企業(yè)每年至少開展一次自查工作。原則上可選在“兩會(huì)”與國慶節(jié)前進(jìn)行,檢查重點(diǎn)為上次自查、抽查或者專項(xiàng)檢查問題的整改狀況和發(fā)生改變的系統(tǒng)。抽查工作是與階段性的重點(diǎn)工作、重大活動(dòng)和節(jié)假日保電工作相結(jié)合而開展的。專項(xiàng)檢查工作是依據(jù)國家的階段性重點(diǎn)工作或者針對(duì)網(wǎng)絡(luò)與信息平安事務(wù)緣由而開展的。檢查內(nèi)容和方法檢查內(nèi)容可分

5、為管理和技術(shù)兩個(gè)方面。管理方面檢查平安管理要求和流程的執(zhí)行狀況;技術(shù)方面檢查各軟硬件系統(tǒng)是否符合平安技術(shù)要求、平安配置要求以及其它平安技術(shù)規(guī)范。檢查方法應(yīng)實(shí)行人工與技術(shù)手段相結(jié)合的方式進(jìn)行,包括對(duì)系統(tǒng)進(jìn)行基線檢查、漏洞掃描、滲透測試、日志審查、人員訪談、現(xiàn)場視察、資料查閱等,確保檢查的有效性和完整性。檢查流程和要求檢查流程包括:制定支配、打算、實(shí)施、改進(jìn)等四個(gè)階段。支配階段。檢查前,組織者應(yīng)制訂詳細(xì)的檢查支配,確定本次檢查范圍、重點(diǎn)內(nèi)容、檢查方法、時(shí)間支配、人員支配、主要風(fēng)險(xiǎn)及防范措施等。打算階段細(xì)化檢查內(nèi)容。如:檢查的系統(tǒng)范圍,檢查的重點(diǎn)項(xiàng),各個(gè)系統(tǒng)中增、刪、改等重點(diǎn)操作的指令與關(guān)鍵詞等。編

6、寫網(wǎng)絡(luò)與信息平安檢查表(參見附件二)。檢查表應(yīng)包含依據(jù)標(biāo)準(zhǔn)、檢查方式、檢查內(nèi)容、檢查方法、檢查結(jié)果、問題描述、檢查人員和被檢查人員簽字等內(nèi)容。培訓(xùn)。重點(diǎn)培訓(xùn)檢查人員,說明檢查內(nèi)容和方法、主要風(fēng)險(xiǎn)及防范措施、表格填寫要求、問題處理方法等。配置必要的技術(shù)裝備,如漏洞掃描工具、WEB掃描工具等。實(shí)施階段依據(jù)網(wǎng)絡(luò)與信息平安檢查表進(jìn)行檢查并照實(shí)記錄。檢查人員、協(xié)作人員共同簽字確認(rèn)檢查結(jié)果。檢查結(jié)束后,檢查組織者編寫網(wǎng)絡(luò)與信息平安檢查報(bào)告(參見附件三),被檢查企業(yè)負(fù)責(zé)人在報(bào)告書簽字確認(rèn)后,于3日內(nèi)提交上級(jí)主管部門備案。 改進(jìn)階段被檢查部門仔細(xì)分析發(fā)覺的問題,在7日內(nèi)制訂網(wǎng)絡(luò)與信息平安檢查問題整改支配及實(shí)施

7、方案,做到“項(xiàng)目、措施、責(zé)任、時(shí)間和資金”五落實(shí);每月對(duì)整改狀況進(jìn)行督察。整改完成后,向上級(jí)信息主管部門提交網(wǎng)絡(luò)與信息平安檢查整改狀況報(bào)告(參見附件四),并提請(qǐng)復(fù)核。 網(wǎng)絡(luò)與信息平安檢查報(bào)告、網(wǎng)絡(luò)與信息平安檢查問題整改支配及實(shí)施方案、網(wǎng)絡(luò)與信息平安檢查整改狀況報(bào)告等相關(guān)文檔,經(jīng)過審批后存檔。 對(duì)于國家主管部門組織的各種網(wǎng)絡(luò)與信息平安檢查,被查企業(yè)要以電話、傳真或電子郵件形式剛好、逐級(jí)上報(bào)至公司科技信息技術(shù)部。被檢查部門應(yīng)依據(jù)本方法相關(guān)要求進(jìn)行改進(jìn),妥當(dāng)保留有關(guān)檢查結(jié)果和報(bào)告并存檔。 各種形式的檢查都應(yīng)獲得相應(yīng)授權(quán),不得違反公司相關(guān)信息平安管理規(guī)定要求,應(yīng)遵循對(duì)業(yè)務(wù)影響最小化的原則,嚴(yán)格限制可能

8、帶來高風(fēng)險(xiǎn)的檢查方法;對(duì)于在線業(yè)務(wù)系統(tǒng)的評(píng)估檢查時(shí)間必需避開業(yè)務(wù)高峰時(shí)期。 評(píng)價(jià)與考核 集團(tuán)公司科技信息部將依據(jù)公司工作評(píng)價(jià)與考核管理方法,對(duì)各網(wǎng)絡(luò)與信息平安檢查工作、檢查結(jié)果以及整改狀況進(jìn)行評(píng)價(jià)考核。 在網(wǎng)絡(luò)與信息平安檢查與整改工作中弄虛作假的,一經(jīng)查實(shí),將依據(jù)公司有關(guān)管理制度對(duì)該企業(yè)的相關(guān)領(lǐng)導(dǎo)和責(zé)任人進(jìn)行懲罰。附 則 本方法自印發(fā)之日起實(shí)行。 本方法由單位(公司)科技信息技術(shù)部負(fù)責(zé)說明。附件一、網(wǎng)絡(luò)與信息平安檢查表網(wǎng)絡(luò)與信息平安檢查表 檢查時(shí)間:序號(hào)檢查類別檢查要點(diǎn)檢查依據(jù)檢查方式結(jié)果記錄存在問題描述檢查人員簽字協(xié)作人員簽字附件二、網(wǎng)絡(luò)與信息平安檢查報(bào)告單位(公司)網(wǎng)絡(luò)與信息平安檢查報(bào)告本次檢查概述目的時(shí)間范圍依據(jù)內(nèi)容方法檢查人員及協(xié)作人員檢查對(duì)象狀況概述系統(tǒng)服務(wù)狀況組網(wǎng)狀況維護(hù)部門狀況平安防護(hù)現(xiàn)狀等等結(jié)果分析列舉全部平安問題和平安隱患,并依據(jù)嚴(yán)峻程度進(jìn)行劃分說明平安問題和平安隱患的責(zé)任人員或責(zé)任部門改進(jìn)看法檢查結(jié)論本檢查報(bào)告分發(fā)范圍檢查項(xiàng)目負(fù)責(zé)人簽名:附件平安檢查表其它協(xié)助材料,如被檢查人員提交

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論