2016大唐集团公司络与信息安全检查管理办法.docVIP

附件 中国大唐集团公司网络与 信息安全检查管理办法 总 则 为加强中国大唐集团公司（以下简称集团公司）网络与信息安全管理，全面掌握集团公司及所属各企业网络与信息安全现状，及时发现存在的薄弱环节和安全隐患，有效防范信息安全事件的发生，规范网络与信息安全检查工作，制定本办法。 网络与信息安全检查坚持“贵在真实，重在整改”的工作原则。 网络与信息安全检查工作由各企业行政正职负责，分管副职组织实施，做到责任明确，措施到位。 本办法适用于集团公司各上市公司、分公司、省发电公司、专业公司（以下简称系统各企业）。 工作职责 集团公司科技信息部的主要职责： 落实国家有关职能部门安排的各项网络与信息安全检查工作； 制定集团公司组织的网络与信息安全检查计划，并组织专家实施检查与考核工作； 汇总、审阅系统各企业网络与信息安全自查计划和自查报告，审核风险控制措施和整改方案，督促解决检查中发现的突出问题； 组织研究网络与信息安全检查工作中存在的共性问题，并提出对策；对涉及集团公司层面的重大问题，提出整改意见； 指导系统各企业全面、深入开展网络与信息安全检查工作，制定检查标准、制度与实施细则。 集团公司各业务部门应积极配合开展网络与信息安全检查工作。 系统各企业工作职责： 根据当地政府和集团公司的安排，组织实施所管理和所属企业的网络与信息安全检查工作。 统筹所管理和所属企业各类网络与信息安全检查工作，确保检查工作正常开展。 对所管理和所属企业网络与信息安全自查工作进行指导。 组织审查所管理和所属企业制定的整改计划和自查报告。 监督所管理和所属企业网络与信息安全检查整改计划的执行情况，将未及时完成整改的问题要列入监控重点，确保整改到位。 对所管理和所属企业的网络与信息安全检查工作存在的共性问题进行研究，审查检查中发现重大问题的整改方案。 对集团公司网络与信息安全检查标准的改进和完善提出意见和建议。 基层企业应积极配合上级安排的网络与信息安全检查工作，负责本企业的自查工作和日常管理；组织本企业的有关人员对查评结果进行分析，制定并落实整改工作计划。 检查人员应严格遵守有关保密规定。 检查依据与内容 系统各企业应依据《信息技术 安全技术 信息安全管理体系》（GB/T22080）和《信息安全管理实用规则》（ISO 27001:2005）的要求，结合本企业网络与信息安全现状以及集团公司有关管理制度，确定检查内容。 网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。 系统各企业根据检查目的和检查重点的不同，可以直接引用《网络与信息安全检查实施导则》（见附件一），也可以在此基础上定制适合的检查表。 检查方式和周期 集团公司网络与信息安全检查采取自查、抽查和专项检查相结合的方式。 自查是系统各企业基于本办法的要求，周期性开展的网络与信息安全检查。系统各企业信息化主管部门制定并实施本企业网络与信息安全检查的计划，检查工作可以由本企业相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。 抽查是指由集团公司或分子公司组织的网络与信息安全检查。集团公司科技信息部制定并实施集团公司的年度信息安全检查计划，检查工作可以由系统内相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。 专项检查是由国家主管部门、集团公司或者系统各企业组织的、具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。 检查周期。 系统各企业每年至少开展一次自查工作。原则上可选在“两会”与国庆节前进行，检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。 抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。 专项检查工作是根据国家、集团公司、系统各企业的阶段性重点工作或者针对网络与信息安全事件原因而开展的。 检查内容和方法 检查内容可分为管理和技术两个方面。管理方面检查安全管理要求和流程的执行情况；技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。 检查方法应采取人工与技术手段相结合的方式进行，包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等，确保检查的有效性和完整性。 检查流程和要求 检查流程包括：制定计划、准备、实施、改进等四个阶段。 计划阶段。检查前，组织者应制订具体的检查计划，确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。 准备阶段