1、2016年某某公司信息安全检查方案.docVIP

附件1 2016年某某公司信息安全检查方案 一、检查原则 本次检查工作按照“谁主管谁负责，谁运营谁负责”的原则，遵循“保密性、最小影响性、规范性”要求，切实做好本次的信息系统安全检查工作。 二、检查依据 本次检查依据国家、集团公司发布的信息安全企业标准和安全配置基线进行，相关的标准要求如下： （一）企业标准 Q/SY 1345-2010 《计算机病毒与网络入侵应急响应管理规范》 Q/SY 1343-2010 《信息安全风险评估实施指南》 Q/SY 1341-2010 《信息系统安全管理规范》 Q/SY 1344-2010 《信息系统密码安全管理规范》 Q/SY 1346-2010 《信息系统用户管理规范》 （二）信息安全基线 《Windows XP操作系统安全配置基线》 《Windows 7操作系统安全配置基线》 《Windows 8操作系统安全配置基线》 《Windows 2003操作系统安全配置基线》 《Windows 2008操作系统安全配置基线》 《Redhat 操作系统安全配置基线》 《CentOS操作系统安全配置基线》 《Debian操作系统安全配置基线》 《Ubuntu操作系统安全配置基线》 《OpenSuse操作系统安全配置基线》 《AIX操作系统安全配置基线》 《HP-Unix操作系统安全配置基线》 《Sun Solaris操作系统安全配置基线》 《MSSQL Server2000数据库安全配置基线》 《MSSQL Server数据库安全配置基线》 《MySQL for Windows数据库安全配置基线》 《MySQL for Linux数据库安全配置基线》 《Oracle数据库安全配置基线》 《H3C路由器安全配置基线》 《华为路由器安全配置基线》 《思科路由器安全配置基线》 《中兴路由器安全配置基线》 《H3C交换机安全配置基线》 《华为交换机安全配置基线》 《思科交换机安全配置基线》 《中兴交换机安全配置基线》 三、检查方式 （一）常规安全检查 1. 对于管理制度的检查，对照《网络安全管理制度自查登记表》逐项比对，按照实际情况填写。 2. 对于服务器、计算机、网络设备、数据库等基础设施的安全配置情况，通过登录查看和工具检查两种方式交换进行。检查过程中涉及到的检查项请参照安全基线要求。 3. 对于机房安全检查，采用实地查看的方式进行。 4. 对于24种高危风险的检查，使用技术和登录查看方式：系统弱口令的检查，自行登录梳理；重大漏洞的检查，可以使用专业的工具。 5. 对于日志管理情况的检查，依照《日志管理自查登记表》中的要求，现场登陆查看。 阶段划分 提交材料 截止时间 准备阶段 《IP地址分配表》 2016年7月26日 (某某公司信息管理部和塔西南信息通讯部负责填报) 《网络设备远程管理信息登记表》 自查阶段 《信息安全管理制度自查登记表》 2016年9月26日 《设备自查结果登记表》 《机房自查结果登记表》 《高危风险自查登记表》 《日志管理自查登记表》 《XXX科室2016年信息安全自查工作总结报告》 2016年9月26日 抽查阶段 - - 整改阶段 《XXX科室2016年信息安全自查工作整改报告》 2016年12月23日 （二）工控安全检查 1. 对工控安全管理制度的检查，对照《工控安全管理制度检查登记表》逐项比对，按照实际情况填写。 2. 对工控系统漏洞以及弱口令的检查，以《工控资产清单》为基础，根据软硬件品牌、型号、版本等信息在《工控漏洞库》以及《工控弱口令清单》中进行人工比对。 所属阶段 提交材料 截止时间 准备阶段 - - 自查阶段 工控网络拓扑图 2016年9月26日 《工控安全管理制度检查登记表》 《工控资产清单》 《安全防护措施》 《安全防护需求》 《2016年网络安全检查-工控安全-自查报告-科室名称》 抽查阶段 - - 整改阶段 《2016年网络安全检查-工控安全-整改报告-科室名称》 2016年12月23日 （三）等保合规性检查 各科室按照信息系统安全等级保护测评要求开展定级、备案工作,填报《信息系统基本情况调查表》，定级为三级及以上的信息系统还需填报《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》。 阶段划分 提交材料 截止时间 准备阶段 《自建信息系统登记表》 2016年7月26日 自查阶段 《自建信息系统基本情况调查表》 2016年9月26日 《信息系统安全等级保护定级报告》 《信息系统安全等级保护备案表》 抽查阶段 - - 整改阶段 - - 四、工具准备 各科室在检查工作中建议通过使用专业设备提高检查效率和准确性。某某公司为本次安全检查工作提供部分检查工具，包括密码安全自查工具和中国石油基线配置核查工具，各科室在进行检查的过程中，可通过集团公司统一部署的安