- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全检查管理办法
信息安全检查管理办法
第一章 总 则
第一条 为加强单位( 公司) 网络与信息安全管理,全面掌握公司及所属各业务系统网络与信息安全现状,及时发现存在的薄弱环节和安全隐患,有效防范信息安全事件的发生,规范网络与信息安全检查工作,制定本办法。
第二条 网络与信息安全检查坚持“贵在真实,重在整改”的工作原则。 第三条 网络与信息安全检查工作由各企业行政正职负责,分管副职组织实
施,做到责任明确,措施到位。
第四条 本办法适用公司各部门。
第二章 工作职责
第五条 公司科技信息技术部的主要职责:
(一) 落实国家有关职能部门安排的各项网络与信息安全检查工作;
(二) 制定公司组织的网络与信息安全检查计划,并组织专家实施检查与考核工作;
(三) 汇总、审阅系统各网络与信息安全自查计划和自查报告,审核风险控制措施和整改方案,督促解决检查中发现的突出问题;
(四) 组织研究网络与信息安全检查工作中存在的共性问题,并提出对策; 对涉及公司层面的重大问题,提出整改意见;
(五) 指导系统各企业全面、深入开展网络与信息安全检查工作,制定检查标准、制度与实施细则。
版权所有 江苏天网计算机技术有限公司 1
。
。
第六条 公司各业务部门应积极配合开展网络与信息安全检查工作。第七条 检查人员应严格遵守有关保密规定。
第三章 检查依据与内容
第八条 公司应依据《信息技术 安全技术 信息安全管理体系》( GB/T22080)和《信息安全管理实用规则》( ISO 27001:2005)的要求,结合本公司网络与信息安全现状以及公司有关管理制度,确定检查内容。
第九条 网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。
第十条 各部门根据检查目的和检查重点的不同,可以直接引用《网络与信息安全检查实施导则》(见附件一),也可以在此基础上定制适合的检查表。
第四章 检查方式和周期
第十一条 公司网络与信息安全检查采取自查、抽查和专项检查相结合的方
式。
(一) 自查是个部门基于本办法的要求,周期性开展的网络与信息安全检查。信息化主管部门制定并实施网络与信息安全检查的计划, 检查工作可以由信息安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。
(二) 抽查是指信息安全工作领导小组组织的网络与信息安全检查。公司信息安全工作领导小组制定并实施公司的年度信息安全检查计划, 检查工作可以由系统内相关信息安全人员承担, 也可以委托具有相关安全认证资质的机构或邀请专家
。
2
承担。
(三) 专项检查是由国家主管部门具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。
第十二条 检查周期。
(一) 系统各企业每年至少开展一次自查工作。原则上可选在“两会”与国庆节前进行,检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。
(二) 抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。
(三) 专项检查工作是根据国家的阶段性重点工作或者针对网络与信息安全事件原因而开展的。
第五章 检查内容和方法
第十三条 检查内容可分为管理和技术两个方面。 管理方面检查安全管理要求和流程的执行情况;技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。
第十四条 检查方法应采取人工与技术手段相结合的方式进行, 包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等, 确保检查的有效性和完整性。
第六章 检查流程和要求
第十五条 检查流程包括:制定计划、准备、实施、改进等四个阶段。
第十六条 计划阶段。检查前,组织者应制订具体的检查计划, 确定本次检查
。
3
范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。第十七条 准备阶段
(一) 细化检查内容。如:检查的系统范围,检查的重点项,各个系统中增、删、改等重点操作的指令与关键词等。
(二) 编写《网络与信息安全检查表》(参见附件二)。检查表应包含依据标准、检查方式、检查内容、检查方法、检查结果、问题描述、检查人员和被检查人员签字等内容。
(三) 培训。重点培训检查人员,说明检查内容和方法、主要风险及防范措施、表格填写要求、问题处理方法等。
(四) 配置必要的技术装备,如漏洞扫描工具、 WE扫B 描工具等。第十八条 实施阶段
(一) 按照《网络与信息安全检查表》进行检查并如实记录。
(二) 检查人员、配合人员共同签字确认检查结果。
(三) 检查结束后,检查组织者编写《网络与信息安全检查报告》 (
您可能关注的文档
- 中考化学试题大全第三单元《自然界的水》.docx
- 版新生儿窒息复苏抢救流程图.docx
- 白蚁预防工程施工方案.docx
- 小学数学答题卡.docx
- 化工设备制造项目.docx
- 药事管理学名解问答总结.docx
- 项目管理责任书.docx
- 荆州市驾培机构《道路运输经营许可证》换发申请表.docx
- 高速公路工程竣工结算审计计划.docx
- 加油站收购合同.docx
- 2024年安徽普通高校招生报考指导 .pdf
- 2024年河南省焦作市护士执业资格考试《专业实务》题库及答案解析.pdf
- 2024年劳动兼职合同模板(真题) .pdf
- 2024年母亲给高中三年级学生的一封信 (3份)_94 .pdf
- 2024年最新少先队知识竞赛考试必备题库(含答案) .pdf
- 2024年广东省普通高中学业水平选择考模拟测试(一)历史试题 .pdf
- 2024年1月福建省普通高中学业水平合格性考试历史考前模拟卷1(A4)含答 .pdf
- 2024年四川省泸州市泸县初中中考一模英语试题(含答案) .pdf
- 2024年中考英语分考点复习——用所给词的适当形式填空 .pdf
- 2024届高考英语二轮复习2017年-2023年高考英语阅读真题长难句解析(52.pdf
文档评论(0)