【信息安全】【管理制度】【制度体系】XXX安全检查管理制度.docxVIP

PAGE 1 安全检查管理制度 第一章 总则 第一条 为加强XXX会网络与信息安全管理，全面掌握单位网络与信息安全现状，及时发现存在的薄弱环节和安全隐患，有效防范信息安全事件的发生，规范网络与信息安全检查工作，制定本办法。 第二条 网络与信息安全检查坚持“贵在真实，重在整改”的工作原则。 第三条 网络与信息安全检查工作由XXX会负责组织实施，做到责任明确，措施到位。 第二章 工作职责 第三条 XXX会的主要职责： （一）组织实施单位的网络与信息安全检查工作。 （二）统筹单位各类网络与信息安全检查工作，确保检查工作正常开展。 （三）对单位网络与信息安全自查工作进行指导。 （四）组织审查制定的整改计划和自查报告。 （五）监督网络与信息安全检查整改计划的执行情况，将未及时完成整改的问题要列入监控重点，确保整改到位。 （六）对网络与信息安全检查工作存在的共性问题进行研究，审查检查中发现重大问题的整改方案。 （七）对网络与信息安全检查标准的改进和完善提出意见和建议。 第四条 检查人员应严格遵守有关保密规定。 第三章 检查依据与内容 第五条 应依据《信息技术 安全技术 信息安全管理体系》（GB/T22080）和《信息安全管理实用规则》（ISO 27001:2005）的要求，结合本单位网络与信息安全现状以及有关管理制度，确定检查内容。 第六条 网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。 第七条 根据检查目的和检查重点的不同，定制适合的检查表。 第四章 检查方式和周期 第八条 网络与信息安全检查采取自查、抽查和专项检查相结合的方式。 （一）自查是基于本办法的要求，周期性开展的网络与信息安全检查。XXX会制定并实施网络与信息安全检查的计划，检查工作可以由相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。 （二）抽查是指由本单位组织的网络与信息安全检查。XXX会主任制定并实施集年度信息安全检查计划，检查工作可以由系统内相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。 （三）专项检查是由国家主管部门、单位组织的、具有特定目的的网络与信息安全检查。检查工作由单位组织，委托具有相关安全认证资质的机构或邀请专家承担。 第九条 检查周期。 （一）每年至少开展一次自查工作。原则上可选在“两会”与国庆节前进行，检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。 （二）抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。 （三）专项检查工作是根据国家、系统各个阶段性重点工作或者针对网络与信息安全事件而开展的。 第五章 检查内容和方法 第十条 检查内容可分为管理和技术两个方面。管理方面检查安全管理要求和流程的执行情况；技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。 第十一条 检查方法应采取人工与技术手段相结合的方式进行，包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等，确保检查的有效性和完整性。 第十二条 检查流程包括：制定计划、准备、实施、改进等四个阶段。 第十三条 计划阶段。检查前，组织者应制订具体的检查计划，确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。 第十四条 准备阶段 （一）细化检查内容。如：检查的系统范围，检查的重点项，各个系统中增、删、改、查等重点操作的指令与关键词等。 （二）编写《信息安全检查表》。检查表应包含依据标准、检查方式、检查内容、检查方法、检查结果、问题描述、检查人员和被检查人员签字等内容。 （三）培训。重点培训检查人员，说明检查内容和方法、主要风险及防范措施、表格填写要求、问题处理方法等。 （四）配置必要的技术装备，如漏洞扫描工具、WEB扫描工具等。 第十五条 实施阶段 （一）按照《信息安全检查表》进行检查并如实记录。 （二）检查人员、配合人员共同签字确认检查结果。 （三）检查结束后，检查组织者编写《信息安全检查报告》，被检查负责人在报告书签字确认后，于3日内提交上级主管部门备案。 第十六条 改进阶段 （一）认真分析发现的问题，在7日内制订《信息安全检查问题整改计划及实施方案》，做到“项目、措施、责任、时间和资金”五落实；每月对整改情况进行督察。 （二）整改完成后，向上级信息主管部门提交《信息安全检查整改情况报告》，并申请复核。 第十七条 《信息安全检查报告》、《信息安全检查问题整改计划及实施方案》、《信息安全检查整改情况报告》等相关文档，经过审批后存档。 第十八条 各种形式的检