信息安全检查管理办法

1、信息平安检查管理方法第一章 总 那么第一条 为加强单位 公司 网络与信息平安管理，全面掌握公司与所属各业务 系统网络与信息平安现状，与时发现存在的薄弱环节和平安隐患，有效防信息平安 事件的发生，规网络与信息平安检查工作，制定本方法。第二条 网络与信息平安检查坚持“贵在真实，重在整改的工作原那么。第三条 网络与信息平安检查工作由各企业行政正职负责，分管副职组织实 施，做到责任明确，措施到位。第四条 本方法适用公司各部门。第二章 工作职责第五条 公司科技信息技术部的主要职责：一落实国家有关职能部门安排的各项网络与信息平安检查工作；二制定公司组织的网络与信息平安检查方案，并组织专家实施检查与考 核工

2、作；三汇总、审阅系统各网络与信息平安自查方案和自查报告，审核风险控 制措施和整改方案，催促解决检查中发现的突出问题；四组织研究网络与信息平安检查工作中存在的共性问题，并提出对策； 对涉与公司层面的重大问题，提出整改意见；五指导系统各企业全面、深入开展网络与信息平安检查工作，制定检查 标准、制度与实施细那么第六条 公司各业务部门应积极配合开展网络与信息平安检查工作。第七条 检查人员应严格遵守有关规定。第三章 检查依据与容第八条 公司应依据?信息技术 平安技术 信息平安管理体系? GB/T22080 和?信息平安管理实用规那么? ISO 27001:2005的要求，结合本公司网络与信 息平安现状以

3、与公司有关管理制度，确定检查容。第九条 网络与信息平安检查容应重点包括组织机构与管理体系建设、规章制 度的贯彻执行和监视检查、网络平安管理、应用系统平安管理、桌面办公系统的使 用和平安管理、运行环境管理、运行值班与技术维护管理、 运行平安控制管理等容。第十条 各部门根据检查目的和检查重点的不同，可以直接引用?网络与信息 平安检查实施导那么?见附件一，也可以在此根底上定制适合的检查表。第四章 检查方式和周期第十一条 公司网络与信息平安检查采取自查、抽查和专项检查相结合的方 式。一自查是个部门基于本方法的要求，周期性开展的网络与信息平安检查。 信息化主管部门制定并实施网络与信息平安检查的方案， 检

4、查工作可以由信息平安 人员承担，也可以委托具有相关平安认证资质的机构或邀请专家承担。二抽查是指信息平安工作领导小组组织的网络与信息平安检查。公司信 息平安工作领导小组制定并实施公司的年度信息平安检查方案， 检查工作可以由系 统相关信息平安人员承担， 也可以委托具有相关平安认证资质的机构或邀请专家承三专项检查是由国家主管部门具有特定目的的网络与信息平安检查。检 查工作由检查组织单位委托具有相关平安认证资质的机构或邀请专家承担。第十二条 检查周期。一系统各企业每年至少开展一次自查工作。原那么上可选在“两会与 国庆节前进展，检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变 化的系统。二抽查

5、工作是与阶段性的重点工作、重大活动和节假日保电工作相结合 而开展的。三专项检查工作是根据国家的阶段性重点工作或者针对网络与信息平安 事件原因而开展的。第五章 检查容和方法第十三条 检查容可分为管理和技术两个方面。 管理方面检查平安管理要求和 流程的执行情况；技术方面检查各软硬件系统是否符合平安技术要求、平安配置要 求以与其它平安技术规。第十四条 检查方法应采取人工与技术手段相结合的方式进展， 包括对系统进 展基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等， 确保检查的有效性和完整性。第六章 检查流程和要求第十五条 检查流程包括：制定方案、准备、实施、改进等四个阶段。第十

6、六条 方案阶段。 检查前，组织者应制订具体的检查方案， 确定本次检查 围、重点容、检查方法、时间安排、人员安排、主要风险与防措施等。第十七条 准备阶段一细化检查容。如：检查的系统围，检查的重点项，各个系统中增、删、 改等重点操作的指令与关键词等。二编写?网络与信息平安检查表? 参见附件二。检查表应包含依据标 准、检查方式、检查容、检查方法、检查结果、问题描述、检查人员和被检查人员 签字等容。三培训。重点培训检查人员，说明检查容和方法、主要风险与防措施、 表格填写要求、问题处理方法等。四配置必要的技术装备，如漏洞扫描工具、WE扫描工具等。第十八条 实施阶段一按照?网络与信息平安检查表?进展检查并

7、如实记录。二检查人员、配合人员共同签字确认检查结果。三检查完毕后，检查组织者编写?网络与信息平安检查报告? 参见附件 三，被检查企业负责人在报告书签字确认后，于 3日提交上级主管部门备案。第十九条 改进阶段一被检查部门认真分析发现的问题，在 7日制订?网络与信息平安检查问 题整改方案与实施方案?，做到“工程、措施、责任、时间和资金五落实；每月 对整改情况进展督察。二整改完成后，向上级信息主管部门提交?网络与信息平安检查整改情 况报告?参见附件四，并提请复核。第二十条 ?网络与信息平安检查报告?、?网络与信息平安检查问题整改 方案与实施方案?、?网络与信息平安检查整改情况报告?等相关文档，经过审

8、批 后存档。第二十一条 对于国家主管部门组织的各种网络与信息平安检查，被查企业要以、 或电子形式与时、逐级上报至公司科技信息技术部。被检查部门应按照本 方法相关要求进展改进，妥善保存有关检查结果和报告并存档。第二十二条 各种形式的检查都应获得相应授权，不得违反公司相关信息平安 管理规定要求，应遵循对业务影响最小化的原那么，严格控制可能带来高风险的检 查方法；对于在线业务系统的评估检查时间必须避开业务顶峰时期。第七章 评价与考核第二十三条 集团公司科技信息部将按照?公司工作评价与考核管理方法?， 对各网络与信息平安检查工作、检查结果以与整改情况进展评价考核。第二十四条 在网络与信息平安检查与整改

9、工作中弄虚作假的，一经查实，将 按照公司有关管理制度对该企业的相关领导和责任人进展处分。第八章 附 那么第二十五条 本方法自印发之日起实行。第二十六条 本方法由单位 公司科技信息技术部负责解释。附件一、网络与信息平安检查表网络与信息平安检查表检查序号检杳类别检杳要点检杳依据检杳力式结果记录存在冋题描述检杳人员签字配合人员签字附件二、网络与信息平安检查报告单位公司 网络与信息平安检查报告一、本次检查概述 一 目的 二 时间三围 四 依据 五 容 六 方法 七 检查人员与配合人员二、检查对象情况概述 一 系统效劳情况 二 组网情况 三 维护部门情况 四 平安防护现状等等三、结果分析 一 列举所有平安问题和平安隐患，并按照严重程度进展划分 二 说明平安问题和平安隐患的责任人员或责任部门四、改进意见五、检查结论六、本检查报告分发围检查工程负责人签名：附件1) 平安检查表2) 其它辅助材