信息安全檢查管理辦法

1、信息安全檢查管理辦法第一章總則第一條 為加強(qiáng)單位（公司）網(wǎng)絡(luò)與信息安全管理，全面掌握公司及所屬各業(yè)務(wù) 系統(tǒng)網(wǎng)絡(luò)與信息安全現(xiàn)狀，及時(shí)發(fā)現(xiàn)存在的薄弱環(huán)節(jié)和安全隱患，有效防范信息安 全事件的發(fā)生，規(guī)范網(wǎng)絡(luò)與信息安全檢查工作，制定本辦法。第二條 網(wǎng)絡(luò)與信息安全檢查堅(jiān)持“貴在真實(shí)，重在整改”的工作原則。第三條 網(wǎng)絡(luò)與信息安全檢查工作由各企業(yè)行政正職負(fù)責(zé)，分管副職組織實(shí) 施，做到責(zé)任明確，措施到位。第四條 本辦法適用公司各部門(mén)。第二章工作職責(zé)第五條公司科技信息技術(shù)部的主要職責(zé)：（一）落實(shí)國(guó)家有關(guān)職能部門(mén)安排的各項(xiàng)網(wǎng)絡(luò)與信息安全檢查工作；（二）制定公司組織的網(wǎng)絡(luò)與信息安全檢查計(jì)劃，并組織專家實(shí)施檢查與考 核

2、工作；（三）匯總、審閱系統(tǒng)各網(wǎng)絡(luò)與信息安全自查計(jì)劃和自查報(bào)告，審核風(fēng)險(xiǎn)控 制措施和整改方案，督促解決檢查中發(fā)現(xiàn)的突出問(wèn)題；（四）組織研究網(wǎng)絡(luò)與信息安全檢查工作中存在的共性問(wèn)題，并提出對(duì)策； 對(duì)涉及公司層面的重大問(wèn)題，提出整改意見(jiàn)；（五）指導(dǎo)系統(tǒng)各企業(yè)全面、深入開(kāi)展網(wǎng)絡(luò)與信息安全檢查工作，制定檢查 標(biāo)準(zhǔn)、制度與實(shí)施細(xì)則。第六條公司各業(yè)務(wù)部門(mén)應(yīng)積極配合開(kāi)展網(wǎng)絡(luò)與信息安全檢查工作。第七條檢查人員應(yīng)嚴(yán)格遵守有關(guān)保密規(guī)定。第三章檢查依據(jù)與內(nèi)容第八條公司應(yīng)依據(jù)信息技術(shù)安全技術(shù)信息安全管理體系（GB/T22O80 和信息安全管理實(shí)用規(guī)則（ISO 27001:2005）的要求，結(jié)合本公司網(wǎng)絡(luò)與信息 安全現(xiàn)狀以

3、及公司有關(guān)管理制度，確定檢查內(nèi)容。第九條網(wǎng)絡(luò)與信息安全檢查內(nèi)容應(yīng)重點(diǎn)包括組織機(jī)構(gòu)與管理體系建設(shè)、規(guī)章 制度的貫徹執(zhí)行和監(jiān)督檢查、網(wǎng)絡(luò)安全管理、應(yīng)用系統(tǒng)安全管理、桌面辦公系統(tǒng)的 使用和安全管理、運(yùn)行環(huán)境管理、運(yùn)行值班及技術(shù)維護(hù)管理、運(yùn)行安全控制管理等 內(nèi)容。第十條 各部門(mén)根據(jù)檢查目的和檢查重點(diǎn)的不同，可以直接引用網(wǎng)絡(luò)與信息 安全檢查實(shí)施導(dǎo)則（見(jiàn)附件一），也可以在此基礎(chǔ)上定制適合的檢查表。第四章檢查方式和周期第一條公司網(wǎng)絡(luò)與信息安全檢查采取自查、抽查和專項(xiàng)檢查相結(jié)合的方 式。（一）自查是個(gè)部門(mén)基于本辦法的要求，周期性開(kāi)展的網(wǎng)絡(luò)與信息安全檢查。 信息化主管部門(mén)制定并實(shí)施網(wǎng)絡(luò)與信息安全檢查的計(jì)劃，檢查

4、工作可以由信息安全 人員承擔(dān)，也可以委托具有相關(guān)安全認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請(qǐng)專家承擔(dān)。（二）抽查是指信息安全工作領(lǐng)導(dǎo)小組組織的網(wǎng)絡(luò)與信息安全檢查。公司信 息安全工作領(lǐng)導(dǎo)小組制定并實(shí)施公司的年度信息安全檢查計(jì)劃， 檢查工作可以由系 統(tǒng)內(nèi)相關(guān)信息安全人員承擔(dān)，也可以委托具有相關(guān)安全認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請(qǐng)專家 承擔(dān)。（三）專項(xiàng)檢查是由國(guó)家主管部門(mén)具有特定目的的網(wǎng)絡(luò)與信息安全檢查。檢 查工作由檢查組織單位委托具有相關(guān)安全認(rèn)證資質(zhì)的機(jī)構(gòu)或邀請(qǐng)專家承擔(dān)。第十二條檢查周期。（一）系統(tǒng)各企業(yè)每年至少開(kāi)展一次自查工作。原則上可選在“兩會(huì)”與國(guó) 慶節(jié)前進(jìn)行，檢查重點(diǎn)為上次自查、抽查或者專項(xiàng)檢查問(wèn)題的整改情況和發(fā)生變化

5、的系統(tǒng)。（二）抽查工作是與階段性的重點(diǎn)工作、重大活動(dòng)和節(jié)假日保電工作相結(jié)合 而開(kāi)展的。（三）專項(xiàng)檢查工作是根據(jù)國(guó)家的階段性重點(diǎn)工作或者針對(duì)網(wǎng)絡(luò)與信息安全 事件原因而開(kāi)展的。第五章 檢查內(nèi)容和方法第十三條檢查內(nèi)容可分為管理和技術(shù)兩個(gè)方面。管理方面檢查安全管理要求 和流程的執(zhí)行情況；技術(shù)方面檢查各軟硬件系統(tǒng)是否符合安全技術(shù)要求、安全配置 要求以及其它安全技術(shù)規(guī)范。第十四條 檢查方法應(yīng)采取人工與技術(shù)手段相結(jié)合的方式進(jìn)行，包括對(duì)系統(tǒng)進(jìn) 行基線檢查、漏洞掃描、滲透測(cè)試、日志審查、人員訪談、現(xiàn)場(chǎng)觀察、資料查閱等, 確保檢查的有效性和完整性。第六章檢查流程和要求第十五條 檢查流程包括：制定計(jì)劃、準(zhǔn)備、實(shí)施、

6、改進(jìn)等四個(gè)階段。第十六條 計(jì)劃階段。檢查前，組織者應(yīng)制訂具體的檢查計(jì)劃，確定本次檢查 范圍、重點(diǎn)內(nèi)容、檢查方法、時(shí)間安排、人員安排、主要風(fēng)險(xiǎn)及防范措施等。第十七條準(zhǔn)備階段（一）細(xì)化檢查內(nèi)容。如：檢查的系統(tǒng)范圍，檢查的重點(diǎn)項(xiàng)，各個(gè)系統(tǒng)中增、 刪、改等重點(diǎn)操作的指令與關(guān)鍵詞等。（二）編寫(xiě)網(wǎng)絡(luò)與信息安全檢查表（參見(jiàn)附件二）。檢查表應(yīng)包含依據(jù)標(biāo) 準(zhǔn)、檢查方式、檢查內(nèi)容、檢查方法、檢查結(jié)果、問(wèn)題描述、檢查人員和被檢查人 員簽字等內(nèi)容。（三）培訓(xùn)。重點(diǎn)培訓(xùn)檢查人員，說(shuō)明檢查內(nèi)容和方法、主要風(fēng)險(xiǎn)及防范措 施、表格填寫(xiě)要求、問(wèn)題處理方法等。（四）配置必要的技術(shù)裝備，如漏洞掃描工具、WE掃描工具等。第十八條實(shí)施

7、階段（一）按照網(wǎng)絡(luò)與信息安全檢查表進(jìn)行檢查并如實(shí)記錄。（二）檢查人員、配合人員共同簽字確認(rèn)檢查結(jié)果。（三）檢查結(jié)束后，檢查組織者編寫(xiě)網(wǎng)絡(luò)與信息安全檢查報(bào)告（參見(jiàn)附件 三），被檢查企業(yè)負(fù)責(zé)人在報(bào)告書(shū)簽字確認(rèn)后，于3日內(nèi)提交上級(jí)主管部門(mén)備案。第十九條 改進(jìn)階段（一）被檢查部門(mén)認(rèn)真分析發(fā)現(xiàn)的問(wèn)題，在7日內(nèi)制訂網(wǎng)絡(luò)與信息安全檢查 問(wèn)題整改計(jì)劃及實(shí)施方案，做到“項(xiàng)目、措施、責(zé)任、時(shí)間和資金”五落實(shí)；每 月對(duì)整改情況進(jìn)行督察。（二）整改完成后，向上級(jí)信息主管部門(mén)提交網(wǎng)絡(luò)與信息安全檢查整改情 況報(bào)告（參見(jiàn)附件四），并提請(qǐng)復(fù)核。第二十條 網(wǎng)絡(luò)與信息安全檢查報(bào)告、網(wǎng)絡(luò)與信息安全檢查問(wèn)題整改 計(jì)劃及實(shí)施方案、網(wǎng)絡(luò)

8、與信息安全檢查整改情況報(bào)告等相關(guān)文檔，經(jīng)過(guò)審批 后存檔。第二十一條 對(duì)于國(guó)家主管部門(mén)組織的各種網(wǎng)絡(luò)與信息安全檢查，被查企業(yè)要 以電話、傳真或電子郵件形式及時(shí)、逐級(jí)上報(bào)至公司科技信息技術(shù)部。被檢查部門(mén) 應(yīng)按照本辦法相關(guān)要求進(jìn)行改進(jìn)，妥善保留有關(guān)檢查結(jié)果和報(bào)告并存檔。第二十二條各種形式的檢查都應(yīng)獲得相應(yīng)授權(quán)，不得違反公司相關(guān)信息安全 管理規(guī)定要求，應(yīng)遵循對(duì)業(yè)務(wù)影響最小化的原則，嚴(yán)格控制可能帶來(lái)高風(fēng)險(xiǎn)的檢查 方法；對(duì)于在線業(yè)務(wù)系統(tǒng)的評(píng)估檢查時(shí)間必須避開(kāi)業(yè)務(wù)高峰時(shí)期。第七章評(píng)價(jià)與考核第二十三條集團(tuán)公司科技信息部將按照公司工作評(píng)價(jià)與考核管理辦法， 對(duì)各網(wǎng)絡(luò)與信息安全檢查工作、檢查結(jié)果以及整改情況進(jìn)行評(píng)價(jià)

9、考核。第二十四條 在網(wǎng)絡(luò)與信息安全檢查與整改工作中弄虛作假的，一經(jīng)查實(shí)，將 按照公司有關(guān)管理制度對(duì)該企業(yè)的相關(guān)領(lǐng)導(dǎo)和責(zé)任人進(jìn)行處罰。第八章附則第二十五條 本辦法自印發(fā)之日起實(shí)行。第二十六條 本辦法由單位（公司）科技信息技術(shù)部負(fù)責(zé)解釋。附件一、網(wǎng)絡(luò)與信息安全檢查表網(wǎng)絡(luò)與信息安全檢查表檢查時(shí)間:序號(hào)檢杳類別檢杳要點(diǎn)檢杳依據(jù)檢杳方式結(jié)果記錄存在問(wèn)題描述檢杳人員簽字配合人員簽字附件二、網(wǎng)絡(luò)與信息安全檢查報(bào)告單位（公司）網(wǎng)絡(luò)與信息安全檢查報(bào)告一、本次檢查概述（一）目的（二）時(shí)間（三）范圍（四）依據(jù)（五）內(nèi)容（六）方法（七）檢查人員及配合人員二、檢查對(duì)象情況概述（一）系統(tǒng)服務(wù)情況（二）組網(wǎng)情況（三）維護(hù)部門(mén)情況（四）安全防護(hù)現(xiàn)狀等等三、結(jié)果分析（一）列舉所有安全問(wèn)題和安全隱患，并按照嚴(yán)重程度進(jìn)行劃分（二）說(shuō)明安全問(wèn)題和安全隱患的責(zé)任人員或責(zé)任部門(mén)四、改進(jìn)意見(jiàn)五、檢查結(jié)論六、本檢查報(bào)告分發(fā)范圍檢查項(xiàng)目負(fù)責(zé)人簽名:附件(1) 安全檢查表(2) 其