XX-3-IS-信息安全檢查規(guī)范

第頁目標(biāo)、范圍與術(shù)語定義本文件的目標(biāo)是規(guī)范北京通融通信息技術(shù)有限公司XXX信息技術(shù)有限公司（以下簡稱“易寶支付XXX”）信息安全檢查工作的具體過程，明確各相關(guān)方的職責(zé)和工作內(nèi)容，為信息安全檢查工作的順利開展提供有效的指導(dǎo)。本文件主要描述了信息安全檢查的工作職責(zé)，安全檢查的主要類型、內(nèi)容，以及信息安全檢查的實(shí)施過程，包括檢查前準(zhǔn)備，檢查實(shí)施，檢查后總結(jié)，并明確了檢查結(jié)果的使用。本文件主要規(guī)范易寶支付XXX內(nèi)部信息安全檢查工作，對于外部監(jiān)管/上級機(jī)構(gòu)和具有安全檢查資質(zhì)的外部公司的信息安全檢查工作不屬于本文件的范圍。信息安全檢查工作職責(zé)信息安全管理小組在信息安全檢查工作中的職責(zé)包括但不限于：根據(jù)實(shí)際工作需要，組織安排信息安全檢查。聽取信息安全工作小組的信息安全檢查總結(jié)報(bào)告。信息安全工作小組在信息安全檢查工作中的職責(zé)包括但不限于：組織協(xié)調(diào)各被檢查部門和人員開展信息安全檢查工作。匯總檢查結(jié)果，編制信息安全檢查報(bào)告，向信息安全管理小組進(jìn)行匯報(bào)。各被檢查部門需協(xié)助和配合對本部門/機(jī)構(gòu)信息安全檢查工作的開展，提供檢查所需相關(guān)資料、資源及其他便利條件，并根據(jù)需要進(jìn)行自查或者互查工作，針對檢查結(jié)果進(jìn)行相應(yīng)的整改。信息安全檢查內(nèi)容信息安全檢查內(nèi)容信息安全管理領(lǐng)域主要檢查內(nèi)容信息安全相關(guān)制度信息安全相關(guān)制度的覆蓋范圍以及制度的適宜程度；信息安全相關(guān)制度管理工作的開展情況，包括制度的制定、落實(shí)、評審與修訂等是否符合規(guī)范要求等。人員安全管理崗位設(shè)置及人員配備：包括安全相關(guān)崗位的設(shè)立以及職責(zé)的明確/落實(shí)、崗位的授權(quán)等；內(nèi)部人員安全管理：包括員工的安全培訓(xùn)及考核、崗位授權(quán)管理等；外部組織人員安全管理：包括外部組織訪問事前、事中及事后不同階段的安全控制措施的落實(shí)情況等。物理安全管理物理環(huán)境安全：包括物理區(qū)域的電源、防雷、防火、防潮、防靜電等周邊環(huán)境安全控制措施落實(shí)情況等；訪問控制：為保護(hù)區(qū)域內(nèi)信息不受非授權(quán)物理訪問，機(jī)房及重要辦公場所的訪問控制措施（如門禁、值守等），以及防盜竊、防破壞措施的實(shí)施情況。系統(tǒng)建設(shè)和運(yùn)維安全系統(tǒng)建設(shè)安全：系統(tǒng)建設(shè)整個(gè)生命周期，包括系統(tǒng)建設(shè)設(shè)計(jì)階段、實(shí)施階段以及驗(yàn)收階段中涉及的信息安全控制措施落實(shí)情況；系統(tǒng)運(yùn)維安全：系統(tǒng)日常運(yùn)行維護(hù)相關(guān)安全控制（如監(jiān)控、惡意代碼防范、變更管理等）的落實(shí)情況。信息資產(chǎn)管理資產(chǎn)管理：包括信息資產(chǎn)識別、分類、標(biāo)識；介質(zhì)管理：包括介質(zhì)在使用、傳輸、保存、清除及銷毀等過程中的安全控制落實(shí)情況；設(shè)備管理：包括各類設(shè)備在使用和管理維護(hù)過程中的安全控制措施落實(shí)情況。安全事件處理與應(yīng)急響應(yīng)安全事件處理：對于安全事件分類分級及安全事件處理、報(bào)告等相關(guān)控制要求的落實(shí)情況進(jìn)行檢查；應(yīng)急響應(yīng)與災(zāi)難恢復(fù)：對于應(yīng)急響應(yīng)與災(zāi)難恢復(fù)的預(yù)案/計(jì)劃制定情況以及相關(guān)管理工作的落實(shí)情況（如修編、演練等）進(jìn)行檢查。信息安全技術(shù)領(lǐng)域主要檢查內(nèi)容應(yīng)用安全檢查應(yīng)用系統(tǒng)安全：對于應(yīng)用系統(tǒng)技術(shù)安全控制落實(shí)情況的檢查，包括身份鑒別、訪問控制、交易安全、數(shù)據(jù)安全、密碼安全、輸入輸出合法性、備份恢復(fù)、日志及審計(jì)等； 數(shù)據(jù)庫安全：對于常用數(shù)據(jù)庫（Oracle、SQLServer等）的安全配置、訪問控制、備份恢復(fù)、日志及審計(jì)情況等進(jìn)行檢查；中間件安全：對于中間件的安全配置、訪問控制、備份恢復(fù)、日志及審計(jì)情況等進(jìn)行檢查。網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)：對網(wǎng)絡(luò)整體架構(gòu)的安全情況，包括網(wǎng)絡(luò)可用性、訪問控制、網(wǎng)絡(luò)管理與審計(jì)、網(wǎng)絡(luò)防護(hù)等方面的安全控制情況進(jìn)行檢查；網(wǎng)絡(luò)設(shè)備安全：包括針對網(wǎng)絡(luò)主要設(shè)備（如路由器、交換機(jī)等）以及網(wǎng)絡(luò)中部署的安全設(shè)備（防火墻、入侵檢測、防病毒系統(tǒng)）等的安全配置、訪問控制、備份、日志與審計(jì)等進(jìn)行檢查。服務(wù)器主機(jī)安全檢查主機(jī)操作系統(tǒng)的安全性，主要包括目前使用的Windows、AIX等操作系統(tǒng)的安全檢查。終端安全檢查終端的安全，包括終端安全配置，補(bǔ)丁安裝情況、終端系統(tǒng)以及帳戶情況，終端口令策略檢查，終端使用安全檢查，終端開啟服務(wù)檢查，終端防病毒檢查。在信息安全檢查工作的開展過程中，可根據(jù)檢查的類型和范圍要求，對檢查內(nèi)容進(jìn)行適當(dāng)?shù)牟脺p。信息安全檢查的組織與實(shí)施易寶支付XXX每年應(yīng)組織全公司信息安全檢查，原則每年一次，以抽查為主，全面檢查為輔，實(shí)現(xiàn)對公司各部門信息安全工作的檢驗(yàn)和考核。檢查的準(zhǔn)備與組織組建信息安全檢查小組由信息安全管理小組根據(jù)實(shí)際需求，協(xié)調(diào)人員，組建信息安全檢查小組（以下簡稱檢查小組），指定小組負(fù)責(zé)人，檢查小組主要由信息安全工作小組成員組成，并根據(jù)實(shí)際需要從技術(shù)部門抽調(diào)人員參與。為了保證安全檢查的效果，可根據(jù)實(shí)際需要外聘信息安全領(lǐng)域的專家協(xié)助檢查小組開展安全檢查。檢查實(shí)施檢查小組在被檢查對象的協(xié)助下進(jìn)行現(xiàn)場檢查，主要采用以下方式進(jìn)行檢查：文件審閱：檢查小組成員在現(xiàn)場檢查之前，對提交的各種資料、文檔、執(zhí)行記錄進(jìn)行審閱。現(xiàn)場觀察：檢查小組成員直接到工作現(xiàn)場，觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的情況，為驗(yàn)證控制措施的落實(shí)情況提供依據(jù)。人員訪談：檢查小組成員與相關(guān)人員進(jìn)行面談，了解其職責(zé)范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息；要做好記錄和總結(jié)，必要時(shí)和訪談對象進(jìn)行確認(rèn)。檢查小組根據(jù)檢查內(nèi)容和檢查表，對檢查對象的信息安全狀況進(jìn)行打分。檢查總結(jié)檢查小組整理本次檢查的評分結(jié)果，整理檢查情況以及檢查中發(fā)現(xiàn)的問題，上報(bào)給信息安全管理小組審批。被檢查部門的信息安全管理員應(yīng)組織相關(guān)人員對信息安全檢查中發(fā)現(xiàn)的問題進(jìn)行原因分析，并進(jìn)行相關(guān)整改工作。整改完成的時(shí)間由信息安全部與被檢查部門共同確定。問題整改完成后，檢查小組要對檢查結(jié)果進(jìn)行驗(yàn)證。信息安全檢查結(jié)果的使用信息安全檢查結(jié)