最新等保20外网网站信息系统安全检查管理规定.docx
《最新等保20外网网站信息系统安全检查管理规定.docx》由会员分享,可在线阅读,更多相关《最新等保20外网网站信息系统安全检查管理规定.docx(9页珍藏版)》请在冰豆网上搜索。
最新等保20外网网站信息系统安全检查管理规定
文档类别:
XXXXXXXX外网网站信息系统信息安全管理体系文件
版本号:
Ver2.0
XXXXXXXX外网网站信息系统
安全检查管理规定
修订记录
版本号
编制部门
修改日期
生效日期
修改原因和修改内容提示
V1.0
办公厅
2016.8.16
新建
V2.0
办公厅
2020.2.1
标准修订
修改说明:
(注:
版本号:
第一次制订为第一版,既以“1.0”表示。
若有重大修改时,号码递增1,即为“2.0”。
若有细微修改,号码递增0.1,即为“1.1”,若号码变更数超过9时,则以10、11、12……依序排列。
)
第一章总则
第一条本规定是为了规范XXXXXXXX外网网站信息系统信息安全检查工作流程,明确职责,有效地对XXXXXXXX外网网站信息系统进行安全检查,特制定本规定。
第二章适用范围
第二条本规定适用于XXXXXXXX外网网站信息系统信息安全检查准备、实施、报告和整改过程,管理对象为安全管理员和系统管理人员。
第三章术语定义
第三条安全检查:
指单位内部或外部机构对信息安全整体执行情况进行的评价活动。
安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。
第四条安全例行检查:
指按照已制定的检查周期所作的检查。
第五条安全专项抽查:
指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。
第四章组织职责
第六条安全管理员负责牵头协调组织各系统信息安全检查的管理工作。
第七条相关管理员应配合安全检查,如实提供所需要的检查信息,对安全检查所发现的问题制定整改措施、整改计划并实施整改。
第五章通用要求
第八条安全检查应当遵循全面、审慎、有独立的原则。
第九条安全管理员应牵头建立检查机制,各系统负责人配合制定检查计划,定期开展检查活动。
检查计划要根据实际情况及时进行补充和调整。
第一十条应当定期对信息系统进行安全检查,检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。
第一十一条可根据实际需要组织专项检查,对于信息系统发生的重大事故和问题,要进行专项检查,对重大事件实施全面的监控和评价。
第一十二条对于新系统,包括设备、主机、应用系统上线或安装前必须经过安全检查,检查方式应包括系统安全配置,漏洞评估,恶意代码检测,根据检查结果进行整改后方可上线。
第一十三条必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护,以防止任何可能的风险。
第六章安全检查准备
第一十四条安全管理员应组织相关部门或人员按照检查周期进行安全例行检查,根据需要组织安全专项检查。
第一十五条安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。
第一十六条应选择对单位信息系统运行影响最小的方式和时间进行检查。
第一十七条对生产环境实施安全检查应按照《XXXXXXXX外网网站信息系统信息系统变更管理规定》所规定的变更流程执行。
第一十八条实施对生产环境可能造成影响的安全检查后,应协调相关部门或人员对检查结果进行验证。
第一十九条安全检查可采用抽查的方式进行,抽查的采样量应能确保安全检查结果的准确性、代表性并符合系统实际生产情况。
第二十条检查过程中应做好检查结果的记录工作。
第七章安全检查报告
第二十一条检查完成后由安全管理员负责组织编写检查报告并提出整改建议(附录一安全检查情况汇总表),提供给相关部门。
第八章安全检查整改
第二十二条相关部门应按照检查报告中整改的时间要求,针对检查报告中所提出的问题制定整改实施计划并组织整改。
第二十三条安全管理员应对整改措施的落实情况进行跟踪,验证整改措施的实施结果是否有效,必要时可进行复查确认。
第二十四条安全管理员根据检查结果和整改情况进行汇总,形成安全状况通报并提供给相关部门。
第九章检查工具的使用
第二十五条在安全检查过程中如果需要使用安全工具,只能使用经过审核过安全检查工具。
第二十六条安全检查工具只能在检查设备或者被检查部门的设备上运行,并由检查人员负责操作。
第二十七条在生产系统中使用检查工具前,安全管理员要组织进行测试工作,对其可能产生的影响进行评估和论证,必要时安排双人进行操作。
第一十章持续改进
第二十八条为了保证本策略文件的时效性、可有性,必须根据相关审核规定进行评审和修订,修订后重新发布。
第一十一章附则
第二十九条本文件由办公厅负责制定、解释和修改,单位过去制定和颁布的有关规定与本文件不一致的,以本文件为准。
第三十条本文件自发布之日起执行。
附录一
安全检查情况汇总表
序号
不符合项
具体内容
原因说明
改善建议
负责人/部门
1
2
3
4
5
6
7
8
9
10
共有主要不符合项:
信息系统安全检查表
检查日期:
检查人:
日常运行维护管理
内容及要求
检查结果
备注
1.信息系统日常运维
信息系统操作流程及时更新
用户密码管理是否规范
用户密码是否定期更改
操作日志记录
异常情况记录
异常情况处理
记录数据完整、连续
补丁是否更新
是否安装防病毒软件
□是□否
□是□否
□是□否
□是□否
□是□否
□是□否
□是□否
□是□否
□是□否
文档管理
内容及要求
检查结果
备注
1.应急计划
应急计划为最新,并及时完善、修订,并包含:
1、外联单位联系单、应急联系电话、岗位负责人
2、各类问题的具体应对措施(故障判别、关键设备位置、应急操作步骤等)
□是□否
□是□否
2.数据备份
备份数据完整、有效
网络设备、安全设备配置文件是否定期备份
□是□否
□是□否
3.测试报告
每次测试都进行记录,填写报告,定期整理
□是□否
4.应急演练记录
每次演练都进行记录,填写报告,定期整理
□是□否
5.系统上线流程审批
系统上线、软件升级、设置变更等填写审批单
□是□否
6.技术文档管理
各应用系统的技术文档、操作手册是否齐全
□是□否
7.IP地址记录
IP地址记录是否及时更新
(抽查IP地址,每台设备的IP地址表)
□是□否
8.防病毒措施
病毒库即时更新
□是□否
9.网络拓扑图
网络拓扑图及时更新
□是□否
安全管理及卫生情况
内容及要求
检查结果
备注
1.人员备岗
关键岗位有备岗
外部运维人员保密协议
□是□否
□是□否
2.机房备品备件
机房关键设备、各应用系统等是否有备份
□有□无
3.是否有超年限的机器
中心机房
□有□无
4.机房管理
应急照明
是否堆放有杂物(纸箱、废弃物等)
机房的监控系统清晰、有效
机房网络线路是否清晰,网线颜色是否标准
□有□无
□是□否
□有□无
□是□否
5.视频监控
视频监控设备清晰、有效
□是□否
6.门禁系统
门禁系统功能是否正常
□正常□不正常
7.防盗报警器
红外防盗报警器功能是否正常
□正常□不正常
8.机房出入人员登记表
外来人员进出机房登记
□是□否
9.机房电力供应等
电力切换演习记录
UPS容量、负载情况
电池供电时间
配电房定期检修
空调运行情况(空调供水、排水情况)
□有□无
()
()
□有□无
□正常□不正常
10.消防
烟感、温感
消防报警系统
定期演练
□正常□不正常
□正常□不正常
□是□否
11.防雷系统
防雷系统安装等级
措施完整、有效(防雷接地、防雷保安器)
()
□是□否
升级会员 