1、新建V2.02020.2.1标准修订修改说明:(注:版本号:第一次制订为第一版,既以“1.0”表示。若有重大修改时,号码递增1,即为“2.0”。若有细微修改,号码递增0.1,即为“1.1”,若号码变更数超过9时,则以10、11、12依序排列。)第一章 总则第一条 本规定是为了规范XXXXXXXX外网网站信息系统信息安全检查工作流程,明确职责,有效地对XXXXXXXX外网网站信息系统进行安全检查,特制定本规定。第二章 适用范围第二条 本规定适用于XXXXXXXX外网网站信息系统信息安全检查准备、实施、报告和整改过程,管理对象为安全管理员和系统管理人员。第三章 术语定义第三条 安全检查:指单位内部
2、或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。第四条 安全例行检查:指按照已制定的检查周期所作的检查。第五条 安全专项抽查:指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。第四章 组织职责第六条 安全管理员负责牵头协调组织各系统信息安全检查的管理工作。第七条 相关管理员应配合安全检查,如实提供所需要的检查信息,对安全检查所发现的问题制定整改措施、整改计划并实施整改。第五章 通用要求第八条 安全检查应当遵循全面、审慎、有独立的原则。第九条
3、安全管理员应牵头建立检查机制,各系统负责人配合制定检查计划,定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。第一十条 应当定期对信息系统进行安全检查,检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。第一十一条 可根据实际需要组织专项检查,对于信息系统发生的重大事故和问题,要进行专项检查,对重大事件实施全面的监控和评价。第一十二条 对于新系统,包括设备、主机、应用系统上线或安装前必须经过安全检查,检查方式应包括系统安全配置,漏洞评估,恶意代码检测,根据检查结果进行整改后方可上线。第一十三条 必须对检查工具、检查过程信息和检查结果信息的使用和访问
4、采取控制措施加以保护,以防止任何可能的风险。第六章 安全检查准备第一十四条 安全管理员应组织相关部门或人员按照检查周期进行安全例行检查,根据需要组织安全专项检查。第一十五条 安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。第一十六条 应选择对单位信息系统运行影响最小的方式和时间进行检查。第一十七条 对生产环境实施安全检查应按照XXXXXXXX外网网站信息系统信息系统变更管理规定所规定的变更流程执行。第一十八条 实施对生产环境可能造成影响的安全检查后,应协调相关部门或人员对检查结果进行验证。第一十九条 安全检查可采用抽查的方式进行,抽查的采样量应能确保安全检查结果的准确性、
5、代表性并符合系统实际生产情况。第二十条 检查过程中应做好检查结果的记录工作。第七章 安全检查报告第二十一条 检查完成后由安全管理员负责组织编写检查报告并提出整改建议(附录一安全检查情况汇总表),提供给相关部门。第八章 安全检查整改第二十二条 相关部门应按照检查报告中整改的时间要求,针对检查报告中所提出的问题制定整改实施计划并组织整改。第二十三条 安全管理员应对整改措施的落实情况进行跟踪,验证整改措施的实施结果是否有效,必要时可进行复查确认。第二十四条 安全管理员根据检查结果和整改情况进行汇总,形成安全状况通报并提供给相关部门。第九章 检查工具的使用第二十五条 在安全检查过程中如果需要使用安全工
6、具,只能使用经过审核过安全检查工具。第二十六条 安全检查工具只能在检查设备或者被检查部门的设备上运行,并由检查人员负责操作。第二十七条 在生产系统中使用检查工具前,安全管理员要组织进行测试工作,对其可能产生的影响进行评估和论证,必要时安排双人进行操作。第一十章 持续改进第二十八条 为了保证本策略文件的时效性、可有性,必须根据相关审核规定进行评审和修订,修订后重新发布。第一十一章 附则第二十九条 本文件由办公厅负责制定、解释和修改,单位过去制定和颁布的有关规定与本文件不一致的,以本文件为准。第三十条 本文件自发布之日起执行。附录一安全检查情况汇总表序号不符合项具体内容原因说明改善建议负责人/部门
7、12345678910共有主要不符合项:信息系统安全检查表检查日期:检查人:日常运行维护管理内容及要求检查结果备注1. 信息系统日常运维信息系统操作流程及时更新用户密码管理是否规范用户密码是否定期更改操作日志记录异常情况记录异常情况处理记录数据完整、连续补丁是否更新是否安装防病毒软件是否文档管理1. 应急计划应急计划为最新,并及时完善、修订,并包含:1、 外联单位联系单、应急联系电话、岗位负责人2、 各类问题的具体应对措施(故障判别、关键设备位置、应急操作步骤等)2. 数据备份备份数据完整、有效网络设备、安全设备配置文件是否定期备份3. 测试报告每次测试都进行记录,填写报告,定期整理4. 应急
8、演练记录每次演练都进行记录,填写报告,定期整理5. 系统上线流程审批系统上线、软件升级、设置变更等填写审批单6. 技术文档管理各应用系统的技术文档、操作手册是否齐全7. IP地址记录IP地址记录是否及时更新(抽查IP地址,每台设备的IP地址表)8. 防病毒措施病毒库即时更新9. 网络拓扑图网络拓扑图及时更新安全管理及卫生情况1. 人员备岗关键岗位有备岗外部运维人员保密协议2. 机房备品备件机房关键设备、各应用系统等是否有备份有无3. 是否有超年限的机器中心机房4. 机房管理应急照明是否堆放有杂物(纸箱、废弃物等)机房的监控系统清晰、有效机房网络线路是否清晰,网线颜色是否标准5. 视频监控视频监控设备清晰、有效6. 门禁系统门禁系统功能是否正常正常不正常7. 防盗报警器红外防盗报警器功能是否正常8. 机房出入人员登记表外来人员进出机房登记9. 机房电力供应等电力切换演习记录UPS容量、负载情况电池供电时间配电房定期检修空调运行情况(空调供水、排水情况)( )10. 消防烟感、温感消防报警系统定期演练11. 防雷系统防雷系统安装等级措施完整、有效(防雷接地、防雷保安器)
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1