文档信息
文档名称
|
安全检查和通报管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为进一步加强门户网站系统的安全检查和通报管理工作,依据《信息安全管理办法》制定本管理制度。
对象。本制度的对象主要是指。
范围。本制度适用于安全检查和通报管理相关工作。
要求。安全检查安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二安全检查准备
(1)由安全管理员提出检查申请,经信息系统负责人审批,通知相关业务部门。
(2)安全管理员应牵头组织相关部门或人员根据信息系统安全相关的国家法律法规、发布的相关制度和技术标准、业界规范标准确定安全检查内容和安全检查方案。
(3)安全管理员应明确检查要点、检查方式、检查工具、检查所涉及的信息系统范围和检查所需配合部门,报信息安全工作小组负责人进行审批。
三安全检查实施
(1)安全管理员应组织相关部门或人员按照检查周期进行安全例行检查,根据需要组织安全专项检查。
(2)安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。
(3)应选择对信息系统运行影响最小的方式和时间进行检查。
(4)安全检查可采用抽查的方式进行,抽查的采样量应能确保安全检查结果的准确性、代表性。
(5)检查过程中应做好检查结果的记录工作,建立安全检查档案。
(6)检查完成后由安全管理员负责组织编写检查报告并提出整改建议,规定整改内容、期限和责任人,提供给相关部门。
(7)在安全检查过程中如果需要使用安全工具,只能使用经过信息安全工作小组审核过安全检查工具。
(8)安全检查工具只能在检查设备或者被检查部门的设备上运行,并由检查人员负责操作。
(9)在业务系统中使用检查工具前,信息安全工作小组要组织进行测试工作,对其可能产生的影响进行评估和论证,必要时安排双人进行操作。
四检查内容
(1)信息系统安全检查应重点对信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全自查工作等情况进行检查。
(2)信息安全组织管理的检查内容包括:信息安全管理机构及其工作开展情况;信息安全管理人员及其工作开展情况等。
(3)日常信息安全管理的检查内容包括:人员管理;资产管理;信息技术外包服务安全管理;信息技术产品使用管理;信息安全经费保障等。
(4)信息安全防护管理的检查内容包括:网络边界防护管理;服务器安全防护;网络设备防护;信息安全设备部署及使用;门户网站安全管理;电子邮箱安全管理;终端计算机安全管理:移动存储设备安全管理等。
(5)信息安全应急管理的检查内容包括:信息系统应急预案的制定及演练;重要数据和重要信息系统的备份;信息安全事件的应急处置等。
(6)信息安全教育培训的检查内容包括关员信息安全基本技能培训和技术人员参加信息安全专业培训等。
(7)信息系统自查工作的检查内容包括:上一年度发现问题的整改;本年度检查工作开展;安全技术检测情况等。
五检查整改及通报
(1)相关部门应按照检查报告中整改的时间要求,针对检查报告中所提出的问题制定整改实施计划并组织整改。一时解决不了的,要及时报告信息安全工作小组负责人,同时必须采取临时安全措施。
(2)安全管理员应对整改措施的落实情况进行跟踪,验证整改措施的实施结果是否有效,必要时可进行复查确认。
(3)安全管理员根据检查结果和整改情况进行汇总,形成安全状况通报并提供给相关部门。
六附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日