收藏
下载资源

安全检查管理制度.docx

上传人:新** 文档编号:487412417 上传时间:2022-08-30 格式:DOCX 页数:4 大小:13.09KB
返回 下载 相关 举报
安全检查管理制度.docx_第1页
第1页 / 共4页
安全检查管理制度.docx_第2页
第2页 / 共4页
安全检查管理制度.docx_第3页
第3页 / 共4页
安全检查管理制度.docx_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《安全检查管理制度.docx》由会员分享,可在线阅读,更多相关《安全检查管理制度.docx(4页珍藏版)》请在金锄头文库上搜索。

1、安全检查管理制度文档信息单位名称烟台市教育装备与技术研究中心文档名称安全检查管理制度文档编号YTEDU-CS-4.1受控状态受控文件扩散范围内部使用制作人尹磊审核人姜静批准人冷作福页数共4页发布日期2018. 10. 10生效日期2018. 10. 10版本历史安全检查管理制度版本日期说明修订人1.02018. 10. 10创建文件尹磊2.02019. 07. 17修订尹磊第一章总则第一条为加强烟台市教育城域网网络安全管理,全面掌握单位网络与信息安全现状,及 时发现存在的薄弱环节和安全隐患,有效防范信息安全事件的发生,规范网络安全检查工作, 制定本办法。第二条网络安全检查坚持“贵在其实,重在整

2、改”的工作原则。第三条网络安全检查工作由烟台市教育装备与技术研究中心负责组织实施,做到责任明 确,措施到位。第二章工作职责第三条主要职责:(一)组织实施单位的网络与信息安全检查工作。(二)统筹单位各类网络与信息安全检查工作,确保检查工作正常开展。(三)对单位网络与信息安全自查工作进行指导。(四)组织审查制定的整改计划和自查报告。(五)监督网络与信息安全检查整改计划的执行情况,将未及时完成整改的问题要列入 监控重点,确保整改到位。(六)对网络与信息安全检查工作存在的共性问题进行研究,审查检查中发现重大问题 的整改方案。(七)对网络与信息安全检查标准的改进和完善提出意见和建议。第四条检查人员应严格

3、遵守有关保密规定。第三章检查依据与内容第五条应依据信息技术安全技术信息安全管理体系(ISO 27001:2013)的要求,结 合本单位网络与信息安全现状以及有关管理制度,确定检查内容。第六条网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻 执行和监督检查、网络安全管理、应用系统安全管理、桌面办公系统的使用和安全管理、运 行环境管理、运行值班及技术维护管理、运行安全控制管理等内容。第七条 根据检查目的和检查重点的不同,定制适合的检查表。第四章检查方式和周期第八条网络与信息安全检查采取自查、抽查和专项检查相结合的方式。(一)自查是基于本办法的要求,周期性开展的网络与信息安全检

4、查。烟台市教育装备 与技术研究中心制定并实施网络与信息安全检查的计划,检查工作可以由相关信息安全人员 承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。(二)抽查是指由本单位组织的网络与信息安全检查。烟台市教育装备与技术研究中心 主任制定并实施集年度信息安全检查计划,检查工作可以由系统内相关信息安全人员承担, 也可以委托具有相关安全认证资质的机构或邀请专家承担。(三)专项检查是由国家主管部门、单位组织的、具有特定目的的网络与信息安全检查。 检查工作由单位组织,委托具有相关安全认证资质的机构或邀请专家承担。第九条检查周期。(一)每年至少开展一次自查工作。原则上可选在“两会与国庆节前进行,

5、检查重点 为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。(二)抽查工作是与阶段性的重点工作、重大活动和节假日保电工作相结合而开展的。(三)专项检查工作是根据国家、系统各个阶段性重点工作或者针对网络与信息安全事 件而开展的。第五章检查内容和方法第十条检查内容可分为管理和技术两个方面。管理方面检查安全管理要求和流程的执行 情况;技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术 规范。第十一条检查方法应采取人工与技术手段相结合的方式进行,包括对系统进行基线检查、 漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和 完整性。第十二条

6、检查流程包括:制定计划、准备、实施、改进等四个阶段。第十三条计划阶段。检查前,组织者应制订具体的检查计划,确定本次检查范围、重点 内容、检查方法、时间安排、人员安排、主要风险及防范措施等。第十四条准备阶段(一)细化检查内容。如:检查的系统范围,检查的重点项,各个系统中增、删、改、 查等重点操作的指令与关键词等。(二)编写信息安全检查表。检查表应包含依据标准、检查方式、检查内容、检查方 法、检查结果、问题描述、检查人员和被检查人员签字等内容。(三)培训。重点培训检查人员,说明检查内容和方法、主要风险及防范措施、表格填 写要求、问题处理方法等。(四)配置必要的技术装备,如漏洞扫描工具、WEB扫描工

7、具等。第十五条实施阶段(一)按照信息安全检查表进行检查并如实记录。(二)检查人员、配合人员共同签字确认检查结果。(三)检查结束后,检查组织者编写信息安全检查报告,被检查负责人在报告书签字 确认后,于3日内提交上级主管部门备案。第十六条改进阶段(一)认真分析发现的问题,在7日内制订信息安全检查问题整改计划及实施方案, 做到“项目、措施、责任、时间和资金五落实;每月对整改情况进行督察。(二)整改完成后,向上级信息主管部门提交信息安全检查整改情况报告,并申请复 核。第十七条信息安全检查报告、信息安全检查问题整改计划及实施方案、信息安全 检查整改情况报告等相关文档,经过审批后存档。第十八条各种形式的检查都应获得相应授权,不得违反相关信息安全管理规定要求,应 遵循对业务影响最小化的原则,严格控制可能带来高风险的检查方法;对于在线业务系统的 评估检查时间必须避开业务高峰时期。第八章附则第十九条本规定由烟台市教育装备与技术研究中心负责解释和修订。第二十条本规定自印发之日起执行。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号