信息安全检查规范10.docx
- 文档编号:24433449
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:5
- 大小:17.39KB
信息安全检查规范10.docx
《信息安全检查规范10.docx》由会员分享,可在线阅读,更多相关《信息安全检查规范10.docx(5页珍藏版)》请在冰豆网上搜索。
信息安全检查规范10
信息安全检查规范
1前言
本文件的目标是规范XX(单位)信息安全检查工作的具体过程,明确各相关方的职责和工作内容,为信息安全检查工作的顺利开展提供有效的指导。
本文件主要描述了信息安全检查的工作职责,安全检查的主要类型、内容,以及信息安全检查的实施过程,包括检查前准备,检查实施,检查后总结,并明确了检查结果的使用。
本文件主要规范本单位内部信息安全检查工作,对于外部监管/上级机构和具有安全检查资质的外部单位的信息安全检查工作不属于本文件的范围。
2信息安全检查工作职责
(1)信息安全管理小组在信息安全检查工作中的职责包括但不限于:
⏹根据实际工作需要,组织安排信息安全检查。
⏹听取信息安全工作小组的信息安全检查总结报告。
(2)信息安全工作小组在信息安全检查工作中的职责包括但不限于:
⏹组织协调各被检查部门和人员开展信息安全检查工作。
⏹汇总检查结果,编制信息安全检查报告,向信息安全管理小组进行汇报。
(3)各被检查部门需协助和配合对本部门/机构信息安全检查工作的开展,提供检查所需相关资料、资源及其他便利条件,并根据需要进行自查或者互查工作,针对检查结果进行相应的整改。
3信息安全检查内容
3.1信息安全检查内容
3.1.1信息安全管理领域主要检查内容
(1)信息安全相关制度
⏹信息安全相关制度的覆盖范围以及制度的适宜程度;
⏹信息安全相关制度管理工作的开展情况,包括制度的制定、落实、评审与修订等是否符合规范要求等。
(2)人员安全管理
⏹岗位设置及人员配备:
包括安全相关岗位的设立以及职责的明确/落实、岗位的授权等;
内部人员安全管理:
包括员工的安全培训及考核、岗位授权管理等;
⏹外部组织人员安全管理:
包括外部组织访问事前、事中及事后不同阶段的安全控制措施的落实情况等。
(3)物理安全管理
⏹物理环境安全:
包括物理区域的电源、防雷、防火、防潮、防静电等周边环境安全控制措施落实情况等;
⏹访问控制:
为保护区域内信息不受非授权物理访问,机房及重要办公场所的访问控制措施(如门禁、值守等),以及防盗窃、防破坏措施的实施情况。
(4)系统建设和运维安全
⏹系统建设安全:
系统建设整个生命周期,包括系统建设设计阶段、实施阶段以及验收阶段中涉及的信息安全控制措施落实情况;
⏹系统运维安全:
系统日常运行维护相关安全控制(如监控、恶意代码防范、变更管理等)的落实情况。
(5)信息资产管理
⏹资产管理:
包括信息资产识别、分类、标识;
⏹介质管理:
包括介质在使用、传输、保存、清除及销毁等过程中的安全控制落实情况;
⏹设备管理:
包括各类设备在使用和管理维护过程中的安全控制措施落实
情况。
(6)安全事件处理与应急响应
⏹安全事件处理:
对于安全事件分类分级及安全事件处理、报告等相关控制要求的落实情况进行检查;应急响应与灾难恢复:
对于应急响应与灾难恢复的预案/计划制定情况以
及相关管理工作的落实情况(如修编、演练等)进行检查。
3.1.2信息安全技术领域主要检查内容
(1)应用安全检查
⏹应用系统安全:
对于应用系统技术安全控制落实情况的检查,包括身份鉴别、访问控制、交易安全、数据安全、密码安全、输入输出合法性、备份恢复、日志及审计等;
⏹数据库安全:
对于数据库(Oracle)的安全配置、访问控制、备份恢复、日志及审计情况等进行检查;
⏹中间件安全:
对于中间件的安全配置、访问控制、备份恢复、日志及审计情况等进行检查。
(2)网络安全检查
⏹网络架构:
对网络整体架构的安全情况,包括网络可用性、访问控制、网络管理与审计、网络防护等方面的安全控制情况进行检查;
⏹网络设备安全:
包括针对网络主要设备(如路由器、交换机等)以及网络中部署的安全设备(防火墙、入侵检测、防病毒系统)等的安全配置、访问控制、备份、日志与审计等进行检查。
(3)服务器主机安全检查
⏹主机操作系统的安全性,主要包括目前使用的Windows、AIX等操作系统的安全检查。
(4)终端安全检查终端的安全,包括终端安全配置,补丁安装情况、终端系统以及帐户情况,终端口令策略检查,终端使用安全检查,终端开启服务检查,终端防病毒检查。
在信息安全检查工作的开展过程中,可根据检查的类型和范围要求,对检查内容进行适当的裁减。
4信息安全检查的组织与实施
本单位每年应组织全单位信息安全检查,原则每年一次,以抽查为主,全面检查为辅,实现对单位各部门信息安全工作的检验和考核。
4.1.1检查的准备与组织
4.1.1.1组建信息安全检查小组
(1)由信息安全管理小组根据实际需求,协调人员,组建信息安全检查小组(以下简称检查小组),指定小组负责人,检查小组主要由信息安全工作小组成员组成,并根据实际需要从技术部门抽调人员参与。
(2)为了保证安全检查的效果,可根据实际需要外聘信息安全领域的专家协助检查小组开展安全检查。
4.1.2检查实施
(1)检查小组在被检查对象的协助下进行现场检查,主要采用以下方式进行检查:
⏹文件审阅:
检查小组成员在现场检查之前,对提交的各种资料、文档、执行记录进行审阅。
现场观察:
检查小组成员直接到工作现场,观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的情况,为验证控制措施的落实情况提供依据。
⏹人员访谈:
检查小组成员与相关人员进行面谈,了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息;要做好记录和总结,必要时和访谈对象进行确认。
(2)检查小组根据检查内容和检查表,对检查对象的信息安全状况进行
打分。
4.1.3检查总结
(1)检查小组整理本次检查的评分结果,整理检查情况以及检查中发现的问题,上报给信息安全管理小组审批。
(2)被检查部门的信息安全管理员应组织相关人员对信息安全检查中发现的问题进行原因分析,并进行相关整改工作。
整改完成的时间由信息安全部与被检查部门共同确定。
(3)问题整改完成后,检查小组要对检查结果进行验证。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全检查 规范 10