2信息安全检查管理办法.docx
《2信息安全检查管理办法.docx》由会员分享,可在线阅读,更多相关《2信息安全检查管理办法.docx(4页珍藏版)》请在冰点文库上搜索。
信息安全检查管理办法
修订记录
版本编号
修订日期
主要修订摘要
审核记录
审核人员
属于部门
审核日期
第一章总则
第一条为了加强和规范中国航发湖南动力机械研究所(以下简称“动研所”)信息技术工作检查,促进动研所信息技术工作有效开展,保障动研所信息系统安全运行,制定本管理办法。
第二条本管理办法所称信息技术工作检查是指对动研所信息系统建设、信息系统运行保障、信息安全管理等有关信息技术工作开展的综合检查、评价和报告的活动。
第三条信息技术工作检查依据包括国家有关法律法规、行业有关规章制度与技术指引,动研所信息技术规章制度。
第四条信息技术工作检查对象为动研所相关部室(以下简称“被检查部门”)。
第五条信息技术工作检查可采取日常检查、组织自查、专项检查、年度检查等方式。
年度检查对象包括所有相关部门,且每年不少于一次。
第六条信息技术工作检查应遵循以下原则:
(一)独立性原则:
检查人员应与被检查部门保持工作和职责上的相互独立。
(二)客观公正原则:
检查工作应尽量减少个人主张或判断,应在最小主观判断情形下,基于明确定义的检查方法和解释,对每个要求项进行检查。
(三)保密原则:
检查人员应对在检查期间接触到被检查部门的技术、业务机密信息严格保密,不应将包含被检查部门机密信息的资料作为证明材料。
(四)审慎操作原则:
防范检查操作风险,禁止在交易期间操作被检查部门在线运行的信息系统,不应在交易期间要求被检查部门进行各类系统切换测试和升级操作。
第二章组织机构与职责
第七条信息化技术研究部负责信息技术工作检查,根据动研所当前信息技术现状明确检查重点,制定检查标准指导检查工作。
第八条信息化技术研究部成立信息技术工作检查小组,具体负责信息技术检查工作的实施。
第三章信息安全检查分类
第九条各部门及下属和相关人员要配合各项信息安全检查工作,并按要求完成检查中发现问题项的整改工作。
第十条动研所的信息安全检查包括上级主管单位对动研所进行的专项信息安全检查、信息安全认证机构对动研所的信息安全外部审核、风险监管部门主导的信息安全内部审核和内部信息安全技术检查等。
检查名称
上级主管单位信息安全检查
信息安全外部审核
信息安全内部审核
内部信息安全技术检查
类别
外部检查
外部检查
内部检查
内部检查或外部检查
检查方
上级主管单位、市公安局网监
信息安全认证机构
内部审计部门
IT部门、自管系统的业务部门或第三方
检查频率和检查时间
每年一次,按检查计划
每年一次
每年一次,在信息安全外部审核前进行
每年至少一次
被检查部门
主要为IT部门和业务部门
信息安全范围内的所有部门
信息安全范围内的所有部门
IT部门和自管系统的业务部门
检查依据
上级主管下发的检查计划和检查内容
ISO27001标准条款
ISO27001标准条款、动研所IT风险管理体系文件和相关方要求
动研所信息安全技术要求
第四章信息安全检查内容
第十一条机房环境的检查
1.建立并严格执行机房管理办法,无关人员未经安全责任人批准严禁进出机房;
2.机房应有单独的配电柜,计算机系统要有独立于一般照明用电的专用的供配电线路,其容量应有一定的余量,建议采用双路供电。
3.机房应配备不间断电源设备,其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。
无备用发电机时,不间断电源设备应能够持续供电4小时以上。
4.机房应采用独立的工作接地和防雷保护接地,工作地的接地电阻应小于4欧姆,防雷保护地的接地电阻应小于10欧姆。
5.机房的操作间与设备间应作分隔,机房宜安装独立空调设备。
6.机房应有防火、防潮、防尘、防盗、防磁、防鼠等设施。
7.机房应配置备用应急照明装置。
第十二条通讯系统的检查
1.重要通信线路必须建立后备线路。
2.通信线路接口部分应采取防止非法进入的安全措施。
3.通信设备应具有防干扰、防截取能力,具有加密传输功能。
4.通信设备应建立设备备份。
第十三条系统安全与设备管理的检查
1.服务器
(1)服务器应具有充分的可靠性和充足的容量。
(2)服务器应具有一定的容错特性,宜采用镜像、阵列、双机、群集等容错技术。
(3)服务器有安全可靠的备份措施。
2.工作站
(1)工作站应具有良好的性能及可靠性。
(2)除计算机机房外,一律使用无软驱或光驱等可卸存储装置的网络工作站。
(3)重要工作站应有冗余备份。
第十四条安全管理情况的检查
1.建立由安全策略、管理制度、操作规程等构成的全面信息安全管理制度体系。
2.严格按管理制度规定进行管理,按操作规程进行操作,并进行记录。
第五章信息安全检查实施
第十五条实施检查前,检查小组根据检查目的和被检查部门信息技术工作情况,确定检查范围、检查重点,制定检查工作计划,编制相应检查表格。
第十六条组织进行自查时,被检查部门应如实填写自查表,对存在的问题隐瞒不报的,将追究相关部门和个人责任。
第十七条进行现场检查时,检查小组应提前通知被检查部门,可根据需要要求被检查部门进行自查,以提高现场检查工作效率。
每次检查前,检查小组应核查上次检查提出的整改意见是否落实,整改措施是否有效。
第十八条检查过程中应综合运用访谈、观察、检查、工具检测、审阅文档记录等检查方法,以获取充分、适当的检查数据,确保检查结果的正确性和客观性。
第十九条被检查部门应积极配合检查工作,按检查人员要求提供与检查工作相关的资料,并对所提供资料的真实性、完整性负责。
第二十条检查过程中应切实防范检查操作风险,不得对在线运行系统进行检查测试和网络扫描检测。
因检查需要需使用辅助检测工具时,应经信息化技术研究部负责人审批同意后方可使用。
第二十一条检查过程中发现问题和安全隐患时,检查小组应及时与被检查部门沟通确认后,拟定整改建议。
对于随时可能引发事故的问题和安全隐患,应要求立即整改。
第六章信息安全检查报告
第二十二条检查工作结束后,检查小组应及时撰写检查报告上报动研所,根据动研所批示意见对检查结果进行通报,对存在问题和安全隐患的部门下发整改意见书,要求限期完成整改工作。
第二十三条检查小组应跟踪整改工作的落实情况,必要时可对整改工作落实情况进行确认检查。
第七章附则
第二十四条本管理办法由信息化技术研究部负责解释。
第二十五条本管理办法自发布之日起执行。
升级会员 