信息安全检查标准规范.doc

信息安全检查规范





前言
本文献目的是规范XX（单位）信息安全检查工作详细过程，明确各有关方职责和工作内容，为信息安全检查工作顺利开展提供有效指引。 本文献重要描述了信息安全检查工作职责，安全检查重要类型、内容，以及信息安全检查实行过程，涉及检查前准备，检查实行，检查后总结，并明确了检查成果使用。本文献重要规范本单位内部信息安全检查工作，对于外部监管/上级机构和具备安全检查资质外部单位信息安全检查工作不属于本文献范畴。
信息安全检查工作职责
（1） 信息安全管理小组在信息安全检查工作中职责涉及但不限于：
依照实际工作需要，组织安排信息安全检查。
听取信息安全工作小组信息安全检查总结报告。
（2） 信息安全工作小组在信息安全检查工作中职责涉及但不限于：
组织协调各被检查部门和人员开展信息安全检查工作。
汇总检查成果，编制信息安全检查报告，向信息安全管理小组进行报告。
（3） 各被检查部门需协助和配合对本部门/机构信息安全检查工作开展，提供检查所需有关资料、资源及其她便利条件，并依照需要进行自查或者互查工作，针对检查成果进行相应整治。
信息安全检查内容
信息安全检查内容
信息安全管理领域重要检查内容
（1） 信息安全有关制度
信息安全有关制度覆盖范畴以及制度适当限度；
信息安全有关制度管理工作开展状况，涉及制度制定、贯彻、评审与修订等与否符合规范规定等。
（2） 人员安全管理
岗位设立及人员配备：涉及安全有关岗位设立以及职责明确/贯彻、岗位授权等；
内部人员安全管理：涉及员工安全培训及考核、岗位授权管理等；
外部组织人员安全管理：涉及外部组织访问事前、事中及事后不同阶段安全控制办法贯彻状况等。
（3） 物理安全管理
物理环境安全：涉及物理区域电源、防雷、防火、防潮、防静电等周边环境安全控制办法贯彻状况等；
访问控制：为保护区域内信息不受非授权物理访问，机房及重要办公场合访问控制办法（如门禁、值守等），以及防盗窃、防破坏办法实行状况。
（4） 系统建设和运维安全
系统建设安全：系统建设整个生命周期，涉及系统建设设计阶段、实行阶段以及验收阶段中涉及信息安全控制办法贯彻状况；
系统运维安全：系统寻常运营维护有关安全控制（如监控、恶意代码防范、变更管理等）贯彻状况。
（5） 信息资产管理
资产管理：涉及信息资产辨认、分类、标记；
介质管理：涉及介质在使用、传播、保存、清除及销毁等过程中安全控制贯彻状况；
设备管理：涉及各类设备在使用和管理维护过程中安全控制办法贯彻
状况。
（6） 安全事件解决与应急响应
安全事件解决：对于安全事件分类分级及安全事件解决、报告等有关控制规定贯彻状况进行检查； 应急响应与劫难恢复：对于应急响应与劫难恢复预案/筹划制定状况以
及有关管理工作贯彻状况（如修编、演习等）进行检查。
信息安全技术领域重要检查内容
（1） 应用安全检查
应用系统安全：对于应用系统技术安全控制贯彻状况检查，涉及身份鉴别、访问控制、交易安全、数据安全、密码安全、输入输出合法性、备份恢复、日记及审计等；
数据库安全：