白城师范学院信息安全检查管理制度


第一章 总

第一条 为了加强白城师范学院的网络与信息安全管理,全面掌握我校的网络与信息安全现状,及时发现存在的薄弱环节和安全隐患,有效防范信息安全事件的发生,规范网络与信息安全检查工作,特制定本管理制度。

第二条 本管理制度适用于白城师范学院所管辖的所有信息资产及资产的管理者和使用者。

第三条 信息安全考核小组负责组织年度信息安全检查,信息安全管理员组织执行月度信息安全检查,各管理员负责配合开展信息安全检查。

第二章 检查内容与方法

第四条 检查内容可以分为管理和技术两个方面。管理方面检查安全管理要求和流程的执行情况;技术方面检查各软硬件系统是否符合安全技术要求、安全配置要求以及其他安全技术规范。

第五条 检查方法应采取人工与技术手段相结合的方式进行,包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和完整性。

第三章 月度安全检查

第六条 月度信息安全检查内容:

(一)各管理员日常巡值情况;

(二)各项审批工作执行情况;

(三)设备及应用系统日志分析及报警信息处理情况;

(四)漏洞扫描的执行情况与补丁更新情况;

(五)数据备份情况。

第七条 月度信息安全检查方法:

(一)检查机房管理员对机房的巡检作业执行情况,检查《机房巡检表》的填写情况;

(二)检查各项审批工作的执行情况;

(三)检查网络设备、安全设备、服务器与应用系统的运行情况,检查是否有报警信息,各管理员是否对报警信息进行了分析及处理,是否对信息系统的脆弱性进行分析并提出整改措施,安全管理员需跟踪整改措施的落实情况;

(四)应检查漏洞扫描工作的定期执行情况,检查各管理员是否对扫描检测出的漏洞进行了及时的修复,检查补丁更新时是否按照《信息系统补丁管理制度》中的相关要求进行操作;

(五)检查数据备份系统的运行情况,检查数据备份管理员的日常工作情况是否符合《数据备份与恢复管理制度》中的相关要求。

第八条 信息安全管理员应输出《信息安全月度检查表》(见附件一),上报信息安全管理组。

第四章 年度安全检查

第九条 检查流程和要求:

(一)检查流程包括:制定计划、准备、实施、改进四个阶段。

1、计划阶段:检查前,信息安全考核小组应制定具体的检查计划,确定本次检查范围、检查重点、检查方法、时间安排、主要风险及防范措施等。

2、准备阶段:准备阶段主要工作内容包括细化检查内容,编写《信息安全年度检查表》(见附件二),检查表应包含检查要点、检查方式等内容;在准备阶段应对检查人员开展培训,说明检查内容和方法以及主要风险及防范措施等;应配置必要的技术装备,如漏洞扫描工具、木马、病毒扫描工具等。

3、实施阶段:按照《信息安全年度检查表》(见附件二)进行检查并如实记录,检查人员、配合人员共同签字确认检查结果。检查人员应针对检查结果生成年度信息安全检查报告,检查报告必须写明检查范围、检查目标、检查覆盖的时间跨度、检查发现、检查结论、检查建议和具体改进要求。应将《信息安全年度检查表》和信息安全年度检查报告上报网络安全与信息化委员会。

4、改进阶段:相关部门与责任人员应认真分析发现的问题,制定整改计划和实施方案,对问题进行整改。整改完成后,信息安全考核小组应进行复核。

第五章 检查记录管理

第十条 《信息安全月度检查表》应保存一年以上;《信息安全年度检查表》和年度检查报告应保存三年以上。

第十一条 应对各检查表和检查报告进行访问控制,保证检查记录不被篡改和删除。

第十二条 严格管理系统时间戳,保证检查记录的一致性和准确性。

第六章 附

第十三条 本管理制度的解释和修改权属于网络安全与信息化委员会。

第十四条 本管理制度自发布之日起执行。