1、2016年某某公司信息安全檢查方案

1、附件12016年某某公司信息安全檢查方案一、檢查原則本次檢查工作按照“誰主管誰負責(zé)，誰運營誰負責(zé)”的原則，遵循“保密性、最小影響性、規(guī)范性”要求，切實做好本次的信息系統(tǒng)安全檢查工作。二、檢查依據(jù)本次檢查依據(jù)國家、集團公司發(fā)布的信息安全企業(yè)標(biāo)準(zhǔn)和安全配置基線進行，相關(guān)的標(biāo)準(zhǔn)要求如下：（一）企業(yè)標(biāo)準(zhǔn)Q/SY1345-2010計算機病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范Q/SY1343-2010信息安全風(fēng)險評估實施指南Q/SY1341-2010信息系統(tǒng)安全管理規(guī)范Q/SY1344-2010信息系統(tǒng)密碼安全管理規(guī)范Q/SY1346-2010信息系統(tǒng)用戶管理規(guī)范（二）信息安全基線«WindowsXP操

2、作系統(tǒng)安全配置基線«Windows7操作系統(tǒng)安全配置基線«Windows8操作系統(tǒng)安全配置基線«Windows2003操作系統(tǒng)安全配置基線«Windows2008操作系統(tǒng)安全配置基線Redhat操作系統(tǒng)安全配置基線CentOS操作系統(tǒng)安全配置基線«Debian操作系統(tǒng)安全配置基線Ubuntu操作系統(tǒng)安全配置基線OpenSuseft作系統(tǒng)安全配置基線AIX操作系統(tǒng)安全配置基線HP-Unix操作系統(tǒng)安全配置基線SunSolaris操作系統(tǒng)安全配置基線MSSQLServer200吸據(jù)庫安全酉已置基線MSSQLServer數(shù)據(jù)庫安全配置基線«

3、MySQLforWindows數(shù)據(jù)庫安全配置基線«MySQLforLinux數(shù)據(jù)庫安全配置基線Oracle數(shù)據(jù)庫安全配置基線«H3c路由器安全配置基線華為路由器安全配置基線思科路由器安全配置基線中興路由器安全配置基線H3c交換機安全配置基線華為交換機安全配置基線思科交換機安全配置基線中興交換機安全配置基線三、檢查方式（一）常規(guī)安全檢查1 .對于管理制度的檢查，對照網(wǎng)絡(luò)安全管理制度自查登記表逐項比對，按照實際情況填寫。2 .對于服務(wù)器、計算機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等基礎(chǔ)設(shè)施的安全配置情況，通過登錄查看和工具檢查兩種方式交換進行。檢查過程中涉及到的檢查項請參照安全基線要求。3 .對

4、于機房安全檢查，采用實地查看的方式進行。4,對于24種高危風(fēng)險的檢查，使用技術(shù)和登錄查看方式：系統(tǒng)弱口令的檢查，自行登錄梳理；重大漏洞的檢查，可以使用專業(yè)的工具。5 .對于日志管理情況的檢查，依照日志管理自查登記表中的要求，現(xiàn)場登陸查看。階段劃分提交材料截止時間準(zhǔn)備階段IP地址分配表2016年7月26日（某某公司信息管理部和塔西南信息通訊部負責(zé)填報）網(wǎng)絡(luò)設(shè)備遠程管理信息登記表自查階段信息安全管理制度自查登記表2016年9月26日設(shè)備自查結(jié)果登記表機房自查結(jié)果登記表高危風(fēng)險自查登記表日志管理自查登記表XXX科室2016年信息安全自查工作總結(jié)報告2016年9月26日抽查階段一一整改階段XXX科室2

5、016年信息安全自查工作整改報告2016年12月23日（二）工控安全檢查1,對工控安全管理制度的檢查，對照工控安全管理制度檢查登記表逐項比對，按照實際情況填寫。2,對工控系統(tǒng)漏洞以及弱口令的檢查，以工控資產(chǎn)清單為基礎(chǔ)，根據(jù)軟硬件品牌、型號、版本等信息在工控漏洞庫以及工控弱口令清單中進行人工比對。所屬階段提交材料截止時間準(zhǔn)備階段一-自查階段工控網(wǎng)絡(luò)拓撲圖2016年9月26日工控安全管理制度檢查登記表工控資產(chǎn)清單安全防護措施安全防護需求«2016年網(wǎng)絡(luò)安全檢查-工控安全-自查報告-科室名稱抽查階段-整改階段«2016年網(wǎng)絡(luò)安全檢查-工控安全-整改報告-科室名稱2016年12月2

6、3日（三）等保合規(guī)性檢查各科室按照信息系統(tǒng)安全等級保護測評要求開展定級、備案工作,填報信息系統(tǒng)基本情況調(diào)查表，定級為三級及以上的信息系統(tǒng)還需填報信息系統(tǒng)安全等級保護定級報告和信息系統(tǒng)安全等級保護備案表。階段劃分提交材料截止時間準(zhǔn)備階段自建信息系統(tǒng)登記表2016年7月26日自查階段自建信息系統(tǒng)基本情況調(diào)查表2016年9月26日信息系統(tǒng)安全等級保護定級報告階段劃分提交材料截止時間信息系統(tǒng)安全等級保護備案表抽查階段-整改階段-四、工具準(zhǔn)備各科室在檢查工作中建議通過使用專業(yè)設(shè)備提高檢查效率和準(zhǔn)確性。某某公司為本次安全檢查工作提供部分檢查工具，包括密碼安全自查工具和中國石油基線配置核查工具，各科室在進行

7、檢查的過程中，可通過集團公司統(tǒng)一部署的安全檢查工具協(xié)助檢查工作的開展。序號工具名稱功能備注1.windows女全基線配置核查工具對windows終端進仃安全基線檢查已提供2.密碼安全自查工具密碼配置強度測試已提供3.工控系統(tǒng)漏洞庫通過系統(tǒng)型號、版本匹配，查找存在漏洞已提供4.工控系統(tǒng)弱口令清單通過系統(tǒng)型號、版本匹配，查看可能存在的弱口令已提供5.配置核查工具對服務(wù)器、應(yīng)用系統(tǒng)和Web服務(wù)器進行安全配置核查自行準(zhǔn)備6.漏洞掃描工具對服務(wù)器、終端和網(wǎng)絡(luò)設(shè)備安全進行漏洞評估自行準(zhǔn)備7.木馬后門檢查工具對服務(wù)器、終端上的木馬后門進行檢測自行準(zhǔn)備8.WEBt洞掃描工具對網(wǎng)站、對外發(fā)布的應(yīng)用進行漏洞掃描自行準(zhǔn)備五、自查比例請各科室根據(jù)各自情況，參照表格中列出的比例自行確定抽查數(shù)檢查對象總數(shù)范圍抽檢比例服務(wù)器10臺及以下全部100臺以下不彳氐于10臺100臺以上不彳什10%終端