2016年某某公司信息安全檢查方案

1、附件12016年某某公司信息安全檢查方案一、檢查原則本次檢查工作按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，遵循“保密性、最小影響性、規(guī)范性”要求，切實(shí)做好本次的信息系統(tǒng)安全檢查工作。二、檢查依據(jù)本次檢查依據(jù)國(guó)家、集團(tuán)公司發(fā)布的信息安全企業(yè)標(biāo)準(zhǔn)和安全配置基線進(jìn)行，相關(guān)的標(biāo)準(zhǔn)要求如下：（一）企業(yè)標(biāo)準(zhǔn)Q/SY 1345-2010 計(jì)算機(jī)病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范Q/SY 1343-2010 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南Q/SY 1341-2010 信息系統(tǒng)安全管理規(guī)范Q/SY 1344-2010 信息系統(tǒng)密碼安全管理規(guī)范Q/SY 1346-2010 信息系統(tǒng)用戶管理規(guī)范（二）信息安全基線Window

2、s XP操作系統(tǒng)安全配置基線Windows 7操作系統(tǒng)安全配置基線Windows 8操作系統(tǒng)安全配置基線Windows 2003操作系統(tǒng)安全配置基線Windows 2008操作系統(tǒng)安全配置基線Redhat 操作系統(tǒng)安全配置基線CentOS操作系統(tǒng)安全配置基線Debian操作系統(tǒng)安全配置基線Ubuntu操作系統(tǒng)安全配置基線OpenSuse操作系統(tǒng)安全配置基線AIX操作系統(tǒng)安全配置基線HP-Unix操作系統(tǒng)安全配置基線Sun Solaris操作系統(tǒng)安全配置基線MSSQL Server2000數(shù)據(jù)庫(kù)安全配置基線MSSQL Server數(shù)據(jù)庫(kù)安全配置基線MySQL for Windows數(shù)據(jù)庫(kù)安全配置

3、基線MySQL for Linux數(shù)據(jù)庫(kù)安全配置基線Oracle數(shù)據(jù)庫(kù)安全配置基線H3C路由器安全配置基線華為路由器安全配置基線思科路由器安全配置基線中興路由器安全配置基線H3C交換機(jī)安全配置基線華為交換機(jī)安全配置基線思科交換機(jī)安全配置基線中興交換機(jī)安全配置基線三、檢查方式（一）常規(guī)安全檢查1. 對(duì)于管理制度的檢查，對(duì)照網(wǎng)絡(luò)安全管理制度自查登記表逐項(xiàng)比對(duì)，按照實(shí)際情況填寫(xiě)。2. 對(duì)于服務(wù)器、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等基礎(chǔ)設(shè)施的安全配置情況，通過(guò)登錄查看和工具檢查兩種方式交換進(jìn)行。檢查過(guò)程中涉及到的檢查項(xiàng)請(qǐng)參照安全基線要求。3. 對(duì)于機(jī)房安全檢查，采用實(shí)地查看的方式進(jìn)行。4. 對(duì)于24種高危風(fēng)險(xiǎn)

4、的檢查，使用技術(shù)和登錄查看方式：系統(tǒng)弱口令的檢查，自行登錄梳理；重大漏洞的檢查，可以使用專業(yè)的工具。5. 對(duì)于日志管理情況的檢查，依照日志管理自查登記表中的要求，現(xiàn)場(chǎng)登陸查看。階段劃分提交材料截止時(shí)間準(zhǔn)備階段IP地址分配表2016年7月26日(某某公司信息管理部和塔西南信息通訊部負(fù)責(zé)填報(bào))網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理信息登記表自查階段信息安全管理制度自查登記表2016年9月26日設(shè)備自查結(jié)果登記表機(jī)房自查結(jié)果登記表高危風(fēng)險(xiǎn)自查登記表日志管理自查登記表XXX科室2016年信息安全自查工作總結(jié)報(bào)告2016年9月26日抽查階段-整改階段XXX科室2016年信息安全自查工作整改報(bào)告2016年12月23日（二）工控

5、安全檢查1. 對(duì)工控安全管理制度的檢查，對(duì)照工控安全管理制度檢查登記表逐項(xiàng)比對(duì)，按照實(shí)際情況填寫(xiě)。2. 對(duì)工控系統(tǒng)漏洞以及弱口令的檢查，以工控資產(chǎn)清單為基礎(chǔ)，根據(jù)軟硬件品牌、型號(hào)、版本等信息在工控漏洞庫(kù)以及工控弱口令清單中進(jìn)行人工比對(duì)。所屬階段提交材料截止時(shí)間準(zhǔn)備階段-自查階段工控網(wǎng)絡(luò)拓?fù)鋱D2016年9月26日工控安全管理制度檢查登記表工控資產(chǎn)清單安全防護(hù)措施安全防護(hù)需求2016年網(wǎng)絡(luò)安全檢查-工控安全-自查報(bào)告-科室名稱抽查階段-整改階段2016年網(wǎng)絡(luò)安全檢查-工控安全-整改報(bào)告-科室名稱2016年12月23日（三）等保合規(guī)性檢查各科室按照信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求開(kāi)展定級(jí)、備案工作,填報(bào)

6、信息系統(tǒng)基本情況調(diào)查表，定級(jí)為三級(jí)及以上的信息系統(tǒng)還需填報(bào)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告和信息系統(tǒng)安全等級(jí)保護(hù)備案表。階段劃分提交材料截止時(shí)間準(zhǔn)備階段自建信息系統(tǒng)登記表2016年7月26日自查階段自建信息系統(tǒng)基本情況調(diào)查表2016年9月26日信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)備案表抽查階段-整改階段-四、工具準(zhǔn)備各科室在檢查工作中建議通過(guò)使用專業(yè)設(shè)備提高檢查效率和準(zhǔn)確性。某某公司為本次安全檢查工作提供部分檢查工具，包括密碼安全自查工具和中國(guó)石油基線配置核查工具，各科室在進(jìn)行檢查的過(guò)程中，可通過(guò)集團(tuán)公司統(tǒng)一部署的安全檢查工具協(xié)助檢查工作的開(kāi)展。序號(hào)工具名稱功能備注1.windows安

7、全基線配置核查工具對(duì)windows終端進(jìn)行安全基線檢查已提供2.密碼安全自查工具密碼配置強(qiáng)度測(cè)試已提供3.工控系統(tǒng)漏洞庫(kù)通過(guò)系統(tǒng)型號(hào)、版本匹配，查找存在漏洞已提供4.工控系統(tǒng)弱口令清單通過(guò)系統(tǒng)型號(hào)、版本匹配，查看可能存在的弱口令已提供5.配置核查工具對(duì)服務(wù)器、應(yīng)用系統(tǒng)和Web服務(wù)器進(jìn)行安全配置核查自行準(zhǔn)備6.漏洞掃描工具對(duì)服務(wù)器、終端和網(wǎng)絡(luò)設(shè)備安全進(jìn)行漏洞評(píng)估自行準(zhǔn)備7.木馬后門檢查工具對(duì)服務(wù)器、終端上的木馬后門進(jìn)行檢測(cè)自行準(zhǔn)備8.WEB漏洞掃描工具對(duì)網(wǎng)站、對(duì)外發(fā)布的應(yīng)用進(jìn)行漏洞掃描自行準(zhǔn)備五、自查比例請(qǐng)各科室根據(jù)各自情況，參照表格中列出的比例自行確定抽查數(shù)量。檢查對(duì)象總數(shù)范圍抽檢比例服務(wù)器10臺(tái)及以下全部100臺(tái)以下不低于10臺(tái)100臺(tái)以上不低于10%終端計(jì)算