2016年某某公司信息安全檢查方案

1、附件12016年某某公司信息安全檢查方案一、檢查原則本次檢查工作按照“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)”的原則，遵循“保密性、最小影響性、規(guī)范性”要求，切實做好本次的信息系統(tǒng)安全檢查工作。二、檢查依據(jù)本次檢查依據(jù)國家、集團(tuán)公司發(fā)布的信息安全企業(yè)標(biāo)準(zhǔn)和安全配置基線進(jìn)行，相關(guān)的標(biāo)準(zhǔn)要求如下：（一）企業(yè)標(biāo)準(zhǔn)Q/SY 1345-2010 計算機(jī)病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范Q/SY 1343-2010 信息安全風(fēng)險評估實施指南Q/SY 1341-2010 信息系統(tǒng)安全管理規(guī)范Q/SY 1344-2010 信息系統(tǒng)密碼安全管理規(guī)范Q/SY 1346-2010 信息系統(tǒng)用戶管理規(guī)范（二）信息安全基線Window

2、s XP操作系統(tǒng)安全配置基線Windows 7操作系統(tǒng)安全配置基線Windows 8操作系統(tǒng)安全配置基線Windows 2003操作系統(tǒng)安全配置基線Windows 2008操作系統(tǒng)安全配置基線Redhat 操作系統(tǒng)安全配置基線CentOS操作系統(tǒng)安全配置基線Debian操作系統(tǒng)安全配置基線Ubuntu操作系統(tǒng)安全配置基線OpenSuse操作系統(tǒng)安全配置基線AIX操作系統(tǒng)安全配置基線HP-Unix操作系統(tǒng)安全配置基線Sun Solaris操作系統(tǒng)安全配置基線MSSQL Server2000數(shù)據(jù)庫安全配置基線MSSQL Server數(shù)據(jù)庫安全配置基線MySQL for Windows數(shù)據(jù)庫安全配置

3、基線MySQL for Linux數(shù)據(jù)庫安全配置基線Oracle數(shù)據(jù)庫安全配置基線H3C路由器安全配置基線華為路由器安全配置基線思科路由器安全配置基線中興路由器安全配置基線H3C交換機(jī)安全配置基線華為交換機(jī)安全配置基線思科交換機(jī)安全配置基線中興交換機(jī)安全配置基線三、檢查方式（一）常規(guī)安全檢查1. 對于管理制度的檢查，對照網(wǎng)絡(luò)安全管理制度自查登記表逐項比對，按照實際情況填寫。2. 對于服務(wù)器、計算機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等基礎(chǔ)設(shè)施的安全配置情況，通過登錄查看和工具檢查兩種方式交換進(jìn)行。檢查過程中涉及到的檢查項請參照安全基線要求。3. 對于機(jī)房安全檢查，采用實地查看的方式進(jìn)行。4. 對于24種高危風(fēng)險

4、的檢查，使用技術(shù)和登錄查看方式：系統(tǒng)弱口令的檢查，自行登錄梳理；重大漏洞的檢查，可以使用專業(yè)的工具。5. 對于日志管理情況的檢查，依照日志管理自查登記表中的要求，現(xiàn)場登陸查看。階段劃分提交材料截止時間準(zhǔn)備階段IP地址分配表2016年7月26日(某某公司信息管理部和塔西南信息通訊部負(fù)責(zé)填報)網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理信息登記表自查階段信息安全管理制度自查登記表2016年9月26日設(shè)備自查結(jié)果登記表機(jī)房自查結(jié)果登記表高危風(fēng)險自查登記表日志管理自查登記表XXX科室2016年信息安全自查工作總結(jié)報告2016年9月26日抽查階段-整改階段XXX科室2016年信息安全自查工作整改報告2016年12月23日（二）工控

5、安全檢查1. 對工控安全管理制度的檢查，對照工控安全管理制度檢查登記表逐項比對，按照實際情況填寫。2. 對工控系統(tǒng)漏洞以及弱口令的檢查，以工控資產(chǎn)清單為基礎(chǔ)，根據(jù)軟硬件品牌、型號、版本等信息在工控漏洞庫以及工控弱口令清單中進(jìn)行人工比對。所屬階段提交材料截止時間準(zhǔn)備階段-自查階段工控網(wǎng)絡(luò)拓?fù)鋱D2016年9月26日工控安全管理制度檢查登記表工控資產(chǎn)清單安全防護(hù)措施安全防護(hù)需求2016年網(wǎng)絡(luò)安全檢查-工控安全-自查報告-科室名稱抽查階段-整改階段2016年網(wǎng)絡(luò)安全檢查-工控安全-整改報告-科室名稱2016年12月23日（三）等保合規(guī)性檢查各科室按照信息系統(tǒng)安全等級保護(hù)測評要求開展定級、備案工作,填報

6、信息系統(tǒng)基本情況調(diào)查表，定級為三級及以上的信息系統(tǒng)還需填報信息系統(tǒng)安全等級保護(hù)定級報告和信息系統(tǒng)安全等級保護(hù)備案表。階段劃分提交材料截止時間準(zhǔn)備階段自建信息系統(tǒng)登記表2016年7月26日自查階段自建信息系統(tǒng)基本情況調(diào)查表2016年9月26日信息系統(tǒng)安全等級保護(hù)定級報告信息系統(tǒng)安全等級保護(hù)備案表抽查階段-整改階段-四、工具準(zhǔn)備各科室在檢查工作中建議通過使用專業(yè)設(shè)備提高檢查效率和準(zhǔn)確性。某某公司為本次安全檢查工作提供部分檢查工具，包括密碼安全自查工具和中國石油基線配置核查工具，各科室在進(jìn)行檢查的過程中，可通過集團(tuán)公司統(tǒng)一部署的安全檢查工具協(xié)助檢查工作的開展。序號工具名稱功能備注1.windows安

7、全基線配置核查工具對windows終端進(jìn)行安全基線檢查已提供2.密碼安全自查工具密碼配置強度測試已提供3.工控系統(tǒng)漏洞庫通過系統(tǒng)型號、版本匹配，查找存在漏洞已提供4.工控系統(tǒng)弱口令清單通過系統(tǒng)型號、版本匹配，查看可能存在的弱口令已提供5.配置核查工具對服務(wù)器、應(yīng)用系統(tǒng)和Web服務(wù)器進(jìn)行安全配置核查自行準(zhǔn)備6.漏洞掃描工具對服務(wù)器、終端和網(wǎng)絡(luò)設(shè)備安全進(jìn)行漏洞評估自行準(zhǔn)備7.木馬后門檢查工具對服務(wù)器、終端上的木馬后門進(jìn)行檢測自行準(zhǔn)備8.WEB漏洞掃描工具對網(wǎng)站、對外發(fā)布的應(yīng)用進(jìn)行漏洞掃描自行準(zhǔn)備五、自查比例請各科室根據(jù)各自情況，參照表格中列出的比例自行確定抽查數(shù)量。檢查對象總數(shù)范圍抽檢比例服務(wù)器10臺及以下全部100臺以下不低于10臺100臺以上不低于10%終端計算