XX大學(xué)信息安全檢查制度

　　第一章 總則

　　第一條 制度目標(biāo)：為了加強(qiáng)單位信息安全保障能力，建立健全單位的安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在單位安全體系框架下，本制度主要明確如何檢查單位信息安全的執(zhí)行情況，以此提高被管理角色的安全意識(shí)，監(jiān)督和促進(jìn)單位安全管理工作的執(zhí)行，降低人為因素導(dǎo)致網(wǎng)絡(luò)安全問題發(fā)生的可能性，達(dá)到整體信息安全水平提高的目的。

　　第二條 適用范圍：本制度由單位網(wǎng)絡(luò)與信息安全工作組制訂，適用于單位所有部門。

　　第三條 使用人員及角色職責(zé)：本辦法適用于單位所有師生用戶。

　　第二章 單位安全檢查和考核

　　第一節(jié) 單位日常安全檢查

　　第四條 帳號口令及權(quán)限，由單位各部門安全管理組織負(fù)責(zé)，組織檢查本部門帳號口令及權(quán)限實(shí)際情況是否符合備案內(nèi)容。

　　第五條 資產(chǎn)，配置變更及安全補(bǔ)丁，由單位各部門安全管理組織負(fù)責(zé)，組織檢查本部門資產(chǎn)信息是否與單位備案信息一致。

　　第六條 安全檢查的結(jié)果，報(bào)送單位網(wǎng)絡(luò)與信息安全管理工作組。作為考核各部門、師生用戶的依據(jù)之一。

　　第七條 單位網(wǎng)絡(luò)與信息安全管理工作組，隨機(jī)抽檢各項(xiàng)安全工作;作為考核各部門安全管理工作的依據(jù)之一。

　　第二節(jié) 單位季度安全巡檢

　　第八條 單位網(wǎng)絡(luò)與信息安全工作組，每季度組織一次單位全局的安全巡檢，主要檢查單位及各部門設(shè)定的安全目標(biāo)及落實(shí)情況是否符合一致性。

　　第九條 檢查各部門對單位安全制度的落實(shí)及承擔(dān)安全職責(zé)的情況。

　　第十條 檢查各部門信息資產(chǎn)的實(shí)際安全狀況。

　　第十一條 病毒及辦公終端的安全檢查

　　第十二條 檢查的結(jié)果，作為考核各部門、安全管理員的依據(jù)之一。

　　第三章 各部門安全檢查和考核

　　第三節(jié) 各部門日常安全檢查

　　第十三條 各部門信息安全管理組織，通過檢查各系統(tǒng)的安全運(yùn)行維護(hù)計(jì)劃的實(shí)施情況，進(jìn)行日常安全檢查。

　　第十四條 檢查的結(jié)果，作為考核本部門系統(tǒng)管理人員的依據(jù)之一。

　　第四節(jié) 各部門每季度安全巡檢

　　第十五條 各部門信息安全管理組織，每季度組織一次本部門的安全巡檢。主要進(jìn)行安全體系目標(biāo)實(shí)現(xiàn)的檢查，主要檢查本部門設(shè)定的安全目標(biāo)的落實(shí)情況。

　　第十六條 檢查本部門各崗位人員，安全意識(shí)及安全職責(zé)的落實(shí)情況。

　　第十七條 檢查本部門各系統(tǒng)信息資產(chǎn)，配置變更及安全補(bǔ)丁是否與單位管理存檔保持一致。

　　第十八條 各生產(chǎn)系統(tǒng)及終端的安全狀況。

　　第十九條 帳號口令及權(quán)限實(shí)際狀況是否與本部門管理存檔保持一致。

　　第二十條 安全檢查的結(jié)果，報(bào)送單位網(wǎng)絡(luò)與信息安全管理工作組。

　　第二十一條 檢查的結(jié)果，作為考核各部門、安全管理員的依據(jù)之一。

　　第四章 安全檢查及考核的內(nèi)容

　　第五節(jié) 安全管理的檢查范圍

　　安全管理制度 審計(jì)內(nèi)容 建議具體檢查辦法

　　人員安全管理制度 信息安全組織的構(gòu)建情況和運(yùn)作情況

　　信息安全職責(zé)分工情況

　　內(nèi)部人員的安全控制(錄用、審核、調(diào)動(dòng)、離職)的執(zhí)行情況

　　外來人員安全控制(進(jìn)出機(jī)房控制和機(jī)房管理制度等)執(zhí)行情況

　　人員安全教育培訓(xùn)執(zhí)行情況 查看有關(guān)制度、記錄、協(xié)定、計(jì)劃、實(shí)施等文檔

　　和有關(guān)負(fù)責(zé)人進(jìn)行面談，檢查制度的貫徹落實(shí)情況

　　終端安全使用管理制度 一般IT設(shè)備使用規(guī)定執(zhí)行情況

　　終端安全使用規(guī)定的執(zhí)行情況

　　計(jì)算機(jī)周邊設(shè)備安全使用規(guī)定的執(zhí)行情況

　　電子郵件、瀏覽器、BBS、新聞組、防入侵以及防病毒軟件安全規(guī)定的執(zhí)行情況 查看有關(guān)制度文檔

　　查看有關(guān)使用監(jiān)控日志文件和系統(tǒng)安全配置文件

　　對人員進(jìn)行規(guī)定筆試或機(jī)試測驗(yàn)，考核其對規(guī)定的熟悉和理解程度

　　用戶帳號和密碼安全管理 用戶帳號和權(quán)限分配

　　密碼的安全設(shè)置和強(qiáng)度(不少于6位，數(shù)字和字母相結(jié)合)

　　用戶帳號和密碼的管理規(guī)定的執(zhí)行情況

　　關(guān)鍵服務(wù)器、工作站、數(shù)據(jù)庫的管理員和超級管理員帳號和密碼 抽查用戶帳號創(chuàng)建的相關(guān)書面文檔并和計(jì)算機(jī)用戶帳號日志文件進(jìn)行比對

　　抽查用戶權(quán)限分配情況(尤其是特權(quán)用戶)

　　查看系統(tǒng)密碼的安全配置情況

　　使用工具軟件對一些用戶密碼進(jìn)行“強(qiáng)行”破解，以檢驗(yàn)用戶密碼的強(qiáng)度

　　檢查系統(tǒng)是否拒絕創(chuàng)建不符合安全要求的用戶帳號和密碼

　　查看用戶帳號登錄和注銷日志文件

　　查看用戶帳號密碼變更、禁止和刪除的日志文件

　　信息安全分類控制 信息安全分類標(biāo)識(shí)的執(zhí)行情況

　　信息安全分類管理執(zhí)行情況 抽查信息設(shè)備是否有安全分類標(biāo)識(shí)和安全分類標(biāo)識(shí)的準(zhǔn)確性和完整性

　　查看信息設(shè)備清單

　　查看信息設(shè)備安全分類清單

　　和專管人員進(jìn)行“面談”，確定其對信息安全分類控制管理制度的熟悉程度

　　抽查信息設(shè)備處理(作廢、重新利用)記錄

　　對電子郵件、電子文檔的安全加密情況進(jìn)行抽查

　　第三方信息服務(wù)安全管理 第三方的管理制度和執(zhí)行情況

　　第三方現(xiàn)場服務(wù)人員的管理制度和執(zhí)行情況

　　第三方信息服務(wù)服務(wù)/維護(hù)合同 查看外包服務(wù)協(xié)議中附帶的保密協(xié)定或有關(guān)保密章節(jié)

　　查看服務(wù)合同(服務(wù)級別和服務(wù)期限)

　　查看外來信息服務(wù)人員的登記記錄和臨時(shí)出入證(工作證)的管理記錄

　　抽查有關(guān)軟件/硬件的維護(hù)記錄

　　抽查外包信息服務(wù)項(xiàng)目的有關(guān)項(xiàng)目文件

　　安全事件處理制度 安全事件處理小組人員組織

　　安全事件檢測措施

　　安全事件響應(yīng)和事后處理計(jì)劃 查看有關(guān)制度、計(jì)劃和操作流程等文檔

　　查看安全事故處理緊急響應(yīng)聯(lián)系人員名單

　　查看安全檢測設(shè)備或程序的安裝和配置文件

　　技術(shù)文檔管理 技術(shù)文檔編制規(guī)定的執(zhí)行情況

　　技術(shù)文檔的安全管理的執(zhí)行情況 查看技術(shù)文檔清單和技術(shù)文檔使用記錄

　　查看技術(shù)文檔的版本控制記錄

　　檢查技術(shù)文檔的存放和保管地點(diǎn)

　　抽查關(guān)鍵計(jì)算機(jī)設(shè)備或系統(tǒng)的整套技術(shù)文檔，并仔細(xì)查看其內(nèi)容

　　業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)管理制度 業(yè)務(wù)風(fēng)險(xiǎn)分析

　　業(yè)務(wù)連續(xù)性計(jì)劃的制定和實(shí)施情況

　　信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃和具體實(shí)施情況 查看業(yè)務(wù)風(fēng)險(xiǎn)分析文檔(風(fēng)險(xiǎn)等級)

　　查看關(guān)鍵設(shè)備和系統(tǒng)清單

　　查看業(yè)務(wù)風(fēng)險(xiǎn)控制計(jì)劃和相應(yīng)的解決方案

　　查看災(zāi)難恢復(fù)計(jì)劃和相應(yīng)的解決方案

　　機(jī)房物理環(huán)境安全 物理訪問控制情況

　　防火和防水情況

　　電源供應(yīng)情況

　　綜合布線情況

　　物理環(huán)境情況

　　報(bào)警系統(tǒng)情況

　　人員進(jìn)出控制情況

　　文件/磁介質(zhì)保險(xiǎn)柜

　　建筑(門、窗、地板)

　　實(shí)時(shí)監(jiān)控和入侵檢測設(shè)備 查看防火/防水系統(tǒng)的達(dá)標(biāo)和維護(hù)文檔或記錄

　　檢查UPS和備用發(fā)電機(jī)是否能正常運(yùn)行

　　使用儀器檢查建筑內(nèi)的溫度、濕度、靜電、灰塵、通風(fēng)、照明是否符合要求

　　檢查報(bào)警系統(tǒng)的達(dá)標(biāo)和維護(hù)文檔或記錄

　　抽查人員進(jìn)出記錄

　　檢查建筑的防火等級

　　檢查保險(xiǎn)柜的防火/防磁/防盜等級

　　檢查通訊和網(wǎng)絡(luò)線路的物理布置和接口位置，以及對明線的物理防護(hù)要求

　　檢查機(jī)房內(nèi)物理訪問控制設(shè)備(讀卡機(jī))是否正常工作

　　第六節(jié) 安全技術(shù)的檢查范圍

　　信息安全技術(shù)規(guī)范 檢查內(nèi)容 具體檢查對象

　　網(wǎng)絡(luò)安全技術(shù)規(guī)范 網(wǎng)絡(luò)的劃分

　　網(wǎng)絡(luò)間通訊的流程和控制

　　網(wǎng)絡(luò)鏈路的備份

　　網(wǎng)絡(luò)安全的設(shè)計(jì)

　　網(wǎng)絡(luò)服務(wù) 查看網(wǎng)絡(luò)物理連接圖

　　查看網(wǎng)絡(luò)邏輯連接圖(IP分配)

　　使用網(wǎng)絡(luò)偵測工具進(jìn)行IP(網(wǎng)絡(luò)服務(wù))掃描

　　查看網(wǎng)絡(luò)安全設(shè)計(jì)和實(shí)施方案

　　測試備份網(wǎng)絡(luò)鏈路

　　測試網(wǎng)絡(luò)路由情況

　　測試網(wǎng)絡(luò)負(fù)載情況

　　網(wǎng)絡(luò)設(shè)備安全技術(shù)規(guī)范 防火墻

　　路由器

　　交換機(jī)

　　網(wǎng)關(guān)/網(wǎng)關(guān)代理 查看防火墻安全日志文件

　　檢查防火墻安全配置

　　查看路由器路由和其他網(wǎng)絡(luò)配置

　　查看交換機(jī)VLAN、端口映射、數(shù)據(jù)流控制等配置

　　查看網(wǎng)關(guān)/網(wǎng)關(guān)代理配置

　　查看網(wǎng)關(guān)/網(wǎng)關(guān)代理訪問日志文件

　　使用漏洞掃描工具對防火墻、路由器、交換機(jī)、網(wǎng)關(guān)/網(wǎng)關(guān)代理進(jìn)行內(nèi)部和外部“刺穿性”掃描

　　使用DoS攻擊模擬工具測試防火墻、路由器、交換機(jī)、網(wǎng)關(guān)/網(wǎng)關(guān)代理對DoS攻擊的防御程度

　　應(yīng)用系統(tǒng)安全技術(shù)規(guī)范 業(yè)務(wù)主機(jī)安全性

　　業(yè)務(wù)主機(jī)備份和恢復(fù) 查看業(yè)務(wù)主機(jī)安全日志文件

　　查看業(yè)務(wù)主機(jī)管理員操作日志文件

　　查看文件訪問記錄

　　進(jìn)行主機(jī)漏洞掃描

　　查看數(shù)據(jù)備份記錄

　　檢查所有用戶的權(quán)限分配情況

　　進(jìn)行不同等級(全系統(tǒng)恢復(fù)、應(yīng)用程序數(shù)據(jù)恢復(fù)、單個(gè)數(shù)據(jù)或文件恢復(fù))的恢復(fù)測試

　　系統(tǒng)安全技術(shù)規(guī)范 操作系統(tǒng)安全性 查看操作系統(tǒng)安全日志文件

　　查看管理員操作日志文件

　　查看文件訪問記錄

　　對用戶權(quán)限分配情況進(jìn)行抽查

　　進(jìn)行系統(tǒng)漏洞掃描

　　軟件開發(fā)安全技術(shù)規(guī)范 軟件開發(fā)環(huán)境

　　軟件測試規(guī)定和執(zhí)行情況

　　軟件開發(fā)文檔管理規(guī)定和執(zhí)行情況

　　測試系統(tǒng)的升級

　　測試系統(tǒng)的備份 查看軟件開發(fā)規(guī)范

　　查看軟件開發(fā)環(huán)境設(shè)計(jì)和實(shí)施方案

　　抽查軟件開發(fā)項(xiàng)目文檔和有關(guān)技術(shù)文檔

　　抽查軟件測試記錄

　　查看軟件開發(fā)系統(tǒng)的備份記錄

　　查看測試系統(tǒng)升級(升級到生產(chǎn)系統(tǒng))計(jì)劃和有關(guān)實(shí)施文檔

　　應(yīng)急響應(yīng)技術(shù)規(guī)范 緊急響應(yīng)計(jì)劃和執(zhí)行情況 查看緊急響應(yīng)人員檔案(包括技術(shù)背景等)

　　查看緊急響應(yīng)計(jì)劃文檔

　　檢查用于緊急響應(yīng)的備用設(shè)備和軟件工具

　　和有關(guān)人員一同進(jìn)行緊急響應(yīng)流程預(yù)演

　　抽查緊急響應(yīng)報(bào)告文檔

　　1 抽查外包信息服務(wù)項(xiàng)目的實(shí)施情況是為了確保外包項(xiàng)目實(shí)施過程是受到嚴(yán)格管理和控制的。

　　2 必須保證掃描不會(huì)影響系統(tǒng)和網(wǎng)絡(luò)性能。

　　3 嚴(yán)禁對在線的生產(chǎn)系統(tǒng)進(jìn)行DoS

篇2：學(xué)院信息化建設(shè)與管理中心信息安全檢查制度

　　學(xué)院信息化建設(shè)與管理中心信息安全檢查制度

　　一、總則

　　第一條 為了督促學(xué)院網(wǎng)絡(luò)與信息系統(tǒng)安全管理要求、技術(shù)規(guī)范良好執(zhí)行，落實(shí)各項(xiàng)網(wǎng)絡(luò)與信息安全工作，特制定信息安全檢查制度。

　　第二條 本制度的目標(biāo)是規(guī)范學(xué)院信息安全檢查工作的具體過程，明確各相關(guān)人員的職責(zé)和工作內(nèi)容，為信息安全檢查工作的順利開展提供有效的指導(dǎo)。

　　二、安全檢查概要

　　第三條 各管理員應(yīng)定期檢查安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。

　　第四條 每次信息安全檢查過程與結(jié)果都要記錄并保存，每次檢查后出具安全檢查報(bào)告，報(bào)告中應(yīng)包括檢查事項(xiàng)、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等內(nèi)容。

　　第五條 對于檢查過程中發(fā)現(xiàn)的不符合項(xiàng)，管理員形成書面改進(jìn)意見后，經(jīng)信息化建設(shè)與管理中心領(lǐng)導(dǎo)審核后，指派專人整改。

　　三、管理規(guī)范檢查列表

　　第六條 信息安全相關(guān)制度

　　檢查信息安全相關(guān)制度的覆蓋范圍以及制度的適宜程度;信息安全相關(guān)制度管理工作的開展情況，包括制度的制定、落實(shí)、評審與修訂等是否符合規(guī)范要求等。

　　第七條 人員安全管理

　　崗位設(shè)置及人員配備：包括安全相關(guān)崗位的設(shè)立以及職責(zé)的明確/落實(shí)、崗位的授權(quán)等;內(nèi)部人員安全管理：包括員工的安全培訓(xùn)及考核、崗位授權(quán)管理、保密協(xié)議簽訂等;外部組織人員安全管理：包括外部組織訪問事前、事中及事后不同階段的安全控制措施的落實(shí)情況等。

　　第八條 信息資產(chǎn)管理

　　資產(chǎn)管理：包括信息資產(chǎn)識(shí)別、分類、標(biāo)識(shí);介質(zhì)管理：包括介質(zhì)在使用、傳輸、保存、清除及銷毀等過程中的安全控制落實(shí)情況;設(shè)備管理：包括各類設(shè)備在使用和管理維護(hù)過程中的安全控制措施落實(shí)情況。

　　第九條 系統(tǒng)運(yùn)維管理

　　運(yùn)維管理：包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計(jì)情況;監(jiān)控、惡意代碼防范、變更管理等的落實(shí)情況。

　　四、技術(shù)規(guī)范檢查列表

　　第十條 物理安全管理

　　物理環(huán)境安全：包括物理區(qū)域的電源、防雷、防火、防潮、 防靜電等周邊環(huán)境安全控制措施落實(shí)情況等; 訪問控制：為保護(hù)區(qū)域內(nèi)信息不受非授權(quán)物理訪問，機(jī)房及 重要辦公場所的訪問控制措施(如門禁、值守等)，以及防盜竊、防破壞措施的實(shí)施情況。

　　第十一條 系統(tǒng)建設(shè)安全

　　系統(tǒng)建設(shè)安全：系統(tǒng)建設(shè)整個(gè)生命周期，包括系統(tǒng)建設(shè)設(shè)計(jì) 階段、實(shí)施階段以及驗(yàn)收階段中涉及的信息安全控制措施落實(shí)情況;

　　第十二條 應(yīng)用安全檢查

　　應(yīng)用系統(tǒng)安全：對于應(yīng)用系統(tǒng)技術(shù)安全控制落實(shí)情況的檢查 ，包括身份鑒別、訪問控制、交易安全、數(shù)據(jù)安全、密碼安全、輸入輸出合法性、備份恢復(fù)、日志及審計(jì)等;數(shù)據(jù)庫安全：對于常用數(shù)據(jù)庫(Oracle、SQLServer 等)的安全配置、訪問控制、備份恢復(fù)、日志及審計(jì)情況等進(jìn)行檢查;中間件安全：對于中間件的安全配置、訪問控制、備份恢復(fù) 、日志及審計(jì)情況等進(jìn)行檢查。

　　第十三條 網(wǎng)絡(luò)安全檢查

　　網(wǎng)絡(luò)架構(gòu)：對網(wǎng)絡(luò)整體架構(gòu)的安全情況，包括網(wǎng)絡(luò)可用性、訪問控制、網(wǎng)絡(luò)管理與審計(jì)、網(wǎng)絡(luò)防護(hù)等方面的安全控制情況進(jìn)行檢查;網(wǎng)絡(luò)設(shè)備安全：包括針對網(wǎng)絡(luò)主要設(shè)備(如路由器、交換機(jī)等)以及網(wǎng)絡(luò)中部署的安全設(shè)備(防火墻、入侵檢測、防病毒系統(tǒng))等的安全配置、訪問控制、備份、日志與審計(jì)等進(jìn)行檢查。

　　第十四條 服務(wù)器主機(jī)安全檢查

　　主機(jī)操作系統(tǒng)的安全性，包括賬號安全、系統(tǒng)日志、安全配置等。

　　第十五條 終端安全檢查

　　終端的安全，包括終端安全配置，補(bǔ)丁安裝情況、終端系統(tǒng) 以及賬戶情況，終端口令策略檢查，終端使用安全檢查，終端開啟服務(wù) 檢查，終端防病毒檢查。

　　五、附則

　　第十六條 本制度由信息化建設(shè)與管理中心負(fù)責(zé)解釋。

　　第十七條 本制度自發(fā)布之日起施行。