1、信息安全檢查管理辦法第一章 總 則第一條 為加強單位 （ 公司 ） 網絡與信息安全管理，全面掌握公司及所屬各業務系統網絡與信息安全現狀，及時發現存在的薄弱環節和安全隱患，有效防范信息安全事件的發生，規范網絡與信息安全檢查工作，制定本辦法。第二條網絡與信息安全檢查堅持“貴在真實，重在整改”的工作原則。第三條網絡與信息安全檢查工作由各企業行政正職負責，分管副職組織實施，做到責任明確，措施到位。第四條本辦法適用公司各部門。第二章 工作職責第五條公司科技信息技術部的主要職責：（1） 落實國家有關職能部門安排的各項網絡與信息安全檢查工作；（2） 制定公司組織的網絡與信息安全檢查計劃，并組織專家實施檢查與

2、考核工作；（3） 匯總、審閱系統各網絡與信息安全自查計劃和自查報告，審核風險控制措施和整改方案，督促解決檢查中發現的突出問題；（4） 組織研究網絡與信息安全檢查工作中存在的共性問題，并提出對策；對涉及公司層面的重大問題，提出整改意見；（5） 指導系統各企業全面、深入開展網絡與信息安全檢查工作，制定檢查 標準、制度與實施細則。第六條 公司各業務部門應積極配合開展網絡與信息安全檢查工作。第七條 檢查人員應嚴格遵守有關保密規定。第三章 檢查依據與內容第八條 公司應依據信息技術安全技術 信息安全管理體系（GB/T22080）和信息安全管理實用規則（ ISO 27001:2005）的要求，結合本公司網絡

3、與信息安全現狀以及公司有關管理制度，確定檢查內容。第九條 網絡與信息安全檢查內容應重點包括組織機構與管理體系建設、規章制度的貫徹執行和監督檢查、網絡安全管理、應用系統安全管理、桌面辦公系統的使用和安全管理、運行環境管理、運行值班及技術維護管理、運行安全控制管理等內容。第十條 各部門根據檢查目的和檢查重點的不同，可以直接引用網絡與信息安全檢查實施導則（見附件一），也可以在此基礎上定制適合的檢查表。第四章 檢查方式和周期第十一條公司網絡與信息安全檢查采取自查、抽查和專項檢查相結合的方式。（1） 自查是個部門基于本辦法的要求，周期性開展的網絡與信息安全檢查。信息化主管部門制定并實施網絡與信息安全檢查

4、的計劃， 檢查工作可以由信息安全人員承擔，也可以委托具有相關安全認證資質的機構或邀請專家承擔。（2） 抽查是指信息安全工作領導小組組織的網絡與信息安全檢查。公司信息安全工作領導小組制定并實施公司的年度信息安全檢查計劃， 檢查工作可以由系統內相關信息安全人員承擔， 也可以委托具有相關安全認證資質的機構或邀請專家承擔。（三）專項檢查是由國家主管部門具有特定目的的網絡與信息安全檢查。檢 查工作由檢查組織單位委托具有相關安全認證資質的機構或邀請專家承擔。第十二條檢查周期。（一）系統各企業每年至少開展一次自查工作。原則上可選在“兩會”與國 慶節前進行，檢查重點為上次自查、抽查或者專項檢查問題的整改情況和

5、發生變化 的系統。（二）抽查工作是與階段性的重點工作、重大活動和節假日保電工作相結合 而開展的。（三）專項檢查工作是根據國家的階段性重點工作或者針對網絡與信息安全 事件原因而開展的。第五章 檢查內容和方法第十三條檢查內容可分為管理和技術兩個方面。管理方面檢查安全管理要求 和流程的執行情況；技術方面檢查各軟硬件系統是否符合安全技術要求、安全配置 要求以及其它安全技術規范。第十四條 檢查方法應采取人工與技術手段相結合的方式進行，包括對系統進 行基線檢查、漏洞掃描、滲透測試、日志審查、人員訪談、現場觀察、資料查閱等, 確保檢查的有效性和完整性。第六章檢查流程和要求第十五條 檢查流程包括：制定計劃、準

6、備、實施、改進等四個階段。第十六條 計劃階段。檢查前，組織者應制訂具體的檢查計劃，確定本次檢查范圍、重點內容、檢查方法、時間安排、人員安排、主要風險及防范措施等。第十七條 準備階段（1） 細化檢查內容。如：檢查的系統范圍，檢查的重點項，各個系統中增、刪、改等重點操作的指令與關鍵詞等。（2） 編寫網絡與信息安全檢查表 （參見附件二） 。檢查表應包含依據標準、檢查方式、檢查內容、檢查方法、檢查結果、問題描述、檢查人員和被檢查人員簽字等內容。（3） 培訓。重點培訓檢查人員，說明檢查內容和方法、主要風險及防范措施、表格填寫要求、問題處理方法等。（四）配置必要的技術裝備，如漏洞掃描工具、WEB描工具等。

7、第十八條 實施階段（1） 按照網絡與信息安全檢查表進行檢查并如實記錄。（2） 檢查人員、配合人員共同簽字確認檢查結果。（3） 檢查結束后，檢查組織者編寫網絡與信息安全檢查報告（參見附件三） ，被檢查企業負責人在報告書簽字確認后，于3日內提交上級主管部門備案。第十九條 改進階段1、 ） 被檢查部門認真分析發現的問題，在7日內制訂網絡與信息安全檢查問題整改計劃及實施方案 ，做到“項目、措施、責任、時間和資金”五落實；每月對整改情況進行督察。2、 ） 整改完成后，向上級信息主管部門提交網絡與信息安全檢查整改情況報告 （參見附件四） ，并提請復核。第二十條 網絡與信息安全檢查報告、網絡與信息安全檢查問

8、題整改計劃及實施方案、網絡與信息安全檢查整改情況報告等相關文檔，經過審批后存檔。第二十一條對于國家主管部門組織的各種網絡與信息安全檢查，被查企業要以電話、傳真或電子郵件形式及時、逐級上報至公司科技信息技術部。被檢查部門應按照本辦法相關要求進行改進，妥善保留有關檢查結果和報告并存檔。第二十二條各種形式的檢查都應獲得相應授權，不得違反公司相關信息安全管理規定要求，應遵循對業務影響最小化的原則，嚴格控制可能帶來高風險的檢查方法；對于在線業務系統的評估檢查時間必須避開業務高峰時期。第七章 評價與考核第二十三條集團公司科技信息部將按照公司工作評價與考核管理辦法，對各網絡與信息安全檢查工作、檢查結果以及整

9、改情況進行評價考核。第二十四條在網絡與信息安全檢查與整改工作中弄虛作假的，一經查實，將按照公司有關管理制度對該企業的相關領導和責任人進行處罰。第八章 附 則第二十五條本辦法自印發之日起實行。第二十六條本辦法由單位（公司 ）科技信息技術部負責解釋。附件一、網絡與信息安全檢查表網絡與信息安全檢查表檢查時間:序號檢查類別檢查要點檢查依據檢查方式結果t己錄存在問題描述檢查人員簽字配合人員簽字附件二、網絡與信息安全檢查報告單位 （ 公司 ） 網絡與信息安全檢查報告一、 本次檢查概述（ 一 ） 目的（ 二 ） 時間（ 三 ） 范圍（ 四 ） 依據（ 五 ） 內容（ 六 ） 方法（ 七 ） 檢查人員及配合人員3、 檢查對象情況概述（ 一 ） 系統服務情況（ 二 ） 組網情況（ 三 ） 維護部門情況（ 四 ） 安全防護現狀等等4、 結果分析（ 一 ） 列舉所有安全問題和安全隱患，并按照嚴重程度進行劃分（ 二 ） 說明安全問題和安全隱患的責任人員或責任部門5、 改進意見6、 檢查結論7、 本檢查報告分發范圍檢查項目負責人簽名：附件1) 安全檢查表2) 其它