第一章 总 则
第一条为了能够及时发现和解决上海石化工业学校存在的信息安全问题,特制定本制度。
第二章 管理职责
第二条信息中心负责信息安全检查工作,安全管理员定期组织信息安全检查工作,信息安全检查工作必须严格遵循本制度。
第三章 细 则
第三条应每年制定《信息安全检查工作计划》,并上报信息安全领导小组进行审核,审核通过后方可进行信息安全检查工作。
第四条应每季度进行一次信息安全巡检,信息巡检内容至少包括机房基础设施、网络基础设施、系统基础设施的运行状态和系统数据备份情况等检查内容,检查完毕后,形成《信息安全巡检报告》,提交运维组长。
第五条应每季度进行一次信息系统安全漏洞检测,安全漏洞检测内容包括网络设备、服务器操作系统、应用系统存在的安全漏洞,检查完毕后,形成《系统安全漏洞检测报告》,提交运维组长。
第六条应每年进行一次全面的信息安全评估,信息安全评估内容应该覆盖物理安全、网络安全、系统安全、应用安全、数据安全、安全管理,检查完毕后,形成《信息安全评估报告》,提交运维组长和信息安全领导小组。可根据信息安全领导小组的要求召开工作汇报会议,向信息安全领导小组汇报存在的安全问题和风险。
第七条信息安全检查工作中所输出的正式报告由信息中心负责进行存档保存,保存周期至少为一年。
第八条信息安全检查工具使用:
(一)使用信息安全检查工具时需填写《上海石化工业学校信息安全检测工具使用申请表》,审批通过后方可使用。不能擅自使用未审批的工具实施安全检查,避免在安全检查工作中引入恶意程序;
(二)对信息系统设备进行安全检查时,应该获得相关业务部门的许可,避免影响业务系统运行;
(三)使用检测工具对信息系统设备进行检测时,应避开业务高峰期,避免影响业务系统运行;
(四)信息安全检查工具只能用于单位内部信息安全检查,不允许私自用于其他方面;
(五)信息安全检查工具在使用结束后应立即交还信息中心,并填写《上海石化工业学校信息安全检测工具使用记录表》。
第四章 附 则
第九条本制度由信息中心负责解释。
第十条本制度正式发布之日起执行。
附件:安全检查管理表单
《上海石化工业学校信息安全检查工作计划格式》
信息安全检查工作计划 | |
目录章节 | 编写内容 |
文档基本信息 | 编制部门、人员、日期。 审核部门、人员,日期。 上交部门、人员,日期。 |
1.概述 |
|
1.1检查工作目标 | 检查工作实现的目标内容。 |
1.2检查工作范围 | 检查工作的范围内容 |
2.检查工作安排情况 | 负责检查工作的部门、人员,检查工作的时间周期,检查工作计划的落实情况。 |
3.检查工作所需资源 | 开展检查工作的所需的实施人员、管理人员、经费等方面内容。 |
4.检查工作具有内容 |
|
4.1物理安全 | 物理方面的安全检查计划内容。 |
4.2网络安全 | 网络方面的安全检查计划内容。 |
4.3主机安全 | 主机方面的安全检查计划内容。 |
4.4应用安全 | 应用安全方面的检测计划内容。 |
4.5安全管理 | 管理方面的安全检测计划内容。 |
5.检查工作实施计划 | 检查工作实施组织、实施工作流程、实施工作详细计划等方面内容。 |
6.检查工作交付成果 | 检查工作正式交付的报告以及报告内容说明。 |
《上海石化工业学校信息安全巡检报告格式》
(SHGY/AQ-JC-01-2016-B02)
信息安全巡检报告 | |
目录章节 | 编写内容 |
报告基本信息 | 编制部门、人员、日期。 审核部门、人员,日期。 上交部门、人员,日期。 |
1.概述 |
|
1.1巡检目标 | 安全检查实现的目标内容。 |
1.2巡检范围与对象 | 需要安全检查系统和设备基本信息内容。 |
2.巡检工作方法描述 | 检查工作所使用到的技术工具、问卷和表单等内容。 |
3.巡检内容与安全分析 |
|
3.1机房基础设施 | 物理机房环境方面的安全检查内容以及对应的现状和问题。 |
3.2网络基础设施 | 网络设备、网络结构等方面的安全检查内容以及对应的现状和问题。 |
3.3主机系统安全巡检 | 主机系统方面的安全检查内容以及对应的现状和问题。 |
3.4应用系统安全巡检 | 应用系统方面的安全检查内容以及对应的现状和问题。 |
4.巡检工作问题总结 | 信息安全问题总结性说明。 |
5.安全问题解决建议 | 信息安全问题解决方法描述。 |
《上海石化工业学校系统安全漏洞检测报告格式》
(SHGY/AQ-JC-01-2016-B03)
系统安全漏洞检测报告 | |
目录章节 | 编写内容 |
报告基本信息 | 编制部门、人员、日期。 审核部门、人员,日期。 上交部门、人员,日期。 |
1.概述 |
|
1.1检测目标 | 漏洞检测实现的目标内容。 |
1.2检测范围与对象 | 需要检测的系统以及设备基本信息内容。 |
2.漏洞检测方法说明 | 漏洞扫描工具介绍和部署说明。 |
3.漏洞问题统计分析 | 统计系统存在的高、中、低级别的安全漏洞数量和分布范围。 |
4.漏洞问题详细分析 | 针对每个安全漏洞进行安全影响分析。 |
5.漏洞问题总结 | 总结安全漏洞产生根源和对业务影响程度。 |
6.安全问题解决建议 | 提出安全漏洞解决办法。 |
《上海石化工业学校信息安全评估报告格式》
(SHGY/AQ-JC-01-2016-B04)
信息安全评估报告 | |
目录章节 | 编写内容 |
报告基本信息 | 编制部门、人员、日期。 审核部门、人员,日期。 上交部门、人员,日期。 |
1.概述 |
|
1.1安全评估目标 | 安全评估工作实现的目标内容。 |
1.2安全评估范围 | 安全评估工作范围。 |
2.安全评估方法描述 | 信息安全风险分析方法。 |
3.安全风险评估内容 |
|
3.1物理安全风险分析 | 物理方面风险分析说明,例如:安全问题产生跟源、安全问题影响程度、安全问题面临风险以及风险级别。 |
3.2网络安全风险分析 | 网络方面风险分析说明,例如:安全问题产生跟源、安全问题影响程度、安全问题面临风险以及风险级别。 |
3.3主机安全风险分析 | 主机方面风险分析说明,例如:安全问题产生跟源、安全问题影响程度、安全问题面临风险以及风险级别。 |
3.4应用安全风险分析 | 应用方面风险分析说明,例如:安全问题产生跟源、安全问题影响程度、安全问题面临风险以及风险级别。 |
3.5管理安全风险分析 | 管理方面风险分析说明,例如:安全问题产生跟源、安全问题影响程度、安全问题面临风险以及风险级别。 |
4.安全风险总结 | 物理、网络、主机、应用、管理等方面的综合性风险分析说明。 |
5.安全风险处理建议 | 信息安全风险总体解决方法描述。 |
《上海石化工业学校信息安全检测工具使用申请表》
(编号:SHGY/AQ-JC-01-2016-B05)
信息安全检测工具使用申请表 | |
申请部门 | 信息中心 |
申请人员 |
|
使用说明 |
|
审批意见 | 同意□ 意见: |
授权使用范围 |
|
审批签字 | 审批人员: 审批日期: 年 月 日 |
《上海石化工业学校信息安全检测工具使用记录表》
(编号:SHGY/AQ-JC-01-2016-B06)
信息安全检测工具使用记录表 | |
申请工具 |
|
使用日期 | 年 月 日-年 月 日 |
预计归还日期 | 年 月 日 |
实际归还日期 | 年 月 日 |
申请人签字 | 申请人员: 签字日期: 年 月 日 |