XX大學信息安全檢查制度

　　第一章 總則

　　第一條 制度目標：為了加強單位信息安全保障能力，建立健全單位的安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在單位安全體系框架下，本制度主要明確如何檢查單位信息安全的執行情況，以此提高被管理角色的安全意識，監督和促進單位安全管理工作的執行，降低人為因素導致網絡安全問題發生的可能性，達到整體信息安全水平提高的目的。

　　第二條 適用范圍：本制度由單位網絡與信息安全工作組制訂，適用于單位所有部門。

　　第三條 使用人員及角色職責：本辦法適用于單位所有師生用戶。

　　第二章 單位安全檢查和考核

　　第一節 單位日常安全檢查

　　第四條 帳號口令及權限，由單位各部門安全管理組織負責，組織檢查本部門帳號口令及權限實際情況是否符合備案內容。

　　第五條 資產，配置變更及安全補丁，由單位各部門安全管理組織負責，組織檢查本部門資產信息是否與單位備案信息一致。

　　第六條 安全檢查的結果，報送單位網絡與信息安全管理工作組。作為考核各部門、師生用戶的依據之一。

　　第七條 單位網絡與信息安全管理工作組，隨機抽檢各項安全工作;作為考核各部門安全管理工作的依據之一。

　　第二節 單位季度安全巡檢

　　第八條 單位網絡與信息安全工作組，每季度組織一次單位全局的安全巡檢，主要檢查單位及各部門設定的安全目標及落實情況是否符合一致性。

　　第九條 檢查各部門對單位安全制度的落實及承擔安全職責的情況。

　　第十條 檢查各部門信息資產的實際安全狀況。

　　第十一條 病毒及辦公終端的安全檢查

　　第十二條 檢查的結果，作為考核各部門、安全管理員的依據之一。

　　第三章 各部門安全檢查和考核

　　第三節 各部門日常安全檢查

　　第十三條 各部門信息安全管理組織，通過檢查各系統的安全運行維護計劃的實施情況，進行日常安全檢查。

　　第十四條 檢查的結果，作為考核本部門系統管理人員的依據之一。

　　第四節 各部門每季度安全巡檢

　　第十五條 各部門信息安全管理組織，每季度組織一次本部門的安全巡檢。主要進行安全體系目標實現的檢查，主要檢查本部門設定的安全目標的落實情況。

　　第十六條 檢查本部門各崗位人員，安全意識及安全職責的落實情況。

　　第十七條 檢查本部門各系統信息資產，配置變更及安全補丁是否與單位管理存檔保持一致。

　　第十八條 各生產系統及終端的安全狀況。

　　第十九條 帳號口令及權限實際狀況是否與本部門管理存檔保持一致。

　　第二十條 安全檢查的結果，報送單位網絡與信息安全管理工作組。

　　第二十一條 檢查的結果，作為考核各部門、安全管理員的依據之一。

　　第四章 安全檢查及考核的內容

　　第五節 安全管理的檢查范圍

　　安全管理制度 審計內容 建議具體檢查辦法

　　人員安全管理制度 信息安全組織的構建情況和運作情況

　　信息安全職責分工情況

　　內部人員的安全控制(錄用、審核、調動、離職)的執行情況

　　外來人員安全控制(進出機房控制和機房管理制度等)執行情況

　　人員安全教育培訓執行情況 查看有關制度、記錄、協定、計劃、實施等文檔

　　和有關負責人進行面談，檢查制度的貫徹落實情況

　　終端安全使用管理制度 一般IT設備使用規定執行情況

　　終端安全使用規定的執行情況

　　計算機周邊設備安全使用規定的執行情況

　　電子郵件、瀏覽器、BBS、新聞組、防入侵以及防病毒軟件安全規定的執行情況 查看有關制度文檔

　　查看有關使用監控日志文件和系統安全配置文件

　　對人員進行規定筆試或機試測驗，考核其對規定的熟悉和理解程度

　　用戶帳號和密碼安全管理 用戶帳號和權限分配

　　密碼的安全設置和強度(不少于6位，數字和字母相結合)

　　用戶帳號和密碼的管理規定的執行情況

　　關鍵服務器、工作站、數據庫的管理員和超級管理員帳號和密碼 抽查用戶帳號創建的相關書面文檔并和計算機用戶帳號日志文件進行比對

　　抽查用戶權限分配情況(尤其是特權用戶)

　　查看系統密碼的安全配置情況

　　使用工具軟件對一些用戶密碼進行“強行”破解，以檢驗用戶密碼的強度

　　檢查系統是否拒絕創建不符合安全要求的用戶帳號和密碼

　　查看用戶帳號登錄和注銷日志文件

　　查看用戶帳號密碼變更、禁止和刪除的日志文件

　　信息安全分類控制 信息安全分類標識的執行情況

　　信息安全分類管理執行情況 抽查信息設備是否有安全分類標識和安全分類標識的準確性和完整性

　　查看信息設備清單

　　查看信息設備安全分類清單

　　和專管人員進行“面談”，確定其對信息安全分類控制管理制度的熟悉程度

　　抽查信息設備處理(作廢、重新利用)記錄

　　對電子郵件、電子文檔的安全加密情況進行抽查

　　第三方信息服務安全管理 第三方的管理制度和執行情況

　　第三方現場服務人員的管理制度和執行情況

　　第三方信息服務服務/維護合同 查看外包服務協議中附帶的保密協定或有關保密章節

　　查看服務合同(服務級別和服務期限)

　　查看外來信息服務人員的登記記錄和臨時出入證(工作證)的管理記錄

　　抽查有關軟件/硬件的維護記錄

　　抽查外包信息服務項目的有關項目文件

　　安全事件處理制度 安全事件處理小組人員組織

　　安全事件檢測措施

　　安全事件響應和事后處理計劃 查看有關制度、計劃和操作流程等文檔

　　查看安全事故處理緊急響應聯系人員名單

　　查看安全檢測設備或程序的安裝和配置文件

　　技術文檔管理 技術文檔編制規定的執行情況

　　技術文檔的安全管理的執行情況 查看技術文檔清單和技術文檔使用記錄

　　查看技術文檔的版本控制記錄

　　檢查技術文檔的存放和保管地點

　　抽查關鍵計算機設備或系統的整套技術文檔，并仔細查看其內容

　　業務連續性和災難恢復管理制度 業務風險分析

　　業務連續性計劃的制定和實施情況

　　信息系統災難恢復計劃和具體實施情況 查看業務風險分析文檔(風險等級)

　　查看關鍵設備和系統清單

　　查看業務風險控制計劃和相應的解決方案

　　查看災難恢復計劃和相應的解決方案

　　機房物理環境安全 物理訪問控制情況

　　防火和防水情況

　　電源供應情況

　　綜合布線情況

　　物理環境情況

　　報警系統情況

　　人員進出控制情況

　　文件/磁介質保險柜

　　建筑(門、窗、地板)

　　實時監控和入侵檢測設備 查看防火/防水系統的達標和維護文檔或記錄

　　檢查UPS和備用發電機是否能正常運行

　　使用儀器檢查建筑內的溫度、濕度、靜電、灰塵、通風、照明是否符合要求

　　檢查報警系統的達標和維護文檔或記錄

　　抽查人員進出記錄

　　檢查建筑的防火等級

　　檢查保險柜的防火/防磁/防盜等級

　　檢查通訊和網絡線路的物理布置和接口位置，以及對明線的物理防護要求

　　檢查機房內物理訪問控制設備(讀卡機)是否正常工作

　　第六節 安全技術的檢查范圍

　　信息安全技術規范 檢查內容 具體檢查對象

　　網絡安全技術規范 網絡的劃分

　　網絡間通訊的流程和控制

　　網絡鏈路的備份

　　網絡安全的設計

　　網絡服務 查看網絡物理連接圖

　　查看網絡邏輯連接圖(IP分配)

　　使用網絡偵測工具進行IP(網絡服務)掃描

　　查看網絡安全設計和實施方案

　　測試備份網絡鏈路

　　測試網絡路由情況

　　測試網絡負載情況

　　網絡設備安全技術規范 防火墻

　　路由器

　　交換機

　　網關/網關代理 查看防火墻安全日志文件

　　檢查防火墻安全配置

　　查看路由器路由和其他網絡配置

　　查看交換機VLAN、端口映射、數據流控制等配置

　　查看網關/網關代理配置

　　查看網關/網關代理訪問日志文件

　　使用漏洞掃描工具對防火墻、路由器、交換機、網關/網關代理進行內部和外部“刺穿性”掃描

　　使用DoS攻擊模擬工具測試防火墻、路由器、交換機、網關/網關代理對DoS攻擊的防御程度

　　應用系統安全技術規范 業務主機安全性

　　業務主機備份和恢復 查看業務主機安全日志文件

　　查看業務主機管理員操作日志文件

　　查看文件訪問記錄

　　進行主機漏洞掃描

　　查看數據備份記錄

　　檢查所有用戶的權限分配情況

　　進行不同等級(全系統恢復、應用程序數據恢復、單個數據或文件恢復)的恢復測試

　　系統安全技術規范 操作系統安全性 查看操作系統安全日志文件

　　查看管理員操作日志文件

　　查看文件訪問記錄

　　對用戶權限分配情況進行抽查

　　進行系統漏洞掃描

　　軟件開發安全技術規范 軟件開發環境

　　軟件測試規定和執行情況

　　軟件開發文檔管理規定和執行情況

　　測試系統的升級

　　測試系統的備份 查看軟件開發規范

　　查看軟件開發環境設計和實施方案

　　抽查軟件開發項目文檔和有關技術文檔

　　抽查軟件測試記錄

　　查看軟件開發系統的備份記錄

　　查看測試系統升級(升級到生產系統)計劃和有關實施文檔

　　應急響應技術規范 緊急響應計劃和執行情況 查看緊急響應人員檔案(包括技術背景等)

　　查看緊急響應計劃文檔

　　檢查用于緊急響應的備用設備和軟件工具

　　和有關人員一同進行緊急響應流程預演

　　抽查緊急響應報告文檔

　　1 抽查外包信息服務項目的實施情況是為了確保外包項目實施過程是受到嚴格管理和控制的。

　　2 必須保證掃描不會影響系統和網絡性能。

　　3 嚴禁對在線的生產系統進行DoS

篇2：學院信息化建設與管理中心信息安全檢查制度

　　學院信息化建設與管理中心信息安全檢查制度

　　一、總則

　　第一條 為了督促學院網絡與信息系統安全管理要求、技術規范良好執行，落實各項網絡與信息安全工作，特制定信息安全檢查制度。

　　第二條 本制度的目標是規范學院信息安全檢查工作的具體過程，明確各相關人員的職責和工作內容，為信息安全檢查工作的順利開展提供有效的指導。

　　二、安全檢查概要

　　第三條 各管理員應定期檢查安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

　　第四條 每次信息安全檢查過程與結果都要記錄并保存，每次檢查后出具安全檢查報告，報告中應包括檢查事項、檢查人員、檢查數據匯總表、檢查結果等內容。

　　第五條 對于檢查過程中發現的不符合項，管理員形成書面改進意見后，經信息化建設與管理中心領導審核后，指派專人整改。

　　三、管理規范檢查列表

　　第六條 信息安全相關制度

　　檢查信息安全相關制度的覆蓋范圍以及制度的適宜程度;信息安全相關制度管理工作的開展情況，包括制度的制定、落實、評審與修訂等是否符合規范要求等。

　　第七條 人員安全管理

　　崗位設置及人員配備：包括安全相關崗位的設立以及職責的明確/落實、崗位的授權等;內部人員安全管理：包括員工的安全培訓及考核、崗位授權管理、保密協議簽訂等;外部組織人員安全管理：包括外部組織訪問事前、事中及事后不同階段的安全控制措施的落實情況等。

　　第八條 信息資產管理

　　資產管理：包括信息資產識別、分類、標識;介質管理：包括介質在使用、傳輸、保存、清除及銷毀等過程中的安全控制落實情況;設備管理：包括各類設備在使用和管理維護過程中的安全控制措施落實情況。

　　第九條 系統運維管理

　　運維管理：包括用戶賬號情況、系統漏洞情況、系統審計情況;監控、惡意代碼防范、變更管理等的落實情況。

　　四、技術規范檢查列表

　　第十條 物理安全管理

　　物理環境安全：包括物理區域的電源、防雷、防火、防潮、 防靜電等周邊環境安全控制措施落實情況等; 訪問控制：為保護區域內信息不受非授權物理訪問，機房及 重要辦公場所的訪問控制措施(如門禁、值守等)，以及防盜竊、防破壞措施的實施情況。

　　第十一條 系統建設安全

　　系統建設安全：系統建設整個生命周期，包括系統建設設計 階段、實施階段以及驗收階段中涉及的信息安全控制措施落實情況;

　　第十二條 應用安全檢查

　　應用系統安全：對于應用系統技術安全控制落實情況的檢查 ，包括身份鑒別、訪問控制、交易安全、數據安全、密碼安全、輸入輸出合法性、備份恢復、日志及審計等;數據庫安全：對于常用數據庫(Oracle、SQLServer 等)的安全配置、訪問控制、備份恢復、日志及審計情況等進行檢查;中間件安全：對于中間件的安全配置、訪問控制、備份恢復 、日志及審計情況等進行檢查。

　　第十三條 網絡安全檢查

　　網絡架構：對網絡整體架構的安全情況，包括網絡可用性、訪問控制、網絡管理與審計、網絡防護等方面的安全控制情況進行檢查;網絡設備安全：包括針對網絡主要設備(如路由器、交換機等)以及網絡中部署的安全設備(防火墻、入侵檢測、防病毒系統)等的安全配置、訪問控制、備份、日志與審計等進行檢查。

　　第十四條 服務器主機安全檢查

　　主機操作系統的安全性，包括賬號安全、系統日志、安全配置等。

　　第十五條 終端安全檢查

　　終端的安全，包括終端安全配置，補丁安裝情況、終端系統 以及賬戶情況，終端口令策略檢查，終端使用安全檢查，終端開啟服務 檢查，終端防病毒檢查。

　　五、附則

　　第十六條 本制度由信息化建設與管理中心負責解釋。

　　第十七條 本制度自發布之日起施行。