1、2016年某某公司信息安全检查方案

附件12016年某某公司信息安全检查方案一、检查原则本次检查工作按照“谁主管谁负责，谁运营谁负责”的原则，遵循“保密性、最小影响性、规范性”要求，切实做好本次的信息系统安全检查工作。二、检查依据本次检查依据国家、集团公司发布的信息安全企业标准和安全配置基线进行，相关的标准要求如下：（一）企业标准Q/SY1345-2010《计算机病毒与网络入侵应急响应管理规范》Q/SY1343-2010《信息安全风险评估实施指南》Q/SY1341-2010《信息系统安全管理规范》Q/SY1344-2010《信息系统密码安全管理规范》Q/SY1346-2010《信息系统用户管理规范》（二）信息安全基线《WindowsXP操作系统安全配置基线》《Windows7操作系统安全配置基线》《Windows8操作系统安全配置基线》《Windows2003操作系统安全配置基线》《Windows2008操作系统安全配置基线》《Redhat操作系统安全配置基线》《CentOS操作系统安全配置基线》《Debian操作系统安全配置基线》《Ubuntu操作系统安全配置基线》《OpenSuse操作系统安全配置基线》《AIX操作系统安全配置基线》《HP-Unix操作系统安全配置基线》《SunSolaris操作系统安全配置基线》《MSSQLServer2000数据库安全配置基线》《MSSQLServer数据库安全配置基线》《MySQLforWindows数据库安全配置基线》《MySQLforLinux数据库安全配置基线》《Oracle数据库安全配置基线》《H3C路由器安全配置基线》《华为路由器安全配置基线》《思科路由器安全配置基线》《中兴路由器安全配置基线》《H3C交换机安全配置基线》《华为交换机安全配置基线》《思科交换机安全配置基线》《中兴交换机安全配置基线》三、检查方式（一）常规安全检查1.对于管理制度的检查，对照《网络安全管理制度自查登记表》逐项比对，按照实际情况填写。2.对于服务器、计算机、网络设备、数据库等基础设施的安全配置情况，通过登录查看和工具检查两种方式交换进行。检查过程中涉及到的检查项请参照安全基线要求。3.对于机房安全检查，采用实地查看的方式进行。4.对于24种高危风险的检查，使用技术和登录查看方式：系统弱口令的检查，自行登录梳理；重大漏洞的检查，可以使用专业的工具。5.对于日志管理情况的检查，依照《日志管理自查登记表》中的要求，现场登陆查看。阶段划分提交材料截止时间准备阶段《IP地址分配表》2016年7月26日(某某公司信息管理部和塔西南信息通讯部负责填报)《网络设备远程管理信息登记表》自查阶段《信息安全管理制度自查登记表》2016年9月26日《设备自查结果登记表》《机房自查结果登记表》《高危风险自查登记表》《日志管理自查登记表》《XXX科室2016年信息安全自查工作总结报告》2016年9月26日抽查阶段--整改阶段《XXX科室2016年信息安全自查工作整改报告》2016年12月23日（二）工控安全检查1.对工控安全管理制度的检查，对照《工控安全管理制度检查登记表》逐项比对，按照实际情况填写。2.对工控系统漏洞以及弱口令的检查，以《工控资产清单》为基础，根据软硬件品牌、型号、版本等信息在《工控漏洞库》以及《工控弱口令清单》中进行人工比对。所属阶段提交材料截止时间准备阶段--自查阶段工控网络拓扑图2016年9月26日《工控安全管理制度检查登记表》《工控资产清单》《安全防护措施》《安全防护需求》《2016年网络安全检查-工控安全-自查报告-科室名称》抽查阶段--整改阶段《2016年网络安全检查-工控安全-整改报告-科室名称》2016年12月23日（三）等保合规性检查各科室按照信息系统安全等级保护测评要求开展定级、备案工作,填报《信息系统基本情况调查表》，定级为三级及以上的信息系统还需填报《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》。阶段划分提交材料截止时间准备阶段《自建信息系统登记表》2016年7月26日自查阶段《自建信息系统基本情况调查表》2016年9月26日《信息系统安全等级保护定级报告》阶段划分提交材料截止时间《信息系统安全等级保护备案表》抽查阶段--整改阶段--四、工具准备各科室在检查工作中建议通过使用专业设备提高检查效率和准确性。某某公司为本次安全检查工作提供部分检查工具，包括密码安全自查工具和中国石油基线配置核查工具，各科室在进行检查的过程中，可通过集团公司统一部署的安全检查工具协助检查工作的开展。序号工具名称功能备注1.windows安全基线配置核查工具对windows终端进行安全基线检查已提供2.密码安全自查工具密码配置强度测试已提供3.工控系统漏洞库通过系统型号、版本匹配，查找存在漏洞已提供4.工控系统弱口令清单通过系统型号、版本匹配，查看可能存在的弱口令已提供5.配置核查工具对服务器、应用系统和Web服务器进行安全配置核查自行准备6.漏洞扫描工具对服务器、终端和网络设备安全进行漏洞评估自行准备7.木马后门检查工具对服务器、终端上的木马后门进行检测自行准备8.WEB漏洞扫描工具对网站、对外发布的应用进行漏洞扫描自行准备五、自查比例请各科室根据各自情况，参照表格中列出的比例自行确定抽查数量。检查对象总数范围抽检比例服务器10台及以下全部100台以下不低于10台100台以上不低于10%终端计算机50台及以下全部1000台以下不低于50台1000台以上不低于5%核心层网络设备全部全部可网管汇聚层网络设备10台及以下全部100台以下不低于10台100台以上不低于10%信息系统和内外部网站全部全部自建互联网出口全部全部