中國大唐集團公司網路與資訊保安檢查管理辦法

附件中國大唐集團公司網路與

資訊保安檢查管理辦法

第一章總則

第一條為加強中國大唐集團公司（以下簡稱集團公司）網路與資訊保安管理，全面掌握集團公司及所屬各企業網路與資訊保安現狀，及時發現存在的薄弱環節和安全隱患，有效防範資訊保安事件的發生，規範網路與資訊保安檢查工作，制定本辦法。

第二條網路與資訊保安檢查堅持「貴在真實，重在整改」的工作原則。

第三條網路與資訊保安檢查工作由各企業行政正職負責，分管副職組織實施，做到責任明確，措施到位。

第四條本辦法適用於集團公司各上市公司、分公司、省發電公司、專業公司（以下簡稱系統各企業）。

第二章工作職責

第五條集團公司科技資訊部的主要職責：

（一）落實國家有關職能部門安排的各項網路與資訊保安檢查工作；

（二）制定集團公司組織的網路與資訊保安檢查計畫，並組織專家實施檢查與考核工作；

（三）彙總、審閱系統各企業網路與資訊保安自查計畫和自查報告，審核風險控制措施和整改方案，督促解決檢查中發現的突出問題；

（四）組織研究網路與資訊保安檢查工作中存在的共性問題，並提出對策；對涉及集團公司層面的重大問題，提出整改意見；

（五）指導系統各企業全面、深入開展網路與資訊保安檢查工作，制定檢查標準、制度與實施細則。

第六條集團公司各業務部門應積極配合開展網路與資訊保安檢查工作。

第七條系統各企業工作職責：

（一）根據當地**和集團公司的安排，組織實施所管理和所屬企業的網路與資訊保安檢查工作。

（二）統籌所管理和所屬企業各類網路與資訊保安檢查工作，確保檢查工作正常開展。

（三）對所管理和所屬企業網路與資訊保安自查工作進行指導。

（四）組織審查所管理和所屬企業制定的整改計畫和自查報告。

（五）監督所管理和所屬企業網路與資訊保安檢查整改計畫的執**況，將未及時完成整改的問題要列入監控重點，確保整改到位。

（六）對所管理和所屬企業的網路與資訊保安檢查工作存在的共性問題進行研究，審查檢查中發現重大問題的整改方案。

（七）對集團公司網路與資訊保安檢查標準的改進和完善提出意見和建議。

第八條基層企業應積極配合上級安排的網路與資訊保安檢查工作，負責本企業的自查工作和日常管理；組織本企業的有關人員對查評結果進行分析，制定並落實整改工作計畫。

第九條檢查人員應嚴格遵守有關保密規定。

第三章檢查依據與內容

第一十條系統各企業應依據《資訊科技安全技術資訊保安管理體系》（gb/t22080）和《資訊保安管理實用規則》（iso 27001:2005）的要求，結合本企業網路與資訊保安現狀以及集團公司有關管理制度，確定檢查內容。

第一十一條網路與資訊保安檢查內容應重點包括組織機構與管理體系建設、規章制度的貫徹執行和監督檢查、網路安全管理、應用系統安全管理、桌面辦公系統的使用和安全管理、執行環境管理、執行值班及技術維護管理、執行安全控制管理等內容。

第一十二條系統各企業根據檢查目的和檢查重點的不同，可以直接引用《網路與資訊保安檢查實施導則》（見附件一），也可以在此基礎上定製適合的檢查表。

第四章檢查方式和週期

第一十三條集團公司網路與資訊保安檢查採取自查、抽查和專項檢查相結合的方式。

（一）自查是系統各企業基於本辦法的要求，週期性開展的網路與資訊保安檢查。系統各企業資訊化主管部門制定並實施本企業網路與資訊保安檢查的計畫，檢查工作可以由本企業相關資訊保安人員承擔，也可以委託具有相關安全認證資質的機構或邀請專家承擔。

（二）抽查是指由集團公司或分子公司組織的網路與資訊保安檢查。集團公司科技資訊部制定並實施集團公司的年度資訊保安檢查計畫，檢查工作可以由系統內相關資訊保安人員承擔，也可以委託具有相關安全認證資質的機構或邀請專家承擔。

（三）專項檢查是由國家主管部門、集團公司或者系統各企業組織的、具有特定目的的網路與資訊保安檢查。檢查工作由檢查組織單位委託具有相關安全認證資質的機構或邀請專家承擔。

第一十四條檢查週期。

（一）系統各企業每年至少開展一次自查工作。原則上可選在「兩會」與國慶節前進行，檢查重點為上次自查、抽查或者專項檢查問題的整改情況和發生變化的系統

（二）抽查工作是與階段性的重點工作、重大活動和節假日保電工作相結合而開展的。

（三）專項檢查工作是根據國家、集團公司、系統各企業的階段性重點工作或者針對網路與資訊保安事件原因而開展的。

第五章檢查內容和方法

第一十五條檢查內容可分為管理和技術兩個方面。管理方面檢查安全管理要求和流程的執**況；技術方面檢查各軟硬體系統是否符合安全技術要求、安全配置要求以及其它安全技術規範。

第一十六條檢查方法應採取人工與技術手段相結合的方式進行，包括對系統進行基線檢查、漏洞掃瞄、滲透測試、日誌審查、人員訪談、現場觀察、資料查閱等，確保檢查的有效性和完整性。

第六章檢查流程和要求

第一十七條檢查流程包括：制定計畫、準備、實施、改進等四個階段。

第一十八條計畫階段。檢查前，組織者應制訂具體的檢查計畫，確定本次檢查範圍、重點內容、檢查方法、時間安排、人員安排、主要風險及防範措施等。

第一十九條準備階段

（一）細化檢查內容。如：檢查的系統範圍，檢查的重點項，各個系統中增、刪、改等重點操作的指令與關鍵詞等。

（二）編寫《網路與資訊保安檢查表》（參見附件二）。檢查表應包含依據標準、檢查方式、檢查內容、檢查方法、檢查結果、問題描述、檢查人員和被檢查人員簽字等內容。

（三）培訓。重點培訓檢查人員，說明檢查內容和方法、主要風險及防範措施、**填寫要求、問題處理方法等。

（四）配置必要的技術裝備，如漏洞掃瞄工具、web掃瞄工具等。

第二十條實施階段

（一）按照《網路與資訊保安檢查表》進行檢查並如實記錄。

（二）檢查人員、配合人員共同簽字確認檢查結果。

（三）檢查結束後，檢查組織者編寫《網路與資訊保安檢查報告》（參見附件三），被檢查企業負責人在報告書簽字確認後，於3日內提交上級主管部門備案。

第二十一條改高階段

（一）被檢查企業認真分析發現的問題，在7日內制訂《網路與資訊保安檢查問題整改計畫及實施方案》，做到「專案、措施、責任、時間和資金」五落實；每月對整改情況進行督察。

（二）整改完成後，向上級資訊主管部門提交《網路與資訊保安檢查整改情況報告》（參見附件四），並提請複核。

第二十二條《網路與資訊保安檢查報告》、《網路與資訊保安檢查問題整改計畫及實施方案》、《網路與資訊保安檢查整改情況報告》等相關文件，經過審批後存檔。

第二十三條對於國家主管部門組織的各種網路與資訊保安檢查，被查企業要以**、傳真或電子郵件形式及時、逐級上報至集團公司科技資訊部。被檢查企業應按照本辦法相關要求進行改進，妥善保留有關檢查結果和報告並存檔。

第二十四條各種形式的檢查都應獲得相應授權，不得違反集團公司相關資訊保安管理規定要求，應遵循對業務影響最小化的原則，嚴格控制可能帶來高風險的檢查方法；對於**業務系統的評估檢查時間必須避開業務高峰時期。

第七章評價與考核

第二十五條集團公司科技資訊部將按照《中國大唐集團公司資訊化工作評價與考核管理辦法》，對系統各企業網路與資訊保安檢查工作、檢查結果以及整改情況進行評價考核。

第二十六條在網路與資訊保安檢查與整改工作中弄虛作假的，一經查實，將按照集團公司有關管理制度對該企業的相關領導和責任人進行處罰。

第八章附則

第二十七條本辦法自印發之日起實行。

第二十八條本辦法由集團公司科技資訊部負責解釋。

網路與資訊保安檢查表

檢查時間：

xx公司網路與資訊保安檢查報告

一、本次檢查概述

(一) 目的

(二) 時間

(三) 範圍

(四) 依據

(五) 內容

(六) 方法

(七) 檢查人員及配合人員

二、檢查物件情況概述

(一) 系統服務情況

(二) 組網情況

(三) 維護部門情況

(四) 安全防護現狀等等

三、結果分析

(一) 列舉所有安全問題和安全隱患，並按照嚴重程度進行劃分

(二) 說明安全問題和安全隱患的責任人員或責任部門

四、改進意見

五、檢查結論

六、本檢查報告分發範圍

檢查專案負責人簽名：

附件（1）安全檢查表

其它輔助材料，如被檢查人員提交的相關檔案、資料，系統掃瞄結果等等。

xx公司網路與資訊保安檢查整改情況報告

一、檢查發現的主要問題

二、改進措施要點

三、改進措施實施情況

四、遺留的問題及改進計畫

五、總結

檢查人員簽名：

附件：《網路與資訊保安檢查問題整改計畫及實施方案》

中國大唐集團公司網路與資訊保安檢查管理辦法

中國大唐集團公司企業標準

中國大唐集團公司效能監察辦法

關於印發中國大唐集團公司本部安全生產責任制管理辦

中國大唐集團公司網路與資訊保安檢查管理辦法

中國大唐集團公司企業標準

中國大唐集團公司效能監察辦法

關於印發中國大唐集團公司本部安全生產責任制管理辦

相關推薦