第一章 總則
第一條 為了加強我校信息化網(wǎng)絡(luò)安全管理,全面掌握全校各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全現(xiàn)狀���,及時發(fā)現(xiàn)存在的薄弱環(huán)節(jié)和安全隱患�����,有效防范信息安全事件的發(fā)生�����,構(gòu)建良好的網(wǎng)絡(luò)環(huán)境�,規(guī)范網(wǎng)絡(luò)與信息安全檢查工作����,制定本檢查考核制度。
第二條 網(wǎng)絡(luò)與信息安全檢查堅持“貴在真實��,重在整改”的工作原則�。
第三條 網(wǎng)絡(luò)與信息安全檢查工作由各部門正職負(fù)責(zé),分管副職組織實施��,做到責(zé)任明確����,措施到位。
第四條 本辦法適用學(xué)校各部門��。
第二章 檢查方式和周期
第五條 學(xué)校網(wǎng)絡(luò)與信息安全檢查采取自查�����、抽查和專項檢查相結(jié)合的方式����。
(一)自查是各部門基于本辦法的要求,周期性開展的網(wǎng)絡(luò)與信息安全檢查�����。檢查工作可以由信息安全人員承擔(dān)���,也可以委托具有相關(guān)安全認(rèn)證資質(zhì)的機構(gòu)或邀請專家承擔(dān)�����。
(二)抽查是指網(wǎng)絡(luò)安全和信息化辦公室組織的網(wǎng)絡(luò)與信息安全檢查����。網(wǎng)絡(luò)安全和信息化辦公室制定并實施學(xué)校的年度信息安全檢查計劃���,檢查工作可以由部門相關(guān)信息安全人員承擔(dān)���,也可以委托具有相關(guān)安全認(rèn)證資質(zhì)的機構(gòu)或邀請專家承擔(dān)����。
(三)專項檢查是由國家主管部門具有特定目的的網(wǎng)絡(luò)與信息安全檢查�����。檢查工作由檢查組織單位委托具有相關(guān)安全認(rèn)證資質(zhì)的機構(gòu)或邀請專家承擔(dān)���。
第六條 檢查周期��。
(一)學(xué)校每年至少開展一次自查工作����。原則上可選在如“兩會”與國慶節(jié)前等關(guān)鍵或敏感的重點時間節(jié)點之前進行����,檢查重點為上次自查、抽查或者專項檢查問題的整改情況和發(fā)生變化的系統(tǒng)���。
(二)抽查工作是與階段性的重點工作����、重大活動和節(jié)假日工作相結(jié)合而開展的�����。
(三)專項檢查工作是根據(jù)國家的階段性重點工作或者有針對性的網(wǎng)絡(luò)與信息安全事件而開展的。
第三章 檢查內(nèi)容和方法
第七條 檢查內(nèi)容可分為管理和技術(shù)兩個方面�����。
管理方面是檢查安全管理要求和流程的執(zhí)行情況�����;技術(shù)方面是檢查各軟�、硬件系統(tǒng)是否符合安全技術(shù)要求�����、安全配置要求以及其它安全技術(shù)規(guī)范���。
第八條 檢查方法應(yīng)采取人工與技術(shù)手段相結(jié)合的方式進行���,包括但不限于對系統(tǒng)進行基線檢查、漏洞掃描����、滲透測試��、日志審查�����、人員訪談�����、現(xiàn)場觀察�����、資料查閱等���,確保檢查的有效性和完整性。
第四章 檢查流程和要求
第九條 檢查流程包括:制定計劃��、準(zhǔn)備���、實施�����、改進等四個階段�����。
第十條 計劃階段��。檢查前����,組織者應(yīng)制訂具體的檢查計劃,確定本次檢查范圍����、重點內(nèi)容����、檢查方法、時間安排�����、人員安排�����、主要風(fēng)險及防范措施等�。
第十一條 準(zhǔn)備階段���。
(一)細(xì)化檢查內(nèi)容。如:檢查的系統(tǒng)范圍�,檢查的重點項,各個系統(tǒng)中增���、刪�、改等重點操作的指令與關(guān)鍵詞等��。
(二)填寫《網(wǎng)絡(luò)與信息安全檢查表》(參見附件一)�����。檢查表應(yīng)包含依據(jù)標(biāo)準(zhǔn)��、檢查方式����、檢查內(nèi)容、檢查方法�����、檢查結(jié)果、問題描述�����、檢查人員和被檢查人員簽字等內(nèi)容�。
(三)培訓(xùn)。重點培訓(xùn)檢查人員���,說明檢查內(nèi)容和方法���、主要風(fēng)險及防范措施、表格填寫要求�、問題處理方法等。
(四)配置必要的技術(shù)裝備��,如漏洞掃描工具�����、WEB掃描工具等�。
第十二條 實施階段���。
(一)按照《網(wǎng)絡(luò)與信息安全檢查表》(參見附件一)進行檢查并如實記錄����。
(二)檢查人員、配合人員共同簽字確認(rèn)檢查結(jié)果���。
(三)檢查結(jié)束后�,檢查組織者編寫《網(wǎng)絡(luò)與信息安全檢查報告》(參見附件二)�����,被檢查部門負(fù)責(zé)人在報告書簽字確認(rèn)后���,于3日內(nèi)提交學(xué)校主管部門備案����。
第十三條 改進階段�����。
(一)被檢查部門認(rèn)真分析發(fā)現(xiàn)的問題�����,在7日內(nèi)制訂相應(yīng)的整改計劃及實施方案�,做到“項目�、措施��、責(zé)任����、時間和資金”五落實;
(二)整改完成后�����,向網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組辦公室提交《網(wǎng)絡(luò)與信息安全檢查整改情況報告》(參見附件三)�,并提請復(fù)核。
第十四條 《網(wǎng)絡(luò)與信息安全檢查報告》�����、《網(wǎng)絡(luò)與信息安全檢查整改情況報告》等相關(guān)文檔���,經(jīng)過審批后存檔���。
第十五條 對于國家主管部門組織的各種網(wǎng)絡(luò)與信息安全檢查�����,被查部門要以電話、傳真或電子郵件形式及時上報至網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組�。被檢查部門應(yīng)按照本辦法相關(guān)要求進行改進,妥善保留有關(guān)檢查結(jié)果和報告并存檔����。
第十六條 各種形式的檢查都應(yīng)獲得相應(yīng)授權(quán),不得違反學(xué)校相關(guān)信息安全管理規(guī)定要求�����,應(yīng)遵循對應(yīng)用系統(tǒng)影響最小化的原則��,嚴(yán)格控制可能帶來高風(fēng)險的檢查方法�;對于在線業(yè)務(wù)系統(tǒng)的評估檢查時間必須避開業(yè)務(wù)高峰時期。
第五章 評價與考核
第十七條 學(xué)校將按照《黨委網(wǎng)絡(luò)意識形態(tài)工作責(zé)任制實資細(xì)則》���,對各網(wǎng)絡(luò)與信息安全檢查工作���、檢查結(jié)果以及整改情況進行評價考核。
第十八條 網(wǎng)絡(luò)安全建設(shè)和績效納入審計范圍���,作為領(lǐng)導(dǎo)班子�����、領(lǐng)導(dǎo)干部考核評價的主要內(nèi)容���。
第十九條 在網(wǎng)絡(luò)與信息安全檢查與整改工作中弄虛作假的�����,一經(jīng)查實���,將按照學(xué)校有關(guān)管理制度對該部門的相關(guān)領(lǐng)導(dǎo)和責(zé)任人進行處罰。
第六章 附則
第二十條 本制度自印發(fā)之日起實行��。
第二十一條 本制度由學(xué)校網(wǎng)絡(luò)安全和信息化辦公室負(fù)責(zé)解釋�。
天津醫(yī)科大學(xué)網(wǎng)絡(luò)安全和信息化辦公室
2021年 9 月 22 日
附件一
網(wǎng)絡(luò)與信息安全檢查表
序號 | 檢查 類別 | 檢查 要點 | 檢查 依據(jù) | 檢查 方式 | 記錄 結(jié)果 | 存在問題描述 | 檢查人員簽字 | 配合人員簽字 |
| | | | | | | | |
| | | | | | | | |
| | | | | | | | |
附件二
網(wǎng)絡(luò)與信息安全檢查報告
一、本次檢查概述
(一)目的
(二)時間
(三)范圍
(四)依據(jù)
(五)內(nèi)容
(六)方法
(七)檢查人員及配合人員
二�、檢查對象情況概述
(一)系統(tǒng)服務(wù)情況
(二)組網(wǎng)情況
(三)維護部門情況
(四)安全防護現(xiàn)狀等等
三、結(jié)果分析
(一)列舉所有安全問題和安全隱患���,并按照嚴(yán)重程度進行劃分
(二)說明安全問題和安全隱患的責(zé)任人員或責(zé)任部門
四���、改進意見
五、檢查結(jié)論
附件三
網(wǎng)絡(luò)與信息安全檢查整改情況報告
一��、檢查發(fā)現(xiàn)的主要問題
二����、改進措施要點
三、改進措施實施情況
四��、遺留的問題及改進計劃
五��、總結(jié)
