河南水利与环境职业学院安全审核及安全检查管理

发布时间:2021年12月10日发布人: 来源: 浏览次数:

河南水利与环境职业学院安全审核及安全检查管理


第一章 总 则

第一条 为加强信息系统安全检查及审核工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,结合办公室实际情况,特制定本办法。

 

第二章 管理细则

第一节 日常运维检查

第二条 信息化管理办公室人员每周对机房环境及设备进行巡检,制定检查表进行检查,侧重检查各设备安全配置情况,安全状态等,如CPU使用率、内存使用率、日志情况、恶意代码软件情况、安全配置等内容(具体检查内容见检查表)。

第三条 每周出具巡检周报,对一周巡检情况、处理异常情况等进行总结。

第四条 每月出具安全运维月报,总结当月检查发现的安全问题,对于发现的安全问题做出的处理,以及未处理仍需解决的问题等。

第五条 安全运维月报中应包括安全通告内容,收集各安全厂商发布的安全公告、漏洞补丁等内容,以便相关人员根据公司情况进行处理。

第二节 漏洞扫描

第六条 应指定漏洞扫描人员,负责信息系统漏洞扫描各项工作。

第七条 应至少每季度进行一次信息系统漏洞扫描。

第八条 漏洞扫描工作应根据实际情况经过相关负责人授权批准后进行,严禁对未经授权的信息系统进行漏洞扫描。

第九条 漏洞扫描方案中应说明扫描范围、时间、所采取的风险规避措施等内容。

第十条 对已投入运行的信息系统进行漏洞扫描时,应合理选择时间、审慎选择扫描策略,在不影响业务的前提下进行。

第十一条 漏洞扫描过程中如出现被扫描系统异常情况时,应当立即停止扫描工作,待正确恢复系统,采取必要的预防措施之后,才可以继续进行。

第十二条 在漏洞扫描过程中应对被扫描设备的运行情况进行监控。漏洞扫描完成后,应确认被扫描设备的系统和应用是否正常,发现问题及时解决。

第十三条 漏洞扫描结束后,漏洞扫描人员应通过漏洞扫描系统生成详细的漏洞扫描报告,及时反馈相关负责人。

第十四条 相关负责人应根据漏洞扫描报告,对安全漏洞及时进行修补。

第十五条 漏洞修补措施包括安装补丁、升级、修改配置或网络层访问控制等降低漏洞风险的操作。修补安全漏洞前,应认真分析漏洞扫描报告,做好测试及数据备份工作,避免盲目操作。

第十六条 漏洞扫描人员对修补漏洞中遇到的问题提供技术支持;漏洞扫描人员无法解决的问题,应及时向主管领导汇报寻求解决办法。

第三节 风险评估

第十七条 应根据工作需要进行风险评估工作,开展风险评估工作前应明确安全风险评估要点及实施方案,并报主管领导批准。

第十八条 应制定安全风险评估计划及评估方案,了解评估可能造成的影响及规避措施,按照安全风险评估计划实施安全风险评估工作。

第十九条 当重要系统入网、现有网络进行大规模调整时,应根据实际情况启动专项评估工作。

第二十条 风险评估工作结束后,相关负责人应向主管领导提交安全风险评估报告,及时上报风险评估发现的重大问题和可能的全网共性问题。

第二十一条 所有参与安全风险评估人员应严格遵守保密管理规定,不得泄露任何接触到的敏感信息。

第二十二条 如委托第三方单位进行风险评估和漏洞扫描工作,应选择具有一定资质的专业机构,并在签订的协议中,明确保密要求,保障公司利益,按照公司相关管理规定加强管理,避免安全风险。

第二十三条 所有的检查需对检查结果进行记录,并出具相应的检查报告。

 

第三章 附则

第二十四条 本制度由信息化管理办公室负责解释。

第二十五条 本制度自颁布之日起实行。

上一条:河南水利与环境职业学院人员离岗管理制度 下一条:河南水利与环境职业学院计算机机房安全管理办法

关闭