河南水利与环境职业学院安全审核及安全检查管理

第一章 总　则

第一条 为加强信息系统安全检查及审核工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，结合办公室实际情况，特制定本办法。

第二章 管理细则

第一节 日常运维检查

第二条 信息化管理办公室人员每周对机房环境及设备进行巡检，制定检查表进行检查，侧重检查各设备安全配置情况，安全状态等，如CPU使用率、内存使用率、日志情况、恶意代码软件情况、安全配置等内容（具体检查内容见检查表）。

第三条 每周出具巡检周报，对一周巡检情况、处理异常情况等进行总结。

第四条 每月出具安全运维月报，总结当月检查发现的安全问题，对于发现的安全问题做出的处理，以及未处理仍需解决的问题等。

第五条 安全运维月报中应包括安全通告内容，收集各安全厂商发布的安全公告、漏洞补丁等内容，以便相关人员根据公司情况进行处理。

第二节 漏洞扫描

第六条 应指定漏洞扫描人员，负责信息系统漏洞扫描各项工作。

第七条 应至少每季度进行一次信息系统漏洞扫描。

第八条 漏洞扫描工作应根据实际情况经过相关负责人授权批准后进行，严禁对未经授权的信息系统进行漏洞扫描。

第九条 漏洞扫描方案中应说明扫描范围、时间、所采取的风险规避措施等内容。

第十条 对已投入运行的信息系统进行漏洞扫描时，应合理选择时间、审慎选择扫描策略，在不影响业务的前提下进行。

第十一条 漏洞扫描过程中如出现被扫描系统异常情况时，应当立即停止扫描工作，待正确恢复系统，采取必要的预防措施之后，才可以继续进行。

第十二条 在漏洞扫描过程中应对被扫描设备的运行情况进行监控。漏洞扫描完成后，应确认被扫描设备的系统和应用是否正常，发现问题及时解决。

第十三条 漏洞扫描结束后，漏洞扫描人员应通过漏洞扫描系统生成详细的漏洞扫描报告，及时反馈相关负责人。

第十四条 相关负责人应根据漏洞扫描报告，对安全漏洞及时进行修补。

第十五条 漏洞修补措施包括安装补丁、升级、修改配置或网络层访问控制等降低漏洞风险的操作。修补安全漏洞前，应认真分析漏洞扫描报告，做好测试及数据备份工作，避免盲目操作。

第十六条 漏洞扫描人员对修补漏洞中遇到的问题提供技术支持；漏洞扫描人员无法解决的问题，应及时向主管领导汇报寻求解决办法。

第三节 风险评估

第十七条 应根据工作需要进行风险评估工作，开展风险评估工作前应明确安全风险评估要点及实施方案，并报主管领导批准。

第十八条 应制定安全风险评估计划及评估方案，了解评估可能造成的影响及规避措施，按照安全风险评估计划实施安全风险评估工作。

第十九条 当重要系统入网、现有网络进行大规模调整时，应根据实际情况启动专项评估工作。

第二十条 风险评估工作结束后，相关负责人应向主管领导提交安全风险评估报告，及时上报风险评估发现的重大问题和可能的全网共性问题。

第二十一条 所有参与安全风险评估人员应严格遵守保密管理规定，不得泄露任何接触到的敏感信息。

第二十二条 如委托第三方单位进行风险评估和漏洞扫描工作，应选择具有一定资质的专业机构，并在签订的协议中，明确保密要求，保障公司利益，按照公司相关管理规定加强管理，避免安全风险。

第二十三条 所有的检查需对检查结果进行记录，并出具相应的检查报告。

第三章 附则

第二十四条 本制度由信息化管理办公室负责解释。

第二十五条 本制度自颁布之日起实行。