動態(tài)安全檢查管理制度

動態(tài)安全檢查管理制度1.編制目的為了保障公司信息化系統(tǒng)安全，健全公司安全保障體系，明確安全管理職責(zé)，規(guī)范安全檢查管理程序，提高安全管理效率，特制定此動態(tài)安全檢查管理制度。2.適用范圍本制度適用于公司內(nèi)部所有部門和系統(tǒng)，包括但不限于網(wǎng)絡(luò)安全、物理安全、應(yīng)用系統(tǒng)安全等方面的安全檢查管理工作。3.管理要求3.1安全檢查制度3.1.1安全檢查周期根據(jù)系統(tǒng)的風(fēng)險等級和重要性確定安全檢查周期，建議不超過一個季度。對于重要系統(tǒng)，安全檢查周期不得超過一個月。3.1.2安全檢查對象所有系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)設(shè)備都需要進(jìn)行安全檢查，并向主管部門進(jìn)行報告。3.1.3安全檢查內(nèi)容安全檢查內(nèi)容包括但不限于以下幾個方面：確認(rèn)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)設(shè)備是否得到及時的及可靠的安全保障措施；確認(rèn)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)設(shè)備的漏洞、弱點是否得到及時的修補(bǔ)；確認(rèn)所有線上線下系統(tǒng)是否得到及時的巡檢；確認(rèn)安全設(shè)備是否正常運(yùn)作，是否產(chǎn)生告警。3.2安全檢查報告3.2.1報告的要求報告需詳實，包括安全檢查范圍、安全檢查時間、安全檢查對象、問題點及建議等；報告內(nèi)容必須規(guī)范化，必須符合公司的安全報告模板要求；報告中提到的問題需要給出合理的解決方案并注明落實人及時間。3.2.2發(fā)布的對象運(yùn)維部門需要將安全檢查報告發(fā)布到公司內(nèi)網(wǎng)IT安全管理中心；部門主管需要接收到運(yùn)維部門發(fā)布的安全檢查報告，對報告中指出的問題進(jìn)行整改和落實；領(lǐng)導(dǎo)層要對公司IT部門的安全態(tài)勢有充分了解，運(yùn)維部門需要定期向領(lǐng)導(dǎo)層匯報系統(tǒng)安全檢查的情況。4.安全檢查流程本文檔主要涉及到的流程如下：4.1安全檢查流程圖以下是公司安全檢查的流程圖，每個流程階段都有對應(yīng)的執(zhí)行人。st=>start:開始

e=>end:結(jié)束

op1=>operation:確認(rèn)檢查對象

op2=>operation:進(jìn)行安全檢查

op3=>operation:形成安全檢查報告

op4=>operation:整改安全問題

op5=>operation:檢查整改成果

op6=>operation:安全檢查匯報

st->op1->op2->op3->op4->op5->op6->e4.2具體流程說明運(yùn)維部門要先確認(rèn)需要進(jìn)行安全檢查的對象，進(jìn)行準(zhǔn)備工作，同時向領(lǐng)導(dǎo)層匯報計劃。進(jìn)行安全檢查。包括漏洞掃描、端口掃描、web應(yīng)用漏洞測試等。形成安全檢查報告。報告中需記錄安全檢查范圍、安全檢查事件、安全檢查對象、問題點及建議等。整改安全問題。每一條安全問題都需指派專人進(jìn)行整改，同時規(guī)定整改時間。檢查整改成果。分析問題原因，發(fā)現(xiàn)問題根源，并及時跟進(jìn)整改情況。安全檢查匯報。運(yùn)維部門需向領(lǐng)導(dǎo)層上報安全檢查情況，反饋上次檢查中存在的問題是否得到解決，提出下一步安全實施措施，和未來安全計劃等。5.安全檢查的意義良好的安全檢查管理制度，對于保障公司信息系統(tǒng)的穩(wěn)定運(yùn)行，防范未知安全風(fēng)險等方面，具有重要的意義：明確每個部門、人員的安全管理職責(zé)，增強(qiáng)企業(yè)安全意識和責(zé)任感；確保公司業(yè)務(wù)系統(tǒng)的完整性、可用性和保密性，規(guī)避安全風(fēng)險；規(guī)范信息化安全管理的程序和方式，增強(qiáng)公司安全管理的科學(xué)性；確保公司的信息資產(chǎn)安全，提升公司的品牌和聲譽(yù)。6.補(bǔ)充說明本制度實施后，運(yùn)維部門應(yīng)當(dāng)定期對安全檢查管理制度的執(zhí)行狀況