信息系統(tǒng)安全檢查實施細(xì)則

1、信息系統(tǒng)安全檢查實施細(xì)則 目錄 第二章日常例行安全檢查 1 第三章全面常規(guī)安全檢查 2 第四章重大專項安全檢查 5 第五章責(zé)任追究 5 第六章 附則 錯誤!未定義書簽。 第1章日常例行安全檢查 第1條日常例行安全檢查指公司對自行維護(hù)管理以及委托其他機(jī)構(gòu)維護(hù)管理的信息系 統(tǒng)進(jìn)行安全自查。 第2條日常例行安全檢查屬于日常維護(hù)檢查的疇，根據(jù)檢查容的不同，檢查頻次為每日、 每月或每季度一次。 第3條每日例行安全檢查的容包括： （一）機(jī)房安全檢查; （二）日志審計； （三）系統(tǒng)狀態(tài)檢查; （四）防病毒服務(wù)器檢查等; （五）設(shè)備運行狀態(tài)檢查。 第4條每月例行安全檢查的容包括: （一）漏洞掃描； （二）帳號

2、安全檢查; （三）系統(tǒng)補丁檢查; （四）網(wǎng)絡(luò)安全檢查; （五）終端安全檢查； （六）安全報告審核等。 第5條每季度例行安全檢查的容包括： （一）安全基線檢查； （二）帳號安全檢查； （三）系統(tǒng)補丁檢查； （四）數(shù)據(jù)備份檢查等。 第6條各級機(jī)構(gòu)對日常例行安全檢查中發(fā)現(xiàn)的問題應(yīng)研究提出整改意見，認(rèn)真落實整 改，并在整改完成后及時進(jìn)行復(fù)查。 第2章全面常規(guī)安全檢查 第7條全面常規(guī)安全檢查要進(jìn)行全面的安全檢查和評估，涉及各級機(jī)構(gòu)所維護(hù)管理的所 有設(shè)備和系統(tǒng)，應(yīng)對系統(tǒng)安全風(fēng)險進(jìn)行全面評估，檢查存在的安全隱患和漏洞， 每次檢查完成后應(yīng)形成安全風(fēng)險評估報告。 第8條全面常規(guī)安全檢查的檢查頻次為每半年一次。檢

3、查以各級機(jī)構(gòu)自查方式為主、 XX抽查相結(jié)合的方式進(jìn)行。各級機(jī)構(gòu)按照統(tǒng)一下發(fā)的安全檢查細(xì)則，制定具體 的檢查方案并認(rèn)真組織實施，并在自查工作完成后1個月將檢查情況及時報送 XXXX。為確保安全檢查取得實效，XXXX將會同有關(guān)部門組織部署安全抽查工 作。 第9條全面常規(guī)安全檢查的容包括但不限于： （一）安全制度落實情況； （二）安全防措施落實情況； （三）應(yīng)急響應(yīng)機(jī)制建設(shè)情況； （四）信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況； （五）安全教育培訓(xùn)情況； （六）責(zé)任追究情況； （七）安全隱患排查及整改情況； （八）安全形勢、安全風(fēng)險狀況等。 第10條 安全制度落實情況重點檢查： （一）信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)

4、和管理人員的落實情況； （二）信息安全責(zé)任制和保密管理、密碼管理、等級保護(hù)、重要部門（職位）人 員管理等制度的建立和落實情況； （三）信息安全經(jīng)費保障情況。 第11條 安全防措施落實情況重點檢查： （一）身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計、責(zé)任認(rèn)定以及防篡改、防病 毒、防攻擊、防癱瘓、防泄密等技術(shù)措施的有效性; （二）計算機(jī)、移動存儲設(shè)備、電子文檔安全防護(hù)措施的落實情況。 第12條 應(yīng)急響應(yīng)機(jī)制建設(shè)情況重點檢查: （一）應(yīng)急預(yù)案制定、演練、落實情況； （二）應(yīng)急技術(shù)支援隊伍建設(shè)情況； （三）重大信息安全事故處置情況； （四）重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的備份情況。 第13條 安全教育培訓(xùn)情況重點檢查

5、： （一）工作人員參加信息安全教育培訓(xùn)、掌握信息安全常識和技能的情況； （二）重點崗位持證上崗等情況。 第14條 責(zé)任追究情況重點檢查： （一）對違反信息安全規(guī)定的行為和造成泄密事故、信息安全事故的查處情況； （二）對責(zé)任人和有關(guān)負(fù)責(zé)人的責(zé)任追究以及懲處措施落實的情況。 第15條 安全隱患排查及整改情況重點檢查： （一）對安全機(jī)制度、防措施、設(shè)備設(shè)施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情 況； （二）分析產(chǎn)生問題和隱患的原因，研究制定和落實整改措施情況。 第16條 安全形勢、安全風(fēng)險狀況重點檢查： （一）系統(tǒng)、深入分析外部安全形勢和部防措施的有效性，全面評估信息系統(tǒng)的 安全風(fēng)險狀況； （二）對于風(fēng)

6、險評估中發(fā)現(xiàn)的問題和漏洞的加固整改情況。 第17條 XXXX將及時向被抽查單位通報全面常規(guī)安全檢查過程中發(fā)現(xiàn)的問題并提出整 改意見。被抽查單位要認(rèn)真研究落實整改建議，并在3個月報告整改情況。 第3章重大專項安全檢查 第18條 重大專項安全檢查采取由各機(jī)構(gòu)開展的安全自查，以及與統(tǒng)一組織的安全抽查相 結(jié)合的方式進(jìn)行。各級機(jī)構(gòu)按照XXXX統(tǒng)一下發(fā)的安全檢查指南，制定具體的 檢查方案并認(rèn)真組織實施，并在自查工作完成后將檢查情況及時報送XXXX。為 確保安全檢查取得實效，XXXX將會同有關(guān)部門組織部署安全抽查工作。 第19條 XXXX應(yīng)及時向被抽查單位通報重大專項安全檢查過程中發(fā)現(xiàn)的問題并提出整 改意見。被抽查單位要認(rèn)真研究落實整改建議，并在3個月報告整改情況。 第4章責(zé)任追究 第20條相關(guān)部門應(yīng)把安全檢查工作列為重要工作，加強(qiáng)組織領(lǐng)導(dǎo)，明確檢查責(zé)任，落實 檢查人員和檢查經(jīng)費，保證檢查工作順利進(jìn)行。對于工作組織領(lǐng)導(dǎo)不力、有關(guān)要 求不落實的，應(yīng)予以通報批評。 第21條實施安全檢查的組織及人員要嚴(yán)格遵守檢查工作紀(jì)律，周密制定應(yīng)急預(yù)案，控制 安全風(fēng)險，加強(qiáng)保密措施，保證被檢查的信息系統(tǒng)安全正常運行。對違反信息安 全和保密管理規(guī)定造成泄密事件和信息安全事故的， 應(yīng)依法追究當(dāng)事人和有關(guān)負(fù) 責(zé)人的責(zé)