信息系統(tǒng)安全檢查實(shí)施細(xì)則

1、信息系統(tǒng)安全檢查實(shí)施細(xì)則第二早第三章第四章第五章第八早目錄日常例行安全檢查全面常規(guī)安全檢查重大專項(xiàng)安全檢查責(zé)任追究附則第 1章 日常例行安全檢查第1條日常例行安全檢查指公司對(duì)自行維護(hù)管理以及委托其他機(jī)構(gòu)維護(hù)管理的信息系統(tǒng)進(jìn)行安全自查。第 2 條日常例行安全檢查屬于日常維護(hù)檢查的范疇，根據(jù)檢查內(nèi)容的不同，檢查頻次為每日、每月或每季度一次。第 3 條每日例行安全檢查的內(nèi)容包括：（一）機(jī)房安全檢查；（二）日志審計(jì)；（三）系統(tǒng)狀態(tài)檢查；（四）防病毒服務(wù)器檢查等；（五）設(shè)備運(yùn)行狀態(tài)檢查。第 4 條每月例行安全檢查的內(nèi)容包括：（一）漏洞掃描；（二）帳號(hào)安全檢查；（三）系統(tǒng)補(bǔ)丁檢查；（四）網(wǎng)絡(luò)安全檢查；（五

2、）終端安全檢查；（六）安全報(bào)告審核等。第 5 條每季度例行安全檢查的內(nèi)容包括：一）安全基線檢查；二）帳號(hào)安全檢查；（三）系統(tǒng)補(bǔ)丁檢查；（四）數(shù)據(jù)備份檢查等。第 6 條各級(jí)機(jī)構(gòu)對(duì)日常例行安全檢查中發(fā)現(xiàn)的問題應(yīng)研究提出整改意見，認(rèn)真落實(shí)整改，并在整改完成后及時(shí)進(jìn)行復(fù)查。第 2章全面常規(guī)安全檢查第7條全面常規(guī)安全檢查要進(jìn)行全面的安全檢查和評(píng)估，涉及各級(jí)機(jī)構(gòu)所維護(hù)管理的所有設(shè)備和系統(tǒng)，應(yīng)對(duì)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行全面評(píng)估，檢查存在的安全隱患和漏洞，每次 檢查完成后應(yīng)形成安全風(fēng)險(xiǎn)評(píng)估報(bào)告。第 8 條全面常規(guī)安全檢查的檢查頻次為每半年一次。檢查以各級(jí)機(jī)構(gòu)自查方式為主、 XX 抽查相結(jié)合的方式進(jìn)行。各級(jí)機(jī)構(gòu)按照統(tǒng)一

3、下發(fā)的安全檢查細(xì)則，制定具體的檢查方案并認(rèn)真組織實(shí)施，并在自查工作完成后1個(gè)月內(nèi)將檢查情況及時(shí)報(bào)送XXXX為確保安全檢查取得實(shí)效，XXXX將會(huì)同有關(guān)部門組織部署安全抽查工作。第9條全面常規(guī)安全檢查的內(nèi)容包括但不限于：（一）安全制度落實(shí)情況；（二）安全防范措施落實(shí)情況；（三）應(yīng)急響應(yīng)機(jī)制建設(shè)情況；（四）信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況；（五）安全教育培訓(xùn)情況；（六）責(zé)任追究情況；七）安全隱患排查及整改情況；八）安全形勢(shì)、安全風(fēng)險(xiǎn)狀況等。第10 條 安全制度落實(shí)情況重點(diǎn)檢查：（一）信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)和管理人員的落實(shí)情況；（二）信息安全責(zé)任制和保密管理、密碼管理、等級(jí)保護(hù)、重要部門（職位）人員管

4、理等制度的建立和落實(shí)情況；（三）信息安全經(jīng)費(fèi)保障情況。第11 條 安全防范措施落實(shí)情況重點(diǎn)檢查：（一）身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計(jì)、責(zé)任認(rèn)定以及防篡改、防病毒、防攻擊、防癱瘓、防泄密等技術(shù)措施的有效性；（二）計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備、電子文檔安全防護(hù)措施的落實(shí)情況。第12 條 應(yīng)急響應(yīng)機(jī)制建設(shè)情況重點(diǎn)檢查：（一）應(yīng)急預(yù)案制定、演練、落實(shí)情況；（二）應(yīng)急技術(shù)支援隊(duì)伍建設(shè)情況；（三）重大信息安全事故處置情況；（四）重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的備份情況。第13 條 安全教育培訓(xùn)情況重點(diǎn)檢查：（一）工作人員參加信息安全教育培訓(xùn)、掌握信息安全常識(shí)和技能的情況；（二）重點(diǎn)崗位持證上崗等情況。第14 條 責(zé)任

5、追究情況重點(diǎn)檢查：二）（一）對(duì)違反信息安全規(guī)定的行為和造成泄密事故、 信息安全事故的查處情況； 對(duì)責(zé)任人和有關(guān)負(fù)責(zé)人的責(zé)任追究以及懲處措施落實(shí)的情況。第15 條 安全隱患排查及整改情況重點(diǎn)檢查：（一）對(duì)安全機(jī)制度、防范措施、設(shè)備設(shè)施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情 況；（二）分析產(chǎn)生問題和隱患的原因，研究制定和落實(shí)整改措施情況。第16 條 安全形勢(shì)、安全風(fēng)險(xiǎn)狀況重點(diǎn)檢查：（一）系統(tǒng)、深入分析外部安全形勢(shì)和內(nèi)部防范措施的有效性，全面評(píng)估信息系統(tǒng) 的安全風(fēng)險(xiǎn)狀況；（二）對(duì)于風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的問題和漏洞的加固整改情況。第17條 XXXX 將及時(shí)向被抽查單位通報(bào)全面常規(guī)安全檢查過程中發(fā)現(xiàn)的問題并提出整

6、改意 見。被抽查單位要認(rèn)真研究落實(shí)整改建議，并在 3 個(gè)月內(nèi)報(bào)告整改情況。第 3章重大專項(xiàng)安全檢查第18 條 重大專項(xiàng)安全檢查采取由各機(jī)構(gòu)開展的安全自查，以及與統(tǒng)一組織的安全抽查相結(jié)合的方式進(jìn)行。各級(jí)機(jī)構(gòu)按照XXXX統(tǒng)一下發(fā)的安全檢查指南，制定具體的檢查方案并認(rèn)真組織實(shí)施，并在自查工作完成后將檢查情況及時(shí)報(bào)送XXXX為確保安全檢查取得實(shí)效，XXXX將會(huì)同有關(guān)部門組織部署安全抽查工作。第19條 XXXX 應(yīng)及時(shí)向被抽查單位通報(bào)重大專項(xiàng)安全檢查過程中發(fā)現(xiàn)的問題并提出整改意 見。被抽查單位要認(rèn)真研究落實(shí)整改建議，并在 3 個(gè)月內(nèi)報(bào)告整改情況。第4章 責(zé)任追究第20條 相關(guān)部門應(yīng)把安全檢查工作列為重要工作，加強(qiáng)組織領(lǐng)導(dǎo)，明確檢查責(zé)任，落實(shí)檢 查人員和檢查經(jīng)費(fèi)，保證檢查工作順利進(jìn)行。對(duì)于工作組織領(lǐng)導(dǎo)不力、有關(guān)要求不 落實(shí)的，應(yīng)予以通報(bào)批評(píng)。第21條 實(shí)施安全檢查的組織及人員要嚴(yán)格遵守檢查工作紀(jì)律，周密制定應(yīng)急預(yù)案，控制安 全風(fēng)險(xiǎn)，加強(qiáng)保密措施，保證被檢查的信息系統(tǒng)安全正常運(yùn)行。對(duì)違反信息安全和 保密管理規(guī)定造成泄密事件和信息安全事故的，應(yīng)依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的 責(zé)任