安全審核和安全檢查管理辦法

平安審核和平安檢查管理方法總那么為加強(qiáng)好收益〔北京〕金融信息效勞〔以下簡稱“公司〞〕平安審核和平安檢查管理，標(biāo)準(zhǔn)審核和檢查工作，特制訂本方法。本方法適用于公司。管理要求內(nèi)部或外部相關(guān)的平安審核和平安檢查工作應(yīng)根據(jù)相關(guān)方法，并結(jié)合業(yè)務(wù)實(shí)際需求進(jìn)行。信息平安領(lǐng)導(dǎo)小組應(yīng)監(jiān)督、指導(dǎo)平安審核和平安檢查工作，催促執(zhí)行。相關(guān)部門和人員應(yīng)積極主動(dòng)配合平安審核和檢查工作，對(duì)發(fā)現(xiàn)的問題應(yīng)及時(shí)改良。工作內(nèi)容各部門信息平安員應(yīng)定期〔每月〕針對(duì)本部門信息平安相關(guān)工作進(jìn)行平安檢查，并報(bào)信息平安工作組審核檢查結(jié)果，并根據(jù)信息平安工作組提出的平安建議進(jìn)行改良。平安管理員應(yīng)定期〔每季度〕組織進(jìn)行平安檢查，各部門信息平安員應(yīng)配合完成。平安審計(jì)員應(yīng)定期〔每季度〕進(jìn)行平安審查，各部門信息平安員和中心平安管理員應(yīng)配合完成。信息平安工作組應(yīng)制定平安檢查表格，配合信息平安領(lǐng)導(dǎo)小組實(shí)施平安檢查，記錄匯總平安檢查數(shù)據(jù)，形成平安檢查報(bào)告，并對(duì)平安檢查結(jié)果進(jìn)行通報(bào)。信息平安領(lǐng)導(dǎo)小組定期〔每年〕進(jìn)行全面的信息平安檢查，其內(nèi)容包括現(xiàn)有平安技術(shù)措施的有效性、平安配置與平安策略的一致性、平安管理制度的執(zhí)行情況等。所有信息平安審核和平安檢查工作都應(yīng)記錄并存檔。附那么本方法由公司信息平安工作組制定，并負(fù)責(zé)解釋和修訂。本方法自發(fā)布之日起執(zhí)行。附件1：公司【好收益網(wǎng)貸平臺(tái)】平安檢查記錄表〔部門信息平安員〕檢查工程標(biāo)準(zhǔn)日期12345678910111213………………系統(tǒng)版本軟件更新系統(tǒng)的軟件更新和補(bǔ)丁安裝是否正常平安漏洞平安漏洞是否都已修復(fù)賬號(hào)平安賬號(hào)變更賬號(hào)增加刪除等變更是否正常賬號(hào)權(quán)限賬號(hào)的權(quán)限分配是否正常密碼強(qiáng)度賬號(hào)密碼是否符合復(fù)雜度要求運(yùn)行平安運(yùn)行狀態(tài)軟件運(yùn)行狀態(tài)是否正常平安日志報(bào)警日志是否所有報(bào)警日志均已分析處理日志審計(jì)所有記錄的日志是否正常系統(tǒng)備份軟件備份系統(tǒng)軟件備份是否正常數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份是否正常檢查人員確認(rèn)異常處理記錄序號(hào)故障現(xiàn)象處理方法處理效果處理人簽名日期1234注：檢查結(jié)果為否的內(nèi)容，需要填寫異常處理記錄附件2：公司根底設(shè)施平安檢查記錄表〔部門信息平安員〕檢查工程標(biāo)準(zhǔn)日期12345678910111213………………防病毒軟件檢查版本檢查是否是最新版本病毒檢查是否有病毒在活動(dòng)處室無線路由器檢查接入檢查無線路由接入是否經(jīng)授權(quán)密碼設(shè)置檢查無線路由是否設(shè)置密碼密碼復(fù)雜程度是否合規(guī)網(wǎng)絡(luò)環(huán)境檢查網(wǎng)絡(luò)連接網(wǎng)絡(luò)線路是否連接正常網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)帶寬是否正常備份鏈路備份鏈路是否正常防火墻防火墻工作是否正常路由器路由器是否正常三層交換機(jī)三層交換機(jī)是否正常網(wǎng)絡(luò)設(shè)備日志網(wǎng)絡(luò)設(shè)備日志是否正常效勞器環(huán)境檢查效勞器運(yùn)行狀態(tài)是否正常操作系統(tǒng)用戶管理是否正常操作系統(tǒng)日志是否正常操作系統(tǒng)補(bǔ)丁更新是否正常備份系統(tǒng)檢查備份系統(tǒng)狀態(tài)是否正常備份介質(zhì)狀態(tài)是否正常備份和恢復(fù)程序是否正常檢查人員確認(rèn)異常處理記錄序號(hào)故障現(xiàn)象處理方法處理效果處理人簽名日期12345注：檢查結(jié)果為否的內(nèi)容，需要填寫異常處理記錄附件3：公司【好收益網(wǎng)貸平臺(tái)】季度平安檢查〔平安管理員〕檢查工程檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查賬號(hào)管理應(yīng)用系統(tǒng)是否有多余、無用、異常賬號(hào)等情況查詢記錄

現(xiàn)場(chǎng)檢查應(yīng)用系統(tǒng)是否有賬號(hào)權(quán)限不合理現(xiàn)象應(yīng)用系統(tǒng)是否有密碼設(shè)置不合理現(xiàn)象登錄控制應(yīng)用系統(tǒng)是否未限制失敗登錄次數(shù)應(yīng)用系統(tǒng)是否未對(duì)屢次登錄失敗采取措施處理通信平安應(yīng)用系統(tǒng)是否未對(duì)關(guān)鍵通信采取加密等手段審計(jì)平安應(yīng)用系統(tǒng)是否未啟用平安審計(jì)功能應(yīng)用系統(tǒng)是否未對(duì)審計(jì)日志妥善保存資源控制應(yīng)用系統(tǒng)是否未進(jìn)行資源控制配置檢查人檢查日期異常處理記錄序號(hào)問題描述處理方法處理結(jié)果12注：檢查結(jié)果為是的內(nèi)容，需要填寫異常處理記錄附件4：公司根底設(shè)施季度平安檢查表〔平安管理員〕檢查工程檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查平安設(shè)備運(yùn)行情況平安設(shè)備CPU、內(nèi)存、硬盤等是否出現(xiàn)過異常查詢?nèi)罩酒桨苍O(shè)備網(wǎng)絡(luò)連接平安設(shè)備的網(wǎng)絡(luò)接口是否出現(xiàn)過異常查詢?nèi)罩酒桨苍O(shè)備的網(wǎng)絡(luò)連接是否出現(xiàn)過中斷查詢?nèi)罩酒桨苍O(shè)備策略配置平安設(shè)備的策略、配置是否有不合理內(nèi)容檢查策略平安設(shè)備的策略變更是否有不標(biāo)準(zhǔn)操作查詢記錄平安設(shè)備的軟件配置變更是否有不標(biāo)準(zhǔn)操作查詢記錄平安日志分析平安設(shè)備的告警日志是否有未處理內(nèi)容查詢?nèi)罩?/p>

查詢記錄平安設(shè)備的用戶操作是否有違規(guī)行為查詢?nèi)罩緳z查人檢查日期異常處理記錄序號(hào)問題描述處理方法處理結(jié)果1234注：檢查結(jié)果為是的內(nèi)容，需要填寫異常處理記錄附件5：公司【好收益網(wǎng)貸平臺(tái)】季度平安檢查〔平安審計(jì)員〕檢查工程檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查平安策略落實(shí)情況身份認(rèn)證平安策略是否有未落實(shí)內(nèi)容查詢記錄

現(xiàn)場(chǎng)檢查訪問控制平安策略是否有未落實(shí)內(nèi)容通信平安策略是否有未落實(shí)內(nèi)容審計(jì)平安策略是否有未落實(shí)內(nèi)容用戶平安審計(jì)應(yīng)用系統(tǒng)中是否有未授權(quán)用戶出現(xiàn)查詢?nèi)罩?/p>

查詢記錄應(yīng)用系統(tǒng)中是否有用戶權(quán)限不合理現(xiàn)象應(yīng)用系統(tǒng)中是否有用戶違規(guī)操作行為應(yīng)用系統(tǒng)中用戶認(rèn)證設(shè)置是否有不合理內(nèi)容現(xiàn)場(chǎng)檢查應(yīng)用系統(tǒng)中用戶權(quán)限設(shè)置是否有不合理內(nèi)容檢查人檢查日期異常處理記錄序號(hào)問題描述處理方法處理結(jié)果1234注：檢查結(jié)果為是的內(nèi)容，需要填寫異常處理記錄附件6：公司根底設(shè)施季度平安檢查〔平安審計(jì)員〕檢查工程檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查平安策略落實(shí)情況身份認(rèn)證平安策略是否有未落實(shí)內(nèi)容查詢記錄

現(xiàn)場(chǎng)檢查訪問控制平安策略是否有未落實(shí)內(nèi)容通信平安策略是否有未落實(shí)內(nèi)容審計(jì)平安策略是否有未落實(shí)內(nèi)容用戶平安審計(jì)應(yīng)用系統(tǒng)中是否有未授權(quán)用戶出現(xiàn)查詢?nèi)罩?/p>

查詢記錄應(yīng)用系統(tǒng)中是否有用戶權(quán)限不合理現(xiàn)象應(yīng)用系統(tǒng)中是否有用戶違