信息系统安全检查与审计管理制度

第一章总则

第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定，遵从管理部门如公安机关的安全要求，确保信息系统信息安全管理符合互联网借贷信息安全管理要求，特制订本制度。

第二条本规定适用于（）部。

第二章xx

第三条安全检查包括技术部的自查和信息安全工作小组定期执行的安全检查。

第四条技术部的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况。自查应至少一个季度组织一次。

第五条技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。

第六条自查和安全检查均应在检查之前形成检查表。

第七条应严格按照检查表实施检查，检查完毕，记录下所有检查结果。

第八条应制定措施防止安全检查结果的非授权散布，只对经过授权的人员通报安全检查结果。

第九条系统建设和运维人员应阅读并理解安全检查报告，在信息安全工作小组的指导下对出现的问题进行整改。

第十条信息安全工作小组应对整改过程进行监督，并将整改结果报送信息安全领导小组。

第三章安全审计

第十一条安全审计作为整体审计工作的一个部份，依据审计工作相关管理办法开展安全审计工作。

第十二条安全审计人员的配备应根据实际情况，采用如下方法的一种，原则上应以审计小组培养自身独立的安全审计人员为主，其他手段为辅：

1、由（）部审计小组独立完成，应使用具备相应技能的人员完成审计工作；

2、由（）部完成，（）部应指派熟悉技术的人员配合安全部完成审计工作。

3、聘请外部专业安全审计单位完成审计工作。

第十三条安全审计的内容主要包括：

1、相关法律法规的符合情况；

2、管理部门的相关管理要求的符合情况；

3、现有安全技术措施的有效性；

4、安全配置与安全策略的一致性；

5、安全管理制度的执行情况；

6、安全检查和自查的检查结果及检查报告；

7、xx信息是否完整记录；

8、各类重要记录是否免受损失、破坏或伪造篡改；

9、检查系统是否存在漏洞；

10、检查数据是否具备安全保障措施。

第十四条安全审计工作应具有独立性，避免有舞弊的情况发生。

第十五条安全审计的方式分为：

1、全面审计：即审计内容覆盖信息系统安全管理范围内的所有方面，以及所有信息安全控制措施要求的检查。

2、专项审计：即审计内容只涉及部分方面，或部分信息安全控制措施要求的检查。

第十六条无论是采用全面审计还是专项审计方式，安全审计应每一年对所有的方面，以及所有的信息安全控制措施要求至少进行过一次审计。

第十七条被审计方应积极配合信息安全审计工作，应对审计结果进行确认。

第十八条安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。审计小组应将改进过程和结果通告给技术研发部。

第四章附则

第十九条本制度的xx归（）部。