信息系统安全检查实施细则

信息系统安全检查实施细则

目录

第二章日常例行安全检查 (1)

第三章全面常规安全检查 (2)

第四章重大专项安全检查 (5)

第五章责任追究 (5)

第六章附则 ................................................................................ 错误!未定义书签。

第1章日常例行安全检查

第1条日常例行安全检查指公司对自行维护管理以及委托其他机构维护管理的信息系统进行安全自查。

第2条日常例行安全检查属于日常维护检查的畴，根据检查容的不同，检查频次为每日、每月或每季度一次。

第3条每日例行安全检查的容包括：

（一）机房安全检查；

（二）日志审计；

（三）系统状态检查；

（四）防病毒服务器检查等；

（五）设备运行状态检查。

第4条每月例行安全检查的容包括：

（一）漏洞扫描；

（二）帐号安全检查；

（三）系统补丁检查；

（四）网络安全检查；

（五）终端安全检查；

（六）安全报告审核等。

第5条每季度例行安全检查的容包括：

（一）安全基线检查；

（二）帐号安全检查；

（三）系统补丁检查；

（四）数据备份检查等。

第6条各级机构对日常例行安全检查中发现的问题应研究提出整改意见，认真落实整改，并在整改完成后及时进行复查。

第2章全面常规安全检查

第7条全面常规安全检查要进行全面的安全检查和评估，涉及各级机构所维护管理的所有设备和系统，应对系统安全风险进行全面评估，检查存在的安全隐患和漏洞，

每次检查完成后应形成安全风险评估报告。

第8条全面常规安全检查的检查频次为每半年一次。检查以各级机构自查方式为主、XX抽查相结合的方式进行。各级机构按照统一下发的安全检查细则，制定具体

的检查方案并认真组织实施，并在自查工作完成后1个月将检查情况及时报送

XXXX。为确保安全检查取得实效，XXXX将会同有关部门组织部署安全抽查工

作。

第9条全面常规安全检查的容包括但不限于：

（一）安全制度落实情况；

（二）安全防措施落实情况；

（三）应急响应机制建设情况；

（四）信息技术产品和服务国产化情况；

（五）安全教育培训情况；

（六）责任追究情况；

（七）安全隐患排查及整改情况；

（八）安全形势、安全风险状况等。

第10条安全制度落实情况重点检查：

（一）信息安全主管领导、管理机构和管理人员的落实情况；

（二）信息安全责任制和保密管理、密码管理、等级保护、重要部门（职位）人

员管理等制度的建立和落实情况；

（三）信息安全经费保障情况。

第11条安全防措施落实情况重点检查：

（一）身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病

毒、防攻击、防瘫痪、防泄密等技术措施的有效性；

（二）计算机、移动存储设备、电子文档安全防护措施的落实情况。

第12条应急响应机制建设情况重点检查：

（一）应急预案制定、演练、落实情况；

（二）应急技术支援队伍建设情况；

（三）重大信息安全事故处置情况；

（四）重要数据和业务系统的备份情况。

第13条安全教育培训情况重点检查：

（一）工作人员参加信息安全教育培训、掌握信息安全常识和技能的情况；

（二）重点岗位持证上岗等情况。

第14条责任追究情况重点检查：

（一）对违反信息安全规定的行为和造成泄密事故、信息安全事故的查处情况；

（二）对责任人和有关负责人的责任追究以及惩处措施落实的情况。

第15条安全隐患排查及整改情况重点检查：

（一）对安全机制度、防措施、设备设施等方面存在的漏洞和薄弱环节的排查情

况；

（二）分析产生问题和隐患的原因，研究制定和落实整改措施情况。

第16条安全形势、安全风险状况重点检查：

（一）系统、深入分析外部安全形势和部防措施的有效性，全面评估信息系统的

安全风险状况；

（二）对于风险评估中发现的问题和漏洞的加固整改情况。

第17条XXXX将及时向被抽查单位通报全面常规安全检查过程中发现的问题并提出整改意见。被抽查单位要认真研究落实整改建议，并在3个月报告整改情况。

第3章重大专项安全检查

第18条重大专项安全检查采取由各机构开展的安全自查，以及与统一组织的安全抽查相结合的方式进行。各级机构按照XXXX统一下发的安全检查指南，制定具体的

检查方案并认真组织实施，并在自查工作完成后将检查情况及时报送XXXX。为

确保安全检查取得实效，XXXX将会同有关部门组织部署安全抽查工作。

第19条XXXX应及时向被抽查单位通报重大专项安全检查过程中发现的问题并提出整改意见。被抽查单位要认真研究落实整改建议，并在3个月报告整改情况。

第4章责任追究

第20条相关部门应把安全检查工作列为重要工作，加强组织领导，明确检查责任，落实检查人员和检查经费，保证检查工作顺利进行。对于工作组织领导不力、有关要

求不落实的，应予以通报批评。

第21条实施安全检查的组织及人员要严格遵守检查工作纪律，周密制定应急预案，控制安全风险，加强保密措施，保证被检查的信息系统安全正常运行。对违反信息安

全和保密管理规定造成泄密事件和信息安全事故的，应依法追究当事人和有关负

责人的责任。

第22条建立信息安全检查工作责任制。信息安全管理小组组长、安全主管和各专业安全管理员作为信息安全检查或抽查工作检查责任人，必须对检查结果负责，未能及

时发现问题或漏洞导致安全事故的，要承担相应的责任。