信息系统安全检查实施细则

1、信息系统安全检查实施细则目录第二章日常例行安全检查 1第三章全面常规安全检查 2第四章重大专项安全检查 5第五章责任追究 5第六章 附 则 错 误 !未定义书签。第 1 章日常例行安全检查第1条 日常例行安全检查指公司对自行维护管理以及委托其他机构维护管理的信息系 统进行安全自查。第2条 日常例行安全检查属于日常维护检查的范畴， 根据检查内容的不同， 检查频次为 每日、每月或每季度一次。第3条 每日例行安全检查的内容包括：（一）机房安全检查；（二）日志审计；（三）系统状态检查；（四）防病毒服务器检查等；（五）设备运行状态检查。第4条 每月例行安全检查的内容包括：（一）漏洞扫描；（二）帐号安全检

2、查；（三）系统补丁检查；（四）网络安全检查；（五）终端安全检查；（六）安全报告审核等。第5条 每季度例行安全检查的内容包括：（一）安全基线检查；（二）帐号安全检查；（三）系统补丁检查；（四）数据备份检查等。第6条 各级机构对日常例行安全检查中发现的问题应研究提出整改意见，认真落实整改，并在整改完成后及时进行复查。第 2 章全面常规安全检查第7条 全面常规安全检查要进行全面的安全检查和评估， 涉及各级机构所维护管理的所 有设备和系统，应对系统安全风险进行全面评估，检查存在的安全隐患和漏洞， 每次检查完成后应形成安全风险评估报告。第8条 全面常规安全检查的检查频次为每半年一次。检查以各级机构自查方

3、式为主、XX 抽查相结合的方式进行。各级机构按照统一下发的安全检查细则，制定具体 的检查方案并认真组织实施，并在自查工作完成后 1 个月内将检查情况及时报 送 XXXX 。为确保安全检查取得实效， XXXX 将会同有关部门组织部署安全抽查 工作。第9条 全面常规安全检查的内容包括但不限于：（一）安全制度落实情况；（二）安全防范措施落实情况；（三）应急响应机制建设情况；（四）信息技术产品和服务国产化情况；（五）安全教育培训情况；（六）责任追究情况；（七）安全隐患排查及整改情况；（八）安全形势、安全风险状况等。第10 条 安全制度落实情况重点检查：（一）信息安全主管领导、管理机构和管理人员的落实情

4、况；（二）信息安全责任制和保密管理、密码管理、等级保护、重要部门（职位）人员管理等制度的建立和落实情况；（三）信息安全经费保障情况。第11 条 安全防范措施落实情况重点检查：（一）身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性；（二）计算机、移动存储设备、电子文档安全防护措施的落实情况。第12 条 应急响应机制建设情况重点检查：（一）应急预案制定、演练、落实情况；（二）应急技术支援队伍建设情况；（三）重大信息安全事故处置情况；（四）重要数据和业务系统的备份情况。第13 条 安全教育培训情况重点检查：（一）工作人员参加信息安全教育培训

5、、掌握信息安全常识和技能的情况；（二）重点岗位持证上岗等情况。第14 条 责任追究情况重点检查：（一）对违反信息安全规定的行为和造成泄密事故、信息安全事故的查处情况；（二）对责任人和有关负责人的责任追究以及惩处措施落实的情况。第15 条 安全隐患排查及整改情况重点检查：（一） 对安全机制度、 防范措施、 设备设施等方面存在的漏洞和薄弱环节的排查情况；（二）分析产生问题和隐患的原因，研究制定和落实整改措施情况。第16 条 安全形势、安全风险状况重点检查：（一） 系统、深入分析外部安全形势和内部防范措施的有效性， 全面评估信息系 统的安全风险状况；（二）对于风险评估中发现的问题和漏洞的加固整改情况

6、。第17 条 XXXX 将及时向被抽查单位通报全面常规安全检查过程中发现的问题并提出整 改意见。被抽查单位要认真研究落实整改建议，并在 3 个月内报告整改情况。第 3 章重大专项安全检查第18 条 重大专项安全检查采取由各机构开展的安全自查， 以及与统一组织的安全抽查相 结合的方式进行。各级机构按照 XXXX 统一下发的安全检查指南，制定具体的 检查方案并认真组织实施， 并在自查工作完成后将检查情况及时报送 XXXX 。为 确保安全检查取得实效， XXXX 将会同有关部门组织部署安全抽查工作。第19 条 XXXX 应及时向被抽查单位通报重大专项安全检查过程中发现的问题并提出整 改意见。被抽查单位要认真研究落实整改建议，并在 3 个月内报告整改情况。第4 章责任追究第20 条 相关部门应把安全检查工作列为重要工作， 加强组织领导， 明确检查责任， 落实 检查人员和检查经费， 保证检查工作顺利进行。 对于工作组织领导不力、 有关要 求不落实的，应予以通报批评。第21 条 实施安全检查的组织及人员要严格遵守检查工作纪律， 周密制定应急预案， 控制 安全风险， 加强保密措施， 保证被检查的信息系统安全正常运行。 对违反信息安 全和保密管理规定造成泄密事件和信息安全事故的， 应依法追究当事人和有关负 责人的责任。第22条 建立信息安全检查工作责任