安全检查与考核管理制度V02019年12月16日修订

1、安全检查与考核管理制度（V2.0，2019年12月16日修订）第一章 总则第一条 为加强北京工商大学网络安全检查管理，实现检查工作的规范化，根据中华人民共和国网络安全法政府信息系统安全检查办法（国办发200928 号）北京工商大学网络及信息安全管理办法等要求，特制订本制度。第二条 北京工商大学网络安全检查与考核工作坚持统一管理，实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，加强对信息系统安全工作监督和检查的管理，落实网络安全检查与考核工作责任，实现对北京工商大学信息安全检查与评估工作的科学化和规范化管理。第三条 本规定适用于北京工商大学的网络和信息安全检查与考核。第二章 检查内容第四

2、条 北京工商大学网络安全与信息化领导小组部署网络安全检查工作，负责网络信息安全检查的发起和组织。第五条 按照检查组织方式分类，可将网络安全检查分为自查和上级检查两种。第六条 学校每年不定期开展网络安全自查工作。第七条 在网络安全自查或上级检查过程中，如需聘请外部专家，应报北京工商大学网络安全与信息化领导小组核实。第八条 承担网络安全检查工作的外部专家必须具备国家相关机构颁发的资质证明，具备相应的技术实力，同时必须签订网络安全承诺书。第九条 网络安全检查内容包括网络安全管理情况和技术防护情况。第十条 网络安全管理检查内容包括：(一) 网络安全管理组织机构的建设情况；(二) 网络安全管理岗位职责设

3、置及人员配置情况；(三) 网络安全管理制度的制定和执行情况；(四) 数据管理和网络安全应急管理情况；(五) 网络安全教育培训情况；(六) 网络安全专项保障任务落实情况；(七) 其他需要检查的内容。第十一条 网络安全技术防护检查内容包括：(一) 信息系统内采取的主要安全防护措施；(二) 重要设备、网络、应用、数据的备份情况检查；(三) 网络安全事件处置情况检查；(四) 网络安全配置与安全策略的一致性；(五) 计算机终端设备安全情况；(六) 网络、信息系统和机房环境安全情况；(八) 其他需要检查的内容。第三章 检查准备第十二条 检查准备主要包括：确定检查对象、组建检查队伍、制定检查方案、拟定检查内

4、容指标（或执行手册）、准备检查工具和培训检查组成员等。第十三条 北京工商大学网络安全与信息化领导小组负责组建临时网络安全检查组，检查组成员应为具有相应专业背景的学校骨干。在网络安全检查之前，应确定检查的相关数据表格及报告格式。第十四条 检查工作应避免对被检查部门正常工作造成较大影响，被检查机构人员应积极配合检查工作。第十五条 北京工商大学网络安全与信息化领导小组根据检查结果对学校网络安全形势进行评估。第四章 检查执行与现场评估第十六条 网络安全检查实施过程主要包括：任务部署、人员与设备进场、启动会议、人员访谈、资料调阅、现场查验、检查文档填报、现场问题反馈、问题确认等环节，根据检查需要可适当调

5、整。第十七条 检查组进场后，应与被检查机构相关人员共同召开网络安全检查启动会。检查组宣布检查具体要求，被检查部门汇报检查准备情况，双方共同商讨检查工作的协调配合事宜。第十八条 被检查部门人员接受检查询问时应如实陈述，按要求提交被调阅的资料，并安排专人陪同检查组进行现场查看。第十九条 检查组人员在使用工具软件进行检查时，应以确保生产系统稳定运行为前提，并遵循以下原则： (一) 使用工具软件检查前，被检查部门应做好相关信息系统的数据备份和应急准备工作；(二) 对于可能对生产系统造成重大影响的工具软件，检查时应在测试环境系统上进行；(三) 合理选择使用工具软件检查时段，避免在被检查对象服务时段或高峰

6、时段进行检查。第二十条 在对已上线运行的系统进行现场检查时，不应采用拒绝服务攻击类检测。如进行渗透性检测等，应确保不在系统中遗留任何检测代码，并恢复原有系统配置。第二十一条 检查组在检查中发现问题后，应详细记录下来，并注明参考依据。第五章 检查总结第二十二条 检查结束后，检查组应编写检查意见书，召开会议，向被检查部门相关人员反馈检查中发现的问题及参考依据，同时向被检查部门提出整改建议及要求。双方达成一致意见后，检查组组长和被检查部门负责人应在检查意见书上签字确认。第二十三条 检查组应汇总检查相关数据及表格、分析检查结果并编写网络安全检查报告。第二十四条 检查报告应上报北京工商大学网络安全与信息

7、化领导小组，主要包括检查目的、检查对象、检查范围、检查内容、检查情况、检查中发现的问题和评估结果，并提出整改意见和建议等。第二十五条 北京工商大学网络安全与信息化领导小组对检查报告进行讨论，并对讨论结果做出相关决定。第六章 问题整改与跟踪第二十六条 按照整改周期长短，问题分为三类：第一类为短期内可完成整改的问题，应立刻整改；第二类为需分步骤落实或满足条件才可完成整改的问题，应主动创造条件、限期整改；第三类为需较长实施周期或需有关机构协同才可完成整改的问题，应统筹规划、完善措施、落实整改。第二十七条 被检查部门应认真分析检查中发现的问题，根据问题的分类，明确责任部门和责任人，制定整改方案并按期向

8、北京工商大学网络安全与信息化领导小组报告整改落实情况。第二十八条 北京工商大学网络安全与信息化领导小组应对被检查机构的整改落实情况进行跟踪监督检查。第七章 工作纪律第二十九条 检查组成员应严格遵守北京工商大学各项保密制度，不得以任何形式泄露工作秘密。第三十条 检查组成员应严格遵守北京工商大学各项网络安全管理规定，不跨网使用移动存储介质，不在国际互联网上传递检查相关文档资料，安全检测工具软件应专机专用。第三十一条 检查组成员应廉洁自律，实事求是反映被检查部门的实际情况。第八章 考核与奖惩第三十二条 北京工商大学网络安全与信息化领导小组应对网络安全检查情况进行通报。第三十三条 对于违反工作纪律的检查组成员，北京工商大学网络安全与信息化领导小组将视情节轻重按照相关规定对