信息系统安全检查实施细则

1、信息系统安全检查实施细则第二早第三章第四章第五章第八早目录日常例行安全检查全面常规安全检查重大专项安全检查责任追究附则第 1章 日常例行安全检查第1条日常例行安全检查指公司对自行维护管理以及委托其他机构维护管理的信息系统进行安全自查。第 2 条日常例行安全检查属于日常维护检查的范畴，根据检查内容的不同，检查频次为每日、每月或每季度一次。第 3 条每日例行安全检查的内容包括：（一）机房安全检查；（二）日志审计；（三）系统状态检查；（四）防病毒服务器检查等；（五）设备运行状态检查。第 4 条每月例行安全检查的内容包括：（一）漏洞扫描；（二）帐号安全检查；（三）系统补丁检查；（四）网络安全检查；（五

2、）终端安全检查；（六）安全报告审核等。第 5 条每季度例行安全检查的内容包括：一）安全基线检查；二）帐号安全检查；（三）系统补丁检查；（四）数据备份检查等。第 6 条各级机构对日常例行安全检查中发现的问题应研究提出整改意见，认真落实整改，并在整改完成后及时进行复查。第 2章全面常规安全检查第7条全面常规安全检查要进行全面的安全检查和评估，涉及各级机构所维护管理的所有设备和系统，应对系统安全风险进行全面评估，检查存在的安全隐患和漏洞，每次 检查完成后应形成安全风险评估报告。第 8 条全面常规安全检查的检查频次为每半年一次。检查以各级机构自查方式为主、 XX 抽查相结合的方式进行。各级机构按照统一

3、下发的安全检查细则，制定具体的检查方案并认真组织实施，并在自查工作完成后1个月内将检查情况及时报送XXXX为确保安全检查取得实效，XXXX将会同有关部门组织部署安全抽查工作。第9条全面常规安全检查的内容包括但不限于：（一）安全制度落实情况；（二）安全防范措施落实情况；（三）应急响应机制建设情况；（四）信息技术产品和服务国产化情况；（五）安全教育培训情况；（六）责任追究情况；七）安全隐患排查及整改情况；八）安全形势、安全风险状况等。第10 条 安全制度落实情况重点检查：（一）信息安全主管领导、管理机构和管理人员的落实情况；（二）信息安全责任制和保密管理、密码管理、等级保护、重要部门（职位）人员管

4、理等制度的建立和落实情况；（三）信息安全经费保障情况。第11 条 安全防范措施落实情况重点检查：（一）身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性；（二）计算机、移动存储设备、电子文档安全防护措施的落实情况。第12 条 应急响应机制建设情况重点检查：（一）应急预案制定、演练、落实情况；（二）应急技术支援队伍建设情况；（三）重大信息安全事故处置情况；（四）重要数据和业务系统的备份情况。第13 条 安全教育培训情况重点检查：（一）工作人员参加信息安全教育培训、掌握信息安全常识和技能的情况；（二）重点岗位持证上岗等情况。第14 条 责任

5、追究情况重点检查：二）（一）对违反信息安全规定的行为和造成泄密事故、 信息安全事故的查处情况； 对责任人和有关负责人的责任追究以及惩处措施落实的情况。第15 条 安全隐患排查及整改情况重点检查：（一）对安全机制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情 况；（二）分析产生问题和隐患的原因，研究制定和落实整改措施情况。第16 条 安全形势、安全风险状况重点检查：（一）系统、深入分析外部安全形势和内部防范措施的有效性，全面评估信息系统 的安全风险状况；（二）对于风险评估中发现的问题和漏洞的加固整改情况。第17条 XXXX 将及时向被抽查单位通报全面常规安全检查过程中发现的问题并提出整

6、改意 见。被抽查单位要认真研究落实整改建议，并在 3 个月内报告整改情况。第 3章重大专项安全检查第18 条 重大专项安全检查采取由各机构开展的安全自查，以及与统一组织的安全抽查相结合的方式进行。各级机构按照XXXX统一下发的安全检查指南，制定具体的检查方案并认真组织实施，并在自查工作完成后将检查情况及时报送XXXX为确保安全检查取得实效，XXXX将会同有关部门组织部署安全抽查工作。第19条 XXXX 应及时向被抽查单位通报重大专项安全检查过程中发现的问题并提出整改意 见。被抽查单位要认真研究落实整改建议，并在 3 个月内报告整改情况。第4章 责任追究第20条 相关部门应把安全检查工作列为重要工作，加强组织领导，明确检查责任，落实检 查人员和检查经费，保证检查工作顺利进行。对于工作组织领导不力、有关要求不 落实的，应予以通报批评。第21条 实施安全检查的组织及人员要严格遵守检查工作纪律，周密制定应急预案，控制安 全风险，加强保密措施，保证被检查的信息系统安全正常运行。对违反信息安全和 保密管理规定造成泄密事件和信息安全事故的，应依法追究当事人和有关负责人的 责任