XXXX有限公司
第一章总则
第一条 为了加强XXXX有限公司信息安全检查工作,及时发现管理和技术层面存在的薄弱环节和安全隐患,有效保障网络和信息系统的稳定可靠运行,减少或防止信息安全事件的发生,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,制定本规定。 第二条 本规定适用于XXXX有限公司内部或外部的信息安全检查活动。
第三条 信息安全领导小组办公室负责为信息安全检查工作提供资源保证和授权;负责组织协调各部门配合信息安全检查工作。
第四条 信息安全管理员负责编制信息系安全检查内容及评分表,对各部门信息安全要求的落实情况进行检查和评价,并负责外部信息安全检查的接待工作。
第五条 被检查部门应全力配合安全检查,如实提供所需材料和信息,对发现的问题制定整改措施,并按计划实施整改。
第二章检查方式和程序
第六条 信息安全检查按照执行方式的不同可分为内部检查和外部检查。
第七条 内部检查以信息安全领导小组办公室为主导,信息安全管理员牵头,检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
第八条 外部检查主要以合规为驱动,检查内容主要包括信息系统等级保护测评、监管机构专项安全检查等。
第九条 外部安全检查频率按照监管机构要求执行,内部安全检查频率每年不低于1次,如果发生下列情况,需及时进行安全检查:
(一)发生重大安全事件;
(二)公司组织架构变更;
(三)公司业务发生重大变化;
(四)信息技术发生重大变革。
第十条 安全检查工作程序分为四个阶段:准备阶段、实施阶段、报告编制阶段和整改阶段。
第三章安全检查的准备
第十一条 信息安全管理员应建立信息安全检查机制,制订年度检查计划,检查计划应根据实际情况及时进行补充和调整。
第十二条 在进行制度执行检查前,应根据检查时间、人员安排等实际情况,以信息安全检查提纲为主要依据(参考附件),及国内外其他信息安全法律法规和标准,最终确定本次信息安全检查指标内容。
第十三条 在进行技术类检查前,应制定检查方案,确保其可行性和合理性,检查方案应事先通过测试,必要时应进行安全检查的风险论证。
第十四条 各种形式的内外部检查,都应获得信息安全领导小组的授权,信息安全检查工具的采购、实施应符合公司相关采购管理规定要求。
第四章安全检查的实施244uu
第十五条 信息安全管理员应按照年度检查计划进行安全例行检查,必要时可组织安全专项检查。
第十六条 安全检查应按照所规定的检查要点及检查方式,使用公司指定的检查工具进行检查。
第十七条 应选择对信息系统运行影响最小的方式和时间进行检查。安全检查后,被检查系统的责任部门应对被检查系统的运行情况进行确认,确保系统无异常。
第十八条 检查过程中应做好检查结果的记录工作。
第十九条 在外部安全检查现场实施阶段,安全管理员应全程进行接待和陪同,确保检查工作不能超出预定的范围,并按照《第三方人员安全管理规定》的要求,对检查实施单位人员进行管理。
第五章检查报告及整改
第二十条 内部检查由信息安全管理员进行现场评分并记录检查发现结果,在检查结束后整理安全检查报告,检查报告应至少包括信息安全检查内容、存在问题(不符合项)描述、分析总结等内容。
第二十一条 批批吉检查结果经信息安全管理员与被检查部门确认后,提交信息安全领导小组办公室。
第二十二条 针对外部信息安全检查,信息安全管理员和被检查部门确认检查结果,并将检查方出具的检查记录和报告,提交信息安全领导小组办公室。
第二十三条 信息安全管理员应对信息安全中发现的问题,向问题所属部门开具整改通知和整改建议。
第二十四条 问题所属部门按照整改通知和整改建议要求制定整改方案,并按计划实施整改。
输电线路覆冰第二十五条 信息安全管理员定期对整改工作进行跟踪,只至问题关闭。
第二十六条 信息安全检查(内部检查、外部检查)结论的问题及整改结果,作为问题所属部门或人员绩效考核与奖惩的参考之一。
第六章附则
第二十七条 本规定由信息安全领导小组办公室负责制定、解释和修改。
第二十八条 本规定自颁布之日起实行。
附件1:信息安全检查提纲
检查项目 | 检查内容 |
信息安全管理机构建设 |
漯河日报社(一)信息安全管理机构与岗位设置 | |
(二)信息安全管理人员配备 | 是否根据岗位设置配备了专职或兼职的信息安全管理员 |
(三)运行管理机构与岗位设置 lg km380 | 是否根据制度要求实现了岗位职责分离等安全控制要求 |
安全制度建设与执行 |
(一)信息安全管理制度建设 | 是否贯彻落实了公司信息安全策略并建立有针对性的信息安全管理制度文件 |
(二)信息安全管理制度发布和修订 | 信息安全管理制度是否经过了正式、有效的发布并进行定期修订 |
(三)信息安全制度培训与推广 | 是否对全体员工进行了信息安全培训与意识教育,员工是否了解各信息安全制度 |
(四)信息安全检查 | 是否根据信息安全管理制度进行定期的安全检查并形成安全检查报告 |
(五)信息安全体系建设 | 是否建立并及时更新信息资产表,是否制定并落实风险评估 |
日常运行安全管理 |
(一)运行操作与维护管理 | 运行操作、与维护管理等是否符合运行管理的相关规定 |
(二)信息系统账户口令管理 | 系统帐户、管理员帐户、用户帐户的管理是否符合制度要求 |
(三)备份安全管理 | 是否按照制度要求进行备份管理、操作、记录及验证等工作 |
(四)信息安全事件管理 | 是否执行规范的安全事件报告和响应操作,并对安全事件进行记录和追踪 |
(五)变更管理 | 是否按照规范流程进行变更的计划、方案制定、审批和实施 |
(六)应急响应与业务连续性管理 | 系统应急响应处理流程、预案是否符合制度要求,相关人员是否熟悉该流程并能熟练处理各种情况 |
(七)设备、系统的维护管理 | 是否对安全设备进行定期维护,对设备的使用与维护是否符合制度要求 |
(八)介质安全管理 | 是否对介质的使用、维护、销毁等进行了相应的安全管控 |
| 无锡市机关幼儿园 |