6-信息安全检查管理办法.docVIP

PAGE 信息安全检查管理办法 第一章 总 则 第一条 为更好地保障计算机信息系统的安全、稳定运行，及时发现计算机信息系统存在的漏洞和隐患，防范潜在的信息安全风险，并规范计算机信息系统的安全检查工作，制定本办法。 第二条 本办法属于“管理办法”，适用于北京三得电子技术有限公司。 第三条 计算机信息安全检查工作由计算机安全领导小组统一领导，并授权技术部负责组织实施，相关业务部门配合。技术部牵头组织对各部门和各机构进行信息安全检查，各部门和各机构负责组织本公司内部的信息安全自查工作。 第四条 根据信息安全状况，每年至少组织一次信息安全检查，发现安全隐患，要及时向被检查公司发出信息系统安全隐患整改通知书，并提出改进意见，指导、督促被检查公司限期整改，消除安全隐患。 第五条 公司负责人要高度重视本公司信息安全防范工作，按要求组织对本公司计算机信息系统进行安全自查，发现问题，采取有效措施防范化解各类信息安全风险。 第六条 公安厅、市公安局等公司进行信息安全检查时，被检查公司应积极配合做好本公司的信息安全检查工作。 第二章 信息安全检查的范围和内容 第七条 信息安全检查包括两部分：对技术部的信息安全检查，对各机构和各部门（以下简称“各公司”）的信息安全检查，检查方式分为自行自查和上级部门现场检查两种方式。 第八条 对各公司的信息安全检查主要包括以下内容： （一）操作系统、应用系统软件的安全补丁安装情况。 （二）非授权软件和盗版软件的检查和清除情况。 （三）计算机防病毒软件的安装、升级，计算机病毒的查杀情况。 （四）操作系统用户管理、密码设置与文件共享情况。 （五）各公司涉密信息处理计算机的安全管理情况。 （六）计算机网络环境。 第九条 对技术部的信息安全检查主要包括以下内容： （一）信息安全规章制度的完善和执行情况。 （二）计算机信息网络安全。 （三）运行管理安全。 （四）应急计划和应急演练情况。 （五）计算机病毒防治情况。 （六）计算机应用软件研发情况。 （七）系统日常运行、系统漏洞。 （八）数据备份情况。 第十条 对技术部的信息安全检查主要依靠技术部内部自查，由上级或外部公司对技术部的自查情况进行核实确认。技术部每次自查后必须按要求进行整改。 第三章 信息安全检查的实施和反馈 第十一条 各公司应按要求进行信息系统安全自查工作，并做好检查记录；发现各类安全隐患要及时整改，填写整改情况表，并妥善保存以备查。自查结束后，应将自查结果形成书面材料，上报技术部。 第十二条 信息安全检查部门应根据国家、上级部门以及各项信息安全规章制度的相关要求对计算机信息系统进行全面安全检查，并行使以下职权： （一）对被检查公司进行检查时，可采取调阅有关材料、访谈和现场检查等形式。 （二）在检查过程中进行现场指导，对安全检查发现的问题提出改进意见，对检查中发现的违规行为，当场予以纠正或要求限期改正，并做好详细记录，存档备查。 （三）对检查中发现的安全隐患，要求被检查公司及时排除；可以现场解决的，配合被检查公司进行现场整改。 第十三条 信息安全检查人员在进行信息安全检查时，不得影响被检查公司的正常生产工作。 第十四条 信息安全检查人员应忠于职守，坚持原则，秉公处理。 第十五条 被检查公司应积极配合信息安全检查人员做好本公司计算机信息系统的安全检查工作，提供检查所需的相关材料，不得拒绝、阻挠。 第十六条 信息安全检查人员应将检查的时间、地点、内容、发现的问题及其处理情况，做出详细的书面记录，并由检查人员和被检查计算机使用者或被检查公司指定人员签字；被检查公司人员拒绝签字的，检查人员应将情况记录在案，并向计算机安全领导小组报告。 第十七条 信息安全检查结束后，检查人员应将检查情况进行总结或评比，将检查结果上报计算机安全领导小组，并及时将检查中发现的问题反馈被检查 公司，要求其限期整改。 第十八条 被检查公司应充分重视信息安全检查工作，对检查中发现的问题及时进行整改，并根据信息安全检查的要求将整改结果同时上报计算机安全领导小组和技术部。 第十九条 技术部应跟踪被检查公司的安全整改情况，对整改不积极或整改结果不到位的，公司将予以通报批评。 第二十条 实施信息安全检查产生的相关报告，包括各公司的自查报告、检查总结报告、检查通报与汇报材料等，由技术部作为技术部技档案妥善保存备查。