安全审核和安全检查制度
第一章总则
第一条目的。为进一步加强南充职业技术学院的信息系统安全审核和安全检查工作,制定本管理制度。
第二条对象。本制度的对象主要是指南充职业技术学院信息系统。
第三条范围。本制度适用于南充职业技术学院信息系统安全审核和安全检查工作。
第四条要求。南充职业技术学院信息系统安全检查安全管理要求统一遵循《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》。
第二章职责与权限
第五条信息安全领导小组作为信息系统安全检查和通报的主管部门,信息安全办公室为管理部门,负责组织制订相关管理制度,定期对信息系统进行安全检查和通报。
第六条各部门信息部门负责信息系统安全检查和通报的职能管理,具体承担以下工作职责:
(一)研究制定信息系统安全检查方案并组织实施;
(二)对信息系统安全检查结果进行总结分析,提交安全检查报告;
(三)根据信息系统安全检查结果结合工作需要,在一定范围内发布通报;各信息部门负责制定并落实本部门安全检查方案。
第三章检查方式
第七条安全检查采取“自查与抽查相结合”的方式。自查是各部门对本部门主管范围内的信息系统进行安全检查,抽查是由信息安全办公室选取部分系统进行信息系统安全检查,检验自查工作的落实情况。
第八条信息部门应每月进行一次自查,并将检查结果上报信息安全办公室。
第九条信息安全办公室每年组织开展信息安全检查,对各部门进行抽查。
第四章检查内容
第十条信息系统安全检查应重点对信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全自查工作等情况进行检查。
第十一条信息安全组织管理的检查内容包括:信息安全管理机构及其工作开展情况;信息安全管理人员及其工作开展情况等。
第十二条日常信息安全管理的检查内容包括:人员管理;资产管理;信息技术外包服务安全管理;信息技术产品使用管理;信息安全经费保障等。
第十三条信息安全防护管理的检查内容包括:网络边界防护管理;服务器安全防护;网络设备防护;信息安全设备部署及使用;门户网站安全管理;电子邮箱安全管理;终端计算机安全管理:移动存储设备安全管理等。
第十四条信息安全应急管理的检查内容包括:信息系统应急预案的制定及演练;重要数据和重要信息系统的备份;信息安全事件的应急处置等。
第十五条信息安全教育培训的检查内容包括关员信息安全基本技能培训和技术人员参加信息安全专业培训等。
第十六条信息系统自查工作的检查内容包括:上一年度发现问题的整改;本年度检查工作开展;安全技术检测情况等。
第五章检查报告及通报
第十七条信息系统安全检查结束后,应对检查结果进行统计、分析,调查可疑行为及违规操作,对所发现的问题制定整改计划,落实整改措施,并及时上报信息系统安全检查报告。
第十八条信息部门每月根据自查情况发布《信息系统安全运行情况通报》,每年根据信息安全检查情况发布《信息系统安全检查情况通报》。
第十九条对信息系统安全检查中发现的重大信息安全事件应及时发布专项通报。
第六章附则
第二十条对违反本制度的人员,将按照单位有关规定进行处罚。
第二十一条本制度由信息安全办公室负责制定、解释和修改。
第二十二条本制度自发布之日起执行。