信息安全检查管理办法信息安全检查管理办法第一章总则第一条为加强单位(公司)网络与信息安全管理,全面掌握公司及所属各 业务系统网络与信息安全现状,及时发现存在的薄弱环节和安全隐患,有效防范信息安全事件的发生,法律规范网络与信息安全检查工作,制定本办法。第二条网络与信息安全检查坚持“贵在真实,重在整改”的工作原则。第三条网络与信息安全检查工作由各企业行政正职负责,分管副职组织 实施,做到责任明确,措施到位。第四条本办法适用公司各部门。第二章工作职责第五条公司科技信息技术部的主要职责:(一)落实国家有关职能部门安排的各项网络与信息安全检 查工作;(二)制定公司组织的网络与信息安全检查计划,并组织专 家实施检查与考核工作;(三)汇总、批阅系统各网络与信息安全自查计划和自查报告,审核风险控制措施和整改方案,督促解决检查中发现的突出问题;(四)组织讨论网络与信息安全检查工作中存在的共性问题,并提出对策;对涉及公司层面的重大问题,提出整改意见;(五)指导系统各企业全面、深化开展网络与信息安全检查工作,制定检查标准、制度与实施细则。第六条公司各业务部门应积极配合开展网络与信息安全检查工作。第七条检查人员应严格遵守有关保密规定。第三章检查依据与内容第八条公司应依据《信息技术安全技术信息安全管理体系》(GB/T22O8 0 和《信息安全管理有用规则》(ISO 271:25)的要求,结 合本公司网络与信息安全现状以及公司有关管理制度,确定检查内容。第九条网络与信息安全检查内容应重点包括组织机构与管理体系建设、规章制度的贯彻执行和监督检查、网络安全管理、应用系统安全管理、桌面办 公系统的使用和安全管理、运行环境管理、运行值班及技术维护管理、运行安 全控制管理等内容。第十条各部门根据检查目的和检查重点的不同,可以直接引用《网络与信息安全检查实施导则》(见附件一),也可以在此基础上定制适合的检查表。第四章检查方式和周期第 A 一条公司网络与信息安全检查实行自查、抽查和专项检查相结合的方式。(一)自查是个部门基于本办法的要求,周期性开展的网络与信息安全检查。信息化主管部门制定并实施网络与信息安全检查的计划,检查工作可以由信息安全人员承担,也可以委托具有相关安全认证资质的机构或邀请专家承担。(二)抽查是指信息安全工作领导小组组织的网络与信息安全检查。公司信息安全工作领导小组制定并实施公司的年度信息安全检查计划 L...
