1.1.3基金公司信息安全检查表-20120710-end.xlsVIP

4-系统（172） 3-网络（59） 2-机房(64) 1-管理（238） 0-封面 证券期货业信息安全检查表 （基金公司分册） 机构名称：＿＿＿＿＿＿ 审计日期：＿＿＿＿＿＿ 技术负责人：＿＿＿＿＿(签字） 基金公司信息安全检查表-1-管理 检查分类 检查项目 检查结果 备注 1.技术投入 1.经费投入 jj. 1.公司最近三个财政年度IT投入平均数额是否不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3% 是□ 否□ 部分符合□ jj. 2.公司是否制定了对IT部门合理的激励机制和奖惩措施 2.人员投入 jj. 1.是否根据实际情况配备足够的IT工作人员，满足安全和岗位设置的有关要求 jj. 2.公司的IT工作人员总数是否不少于公司员工总人数的6% 2.组织机构 1.机构设置 jj. 1.是否设立IT治理委员会或类似机构，负责公司IT治理工作 jj. 2.是否指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人，并设立IT总监或其它类似职位的IT专职负责人 2.岗位设置 jj. 1.是否设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责 jj. 2.是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责 jj. 3.是否配备一定数量的系统管理员、网络管理员、安全管理员等且每个岗位是否有备岗 jj. 3.安全管理员是否专职，不可兼任网络管理员、系统管理员、数据库管理员 3.人员管理 1.录用离岗 jj. 1.是否指定或授权专门的部门或人员负责人员录用 jj. 2.是否审查被录用人的身份、背景、专业资格和资质，是否考核其技术技能 jj. 4.是否与被录用人员签署保密协议 jj. 5.关键岗位人员是否从内部人员中选拨，是否签署岗位安全协议 jj. 7.是否严格规范人员离岗过程，办理严格的调离手续 jj. 8.是否及时终止离岗员工的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 jj. 9.管理制度中是否包括在人员岗位变换或离职情况下，其系统用户权限的变更或撤销程序 2.教育培训 jj. 1.是否至少每年对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训 jj. 2.是否每年制定安全教育和培训计划 2.是否对安全责任和惩戒措施进行书面规定并告知相关人员，是否对违反违背安全策略和规定的人员进行惩戒 jj. 3.是否对全体人员提供安全意识教育、安全技术培训 jj. 4.是否为IT人员提供履行其岗位职责所需要的岗位技能培训及业务培训 3.人员考核 jj. 1.是否定期对各个岗位的人员进行安全技能及安全认知的考核 jj. 2.是否每年至少一次进行安全技能及安全认知的考核 4.管理制度 jj. 1.是否制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等 jj. 2.是否至少对安全管理活动中的物理、网络、主机系统、数据、应用、建设和运维等层面的管理内容建立安全管理制度 jj. 3.是否对要求管理人员或操作人员执行的日常管理操作建立操作规程，至少包括系统运维手册和用户操作规程等 jj. 4.是否指定或授权专门的部门或人员负责安全管理制度的制定 jj. 5.是否组织相关人员对制定的安全管理制度进行论证和审定 jj. 6.是否将安全管理制度发布到相关人员手中 jj. 7.是否定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订 jj. 8.每年或在发生重大变更时，是否对安全管理制度进行检查，对存在不足或需要改进的安全管理制度进行修订 jj. 9.是否建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为 jj.0 10.是否编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容 jj.1 11.是否制定了机房安全管理制度 jj.2 12.机房管理制度的内容是否全面，包括但不限于机房人员管理、值班制度、网络管理、机房操作规定、机房出入管理制度、机房环境安全等 jj.3 13.是否具备机房出入管理规程，严格管理，对机房的进出人员，并填写机房出入登记表，进行登记管理，确保除机房人员外，外来人员未经许可不得随意进入 jj.4 16.是否建立对关键网络、安全设备和服务器日志定期检查和分析的制度 jj.5 17.是否建立有效的口令管理制度，定期修改操作系统、数据库及应用系统管理员口令，并有相关记录 jj.6 18.是否建立详尽的权限管理制度，对权限的申请、审批、设置、变更、撤销等进行严格规定 jj.7 19.是否建立配套设施、软硬件维护方面的管理制度，明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控