农商行信息系统安全检查管理办法模版 .docxVIP

农商行信息系统安全检查管理办法 第一条? ?为加强全省农商行信息系统安全管理，建立监督检查机制，提高落实和执行规章制度的自觉性，使信息系统安全检查规范化、制度化，保障信息系统安全、稳定、可靠运行，制定本办法。 第二条? ?本办法所称省联社是指农商行联合社。本办法所称市级机构包括省联社各办事处和市级联社，市级联社包括忻州、运城、吕梁市农村信用合作社联合社。本办法所称县级机构包括县（市、区）农村信用合作联社、农村合作银行、农村商业银行。 第三条? ?本办法适用于全省农商行（含农村合作银行、农村商业银行）。 第四条? ?本办法所称信息系统安全检查，是指各级农商行科技部门对本机构或辖内机构信息系统安全工作进行自查或检查。 第五条? ?本办法检查的形式包括省联社、市级机构和县级机构的自查、省联社对市级机构及县级机构的检查、市级机构对辖内县级机构的检查等。 第六条? ?省联社、市级机构和县级机构的自查工作频率为每季度一次。上级机构对辖内机构的检查可采取普查、抽查、专项检查的方式定期或不定期的进行。 第七条? ?信息系统安全检查应遵循“谁主管，谁负责”的原则，严密组织实施，善于发现和找准存在的隐患和问题，落实整改计划并监督整改计划的完成情况。 第八条? ?信息系统安全检查由各级科技部门具体负责并组织执行。 第九条? ?信息系统安全检查的内容包括但不限于以下方面。 （一）信息安全组织与机构人员：包括信息安全领导小组情况、科技部门人员及岗位设置情况等； （二）信息系统资产管理：包括信息资产管理及计算机硬件设备管理情况等； （三）科技文档管理：包括信息系统开发、设计及运行文档等各类科技档案的管理情况； （四）数据安全与加密管理：包括生产数据的安全控制、数据备份、加密算法、密钥及加密机的物理安全管理情况等； （五）信息安全产品管理：包括防火墙、防病毒和入侵检测等信息安全产品的使用管理情况等； （六）业务连续性管理：包括重要信息系统应急处理方案的制定情况，应急方案的演练情况等； （七）机房安全管理：包括机房布线、门禁、消防、供电系统、UPS、空调、机房监控、机房值班等管理情况； （八）生产运行管理：包括生产系统版本管理、变更管理、问题管理等相关管理流程、操作登记簿的管理情况等； （九）系统管理：包括各类主机系统、前置系统、数据库系统的用户及密码管理、权限管理、备份管理、系统监控及系统日志管理等； （十）网络管理：包括网络访问控制策略、IP地址管理、备份管理、互联网管理、网络监控、网络系统日志管理情况等； （十一）信息系统安全事件报告：包括是否按规定及时上报、计算机安全事件发生时的现场记录、处理结果等。 第十条? ?各级农商行应高度重视，认真组织每季度的计算机安全自查工作。自查工作完成后要形成自查报告，并于每季末后的十个工作日内报上一级科技管理部门。 第十一条? ? 自查报告内容应包括本季度信息系统安全方面的主要工作、存在的主要问题、上期整改完成情况、本期整改计划及措施等。 第十二条? ? 对于在自查中发现的问题，相关机构要制定整改措施和计划，明确责任人，落实整改工作并将整改情况及时向上级科技部门报告。 第十三条? ? 省联社、市级机构、县级机构要加强对辖内信息系统安全的监督检查。检查应做好前期准备、现场检查、落实整改等相关工作。 第十四条? ? 前期准备工作： （一）确定被检查机构，拟定检查方案。检查方案应包括检查组组成人员、检查的内容、日期和检查方式； （二）了解和掌握被检查机构的基本情况、历次检查提出的问题和整改情况； （三）检查组成员应熟悉检查内容，作相应分工，按检查方案开展工作； （四）视情况以口头或书面等形式通知被检查机构；被检查机构应按通知要求准备相关材料，安排人员配合检查。 第十五条? ? 现场检查工作： （一）与被检查机构有关人员沟通情况，听取近期被检查机构信息系统安全工作情况的汇报。 （二）根据检查内容，采取以下方法进行检查： 1、与相关人员访谈。了解岗位职责、管理制度、应急预案的执行等情况。 2、查看相关文档。检查或抽查安全管理工作登记簿记录，如各类运行记录、各类变更记录、机房出入登记、文档交接记录、密钥管理记录、日志和备份检查记录、设备和数据销毁记录等各类记录簿内容；检查各类日常生产操作流程、信息系统安全相关规范和制度等；检查各类科技项目的规划、实施、开发、维护和操作方面相关的文档。 3、物理环境实地检查。对于机房物理环境、消防安全、供电、防水、关键设备的物理安全、网络布线和网络安全情况应到实地检查。 4、信息系统生产运行环境检查。各类系统、网络、应用系统、安全设备配置的检查应进入上述系统，根据检查内容逐条检查，必要时应对配置进行适当的有效性验证。 5、其他必要的检查手段。 第十六条? ? 对于现场检查的结果，要如实登记现场