信息安全等级保护制度-信息安全检查管理规定.pdfVIP

XXXX有限公司

信息安全检查管理规定

第一章总则

第一条为了加强XXXX有限公司信息安全检查工作，及时发

现管理和技术层面存在的薄弱环节和安全隐患，有效保障网络和

信息系统的稳定可靠运行，减少或防止信息安全事件的发生，根

据《信息安全技术信息系统安全等级保护基本要求》

（GB/T22239-2008），结合XXXX有限公司实际，制定本规定。

第二条本规定适用于XXXX有限公司内部或外部的信息安

全检查活动。

第三条信息安全领导小组办公室负责为信息安全检查工作

提供资源保证和授权；负责组织协调各部门配合信息安全检查工

作。

第四条信息安全管理员负责编制信息系安全检查内容及评

分表，对各部门信息安全要求的落实情况进行检查和评价，并负

责外部信息安全检查的接待工作。

第五条被检查部门应全力配合安全检查，如实提供所需材

料和信息，对发现的问题制定整改措施，并按计划实施整改。

第二章检查方式和程序

1

第六条信息安全检查按照执行方式的不同可分为内部检查

和外部检查。

第七条内部检查以信息安全领导小组办公室为主导，信息

安全管理员牵头，检查内容应包括安全技术措施的有效性、安全

配置与安全策略的一致性、安全管理制度的执行情况等。

第八条外部检查主要以合规为驱动，检查内容主要包括信

息系统等级保护测评、监管机构专项安全检查等。

第九条外部安全检查频率按照监管机构要求执行，内部安

全检查频率每年不低于1次，如果发生下列情况，需及时进行安

全检查：

(一)发生重大安全事件；

(二)公司组织架构变更；

(三)公司业务发生重大变化；

(四)信息技术发生重大变革。

第十条安全检查工作程序分为四个阶段：准备阶段、实施

阶段、报告编制阶段和整改阶段。

第三章安全检查的准备

第十一条信息安全管理员应建立信息安全检查机制，制订

年度检查计划，检查计划应根据实际情况及时进行补充和调整。

第十二条在进行制度执行检查前，应根据检查时间、人员

安排等实际情况，以信息安全检查提纲为主要依据（参考附件），

2

及国内外其他信息安全法律法规和标准，最终确定本次信息安全

检查指标内容。

第十三条在进行技术类检查前，应制定检查方案，确保其

可行性和合理性，检查方案应事先通过测试，必要时应进行安全

检查的风险论证。

第十四条各种形式的内外部检查，都应获得信息安全领导

小组的授权，信息安全检查工具的采购、实施应符合公司相关采

购管理规定要求。

第四章安全检查的实施

第十五条信息安全管理员应按照年度检查计划进行安全例

行检查，必要时可组织安全专项检查。

第十六条安全检查应按照所规定的检查要点及检查方式，

使用公司指定的检查工具进行检查。

第十七条应选择对信息系统运行影响最小的方式和时间进

行检查。安全检查后，被检查系统的责任部门应对被检查系统的

运行情况进行确认，确保系统无异常。

第十八条检查过程中应做好检查结果的记录工作。

第十九条在外部安全检查现场实施阶段，安全管理员应全

程进行接待和陪同，确保检查工作不能超出预定的范围，并按照

《第三方人员安全管理规定》的要求，对检查实施单位人员进行

管理。

第五章检查报告及整改

3

第二十条内部检查由信息安全管理员进行现场评分并记录

检查发现结果，在检查结束后整理安全检查报告，检查报告应至

少包括信息安全检查内容、存在问题（不符合项）描述、分析总

结等内容。

第二十一条检查结果经信息安全管理员与被检查部门确认

后，提交信息安全领导小组办公室。

第二