网通[2008]168号 中国移动安全审计管理办法
移动公司数据安全管理制度
第一章总则第一条为加强公司数据安全管理,保障公司数据安全,防止数据泄露、篡改、丢失等风险,根据国家相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司内部所有数据,包括但不限于客户信息、业务数据、技术数据、财务数据等。
第三条本制度遵循以下原则:1. 隐私保护原则:保护客户隐私,不得非法收集、使用、泄露客户信息。
2. 安全责任原则:明确数据安全责任,落实数据安全防护措施。
3. 风险管理原则:识别、评估、控制数据安全风险。
4. 依法合规原则:遵守国家法律法规,确保数据安全合规。
第二章数据安全责任第四条公司董事会对数据安全负有最终责任,公司高层管理人员对数据安全方针和政策负责。
第五条公司首席信息安全官负责制定、颁布数据安全政策和规程,监督、检查数据安全管理工作。
第六条各部门负责人对本部门数据安全负有直接责任,确保本部门数据安全。
第七条所有员工应遵守数据安全管理制度,履行数据安全责任。
第三章数据分类与分级第八条公司数据按照重要性、机密性、敏感性进行分类分级。
第九条数据分类分为以下类别:1. 公开数据:不涉及公司秘密、客户隐私等数据。
2. 内部数据:涉及公司秘密、客户隐私等数据。
3. 高度敏感数据:涉及国家秘密、客户隐私等高度敏感数据。
第十条数据分级分为以下级别:1. 低级:对业务运营影响较小。
2. 中级:对业务运营有一定影响。
3. 高级:对业务运营有严重影响。
第四章数据收集与存储第十一条数据收集应遵循合法、正当、必要的原则。
第十二条数据存储应选择安全可靠的数据中心,并采取加密、访问控制等安全措施。
第五章数据使用与处理第十三条数据使用应遵循以下原则:1. 不得非法收集、使用、泄露客户信息。
2. 不得非法篡改、删除数据。
3. 不得将数据用于非法目的。
第十四条数据处理应遵循以下要求:1. 数据处理前应进行风险评估。
2. 数据处理过程中应采取安全措施,防止数据泄露、篡改、丢失。
第六章数据传输与交换第十五条数据传输应采用加密、安全协议等技术手段,确保数据传输安全。
中国移动网络安全检查管理办法
中国移动网络与信息平安检查管理方法一、检查目的催促平安管理要求落实,发现系统运行中的平安隐患,促进各省网络与信息平安交流学习。
二、检查人员检查人员组成检查人员一般由集团网络与信息平安专家组成,组长由参加过屡次平安检查技术经验丰富的人员担任。
在组成检查组时应充分考虑组员的技术背景,尽量由维护或管理过不同系统的人员组成。
对检查人员要求检查人员应熟悉集团公司下发的各项平安管理规定和熟悉相关平安配置标准,熟悉常见平安检查工具使用方法,并掌握相关系统平安检查方法,比方日志查看、进程查看、效劳与端口查看等。
三、检查对象网络与信息平安检查主要针对网络部维护管理的主要业务系统进行检查,重点保护近期网络与信息平安热点问题涉及系统、对公司业务运营影响较大的系统、容易受外部攻击的系统,比方短信系统、彩信系统、Wap系统、网管系统、LBS系统、信令监测系统、彩铃系统等。
四、检查内容平安检查一般分技术局部和管理局部。
管理局部主要检查被检查省平安管理体系建立完善情况,相关平安管理要执行落实情况。
技术局部主要检查系统平安防护措施配备情况,设备平安配置情况,特殊系统平安要求落实情况等。
技术局部的内容具体包括1、系统平安防护措施完备情况:比方防火墙等设备是否完备。
2、平安配置落实情况:主要依据集团下发的平安配置系列标准,检查配置标准落实情况。
3、帐号口令落实情况:重点检查系统是否存在弱口令。
4、防火墙策略:检查防火墙策略是否存在明显漏洞。
5、特殊补丁加载情况:对于影响较大的软件补丁,检查是否加载,比方MS08-067。
6、恶意软件检查:检查系统上是否存在恶意软件,比方木马。
8、特殊脚本或自动运行工程检查:检查系统自动运行工程,查看是否存在恶意内容。
9、特殊系统的特殊检查工程:主要针对局部系统的特殊检查要求,比方LBS 的特殊检查工程。
四、检查步骤及方法〔一〕听取被检查省汇报,了解被检查省网络与信息平安工作情况。
〔二〕分工检查。
管理局部和技术局部并行进行。
中国移动公司终端安全控制与审计建议方案_北信源武汉分公司_20140719
所有终端接入 网络之前必须 安装终端安全 管理客户端软 件,接受终端 安全管理平台 的管理和监控, 未安装该客户 端的终端不得 接入中国移动 网络。
终端接入网络 之前可选择对 终端进行身份 鉴权认证,未 通过身份鉴权 的终端无法访 问任何系统、 应用以及设备。
终端接入网络 必须接受终端 安全策略检查 并通过终端接 入安全认证, 未通过认证接 入的终端无法 访问任何系统、 应用和设备。
外来移动介质随意接入泄 密
违规软件安装
对移动介质使用缺乏管理,随意接入,造成重要信息泄 露
违规安装企业或者国家相关部门禁止安装的软件,带来 法律风险的同时引入病毒或者木马程序。
终端安全风险评估-脆弱性识别
终端脆弱性识别 种类
操作系统漏洞
描述
关键高危系统漏洞未及时更新,给黑客、木马等带来可乘之机
防毒软件未安装 防毒软件未安装或者病毒库未及时更新,当病毒发作时未及时发 现或者清除,有可能造成其它内网终端感染。
移动公司终端安全控制与审计 标 题 建议方案
内 容
中移动信息安全建设必要性 怎样进行信息安全建设
VRV
中移动终端安全与审计建议方案 参考标准
网络与信息安全的重要性
网络与信息都是资产,具有不可或缺的重要价值;
网络与信息安全是企业运营与发展的基础和核心;
网络与信息安全是保证网络品质、保障客户利益的基础; 中移动的网络与信息安全同时也是国家安全的需要
开发测试终端 只允许访问开发测试域,受限访问相关的技术支持和服务网站, 不允许访问除此以外的任何域外环境 临时接入终端 原则上只允许接入办公域,如需接入其它域则必须经过流程审 批,审批通过后方可接入,在接入生产域和业务域时必须由本 公司相关接口人全程陪同
中国移动安全规章制度范本
第一章总则第一条为加强中国移动网络安全管理,保障公司信息系统安全稳定运行,维护公司利益和客户权益,根据国家相关法律法规,结合公司实际情况,制定本规章制度。
第二条本规章制度适用于中国移动所有员工、合作伙伴以及使用公司信息系统的用户。
第三条公司安全管理部门负责组织、协调、监督、检查和指导公司安全工作。
第四条公司各部门应按照本规章制度的要求,建立健全本部门的安全管理制度,落实安全责任。
第二章安全组织与管理第五条公司设立安全委员会,负责公司安全工作的统筹规划、决策和监督。
第六条安全委员会下设安全管理部门,负责具体实施安全管理制度,组织安全培训和应急响应。
第七条各部门应设立安全负责人,负责本部门的安全管理工作,并定期向安全管理部门报告安全工作情况。
第八条公司建立健全安全责任制,明确各级人员的安全职责,确保安全责任落实到人。
第三章信息安全管理制度第九条公司信息系统应遵循国家相关法律法规,采用安全可靠的技术手段,确保信息系统安全。
第十条信息系统建设应遵循安全设计原则,确保信息系统在设计、开发、部署、运行和维护等各个环节符合安全要求。
第十一条公司应建立信息安全风险评估机制,定期对信息系统进行安全风险评估,并采取相应措施。
第十二条公司应建立健全信息安全事件报告、调查、处理和总结制度,确保信息安全事件得到及时、有效处理。
第十三条公司应加强密码管理,确保密码的安全性和保密性。
第十四条公司应加强对员工信息安全意识的教育和培训,提高员工的信息安全素养。
第四章物理安全管理制度第十五条公司应加强办公场所、数据中心等物理场所的安全管理,确保场所安全。
第十六条公司应建立健全门禁、监控、消防等物理安全设施,并定期进行检查和维护。
第十七条公司应加强计算机设备、存储设备等物理设备的安全管理,防止设备丢失、损坏或被盗。
第五章应急管理第十八条公司应建立健全信息安全应急响应机制,确保在发生信息安全事件时,能够迅速、有效地进行处置。
第十九条应急响应机制应包括应急组织、应急预案、应急流程等内容。
中国移动云计算网络安全域划分技术要求
中国移动云计算网络安全域划分技术要求Technical Specification of Centralized Security Protectionfor Cloud Computing版本号: 1.0.0中国移动通信集团公司网络部2013年12月目录前言 (1)1综述 (2)2云计算网络安全域划分 (2)2.1安全域划分的原则 (3)2.2云计算平台的主要安全域 (4)2.2.1云计算平台组网的基本架构 (4)2.2.2云计算平台基础网络安全域划分方法 (5)2.2.3云计算平台所承载业务系统组网安全域划分方法 (7)3云计算网络的安全防护要求 (8)3.1.1云计算平台与互联网之间互联安全要求 (8)3.1.2云计算平台与支撑系统之间互联安全要求 (8)3.1.3云计算平台上承载的业务系统之间互联安全要求 (8)4云计算平台安全运维要求 (9)4.1安全维护要求 (9)4.2安全管理要求 (9)5编制历史 (10)附录A 引用标准与依据 (10)附录B 相关术语与缩略语 (11)前言针对数据业务系统向云计算平台承载方式演进的需求,按照等级保护和集中化要求,本要求明确了在云计算网络环境下组网规划,实施安全域划分的基本原则,并进一步提出了云计算环境安全防护的基本要求。
本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。
并在此基础上,以业务系统为单位,每个业务系统划分不同的VLAN,实现云计算网络环境下业务系统间的安全隔离。
本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。
本技术要求主要包括以下3个方面内容:1、云计算平台安全域划分;2、云计算平台边界整合;3、云计算平台的安全防护。
起草单位:中国移动通信有限公司网络部、中国移动通信研究院。
国移动网络与信息安全风险评估管理办法
【最新资料,WORD文档,可编辑修改】第一章总则为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求风险评估内容及组织方式(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
电信-移动建设项目审计实施方案
移动建设项目审计实施方案根据中国电信【2008】1350号《关于下达授权审计项目和做好移动网络建设项目审计工作的通知》,省公司审计部将组织对我省2008年移动网络建设项目进行审计,为了更好地指导审计工作,确保审计工作质量和效果,特制订《移动建设项目审计实施方案》,对审计工作有关事项进行具体部署和安排,请在审计过程中严格执行。
一、审计范围2008年投资,立项渠道为省网络分公司的移动网络工程建设项目,包括为支撑移动运营而投资的核心网、无线网、业务网、IT支撑系统、基础网配套等工程项目二、审计原则、依据审计原则:全面审计、突出重点的原则。
审计依据:(1)《中国电信集团内部审计工作规定》(中国电信〔2005〕787号)(2)集团公司工程审计的有关规定(3)中国电信[2008]1350号《关于下达授权审计项目和做好移动网络建设项目审计工作的通知》(4)陕电信[2006]219号《陕西省电信有限公司内部审计中心工程建设项目审计实施细则(暂行)》的通知(5)中电信陕网资[2008]2号《关于中国电信集团公司陕西网络资产分公司运作相关问题的通知》(6)中国电信〔2008〕1269号文集团关于设计及施工等合同签订的相关规定(7)陕西电信C网无线网项目立项办法建议(8)中电信陕网资〔2009〕4号关于印发《中国电信集团公司陕西网络资产分公司报账工作规范》的通知(9)中电信陕〔2008〕242号文招投标实施管理(10)中国电信陕审计[2009]1号《2008年移动网络建设项目通知书》三、审计重点及主要内容按照中国电信〔2008〕1350号《关于下达授权审计项目和做好移动网络建设项目审计工作的通知》要求,本次移动网络工程审计将重点关注以下方面:(一)关注移动业务投资和运营成本的有效控制。
重点关注资本性支出真实性、合理性的管控,严格审核网络建设及由此产生的资本性支出;关注移动网络运营成本支出。
重视投入产出,关注关键环节,促进管控措施的有效执行,规避投资及成本风险。
移动 信息安全管理制度
移动信息安全管理制度第一章总则为规范移动信息安全管理行为,保护移动信息系统和应用数据的安全性和完整性,提高信息系统的稳定性和可用性,制定本制度。
第二章安全管理组织1. 信息安全管理委员会负责本单位移动信息系统的安全管理工作,并对本单位移动信息系统的安全性、可用性、完整性等进行监督和检查。
2. 信息安全管理委员会成员应包括本单位领导、信息安全专家和IT技术人员等,确保移动信息安全管理工作的开展。
3. 信息安全管理委员会应每季度召开一次会议,对移动信息系统安全管理工作进行评估和调整。
第三章安全管理责任1. 移动信息系统运维人员应具备相应的安全意识和技能,确保移动信息系统的正常运行。
2. 移动信息系统管理员应加强对移动信息系统的监控和管理,及时发现并应对安全事件。
3. 移动信息系统使用者应遵守相关安全规定,妥善保护系统账号和密码,不得私自删除、修改或泄露系统数据。
第四章安全管理措施1. 移动信息系统应采取防火墙、入侵检测系统、安全认证等技术手段来保障系统的安全性。
2. 移动信息系统应定期进行安全漏洞扫描和修复,确保系统没有漏洞可以被攻击。
3. 移动信息系统应建立完善的备份机制,定期备份系统数据,以防数据丢失。
第五章安全培训1. 移动信息系统使用者应接受相关安全培训,了解相关安全政策和规定,提高安全意识。
2. 移动信息系统管理员应定期对系统使用者开展安全培训,提高其对系统安全管理的能力。
第六章安全事件响应1. 发现安全事件时,应立即启动应急响应预案,采取相应的措施进行处理。
2. 安全事件处理完毕后,应对事件进行归因分析,找出事件根源并进行整改。
第七章安全审核评估1. 定期对移动信息系统进行安全审核评估,发现潜在风险并及时处理。
2. 对移动信息系统进行安全配置审计,确保系统安全设置合理。
第八章安全保密管理1. 移动信息系统中的敏感数据应进行加密存储,确保信息的保密性。
2. 移动信息系统中的用户访问权限应根据需要进行授权,避免越权访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动安全审计管理办法(试行)
第一章总则
第一条为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“安全审计”),特制定本办法。
第二条安全审计内容可分为管理和技术两个方面,管理方面的审计侧重检查安全流程、管理要求的执行情况;技术方面的审计侧重检查通信
网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以
及其它技术规范的情况。
第三条安全审计应遵循“审计独立性”的原则,通过设立独立的审计岗位或采取交叉审计等方式开展。
第四条本办法解释权归中国移动通信有限公司网络部,各省公司应根据本办法制定实施细则。
第二章适用范围
第五条本办法适用于中国移动总部和各省公司。
第六条可依据本办法开展通信网、业务网和各支撑系统的安全审计,开展信息安全等其它安全管理方面的审计。
第七条用于指导开展定期和不定期,全面和针对特定目的的安全审计。
第三章组织与职责
第八条发起网络与信息安全审计工作的主体包括:总部及各省的网络与信息安全工作办公室、网络部门、业务支撑部门、管理信息系统部门
等。
第九条网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全审计工作:
(一)落实上级审计工作总体安排;
(二)组织制定安全审计细则;
(三)作为公司范围安全审计工作的责任主体,组织制定并实施公司级的
审计计划。
每年1月底前完成当年审计计划制定工作;
(四)对其它安全审计责任主体的审计工作,如制定内部审计工作计划、
实施审计等,进行指导、审批、检查、备案;
(五)汇总、审阅审计报告,审核改进方案,督促解决审计中发现的突出
问题。
出现涉及公司层面的重大问题或者需要对技术或者管理流程
做出重大调整时,应向公司主管领导汇报。
(六)总部网络与信息安全工作办公室负责对各省安全审计工作进行检
查。
第十条各审计责任主体的主要职责:
(一)配合完成网络与信息安全工作领导小组、网络与信息安全工作办公
室或者其它上级主管安排的安全审计任务;
(二)组织制定部门内部安全审计实施细则;
(三)在本部门职责范围内,制定安全审计工作年度计划、明确审计要点
及实施方案,并报上级部门批准。
每年1月底前完成当年审计计划
制定工作,内容应满足本部门或上级部门各类网络与信息安全检查
需求;
(四)按照审计计划,实施项目;
(五)提交审计报告;
(六)及时上报审计中发现的重大问题;
(七)针对审计发现的问题,形成改进方案并启动改进工作。
第十一条被审计对象应参与制定审计计划、明确审计重点,配合审计工作。
第十二条在审计过程中,审计人员应按照公司信息保密规定对接触到的敏感信息进行严格保密,尤其在安全漏洞修补之前,严禁泄露给第三方。
第四章审计频次与工作重点
第十三条总体原则
(一)在确定审计频次、工作重点时,应坚持“对重要系统、重要设备、
重要信息、重要规章制度和技术要求,进行重点审计”的原则,综
合考虑审计对象主要安全需求、人力资源、技术手段等因素,发挥
审计工作的最大效益;
(二)应与国家政府部门确定的安全审计原则、频次要求相一致;
(三)应与《萨班斯法案》、ISO27001认证等要求相一致,如对纳入萨班
斯法案审计范围的系统和流程,审计频率应不低于《中国移动内控
手册》相关要求。
第十四条安全审计频次要求
(一)针对公司范围进行的全面审计,每年至少一次,可按需不定期开展;
(二)对局部范围内进行的安全策略技术要求符合情况的审计,依据《信
息资产安全等级划分及保护指南》要求,原则上3级及3级以上的
系统每半年审计一次。
3级以下的系统每年审计一次,并形成分系统
的审计报告;
(三)在能够真实反映整体安全工作水平的前提下,采用抽查方式,提高
工作效率;
(四)审计结束后,应编制并上报书面审计报告和改进报告。
公司层面的
审计报告应上报公司网络与信息安全工作领导小组。
部门组织进行
的审计,应将报告上报主管部门如安全工作主管部门和维护职能管
理部门,如发现重大问题,应通过网络与信息安全工作办公室上报
网络与信息安全工作领导小组。
第十五条审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。
第五章审计内容和审计方法
第十六条安全审计主要依据公司已发布的各项安全管理规定和技术要求,检查具体要求的落实情况。
第十七条根据审计目的、关注点不同,如在某个时间段、针对某些管理规定、技术规范要求检查落实情况,突出相应审计内容的侧重点。
第十八条审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场观察、访问、凭证检查等。
第十九条可以采用人工和技术手段两种方式进行。
第六章安全审计工作步骤
第二十条制定计划阶段。
在针对特定目的、启动某特定审计工作之前,应首先制订具体的安全审计计划,确定本次审计工作的范围、审计
重点、时间安排、审计人员及配合人员安排、采用的技术手段、
主要风险及规避方案等等。
第二十一条准备阶段
(一)细化审计内容。
如:审计的系统范围,检查的重点项,各个系统中
增删改等重点操作的指令、关键词等等;
(二)编写《安全审计检查表》(参见附件一,各部门可自行修订)等工
作底稿。
检查表应包含安全审计内容、审计方式、依据标准、审计
方法、审计结果、问题描述、审计人员和被审计人员签字栏等;
(三)进行审计培训。
重点培训审计人员,说明审计内容、检查方法、注
意事项、表格填写要求、问题处理方法等等;
(四)配置必要的技术手段。
如合规检查工具、漏洞扫描工具等等。
第二十二条实施阶段。
(一)按照《安全审计检查表》,采用人工和技术手段相结合的方式,进
行记录抽样检查、系统检查、现场观察、访问、凭证检查等,并逐
一记录结果;
(二)在审计过程中,如果发现不符合项,经确认无误后,被审计单位负
责人在报告书中签字认可;
(三)审计人员与配合审计人员签字确认。
第二十三条总结和改进阶段
(一)审计责任主体参照附件格式要求编写《安全审计报告》(参见附件
二,各部门可自行修订),总结审计情况,分析主要问题,提出改
进意见及下次审计重点等建议;
(二)《安全审计报告》应在实施阶段完成后一个月之内完成,并提交网
络与信息安全工作办公室审核、批准;
(三)对于审计过程中发现的不符合项,审计责任主体形成书面改进意见
后,要求系统维护等责任部门和人员整改;
(四)系统维护等责任部门按照审计责任主体意见,在一个月之内形成《安
全审计问题整改计划及实施方案》,实施完成后,向审计责任主体
提交《安全审计改进情况报告》,并提请审计人员复核,由后者在
《安全审计改进情况报告》(参见附件三,,各部门可自行修订)
中出具复核意见;
(五)各方签字的《安全审计报告》、《安全审计问题整改计划及实施方
案》、《安全审计改进情况报告》等相关文档,经过审批后提交到
相关部门、网络与信息安全工作办公室并由规定的保管责任人存档。
第七章监督执行
第二十四条各公司网络与信息安全工作领导小组应督促网络与信息安全工作办公室和各部门领导对本办法执行情况进行有效监督和管理,
对违反本办法的行为要及时予以更正,情节严重者应立即上报。
编制历史
附件一、安全审计检查表
附件二、安全审计报告
xx公司**安全审计报告
一、本次审计概述
(一)目的
(二)时间
(三)范围
(四)依据
(五)内容
(六)方法
(七)审计人员及配合人员
二、审计对象情况概述
(1)系统服务情况
(2)组网情况
(3)维护部门
(4)安全防护现状等等
三、结果分析
(1)列举所有安全问题和安全隐患,并按照严重程度进行划分
(2)说明安全问题和安全隐患的责任人员或责任部门
四、改进意见
五、审计结论
六、本审计报告分发范围
审计项目负责人签名:附件
(1)安全审计检查记录表
(2)其它辅助材料,如被检查人员提交的相关文件、数据,系统扫描结果等等。
附件三、安全审计改进情况报告。