信息安全检查与审计管理制度

信息安全检查与审计管理制度

第一章总则

第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定，遵从管理部门如公安机关的安全要求，确保信息系统信息安全管理符合XXX安全管理要求，特制订本制度。

第二条本规定适用于XXX及其指定的信息系统运维单位。

第二章安全检查

第三条安全检查包括信息系统运维单位自查和负责信息安全的部门定期执行的安全检查。

第四条信息系统运维单位的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况，自查工作应保留自查结果。自查应至少一个季度组织一次。

第五条负责信息安全的部门执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务部门自查结果抽查等。安全检查应至少半年组织一次。

第六条自查和安全检查均应在检查之前形成检查表。

第七条应严格按照检查表实施检查，检查完毕，记录下所有检查结果。

第八条应对检查记录进行归档，只有授权人员可以访问阅读

第九条应对检查结果进行汇总分析，形成安全检查报告，检查报告应对问题进行分析，提出解决建议。

第十条应制定措施防止安全检查结果的非授权散布，只对经过授权的人员通报安全检查结果。

第十一条信息系统运维单位应阅读并理解安全检查报告，在信息安全管理部门的指导下对出现的问题进行整改。负责信息安全的部门应对整改过程进行监督，并将整改结果报送信息安全领导小组。

第三章附则

第十二条本制度由信息安全部制定，并负责解释和修订。由信息安全工作组讨论通过，发布执行。

第十三条本制度自发布之日起生效。