信息安全監(jiān)督檢查工作實(shí)施細(xì)則

公司信息安全監(jiān)督檢查工作實(shí)施細(xì)則（試行）第_章總則第一條為了加強(qiáng)公司信息安全監(jiān)督檢查工作的規(guī)范化和制度化，建立監(jiān)督檢查工作體系，強(qiáng)化信息安全各項(xiàng)工作的執(zhí)行監(jiān)督，實(shí)現(xiàn)以查促建、以查促優(yōu)，結(jié)合公司實(shí)際情況，特制定本細(xì)則。第二條本細(xì)則適用于及所屬各級(jí)公司和單位（以下簡稱〃各單位〃）第三條各單位可依據(jù)本細(xì)則對(duì)公司生產(chǎn)、運(yùn)營、管理各環(huán)節(jié)信息安全工作執(zhí)行情況進(jìn)行監(jiān)督檢查。第四條本細(xì)則由省公司網(wǎng)絡(luò)信息安全管理辦公室負(fù)責(zé)解釋和修訂。第二章組織與職責(zé)第五條信息安全管理遵循如下原則：（一） 統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理原則:“誰主管，誰負(fù)責(zé)；誰運(yùn)營，誰負(fù)責(zé)；誰使用，誰負(fù)責(zé)；誰接入，誰負(fù)責(zé)〃。（二） 部門領(lǐng)導(dǎo)、一崗雙責(zé)原則：總部各部門一方面對(duì)本部門信息安全工作負(fù)責(zé)，另一方面對(duì)下級(jí)部門信息安全工作負(fù)有指導(dǎo)責(zé)任。（三） 業(yè)務(wù)拓展到哪里，管理就覆蓋到哪里：隨著業(yè)務(wù)的拓展，信息安全管理需同期到位。（四） “三同步”原則：在系統(tǒng)的設(shè)計(jì)、建設(shè)和運(yùn)行過程中，應(yīng)做到信息安全管理同步規(guī)劃，同步建設(shè)，同步運(yùn)行。第六條省內(nèi)信息安全監(jiān)督檢查工作的主體為省公司網(wǎng)絡(luò)信息安全管理辦公室、各市分公司網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)。第七條監(jiān)督檢查主體職責(zé)包括：（一） 對(duì)落實(shí)國家有關(guān)法律法規(guī)、公司信息安全管理的方針政策和各項(xiàng)規(guī)范制度情況進(jìn)行監(jiān)督檢查。（二） 監(jiān)督公司生產(chǎn)、經(jīng)營、管理各環(huán)節(jié)信息安全管理的執(zhí)行情況。（三） 協(xié)調(diào)各相關(guān)業(yè)務(wù)部門，檢查重大信息安全管理專項(xiàng)行動(dòng)的實(shí)施情況。（四） 評(píng)估各項(xiàng)信息安全管理工作的落實(shí)效果。（五） 針對(duì)信息安全管理中存在的缺陷和不足，提出改進(jìn)意見。（六） 定期向上級(jí)主管部門匯報(bào)信息安全監(jiān)督檢查情況。（七） 定期組織開展信息安全監(jiān)督檢查人員培訓(xùn)。第八條監(jiān)督檢查工作主要包括但不限于以下幾個(gè)方面的工作任務(wù)：（一）信息安全責(zé)任落實(shí)檢查：對(duì)各單位安全責(zé)任制度的建立與落實(shí)情況進(jìn)行檢查和評(píng)價(jià)；（二） 信息安全工作要求落實(shí)檢查：對(duì)各單位各項(xiàng)信息安全工作要求的落實(shí)情況進(jìn)行檢查和評(píng)價(jià)；（三） 信息安全風(fēng)險(xiǎn)評(píng)估：從第三方角度對(duì)各單位信息安全工作的開展效果進(jìn)行評(píng)估、對(duì)存在風(fēng)險(xiǎn)狀況進(jìn)行評(píng)價(jià)；（四） 信息安全事件調(diào)查：對(duì)所發(fā)生信息安全事件的起因、性質(zhì)、影響、責(zé)任等問題進(jìn)行調(diào)查。第九條信息安全監(jiān)督檢查主體具有履行職責(zé)所必需的相關(guān)權(quán)限，主要包括以下三個(gè)方面：（一） 要求受檢單位報(bào)告信息安全情況、回答有關(guān)問題；必要時(shí)可調(diào)閱受檢單位有關(guān)資料及要求對(duì)受檢單位相關(guān)設(shè)備進(jìn)行信息安全檢測(cè)。（二） 進(jìn)行現(xiàn)場檢查時(shí)，發(fā)現(xiàn)存在信息安全隱患，有權(quán)要求立即整改或者限期整改，在事后出具整改通知。（三） 有權(quán)直接向信息安全主管領(lǐng)導(dǎo)反映有關(guān)信息安全問題。第三章檢查人員第十條開展監(jiān)督檢查時(shí)，各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)可以從各分公司、相關(guān)部門選拔具有一定信息安全專業(yè)特長的骨干人員組成檢查團(tuán)隊(duì)，或聘請(qǐng)第三方專業(yè)機(jī)構(gòu)開展檢查工作。第十一條監(jiān)督檢查人員應(yīng)熟悉國家有關(guān)法律法規(guī)與公司

管理制度，正確理解和掌握信息安全管理規(guī)范，具備與所從事工作相適應(yīng)的知識(shí)、技能和經(jīng)驗(yàn)。第十二條監(jiān)督檢查人員應(yīng)當(dāng)遵紀(jì)守法、實(shí)事求是、秉公辦事，以服務(wù)意識(shí)開展信息安全監(jiān)督工作。第十三條監(jiān)督檢查遵循"自評(píng)估檢查為主、第三方服務(wù)為輔〃的原則。如需聘請(qǐng)第三方檢查機(jī)構(gòu)，應(yīng)選擇符合國家和總部要求的安全服務(wù)機(jī)構(gòu)；應(yīng)與第三方機(jī)構(gòu)簽訂保密協(xié)議，明確保密要求；檢測(cè)操作方案實(shí)施前必須征得公司同意，不得影響系統(tǒng)正常運(yùn)行；檢查結(jié)果只能提供給公司，不得用于任何其它用途。第十四條監(jiān)督檢查時(shí)，監(jiān)督檢查人員應(yīng)遵守各單位的現(xiàn)場管理規(guī)定，不得影響正常生產(chǎn)活動(dòng)。第十五條監(jiān)督檢查人員應(yīng)謹(jǐn)慎利用和保護(hù)履行職責(zé)過程第十五條監(jiān)督檢查人員應(yīng)謹(jǐn)慎利用和保護(hù)履行職責(zé)過程中獲取的信息。第十六條監(jiān)督檢查人員需定期接受信息安全監(jiān)督檢查培第十六條監(jiān)督檢查人員需定期接受信息安全監(jiān)督檢查培訓(xùn)。第四章檢查方式和程序第十七條監(jiān)督檢查主體應(yīng)根據(jù)信息安全工作重點(diǎn)，制定完第十七條監(jiān)督檢查主體應(yīng)根據(jù)信息安全工作重點(diǎn)，制定完成監(jiān)督檢查工作年度計(jì)劃、明確檢查要點(diǎn)及實(shí)施方案。第十八條信息安全監(jiān)督檢查工作主要包括以下類別：（一） 日常檢查：對(duì)信息安全工作進(jìn)行的日常例行檢查；（二） 專項(xiàng)檢查：根據(jù)工作需要，對(duì)某方面信息安全工作執(zhí)行情況進(jìn)行的重點(diǎn)檢查；（三）事件調(diào)查：對(duì)各類信息安全事件進(jìn)行的問題調(diào)查。第十九條信息安全監(jiān)督檢查包括但不限于以下形式：（一） 現(xiàn)場檢查：由監(jiān)督檢查人員赴生產(chǎn)管理一線進(jìn)行實(shí)地信息安全檢查；（二） 遠(yuǎn)程檢查：由監(jiān)督檢查人員采取遠(yuǎn)程掃描、滲透測(cè)試、第三方效果評(píng)估等方式進(jìn)行檢查。第二十條日常檢查主要工作程序包括：（一） 監(jiān)督檢查人員定期對(duì)檢查對(duì)象進(jìn)行檢查并完成檢查報(bào)生.口；（二） 對(duì)檢查發(fā)現(xiàn)的問題，各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)以工單形式通知相關(guān)單位限期整改。（三） 整改單位在整改完成后，以工單形式將整改報(bào)告上報(bào)各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)。（四） 各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)定期以通報(bào)的方式將檢查結(jié)果進(jìn)行通報(bào)，以表彰先進(jìn)、批評(píng)錯(cuò)誤，提出改進(jìn)要求。第二|條專項(xiàng)檢查主要工作程序包括：（一） 準(zhǔn)備階段：監(jiān)督檢查主體應(yīng)根據(jù)檢查工作內(nèi)容對(duì)監(jiān)督檢查人員進(jìn)行適當(dāng)分組，并確定牽頭人。監(jiān)督檢查主體細(xì)化監(jiān)督檢查內(nèi)容，如檢查的范圍、檢查的重點(diǎn)等，以公文、工單等多種形式發(fā)布檢查通知;對(duì)監(jiān)督檢查人員進(jìn)行培訓(xùn)，配置必要的工具。（二） 實(shí)施階段：監(jiān)督檢查人員采用人工和技術(shù)手段相結(jié)合的方式，進(jìn)行抽樣檢查、系統(tǒng)檢查、現(xiàn)場觀察、訪談、憑證檢查、現(xiàn)場測(cè)試等，并逐一記錄結(jié)果；檢查結(jié)束后，被檢查單位負(fù)責(zé)人對(duì)檢查結(jié)果簽字認(rèn)可。（三）總結(jié)階段：在實(shí)施階段完成后一個(gè)月之內(nèi)完成編寫相關(guān)報(bào)告，總結(jié)檢查情況，提出改進(jìn)意見。對(duì)于檢查過程中發(fā)現(xiàn)的不符合項(xiàng)，根據(jù)問題的嚴(yán)重程度發(fā)布整改通知或情況通報(bào)，要求被檢查單位整改。被檢查單位在一個(gè)月之內(nèi)形成整改計(jì)劃及實(shí)施方案，并根據(jù)要求在實(shí)施完成后，向監(jiān)督檢查主體提交改進(jìn)情況報(bào)告，由監(jiān)督檢查主體進(jìn)行復(fù)核。第二十二條事件調(diào)查的主要工作程序包括：（一） 根據(jù)工作需要，各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)以工單等形式向協(xié)查單位下發(fā)協(xié)查通知；遇重大事件將通過公文形式下發(fā)。（二） 協(xié)查單位根據(jù)要求進(jìn)行事件調(diào)查，并在一周內(nèi)將協(xié)查結(jié)果以工單形式上報(bào)各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)；遇緊急事件，應(yīng)根據(jù)緊急程度按要求先期通過郵件、電話上報(bào)簡要報(bào)告；對(duì)重大事件核查報(bào)告可要求通過公文形式上報(bào)。（三） 各級(jí)網(wǎng)絡(luò)信息安全歸口管理機(jī)構(gòu)根據(jù)情況對(duì)事件調(diào)查結(jié)果進(jìn)行通報(bào)，提出改進(jìn)要求。

第五章檢查結(jié)果流轉(zhuǎn)和保存第二十三條在準(zhǔn)備階段，監(jiān)督檢查的具體細(xì)則和檢查內(nèi)容，應(yīng)僅限于監(jiān)督檢查組成員間傳遞，檢查細(xì)則應(yīng)通過DSM系統(tǒng)授權(quán)，并只授予檢查組人員修改權(quán)限等權(quán)限。第二十四條在實(shí)施階段，監(jiān)督檢查人員應(yīng)妥善保管監(jiān)督第二十四條在實(shí)施階段，監(jiān)督檢查人員應(yīng)妥善保管監(jiān)督檢查過程記錄的電子材料；需要將受檢單位的文檔材料復(fù)印帶回的，應(yīng)征得受檢單位的同意，并對(duì)復(fù)印材料加以保管；第二十五條在總結(jié)階段，各個(gè)監(jiān)督檢查人員的檢查成果是監(jiān)督檢查的基礎(chǔ)文件資料；基礎(chǔ)文件材料應(yīng)匯總至監(jiān)督檢查牽頭人手中，原則上基礎(chǔ)文件資料不允許修改，修改基礎(chǔ)材料將對(duì)監(jiān)督檢查結(jié)果的可靠性產(chǎn)生不利影響；復(fù)印材料后續(xù)不再使用的，應(yīng)及時(shí)進(jìn)行銷毀，對(duì)于需保存的復(fù)印材料應(yīng)留檔備案。第六章責(zé)任追究第二十六條被檢查單位應(yīng)依據(jù)本細(xì)則，積極配合監(jiān)督檢查工作的進(jìn)行。第二十七條被檢查單位出現(xiàn)如下行為時(shí)，監(jiān)督檢查主體可依據(jù)情節(jié)嚴(yán)重程度建議公司予以責(zé)任追究，追究方式包括但不限于批評(píng)教育、通報(bào)批評(píng)、績效處分等。（一） 拒絕提供與監(jiān)督檢查事項(xiàng)有關(guān)的文件