安全審核和安全檢查管理辦法

安全審核和安全檢查管理辦法總則為加強(qiáng)好收益（北京）金融信息服務(wù)有限公司（以下簡稱“公司”）安全審核和安全檢查管理，規(guī)范審核和檢查工作，特制訂本辦法。本辦法適用于公司。管理要求內(nèi)部或外部相關(guān)的安全審核和安全檢查工作應(yīng)根據(jù)相關(guān)辦法，并結(jié)合業(yè)務(wù)實(shí)際需求進(jìn)行。信息安全領(lǐng)導(dǎo)小組應(yīng)監(jiān)督、指導(dǎo)安全審核和安全檢查工作，督促執(zhí)行。相關(guān)部門和人員應(yīng)積極主動(dòng)配合安全審核和檢查工作，對(duì)發(fā)現(xiàn)的問題應(yīng)及時(shí)改進(jìn)。工作內(nèi)容各部門信息安全員應(yīng)定期（每月）針對(duì)本部門信息安全相關(guān)工作進(jìn)行安全檢查，并報(bào)信息安全工作組審核檢查結(jié)果，并根據(jù)信息安全工作組提出的安全建議進(jìn)行改進(jìn)。安全管理員應(yīng)定期（每季度）組織進(jìn)行安全檢查，各部門信息安全員應(yīng)配合完成。安全審計(jì)員應(yīng)定期（每季度）進(jìn)行安全審查，各部門信息安全員和中心安全管理員應(yīng)配合完成。信息安全工作組應(yīng)制定安全檢查表格，配合信息安全領(lǐng)導(dǎo)小組實(shí)施安全檢查，記錄匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。信息安全領(lǐng)導(dǎo)小組定期（每年）進(jìn)行全面的信息安全檢查，其內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。所有信息安全審核和安全檢查工作都應(yīng)記錄并存檔。附則本辦法由公司信息安全工作組制定，并負(fù)責(zé)解釋和修訂。本辦法自發(fā)布之日起執(zhí)行。附件1：公司【好收益網(wǎng)貸平臺(tái)】安全檢查記錄表（部門信息安全員）檢查項(xiàng)目標(biāo)準(zhǔn)日期12345678910111213………………系統(tǒng)版本軟件更新系統(tǒng)的軟件更新和補(bǔ)丁安裝是否正常安全漏洞安全漏洞是否都已修復(fù)賬號(hào)安全賬號(hào)變更賬號(hào)增加刪除等變更是否正常賬號(hào)權(quán)限賬號(hào)的權(quán)限分配是否正常密碼強(qiáng)度賬號(hào)密碼是否符合復(fù)雜度要求運(yùn)行安全運(yùn)行狀態(tài)軟件運(yùn)行狀態(tài)是否正常安全日志報(bào)警日志是否所有報(bào)警日志均已分析處理日志審計(jì)所有記錄的日志是否正常系統(tǒng)備份軟件備份系統(tǒng)軟件備份是否正常數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份是否正常檢查人員確認(rèn)異常處理記錄序號(hào)故障現(xiàn)象處理方法處理效果處理人簽名日期1234注：檢查結(jié)果為否的內(nèi)容，需要填寫異常處理記錄附件2：公司基礎(chǔ)設(shè)施安全檢查記錄表（部門信息安全員）檢查項(xiàng)目標(biāo)準(zhǔn)日期12345678910111213………………防病毒軟件檢查版本檢查是否是最新版本病毒檢查是否有病毒在活動(dòng)處室無線路由器檢查接入檢查無線路由接入是否經(jīng)授權(quán)密碼設(shè)置檢查無線路由是否設(shè)置密碼密碼復(fù)雜程度是否合規(guī)網(wǎng)絡(luò)環(huán)境檢查網(wǎng)絡(luò)連接網(wǎng)絡(luò)線路是否連接正常網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)帶寬是否正常備份鏈路備份鏈路是否正常防火墻防火墻工作是否正常路由器路由器是否正常三層交換機(jī)三層交換機(jī)是否正常網(wǎng)絡(luò)設(shè)備日志網(wǎng)絡(luò)設(shè)備日志是否正常服務(wù)器環(huán)境檢查服務(wù)器運(yùn)行狀態(tài)是否正常操作系統(tǒng)用戶管理是否正常操作系統(tǒng)日志是否正常操作系統(tǒng)補(bǔ)丁更新是否正常備份系統(tǒng)檢查備份系統(tǒng)狀態(tài)是否正常備份介質(zhì)狀態(tài)是否正常備份和恢復(fù)程序是否正常檢查人員確認(rèn)異常處理記錄序號(hào)故障現(xiàn)象處理方法處理效果處理人簽名日期12345注：檢查結(jié)果為否的內(nèi)容，需要填寫異常處理記錄附件3：公司【好收益網(wǎng)貸平臺(tái)】季度安全檢查（安全管理員）檢查項(xiàng)目檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查賬號(hào)管理應(yīng)用系統(tǒng)是否有多余、無用、異常賬號(hào)等情況查詢記錄

現(xiàn)場(chǎng)檢查應(yīng)用系統(tǒng)是否有賬號(hào)權(quán)限不合理現(xiàn)象應(yīng)用系統(tǒng)是否有密碼設(shè)置不合理現(xiàn)象登錄控制應(yīng)用系統(tǒng)是否未限制失敗登錄次數(shù)應(yīng)用系統(tǒng)是否未對(duì)多次登錄失敗采取措施處理通信安全應(yīng)用系統(tǒng)是否未對(duì)關(guān)鍵通信采取加密等手段審計(jì)安全應(yīng)用系統(tǒng)是否未啟用安全審計(jì)功能應(yīng)用系統(tǒng)是否未對(duì)審計(jì)日志妥善保存資源控制應(yīng)用系統(tǒng)是否未進(jìn)行資源控制配置檢查人檢查日期異常處理記錄序號(hào)問題描述處理方法處理結(jié)果12注：檢查結(jié)果為是的內(nèi)容，需要填寫異常處理記錄附件4：公司基礎(chǔ)設(shè)施季度安全檢查表（安全管理員）檢查項(xiàng)目檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查安全設(shè)備運(yùn)行情況安全設(shè)備CPU、內(nèi)存、硬盤等是否出現(xiàn)過異常查詢?nèi)罩景踩O(shè)備網(wǎng)絡(luò)連接安全設(shè)備的網(wǎng)絡(luò)接口是否出現(xiàn)過異常查詢?nèi)罩景踩O(shè)備的網(wǎng)絡(luò)連接是否出現(xiàn)過中斷查詢?nèi)罩景踩O(shè)備策略配置安全設(shè)備的策略、配置是否有不合理內(nèi)容檢查策略安全設(shè)備的策略變更是否有不規(guī)范操作查詢記錄安全設(shè)備的軟件配置變更是否有不規(guī)范操作查詢記錄安全日志分析安全設(shè)備的告警日志是否有未處理內(nèi)容查詢?nèi)罩?/p>

查詢記錄安全設(shè)備的用戶操作是否有違規(guī)行為查詢?nèi)罩緳z查人檢查日期異常處理記錄序號(hào)問題描述處理方法處理結(jié)果1234注：檢查結(jié)果為是的內(nèi)容，需要填寫異常處理記錄附件5：公司【好收益網(wǎng)貸平臺(tái)】季度安全檢查（安全審計(jì)員）檢查項(xiàng)目檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查安全策略落實(shí)情況身份認(rèn)證安全策略是否有未落實(shí)內(nèi)容查詢記錄

現(xiàn)場(chǎng)檢查訪問控制安全策略是否有未落實(shí)內(nèi)容通信安全策略是否有未落實(shí)內(nèi)容審計(jì)安全策略是否有未落實(shí)內(nèi)容用戶安全審計(jì)應(yīng)用系統(tǒng)中是否有未授權(quán)用戶出現(xiàn)查詢?nèi)罩?/p>

查詢記錄應(yīng)用系統(tǒng)中是否有用戶權(quán)限不合理現(xiàn)象應(yīng)用系統(tǒng)中是否有用戶違規(guī)操作行為應(yīng)用系統(tǒng)中用戶認(rèn)證設(shè)置是否有不合理內(nèi)容現(xiàn)場(chǎng)檢查應(yīng)用系統(tǒng)中用戶權(quán)限設(shè)置是否有不合理內(nèi)容檢查人檢查日期異常處理記錄序號(hào)問題描述處理方法處理結(jié)果1234注：檢查結(jié)果為是的內(nèi)容，需要填寫異常處理記錄附件6：公司基礎(chǔ)設(shè)施季度安全檢查（安全審計(jì)員）檢查項(xiàng)目檢查內(nèi)容檢查方式檢查結(jié)果備注不適用是否未檢查安全策略落實(shí)情況身份認(rèn)證安全策略是否有未落實(shí)內(nèi)容查詢記錄

現(xiàn)場(chǎng)檢查訪問控制安全策略是否有未落實(shí)內(nèi)容通信安全策略是否有未落實(shí)內(nèi)容審計(jì)安全策略是否有未落實(shí)內(nèi)容用戶安全審計(jì)應(yīng)用系統(tǒng)中是否有未授權(quán)用戶出現(xiàn)查詢?nèi)罩?/p>

查詢記錄應(yīng)用系統(tǒng)中是否有