1、1安全审核和安全检查管理办法第一章 总则第一条 为加强好收益(北京)金融信息服务有限公司(以下简称“公司” )安全审核和安全检查管理, 规范审核和检查工作,特制订本办法。第二条 本办法适用于公司。第二章 管理要求 第三条 内部或外部相关的安全审核和安全检查工作应根据相关办法,并结合业务实际需求进行。第四条 信息安全领导小组应监督、指导安全审核和安全检查工作,督促执行。第五条 相关部门和人员应积极主动配合安全审核和检查工作,对发现的问题应及时改进。第三章 工作内容第六条 各部门信息安全员应定期(每月)针对本部门信息安全相关工作进行安全检查,并报信息安全工作组审核检查结果,并根据信息安全工作组提出
2、的安全建议进行改进。第七条 安全管理员应定期(每季度)组织进行安全检查,各部门信息安全员应配合完成。第八条 安全审计员应定期(每季度)进行安全审查,各部门信息安全员和中心安全管理员应配合完成。2第九条 信息安全工作组应制定安全检查表格,配合信息安全领导小组实施安全检查,记录汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。第十条 信息安全领导小组定期(每年)进行全面的信息安全检查,其内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。第十一条 所有信息安全审核和安全检查工作都应记录并存档。第四章 附则第十二条 本办法由公司信息安全工作组制定,并负
3、责解释和修订。第十三条 本办法自发布之日起执行。3附件1: 公司【好收益网贷平台】安全检查记录表(部门信息安全员)日期检查项目 标准 1 2 3 4 5 6 7 8 9 10 1112 13 软件更新 系统的软件更新和补丁安装是否正常系统版本安全漏洞 安全漏洞是否都已修复账号变更 账号增加删除等变更是否正常账号权限 账号的权限分配是否正常账号安 全密码强度 账号密码是否符合复杂度要求运行安全 运行状态 软件运行状态是否正常报警日志 是否所有报警日志均已分析处理安全日志日志审计 所有记录的日志是否正常4注:检查结果为否的内容,需要填写异常处理记录软件备份 系统软件备份是否正常系统备份 数据备份
4、系统数据备份是否正常检查人员确认异常处理记录序号 故障现象 处理方法 处理效果 处理人签名 日期12345附件2:公司基础设施安全检查记录表(部门信息安全员)日期检查项目 标准 1 2 3 4 5 6 7 8 9 10 1112 13 版本检查 是否是最新版本防病毒软件检查病毒检查 是否有病毒在活动接入检查 无线路由接入是否经授权无线路由是否设置密码处室无线路由器检查密码设置检查 密码复杂程度是否合规网络连接 网络线路是否连接正常网络带宽 网络带宽是否正常备份链路 备份链路是否正常防火墙 防火墙工作是否正常网络环境检查路由器 路由器是否正常6注:检查结果为否的内容,需要填写异常处理记录三层交换
5、机 三层交换机是否正常网络设备日志 网络设备日志是否正常服务器运行状态是否正常操作系统用户管理是否正常操作系统日志是否正常服务器环境检查操作系统补丁更新是否正常备份系统状态是否正常备份介质状态是否正常备份系统检查备份和恢复程序是否正常检查人员确认异常处理记录序号 故障现象 处理方法 处理效果 处理人签名 日期1234578附件3:公司【好收益网贷平台】季度安全检查(安全管理员)检查结果检查项目 检查内容 检查方式不适用 是 否 未检查备注应用系统是否有多余、无用、异常账号等情况 应用系统是否有账号权限不合理现象 账号管理应用系统是否有密码设置不合理现象 应用系统是否未限制失败登录次数 登录控制
6、应用系统是否未对多次登录失败采取措施处理 通信安全 应用系统是否未对关键通信采取加密等手段 应用系统是否未启用安全审计功能 审计安全应用系统是否未对审计日志妥善保存 资源控制 应用系统是否未进行资源控制配置查询记录现场检查检查人 检查日期 异常处理记录9序号 问题描述 处理方法 处理结果1 2 注:检查结果为是的内容,需要填写异常处理记录10附件4:公司基础设施季度安全检查表(安全管理员)检查结果检查项目 检查内容 检查方式不适用 是 否 未检查备注安全设备运行情况 安全设备 CPU、内存、硬盘等是否出现过异常 查询日志 安全设备的网络接口是否出现过异常 查询日志 安全设备网络连接安全设备的网
7、络连接是否出现过中断 查询日志 安全设备的策略、配置是否有不合理内容 检查策略 安全设备的策略变更是否有不规范操作 查询记录 安全设备策略配置安全设备的软件配置变更是否有不规范操作 查询记录 安全设备的告警日志是否有未处理内容 查询日志查询记录 安全日志分析安全设备的用户操作是否有违规行为 查询日志 检查人 检查日期 异常处理记录序号 问题描述 处理方法 处理结果111 2 3 4 注:检查结果为是的内容,需要填写异常处理记录12附件5:公司【好收益网贷平台】季度安全检查(安全审计员)检查结果检查项目 检查内容 检查方式 不适用 是 否未检查备注身份认证安全策略是否有未落实内容 访问控制安全策
8、略是否有未落实内容 通信安全策略是否有未落实内容 安全策略落实情况审计安全策略是否有未落实内容查询记录现场检查应用系统中是否有未授权用户出现 应用系统中是否有用户权限不合理现象 应用系统中是否有用户违规操作行为查询日志查询记录应用系统中用户认证设置是否有不合理内容 用户安全审计应用系统中用户权限设置是否有不合理内容现场检查检查人 检查日期 13异常处理记录序号 问题描述 处理方法 处理结果1 2 3 4 注:检查结果为是的内容,需要填写异常处理记录14附件6:公司基础设施季度安全检查(安全审计员)检查结果检查项目 检查内容 检查方式 不适用 是 否未检查备注身份认证安全策略是否有未落实内容 访问控制安全策略是否有未落实内容 通信安全策略是否有未落实内容 安全策略落实情况审计安全策略是否有未落实内容查询记录现场检查应用系统中是否有未授权用户出现 应用系统中是否有用户权限不合理现象 应用系统中是否有用户违规操作行为查询日志查询记录应用系统中用户认证设置是否有不合理内容 用户安全审计应用系统中用户权限设置是否有不合理内容现场检查检查人 检查日期 15异常处理记录序号 问题描述 处理方法 处理结果1 2 3 4 注:检查结果为是的内容,需要填写异常处理记录
