网络安全责任制检查考核制度
第一章 总则
第一条 为加强我院网络安全管理,全面掌握学院业务系统网络安全现状,及时发现存在的薄弱环节和安全隐患,有效防范网络安全事件的发生,构建良好的网络环境,制定本考核制度。
第二条 学院网络安全检查工作由学院网络安全和信息化工作领导小组负责,信息中心负责组织实施。部门检查工作由各部门、各二级学院负责人组织实施,做到责任明确,措施到位。
第二章 检查方式和周期
第三条 学校网络与信息安全检查采取自查、抽查相结合的方式。
(一)自查是各部门、各二级学院基于本制度的要求,周期性开展的网络与信息安全检查。
(二)抽查是网络安全和信息化办公室组织的网络与信息安全检查。网络安全和信息化办公室制定并实施学校的年度信息安全检查计划。
第四条 检查周期。
(一)各部门、各二级学院每年至少开展一次自查工作。可选在关键或敏感的重点时间节点之前进行,检查重点为上次自查、抽查问题的整改情况和发生变化的系统。
(二)抽查工作是与阶段性的重点工作、重大活动和节假日工作相结合而开展的。
第三章 检查内容和方法
第五条 检查内容可分为管理和技术两个方面。
管理方面是检查安全管理要求和流程的执行情况;技术方面是检查各软、硬件系统是否符合安全技术要求、安全配置要求以及其它安全技术规范。
第六条 检查方法应采取人工与技术手段相结合的方式进行,包括但不限于对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等,确保检查的有效性和完整性。
第四章 检查流程和要求
第七条 检查流程包括:制定计划、准备、实施、改进等四个阶段。
第八条 计划阶段。检查前,组织者应制订具体的检查计划,确定本次检查范围、重点内容、检查方法、时间安排、人员安排、主要风险及防范措施等。
第九条 准备阶段。
(一)细化检查内容。如:检查的系统范围,检查的重点项,如弱口令、错敏词、邮箱账号、信息发布等等。
(二)培训。重点培训检查人员,说明检查内容和方法、主要风险及防范措施、问题处理方法等。
(三)配置必要的技术装备,如漏洞扫描工具、WEB扫描工具等。
第十条 实施阶段。
(一)按照办公室颁布的检查要求进行检查并如实记录。
(二)检查人员签字确认检查结果。
(三)检查结束后,编写《自查工作总结》(参见附件一),总结报告应包括自查工作的组织开展情况、责任落实情况、检查内容的自查情况、信息系统资产梳理情况等内容,经各部门、各二级学院负责人签字盖章后,于3日内提交学校主管部门备案。
第十一条 改进阶段。
(一)各部门、各二级学院认真分析发现的问题,在7日内制订相应的整改计划及实施方案;
(二)整改完成后,向网络安全与信息化建设领导小组办公室提交反馈整改情况。
第十二条 任何形式的检查都应获得相应授权,不得违反学院相关网络安全管理规定要求,应遵循对应用系统影响最小化的原则,严格控制可能带来高风险的检查方法;对于在线业务系统的检查时间需避开业务高峰时期。
第五章 评价与考核
第十三条 学校将按照《网络安全工作责任制的实施细则》,对各部门、各二级学院网络与信息安全检查工作、检查结果以及整改情况进行评价考核。
第十四条 在网络与信息安全检查与整改工作中弄虚作假的,一经查实,将按照学院有关管理制度对该部门的相关领导和责任人进行处罚。
第六章 附则
第十五条 本制度从发文之日起实施。
第十六条 本制度解释权归南京审计大学金审学院网络安全与信息化领导小组。
苏公网安备 32011302320478号