安全审核和安全检查管理办法

1、 安全审核和安全检查管理办法第一章 总则 第一条 为加强好收益（北京）金融信息服务有限公司（以下简称“公司”）安全审核和安全检查管理， 规范审核和检查工作，特制订本办法。 第二条 本办法适用于公司。 第二章 管理要求 第三条 内部或外部相关的安全审核和安全检查工作应根据相关办法，并结合业务实际需求进行。 第四条 信息安全领导小组应监督、指导安全审核和安全检查工作，督促执行。 第五条 相关部门和人员应积极主动配合安全审核和检查工作，对发现的问题应及时改进。 第三章 工作内容 第六条 各部门信息安全员应定期（每月）针对本部门信息安全相关工作进行安全检查，并报信息安全工作组审核检查结果，并根据信息安

2、全工作组提出的安全建议进行改进。 第七条 安全管理员应定期（每季度）组织进行安全检查，各部门信息安全员应配合完成。 第八条 安全审计员应定期（每季度）进行安全审查，各部门信息安全员和中心安全管理员应配合完成。 第九条 信息安全工作组应制定安全检查表格，配合信息安全领导小组实施安全检查，记录汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。 第十条 信息安全领导小组定期（每年）进行全面的信息安全检查，其内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 第十一条 所有信息安全审核和安全检查工作都应记录并存档。 第四章 附则 第十二条 本办法由公司

3、信息安全工作组制定，并负责解释和修订。 本办法自发布之日起执行。 第十三条附件1： 公司【好收益网贷平台】安全检查记录表（部门信息安全员） 日检查项标12345678910111213系统的软件更新和补丁安软件更系统是否正安全漏安全漏洞是否都已修账号增加删除等变更是否账号变账号账号权账号的权限分配是否正账号密码是否符合复杂度密码强运行软件运行状态是否正运行状是否所有报警日志均已分报警日志安全日 处理 志 日志审计 所有记录的日志是否正常 软件备份 系统软件备份是否正常 系统备 份 数据备份 系统数据备份是否正常 检查人员确认 异常处理记日处理人签处理效处理方故障现序1234 注：检查结果为否的

4、内容，需要填写异常处理记录附件2： 公司基础设施安全检查记录表（部门信息安全员） 检查项目 标准 1 日期 2 3 4 5 6 7 8 9 10 11 12 13 防病毒软件检 查版本检查 是否是最新版本 是否有病毒在活动病毒检查 处室无线路由密码设置检器检 查网络接入检查 无线路由接入是否经授权 无线路由是否设置密码 查 网络连接网络线路是否连接正常 密码复杂程度是否合规 环境 检查 网络带宽网络带宽是否正常 备份链路备份链路是否正常 防火墙防火墙工作是否正常 路由器路由器是否正常 三层交换机网络设备日 三层交换机是否正常 网络设备日志是否正常 志 服务器运行状态是否正常 服务器环境检查 操

5、作系统用户管理是否正常 操作系统日志是否正常 操作系统补丁更新是否正常 备份系统状态是否正常 备份系统检查 备份介质状态是否正常 备份和恢复程序是否正常 检查人员确认 异常处理记录 序号 故障现象 处理方法 处理效果 处理人签名 日期 1 2 3 4 5 注：检查结果为否的内容，需要填写异常处理记录 附件3： 公司【好收益网贷平台】季度安全检查（安全管理员） 检查项目检查结果 备 检查方式检查内容 不适用 是 否 未检查 注 应用系统是否有多余、无用、异常账号等情况 账号管理应用系统是否有账号权限不合理现象应用系统是否有密码设置不合理现象 登录控制应用系统是否未限制失败登录次数 查询记录 通信

6、安全应用系统是否未对多次登录失败采取措施处理 现场检查 应用系统是否未对关键通信采取加密等手段应用系统是否未启用安全审计功能 审计安全应用系统是否未对审计日志妥善保存 资源控制应用系统是否未进行资源控制配置 检查人 检查日期 异常处理记录 序号问题描述 处理方法 处理结果 1 2 注：检查结果为是的内容，需要填写异常处理记录附件4： 公司基础设施季度安全检查表（安全管理员） 检查项目 检查内容 检查方式 是不适用检查结果 备注 否 未检查 安全设备运行情况 安全设备网络连接 CPU安全设备、内存、硬盘等是否出现过异常 查询日志 安全设备的网络接口是否出现过异常 查询日志 查询日志安全设备的网络

7、连接是否出现过中断 安全设备策略配置 安全设备的策略、配置是否有不合理内容 检查策略 查询记录 安全设备的策略变更是否有不规范操作 查询记录 安全设备的软件配置变更是否有不规范操作 安全日志分析 查询日志 安全设备的告警日志是否有未处理内容 查询记录 查询日志 安全设备的用户操作是否有违规行为 检查人检查日期 异常处理记录 序号处理方法 问题描述 处理结果 1 2 3 4 注：检查结果为是的内容，需要填写异常处理记录附件5： 公司【好收益网贷平台】季度安全检查（安全审计员） 检查项目 检查内容 检查方式检查结果 备注 不适 用是 否未检 查身份认证安全策略是否有未落实内容 安全策略落实情况 访

8、问控制安全策略是否有未落实内容 通信安全策略是否有未落实内容查询记录现场检查 审计安全策略是否有未落实内容 应用系统中是否有未授权用户出现 应用系统中是否有用户权限不合理现象查询日志 用户安全审计 应用系统中是否有用户违规操作行为查询记录 应用系统中用户认证设置是否有不合理内容现场检查 应用系统中用户权限设置是否有不合理内容 检查人 检查日期 异常处理记录 序号 问题描述 处理方法 处理结果1 2 3 4 注：检查结果为是的内容，需要填写异常处理记录 附件6： 公司基础设施季度安全检查（安全审计员） 检查项目 检查内容 检查方式 检查结果 备注 不适 用 是 否未检 查 安全策略落实情况身份认证安全策略是否有未落实内容 查询记录 现场检查 访问控制安全策略是否有未落实内容 通信安全策略是否有未落实内容 审计安全策略是否有未落实内容 用户安全审计 应用系统中是否有未授权用户出现 查询日志 查询记录 应用系统中是否有用户权