安全审核和安全检查管理办法

1、安全审核和安全检查管理办法第一章总则第一条为加强好收益（北京）金融信息服务有限公司（以下简称“公司”） 安全审核和安全检查管理， 规范审核和检查工作，特制订本办法。第二条本办法适用于公司。第二章管理要求第三条内部或外部相关的安全审核和安全检查工作应根据相关办法，并结 合业务实际需求进行。第四条信息安全领导小组应监督、指导安全审核和安全检查工作，督促执 行。第五条相关部门和人员应积极主动配合安全审核和检查工作，对发现的问 题应及时改进。第三章工作内容第六条各部门信息安全员应定期（每月）针对本部门信息安全相关工作进行 安全检查，并报信息安全工作组审核检查结果，并根据信息安全工作组提出 的安全建议进

2、行改进。第七条安全管理员应定期（每季度）组织进行安全检查，各部门信息安全员 应配合完成。第八条 安全审计员应定期（每季度）进行安全审查，各部门信息安全员和 中心安全管理员应配合完成。第九条信息安全工作组应制定安全检查表格，配合信息安全领导小组实施 安全检查，记录汇总安全检查数据，形成安全检查报告，并对安全检查结果 进行通报。第十条信息安全领导小组定期（每年）进行全面的信息安全检查，其内容包 括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制 度的执行情况等。第一条所有信息安全审核和安全检查工作都应记录并存档。第四章附则第十二条 本办法由公司信息安全工作组制定，并负责解释和修订。

3、第十三条本办法自发布之日起执行。附件1:公司【好收益网贷平台】安全检查记录表（部门信息安全员）检查项目标准日期12345678910111213 系统版本软件更新系统的软件更新和补丁安装 是否正常安全漏洞安全漏洞是否都已修复账号安 全账号变更账号增加删除等变更是否正 常账号权限账号的权限分配是否止常密码强度账号密码是否符合复杂度要 求运行安全运行状态软件运行状态是否正常安全口志报警日志是否所有报警日志均己分析 处理fi志审计所有记录的日志是否正常系统备份软件备份系统软件备份是否正常数据备份系统数据备份是否正常检查人员确认异常处理记录序号故障现象处理方法处理效果处理人签名日期1234注：检査结果

4、为否的内容，需要填写异常处理记录附件2：公司基础设施安全检查记录表（部门信息安全员）检查项目标准日期12345678910111213 防病 毒软 件检 查版本检查是否是最新版本病毒检查是否有病毒在活动处室 无线 路由 器检 查接入检查无线路由接入是否经授权密码设置检 查无线路由是否设置密码密码复杂程度是否合规网络 环境 检査网络连接网络线路是否连接正常网络帯宽网络帶宽是否正常备份链路备份链路是否正常防火墙防火墙工作是否止常路rti器路由器是否正常三层交换机三层交换机是否正常网络设备日 志网络设备日志是否正常服务器环境检查服务器运行状态是否正常操作系统用户管理是否正常操作系统口志是否正常操作系

5、统补丁更新是否正常备份系统检查备份系统状态是否止常备份介质状态是否正常备份和恢复程序是否正常检查人员确认异常处理记录序号故障现象处理方法处理效果处理人签名日期12345注：检查结果为否的内容，需要填写异常处理记录公司【好收益网贷平台】季度安全检查（安全管理员）检查项目检查内容检查方式检查结果备注不适用是否未检查账号管理应用系统是否有多余、无用、异常账号等情况查询记录 现场检查应用系统是否有账号权限不合理现象应用系统是否有密码设置不合理现象登录控制应用系统是否未限制失败登录次数应用系统是否未对多次登录失败采取措施处理通信安全应用系统是否未对关键通信采取加密等手段审计安全应用系统是否未启用安全审计

6、功能应用系统是否未对审计口志妥善保存资源控制应用系统是否未进行资源控制配置检查人检查日期异常处理记录序号问题描述处理方法处理结果12注：检查结果为是的内容，需要填写异常处理记录公司基础设施季度安全检查表（安全管理员）检查项目检查内容检查方式检查结果备注不适用是否未检查安全设备运行情况安全设备cpu、内存、硬盘等是否出现过异常查询日志安全设备网络连接安全设备的网络接口是否出现过异常查询日志安全设备的网络连接是否出现过中断查询日志安全设备策略配置安全设备的策略、配置是否有不合理内容检查策略安全设备的策略变更是否有不规范操作查询记录安全设备的软件配置变更是否有不规范操作查询记录安全fi志分析安全设备

7、的告警日志是否有未处理内容查询口志 查询记录安全设备的用户操作是否有违规行为查询日志检查人检查日期异常处理记录序号问题描述处理方法处理结果1234注：检査结果为是的内容，需要填写异常处理记录公司【好收益网贷平台】季度安全检查（安全审计员）检查项目检查内容检查方式检查结果备注不适 用是否未检 查安全策略落实情况身份认证安全策略是否有未落实内容查询记录 现场检查访问控制安全策略是否有未落实内容通信安全策略是否有未落实内容审计安全策略是否有未落实内容用户安全审计应用系统川是否有未授权用八出现查询日志 查询记录应用系统中是否有用户权限不合理现象应用系统中是否有用户违规操作行为应用系统中用户认证设置是否有不合理内容现场检查应用系统中用户权限设置是否有不合理内容检查人检查日期异常处理记录序号问题描述处理方法处理结果1234公司基础设施季度安全检查（安全审计员）检查项目检査内容检查方式检查结果备注不适 用是否未检 查安全策略落实情况身份认证安全策略是否有未落实内容查询记录 现场检查访问控制安全策略是否有未落实内容通信安全策略是否有未落实内容审计安全策略是否有未落实内容用户安全审计应用系统屮是否有未