安全审核和安全检查制度
[发布时间2018年3月17日]
第一章 总则
第一条 目的。为进一步加强学校信息系统安全审核和安全检查工作,制定本管理制度。
第二条 对象。本制度的对象主要是指学校各类信息系统。
第三条 范围。本制度适用于学校各类信息系统安全审核和安全检查工作。
第四条 要求。学校各类信息系统安全检查安全管理要求统一遵循《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》。

第二章 职责与权限
第五条 信息安全领导小组作为信息系统安全检查和通报的主管部门,信息安全办公室为管理部门,负责组织制订相关管理制度,定期对信息系统进行安全检查和通报。
第六条 各部门信息部门负责信息系统安全检查和通报的职能管理,具体承担以下工作职责:
(一) 研究制定信息系统安全检查方案并组织实施;
(二) 对信息系统安全检查结果进行总结分析,提交安全检查报告;
(三) 根据信息系统安全检查结果结合工作需要,在一定范围内发布通报;
各信息部门负责制定并落实本部门安全检查方案。

第三章 检查方式
第七条 安全检查采取“自查与抽查相结合”的方式。自查是各部门对本部门主管范围内的信息系统进行安全检查,抽查是由信息安全办公室选取部分系统进行信息系统安全检查,检验自查工作的落实情况。
第八条 信息部门应每月进行一次自查,并将检查结果上报信息安全办公室。
第九条 信息安全办公室每年组织开展信息安全检查,对各部门进行抽查。

第四章 检查内容
第十条 信息系统安全检查应重点对信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全自查工作等情况进行检查。
第十一条 信息安全组织管理的检查内容包括:信息安全管理机构及其工作开展情况;信息安全管理人员及其工作开展情况等。
第十二条 日常信息安全管理的检查内容包括:人员管理;资产管理;信息技术外包服务安全管理;信息技术产品使用管理;信息安全经费保障等。
第十三条 信息安全防护管理的检查内容包括:网络边界防护管理;服务器安全防护;网络设备防护;信息安全设备部署及使用;门户网站安全管理;电子邮箱安全管理;终端计算机安全管理:移动存储设备安全管理等。
第十四条 信息安全应急管理的检查内容包括:信息系统应急预案的制定及演练;重要数据和重要信息系统的备份;信息安全事件的应急处置等。
第十五条 信息安全教育培训的检查内容包括关员信息安全基本技能培训和技术人员参加信息安全专业培训等。
第十六条 信息系统自查工作的检查内容包括:上一年度发现问题的整改;本年度检查工作开展;安全技术检测情况等。

第五章 检查报告及通报
第十七条 信息系统安全检查结束后,应对检查结果进行统计、分析,调查可疑行为及违规操作,对所发现的问题制定整改计划,落实整改措施,并及时上报信息系统安全检查报告。
第十八条 信息部门每月根据自查情况发布《信息系统安全运行情况通报》,每年根据信息安全检查情况发布《信息系统安全检查情况通报》。
第十九条 对信息系统安全检查中发现的重大信息安全事件应及时发布专项通报。

第六章 附则
第二十条 对违反本制度的人员,将按照单位有关规定进行处罚。
第二十一条 本制度由信息安全办公室负责制定、解释和修改。
第二十二条 本制度自发布之日起执行。

昆山市南港中心小学
2010年9月