怒江州统计局信息安全审计管理制度
第一条 为了加强全州统计系统信息安全审计工作管理,确保信息安全管理符合国家有关要求,特制订本制度。
第二条 本规定适用于怒江州统计局。
第三条 信息安全检查包括各业务科室自查和信息科定期执行的安全检查。
第四条 各业务科室的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况,自查工作应保留自查结果。自查应至少一年组织一次。
第五条 信息科执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务科室自查结果抽查等。安全检查应一年组织一次。
第六条 自查和安全检查均应在检查之前形成检查表,自查检查表应经过业务科室分管领导审核通过,安全检查表应经过主要领导审核通过。
第七条 应严格按照检查表实施检查,检查完毕,记录下所有检查结果,检查记录需经各业务科室分管领导签字认可。
第八条 应对检查记录进行归档,只有授权人员可以访问阅读
第九条 应对检查结果进行汇总分析,形成安全检查报告,检查报告应对问题进行分析,提出解决建议。
第十条 应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。
第十一条 各业务科室应阅读并理解安全检查报告,在信息科的指导下对出现的问题进行整改。信息科应对整改过程进行监督,并将整改结果报送主要领导。
第十二条 安全审计的内容主要包括:
1、相关法律法规的符合情况;
2、管理部门的相关管理要求的符合情况;
3、现有安全技术措施的有效性;
4、安全配置与安全策略的一致性;
5、安全管理制度的执行情况;
6、安全检查和自查的检查结果及检查报告;
7、日志信息是否完整记录;
8、各类重要记录是否免受损失、破坏或伪造篡改;
9、检查系统是否存在漏洞;
10、检查数据是否具备安全保障措施。
第十三条 安全审计工作应具有独立性,避免有舞弊的情况发生。
第十四条 被审计方应积极配合信息安全审计工作,应对审计结果进行确认。
第十五条 安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。信息科应将改进过程和结果通告给主要领导。
第十六条 本制度自发布之日起生效。
