农商行联合社信息安全检查实施细则模版.docx

农商行联合社信息安全检查实施细则     第一条    为加强农商行联合社（以下简称“省联社”）科技信息中心信息安全检查工作，提高安全生产管理水平，保障各生产系统安全、稳定、高效运行,根据《农商行信息系统安全检查管理办法》等有关规定，特制定本细则。 第二条    本办法适用范围为省联社科技信息中心（以下简称“科技信息中心”）。 第三条    科技信息中心下设各部门负责人为本部门信息安全工作的第一责任人，负责本部门日常信息安全管理工作以及安全问题的整改。 第四条    安全管理部门负责落实和执行科技信息中心的工作部署，实施信息安全检查方面的具体工作。 第五条    本细则界定的信息安全检查工作主要是指由监管部门安排、要求的或由科技信息中心自行安排的信息安全检查。检查方式包括部门自查、例行检查、重点抽查和特殊保障期检查等四种。 第六条    部门自查由各部门负责人负责组织完成，自查内容及频率由各部门自行安排。对自查中发现的问题，各部门负责人要及时督促相关人员整改，整改情况要形成整改报告并报安全管理部门备案。 第七条    例行检查和重点抽查由安全管理部门牵头组织完成。检查结束后，要对检查情况进行通报，对存在的问题提出整改意见，并负责跟踪各部门整改进展情况。例行检查每月进行一次，重点抽查不定期进行。 第八条    特殊保障期检查主要是指“十一”、春节等长假前夕，国家重大事件等特殊敏感时期，生产系统重大变更前后或根据生产运行需要而进行的信息安全检查。特殊保障期检查由安全管理部门牵头组织完成。 第九条    信息安全检查的参照依据包括但不限于以下方面。 （一）监管部门下发的涉及信息安全的监管意见、办法、信息安全通报、风险提示等文件。 （二）省联社订立的涉及信息安全的规章制度、系统操作手册等文件。 第十条    结合各部门职能分工，信息安全检查包括以下检查项目，详细检查内容见《省联社科技信息中心信息安全检查表》（附件）。 （一）基础环境安全检查项目：系统安全管理、网络安全管理、机房安全管理、设备安全管理等； （二）生产运维安全检查项目：生产运行及维护管理、数据安全管理、应急管理等； （三）开发外包安全检查项目：系统开发及测试管理、外包管理等； （四）综合管理安全检查项目：文档借阅、印章使用、人员考勤等； （五）项目管理安全检查项目：项目立项、招标、合同、文档、验收及付款等； 第十一条       检查内容除了包括针对检查表的检查，还应包括对历次检查发现问题整改情况的复查。 第十二条      检查表中的检查项目和内容可根据实际工作情况进行修改和补充。 第十三条     实施检查时，应结合各部门每周工作实际情况进行，保证检查工作及时、有效。 第十四条     对监管部门安排和要求的检查，安全管理部门按照相关要求组织各部门进行，及时向监管部门报送自查报告，并对检查中发现的问题进行督促整改。 第十五条     对于在例行检查、重点抽查以及特殊保障期检查中发现的需要进行整改的问题，以信息安全检查通报的形式下达给各部门落实整改。 第十六条      安全管理部门拟定信息安全检查通报，填写整改事项内容及要求，经科技信息中心负责人审核并签发后，下达给各部门。 第十七条      收到信息安全检查通报后，各部门负责人应指派专人根据整改事项的内容和要求，制定整改计划和方案，确定整改措施、具体时间安排和具体责任人员，填报省联社科技信息中心信息安全检查整改台账，在信息安全检查通报签发两周内将整改台账报安全管理部门。 第十八条      安全管理部门根据整改台账，适时组织相关人员对整改情况进行复查，并将复查未达到合格标准的项目发回责任部门继续整改，直至合格为止。 第十九条       对积极配合信息安全检查、问题整改效率高、全年安全生产无事故的部门，科技信息中心将给予一定奖励。 第二十条        责任部门对信息安全检查通报不予重视、未按时填报整改台账、迟迟不改或抵制不整改的，视情节轻重，追究部门负责人和相关责任人的责任。 第二十一条   本细则由农商行联合社制订并负责解释。 第二十二条   辖内办事处（市联社）、县级行社可参照本细则予以执行。 第二十三条   本细则自印发之日起施行。   附件：省联社科技信息中心信息安全检查表   附件： 省联社科技信息中心信息安全检查表 检查部门：             检查人员：                         检查日期： 序号 检查项目 检查内容 检查结果 备注（对于不符合项，描述整改措施及整改时间） 是√ 否X 1 生产运维管理 系统运行维护人员每日定时巡检记录是否完备，是否按规定登记巡检登记簿 　 　 　 2 每日值班人员是否按时进行交接班并做好相应的登记 　 　 　 3 生产故障事件是否有登记 　 　 　 4 生产故障事件是否分级 　 　 　 5 生产故障事件上报时限 　 　 　 6 生产故障事件上报流程（路线） 　 　 　 7 每日值班人员是否按规定进行数据备份，并做好登记和交接工作。 　 　 　 8 生产系统所有用户、密码是否按权限、分人、分类进行管理，并对人员名单进行造册登记 　 　 　 9 所有用户密码是否按规定定期更换 　 　 　 10 重要用户密码是否双人分段保存并履行相关封存备份手续 　 　 　 11 生产操作间是否执行双人进出制度 　 　 　 12 所有人员进出生产操作间是否经过相应的审批，并做好登记 　 　 　 13 外包人员进入生产环境进行操作是否有相应的审批手续，并有内部员工全程陪同 　 　 　 14 在生产操作间中进行的操作，是否有详细的操作记录 　 　 　 15 生产操作如需使用U盘、移动硬盘等移动存储设备时，是否使用专用的移动存储设备 　 　 　 16 是否有携带任何与工作无关的物品进入生产操作间 　 　 　 17 生产操作间内是否有吸烟、会客、聊天、吃食、饮水、大声喧哗等现象 　 　 　 18 生产操作间内是否有废弃的报表和纸张 　 　 　 19 日常运维是否具备相应的操作资料（手册），包括设备及系统的运维、应急处理操作手册，服务对象及技术支持的通讯录 　 　 　 20 每次生产变更是否制定有生产变更计划 　 　 　 21 每次生产变更是否制定有应急和回退方案 　 　 　 22 生产变更是否履行相关审批手续并有记录 　 　 　 23 生产变更是否双人操作、复核 　 　 　 24 对生产数据的维护，是否有有效的申请单和传真附件作为依据 　 　 　 25 开发人员与运维实施人员是否存在兼岗现象 　 　 　 26 是否对业务出现风险的可能性和损失进行分析 　 　 　 27 系统投产前是否进行了风险审核 　 　 　 28 对基础设施是否进行了安全评估，对基础设施的可用性、可靠性的检查 　 　 　 29 是否对运维人员的安全意识进行提高和检查 　 　 　 30 是否建立运营维护的服务标准和改进机制 　 　 　 31 是否有日志管理制度，同时对日志是否进行分析和定期检查 　 　 　 32 是否建立服务台，是否对事件和问题进行分类管理 　 　 　 33 机房环境 非机房工作人员进入机房工作时，是否有机房工作人员陪同，并通过相关人员授权，办理登记手续 　 　 　 34 机房监控内容（环境监控、主机监控、网络监控、交易监控、网点监控）及报警方式如何（声音、短信、邮件、电话、高亮等方式） 　 　 　 35 机房监控录像的保存时间是否达到3个月 　 　 　 36 机房综合布线是否整齐、规范 　 　 　 37 机房门禁系统是否正常 　 　 　 38 门禁记录保存时间多长，是否达到相关标准 　 　 　 39 机房消防通道是否畅通 　 　 　 40 是否定期验证消防报警系统（备注列出最近一次验证的日期） 　 　 　 41 消防喷淋启动按钮是否设置为手动位 　 　 　 42 是否配备灭火器 　 　 　 43 是否按规定定期检查灭火器材 　 　 　 44 机房内是否有应急照明 　 　 　 45 机房配电系统是否为双路供电 　 　 　 46 UPS是否为机房设备供电专用 　 　 　 47 供电系统是否设置防雷击保护装置（备注注明防雷级数） 　 　 　 48 UPS负载是否小于有效输出功率的80% 　 　 　 49 UPS后备时间是否大于30分钟 　 　 　 50 UPS电池房是否有消防系统 　 　 　 51 UPS电池有无定期放电检测（列出最近一次放电的日期） 　 　 　 52 UPS是否有专业公司进行维护保养（备注填写最近一次保养的时间和内容） 　 　 　 53 中心机房发电机功率是否保证对机房UPS供电 　 　 　 54 发电机是否定期保养（备注填写最近一次保养的时间与内容) 　 　 　 55 发电机是否为机房UPS供电专用 　 　 　 56 机房温度是否控制在22℃左右 　 　 　 57 机房湿度是否在45%--65% 　 　 　 58 是否定时检查机房温度和湿度（在备注注明记录保存时间） 　 　 　 59 空调设备是否有专业公司进行维护保养（备注标明最近一次保养的时间） 　 　 　 60 精密空调控制模块配置是否是N+1冗余方式 　 　 　 61 机房内地面、天花板和墙面有无渗漏水 　 　 　 62 漏水报警装置是否正常工作 　 　 　 63 是否设置防鼠害的有关措施 　 　 　 64 网络管理 网络域如何划分 　 　 　 65 生产网、开发测试网、互联网是否物理隔离 　 　 　 66 对于远程拨号访问的网络用户，是否有相应的审批手续，并严格设定其访问权限 　 　 　 67 与第三方连接是否经过了防火墙控制 　 　 　 68 与第三方连接的机器IP地址是否进行了NAT地址转换 　 　 　 69 登录广域网路由器是否做了访问控制 　 　 　 70 防火墙控制是否只开放了必要的主机和端口 　 　 　 71 访问控制列表是否只开放了必要的主机和端口 　 　 　 72 防火墙是否为不透明模式 　 　 　 73 是否有漏洞扫描装置（备注标明多长时间漏扫一次） 　 　 　 74 系统安全 系统是否只保留必要的用户（74至80项包括操作系统、数据库、应用系统） 　 　 　 75 每个用户账号的使用人员是否唯一 　 　 　 76 系统补丁与更新程序是否定期安装 　 　 　 77 是否关闭不必要的服务和端口 　 　 　 78 是否安装防病毒软件 　 　 　 79 是否启用系统的审计功能和安全策略 　 　 　 80 是否定期对系统配置参数进行备份 　 　 　 81 重要信息系统是否采用采用的高可用技术（双机热备、双机冷备、负载均衡、存在单点） 　 　 　 82 数据管理 是否对客户信息等重要数据的访问进行授权、审计 　 　 　 83 外包人员在测试过程中需要的数据是否有相应的审批手续，并进行脱敏 　 　 　 84 客户信息等重要数据的存储是否采取加密保护措施 　 　 　 85 客户信息等重要数据的传输是否采取加密或其他保护措施 　 　 　 86 是否制定了备份介质管理措施 　 　 　 87 信息系统数据是否有备份和恢复策略 　 　 　 88 是否测试过备份介质及数据的可用性 　 　 　 89 是否有移动存储介质的管理规范 　 　 　 90 应急管理 是否有应急与业务连续性的制度 　 　 　 91 是否建立应急处置组织架构 　 　 　 92 是否建立业务连续性组织架构 　 　 　 93 重要信息系统是否制定了单项应急预案（设备类、系统类、网络类、供电类等） 　 　 　 94 每年是否有应急预案演练的计划（备注标明今年演练或计划演练的时间） 　 　 　 95 应急预案定期进行演练是否有记录，是否形成报告且得到管理层认可 　 　 　 96 是否按信息通报管理要求上报安全事件 　 　 　 97 总体应急预案是否根据实际情况进行了修订 　 　 　 98 对银监局检查后的应急预案内容不完整情况是否完善 　 　 　 99 开发测试 开发人员的道德品行是否进行考核及考核情况 　 　 　 100 关键开发岗位人员是否有B岗及岗位接替计划 　 　 　 101 开发人员是否熟悉风险管理制度和流程 　 　 　 102 项目开发是否有详细的需求分析和项目计划 　 　 　 103 是否建立配置管理流程 　 　 　 104 是否制定开发过程中的风险管理计划 　 　 　 105 项目设计文档是否完备，包括需求及架构说明书、软件设计说明书及数据库设计说明书 　 　 　 106 是否对项目需求、项目计划、设计文档、测试文档、上线方案等进行了评审 　 　 　 107 是否进行项目周例会及按时提交项目周报 　 　 　 108 开发过程中是否有进度控制、质量控制 　 　 　 109 是否定期提交项目进度报告 　 　 　 110 项目开发过程中的变更是否有变更报告 　 　 　 111 开发过程中是否实现版本控制及版本控制方法 　 　 　 112 是否制定了项目资料文档格式的标准化规范并执行 　 　 　 113 测试过程是否有测试计划、测试方案及相应的功能、性能报告 　 　 　 114 系统上线前是否有详细的上线方案及应急预案 　 　 　 115 系统投产前是否进行了安全风险评估 　 　 　 116 开发完成后是否编写了操作说明书及常见问题手册 　 　 　 117 是否具有项目验收报告 　 　 　 118 系统上线后是否组织人员对系统进行后评价并出具项目总结报告 　 　 　 119 开发人员登录系统是否都通过了密控设备 　 　 　 120 各类开发机是否只设立必要操作系统、数据库用户 　 　 　 121 各类开发机操作系统、数据库用户密码是否定期更改（备注标明本年度密码更换次数） 　 　 　 122 开发、测试环境是否只针对必要人员开放 　 　 　 123 外包管理 外包合同的内容是否包含（知识产权与保密条款、服务水平约定、应急支付约定、罚则等） 　 　 　 124 是否与外包公司签定了保密协议 　 　 　 125 是否与外包公司服务人员签定了保密协议 　 　 　 126 是否制定了外包服务机构和人员的安全管理措施（备注具体措施） 　 　 　 127 外包人员自带的电脑等设备接入行内网络前是否经过行内相关部门审批、授权以及操作限制，同时安装防信息拷贝的客户端软件 　 　 　 128 是否对外包人员活动行为进行了监控和审计 　 　 　 129 是否存在外包人员通过远程拨号、ＶＰＮ方式远程进行设备维护和登陆内网服务 　 　 　 130 是否制定了外包突发事件应急预案 　 　 　 131 外包人员提交的代码是否经过代码走查 　 　 　 132 外包人员开发所使用的本行客户资料等数据是否经过脱敏处理 　 　 　 133 是否按照“必须知道”和“最小授权”原则对外包服务商相关人员授权 　 　 　 134 对外包人员是否进行了定期评价（至少3个月1次） 　 　 　 135 对外包商是否进行了评价（1年1次） 　 　 　 136 是否建立外包项目评价机制，对合同执行情况进行考核评价 　 　 　 137 是否建立外包服务现场检查制度 　 　 　 138 是否对重要外包商、外包人员进行了资质审核 　 　 　 139 是否制定外包商替换方案 　 　 　 140 是否制定外包准入管理机制 　 　 　 141 是否对外包商开发的重要系统进行接收，以降低对外包人员的依赖度 　 　 　 142 综合管理 借阅已归档的文件，是否有登记 　 　 　 143 各部门因工作原因需要复印文件，是否有审批登记 　 　 　 144 部门负责人外出，是否指定部门员工作为文件办理联络员，并报送综合管理部门 　 　 　 145 借用人员进入科技中心是否填写了《借用人员登记表》在综合管理部门进行备案 　 　 　 146 保安人员对出入中心机房的外来人员、设备、物品是否进行审查并登记 　 　 　 147 用印审批登记簿用印记录是否完整 　 　 　 148 设备管理 重要设备选型是否有完整的测试方案和测试报告 　 　 　 149 设备到货后是否进行验收，是否有验收报告（到货验收、实物验收、技术验收） 　 　 　 150 是否建立设备档案进行设备管理（设备登记档案包含设备管理卡、设备配置清单(包括设备当前实际配置，初始配置和历次配置变更记录)、系统结构说明(拓扑图和系统配置清单)、设备验收报告、设备安装实施说明书、设备预防性维护巡检报告、设备维修维保记录） 　 　 　 151 是否设立了设备保管员岗位 　 　 　 152 设备入库是否有设备验收报告，设备出库是否进行相关登记 　 　 　 153 存放设备的库房是否具备防火、防水、防盗、防潮、防尘等设施及环境 　 　 　 154 设备保管员是否定期查库 　 　 　 155 设备保管员变更时是否办理交接手续 　 　 　 156 设备需外送维修及维护时,是否经本级科技管理部门负责人批准,并由设备保管员进行登记 　 　 　 157 是否建立并执行设备维修及维护检查制度 　 　 　 158 项目管理 项目合同材料是否完整       159 项目付款材料是否完整       160 项目全套资料是否备份保存       161 是否建立了项目考核评价机制       注：以上检查内容可根据实际情况进行修改补充。