第一章 总则

第一条 为了规范武汉学院信息系统安全检查工作流程，明确职责，有效地对信息系统进行安全检查，特制定本文件。

第二章 适用范围

第二条 本文件适用于武汉学院信息系统管理人员以及使用人员。

第三章 术语定义

第三条 安全检查：指内部对信息系统的安全性情况进行的评价活动。安全检查的依据是现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等。安全检查包括安全例行检查、安全专项检查等。

第四条 安全例行检查：指按照已制定的检查周期所作的检查。

第五条 安全专项抽查：指根据、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。

第四章 组织职责

第六条 安全审核和检查工作主要由网络安全与信息化领导小组、安全专职管理员组织，安全管理员负责具体安全审核和检查工作实施。

第七条 信息系统相关部门或人员配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。

第五章 通用要求

第八条 安全检查应当遵循全面、审慎、有效、独立的原则。

第九条 网络安全与信息化领导小组组长、安全专职管理员应牵头建立检查机制，制定检查计划，定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。

第十条 应当每年对系统进行全面安全检查，检查内容应覆盖现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等安全管理和安全技术两大方面。

第十一条 可根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。

第十二条 对于新系统，包括设备、主机、应用系统上线前必须经过安全检查，根据检查结果进行整改后方可上线。

第十三条 必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的风险。

第六章 安全检查准备

第十四条 网络安全与信息化领导小组组长、安全专职管理员应牵头组织相关部门或人员根据信息系统安全相关的国家法律法规、发布的相关制度和技术标准、业界规范标准确定安全检查内容和安全检查方案。

第十五条 安全管理员根据网络安全与信息化领导小组、安全专职管理员每年制定的安全检查方案，安排信息安全检查工作日程。

第十六条 安全管理员应明确检查要点、检查方式、检查工具、检查所涉及的信息系统范围和检查所需配合部门，报网络安全与信息化领导小组负责人进行审批。

第十七条 安全管理员提出检查申请，提交信息系统负责人审批。由信息系统负责人通知相关业务部门配合安全管理员进行信息安全检查工作。

第十八条 信息系统负责人应协调相关部门或第三方服务商对安全检查方案进行测试，必要时可进行安全检查的风险论证；对于第三方服务商应按照第三方管理相关要求执行。

第七章 安全检查实施

第十九条 安全管理员应组织相关部门或人员按照安全检查方案进行安全检查，根据需要组织安全专项检查。

第二十条 安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。

第二十一条 应选择对信息系统运行影响最小的方式和时间进行检查。

第二十二条 对生产环境实施安全检查应按照信息系统变更管理所规定的变更流程执行。实施对生产环境可能造成影响的安全检查后，应协调相关部门或人员对检查结果进行验证。

第二十三条 安全检查可采用抽查的方式进行，抽查的采样量应能确保安全检查结果的准确性、代表性并符合系统实际生产情况。

第二十四条 检查过程中应做好检查结果的记录工作，建立安全检查档案。

第八章 安全检查报告

第二十五条 检查完成后由安全管理员负责组织编写检查报告并提出整改建议，规定整改内容、期限和责任人，上报网络安全与信息化领导小组组长、安全专职管理员及信息系统负责人。

第九章 安全检查整改

第二十六条 相关部门应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施方案并组织整改。一时解决不了的，要及时报告网络安全与信息化领导小组，同时必须采取临时安全措施，保证安全。

第二十七条 安全管理员应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。

第二十八条 安全管理员根据检查结果和整改情况进行汇总，形成安全状况通报并上报网络安全与信息化领导小组组长、安全专职管理员及信息系统负责人。

第十章 检查工具的使用

第二十九条 在安全检查过程中如果需要使用安全工具，必需经过网络安全与信息化领导小组组长、安全专职管理员审批。

第三十条 安全检查工具只能在检查设备或者被检查部门的设备上运行，并由检查人员负责操作。

第三十一条 在生产系统中使用检查工具前，安全管理要组织进行测试工作，对其可能产生的影响进行评估和论证，必要时安排双人进行操作。

第十一章 持续改进

第三十二条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十二章 附则

第三十三条 本文件由武汉学院负责制定、解释和修改。

第三十四条 本文件自发布之日起执行。