一、总则

第一条 为了督促学院网络与信息系统安全管理要求、技术规范良好执行，落实各项网络与信息安全工作，特制定信息安全检查制度。

第二条 本制度的目标是规范学院信息安全检查工作的具体过程，明确各相关人员的职责和工作内容，为信息安全检查工作的顺利开展提供有效的指导。

二、安全检查概要

第三条 各管理员应定期检查安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

第四条 每次信息安全检查过程与结果都要记录并保存，每次检查后出具安全检查报告，报告中应包括检查事项、检查人员、检查数据汇总表、检查结果等内容。

第五条 对于检查过程中发现的不符合项，管理员形成书面改进意见后，经信息化建设与管理中心领导审核后，指派专人整改。

三、管理规范检查列表

第六条 信息安全相关制度

检查信息安全相关制度的覆盖范围以及制度的适宜程度；信息安全相关制度管理工作的开展情况，包括制度的制定、落实、评审与修订等是否符合规范要求等。

第七条 人员安全管理

岗位设置及人员配备：包括安全相关岗位的设立以及职责的明确/落实、岗位的授权等；内部人员安全管理：包括员工的安全培训及考核、岗位授权管理、保密协议签订等；外部组织人员安全管理：包括外部组织访问事前、事中及事后不同阶段的安全控制措施的落实情况等。

第八条 信息资产管理

资产管理：包括信息资产识别、分类、标识；介质管理：包括介质在使用、传输、保存、清除及销毁等过程中的安全控制落实情况；设备管理：包括各类设备在使用和管理维护过程中的安全控制措施落实情况。

第九条 系统运维管理

运维管理：包括用户账号情况、系统漏洞情况、系统审计情况；监控、恶意代码防范、变更管理等的落实情况。

四、技术规范检查列表

第十条 物理安全管理

物理环境安全：包括物理区域的电源、防雷、防火、防潮、 防静电等周边环境安全控制措施落实情况等； 访问控制：为保护区域内信息不受非授权物理访问，机房及 重要办公场所的访问控制措施（如门禁、值守等），以及防盗窃、防破坏措施的实施情况。

第十一条 系统建设安全

系统建设安全：系统建设整个生命周期，包括系统建设设计 阶段、实施阶段以及验收阶段中涉及的信息安全控制措施落实情况；

第十二条 应用安全检查

应用系统安全：对于应用系统技术安全控制落实情况的检查 ，包括身份鉴别、访问控制、交易安全、数据安全、密码安全、输入输出合法性、备份恢复、日志及审计等；数据库安全：对于常用数据库（Oracle、SQLServer 等）的安全配置、访问控制、备份恢复、日志及审计情况等进行检查；中间件安全：对于中间件的安全配置、访问控制、备份恢复 、日志及审计情况等进行检查。

第十三条 网络安全检查

网络架构：对网络整体架构的安全情况，包括网络可用性、访问控制、网络管理与审计、网络防护等方面的安全控制情况进行检查；网络设备安全：包括针对网络主要设备（如路由器、交换机等）以及网络中部署的安全设备（防火墙、入侵检测、防病毒系统）等的安全配置、访问控制、备份、日志与审计等进行检查。

第十四条 服务器主机安全检查

主机操作系统的安全性，包括账号安全、系统日志、安全配置等。

第十五条 终端安全检查

终端的安全，包括终端安全配置，补丁安装情况、终端系统 以及账户情况，终端口令策略检查，终端使用安全检查，终端开启服务 检查，终端防病毒检查。

五、附则

第十六条 本制度由信息化建设与管理中心负责解释。

第十七条 本制度自发布之日起施行。