@时光机
2年前 提问
1个回答

信息科技风险检查要遵循哪些原则

安全小白成长记
2年前

信息科技风险检查遵的原则如下:

  • 客观公正原则:检查人员应以事实为基础,以法律法规、监管要求和信息科技规章制度为准则,客观公正地开展信息科技风险检查。

  • 持续性原则:信息科技风险检查应按照规定的周期持续进行,检验安全措施的有效性及对安全环境变化的适应性,每次检查应涵盖上次检查发现风险的整改落实情况。

  • 全面性原则:信息科技风险检查应贯穿于信息科技建设的全过程,包括组织架构、规章制度、项目研发、运行维护、信息科技、外包管理等。

  • 保密性原则:参与检查的人员应严格遵守国家有关信息保密的法律法规及企业信息保密管理制度,承担保密责任和义务。

信息科技风险检查内容如下:

  • 组织机构及人员:包括机构及岗位设置、人员配备、职责分工与授权、教育与培训等。

  • 规章制度:包括信息科技制度建设全生命周期的管理、制度执行情况等。

  • 项目建设:包括信息系统项目管理、可行性调研、立项、开发、测试及投产等全生命周期管理等。

  • 运维管理:包括监控管理、变更管理、故障管理、应急管理、系统及重要设备强制评估等。

  • 机房安全:包括机房周边环境、访问控制、供配电及温湿度控制、防火、防水、防尘、防雷击、防静电、防盗窃、防破坏等。

  • 网络安全:包括网络结构安全、网络区域及网段划分、网络访问控制、网络设备防护等。

  • 系统安全:包括用户管理、访问控制、安全审计、入侵防范等。

  • 数据安全:包括保密管理、密钥管理、数据提取管理、数据备份管理等。

  • 灾备中心管理:包括用户管理、人员及设备出入管理、系统监控、变更管理、数据安全、问题处理等。

  • 资产管理:包括知识产权管理、设备生命周期管理、外包管理、合同管理等。