信息科技風險檢查要遵循哪些原則

信息科技風險檢查遵的原則如下：

• 客觀公正原則：檢查人員應以事實為基礎，以法律法規、監管要求和信息科技規章制度為準則，客觀公正地開展信息科技風險檢查。

• 持續性原則：信息科技風險檢查應按照規定的周期持續進行，檢驗安全措施的有效性及對安全環境變化的適應性，每次檢查應涵蓋上次檢查發現風險的整改落實情況。

• 全面性原則：信息科技風險檢查應貫穿于信息科技建設的全過程，包括組織架構、規章制度、項目研發、運行維護、信息科技、外包管理等。

• 保密性原則：參與檢查的人員應嚴格遵守國家有關信息保密的法律法規及企業信息保密管理制度，承擔保密責任和義務。

信息科技風險檢查內容如下：

• 組織機構及人員：包括機構及崗位設置、人員配備、職責分工與授權、教育與培訓等。

• 規章制度：包括信息科技制度建設全生命周期的管理、制度執行情況等。

• 項目建設：包括信息系統項目管理、可行性調研、立項、開發、測試及投產等全生命周期管理等。

• 運維管理：包括監控管理、變更管理、故障管理、應急管理、系統及重要設備強制評估等。

• 機房安全：包括機房周邊環境、訪問控制、供配電及溫濕度控制、防火、防水、防塵、防雷擊、防靜電、防盜竊、防破壞等。

• 網絡安全：包括網絡結構安全、網絡區域及網段劃分、網絡訪問控制、網絡設備防護等。

• 系統安全：包括用戶管理、訪問控制、安全審計、入侵防范等。

• 數據安全：包括保密管理、密鑰管理、數據提取管理、數據備份管理等。

• 災備中心管理：包括用戶管理、人員及設備出入管理、系統監控、變更管理、數據安全、問題處理等。

• 資產管理：包括知識產權管理、設備生命周期管理、外包管理、合同管理等。