各县（市、区）交通运输局，城乡一体化示范区城市管理交通运输局，局属各单位：

现将《商丘市交通运输行业网络安全责任制检查考核制度》印发你们，请按照制度要求，结合工作实际，认真贯彻落实。

                            2023年8月20日

商丘市交通运输行业

网络安全责任制检查考核制度

第一章 总则

    第一条 为加强全市交通运输行业网络信息化安全管理，全面掌握全市交通运输行业网络与信息安全现状，及时发现存在的薄弱环节和安全隐患，有效防范信息安全事件的发生，构建良好的网络环境，规范网络与信息安全检查工作，制定本检查考核制度。

    第二条 网络与信息安全检查坚持“贵在真实，重在整改”的工作原则。

    第三条 网络与信息安全检查工作由主要领导负责，分管副职组织实施，做到责任明确，措施到位。

    第四条 本办法适用交通运输行业各单位、各部门。

    第二章 检查方式和周期

    第五条 网络信息安全工作检查采取自查、抽查和专项检查相结合的方式。

    （一）自查是各部门基于本办法的要求，周期性开展的网络与信息安全检查。检查工作可以由信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。

    （二）抽查是指网络安全与信息化建设领导小组办公室组织的网络与信息安全检查。网络安全与信息化建设领导小组办公室制定并实施政府的年度信息安全检查计划，检查工作可以由部门相关信息安全人员承担，也可以委托具有相关安全认证资质的机构或邀请专家承担。

    （三）专项检查是由国家主管部门具有特定目的的网络与信息安全检查。检查工作由检查组织单位委托具有相关安全认证资质的机构或邀请专家承担。

    第六条 检查周期。

    全市交通运输行业各单位、各部门每年至少开展一次自查工作。原则上可选在“两会”与国庆节前进行，检查重点为上次自查、抽查或者专项检查问题的整改情况和发生变化的系统。

    （一）抽查工作是与阶段性的重点工作、重大活动和节假日工作相结合而开展的。

    （二）专项检查工作是根据国家的阶段性重点工作或者有针对性的网络与信息安全事件而开展的。

    第三章 检查内容和方法

    第七条 检查内容可分为管理和技术两个方面。

    管理方面是检查安全管理要求和流程的执行情况；技术方面是检查各软、硬件系统是否符合安全技术要求、安全配置要求以及其他安全技术规范。

第八条 检查方法应采取人工与技术手段相结合的方式进行，包括对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈、现场观察、资料查阅等，确保检查的有效性和完整性。

第四章 重大问题与整改

    第九条 立行立改。

    （一）被检查部门认真分析发现的问题及时整改，重大问题需在7日内制订相应的整改计划及实施方案，做到“项目、措施、责任、时间和资金”五落实；

    （二）整改完成后，向局网络安全与信息化建设领导小组办公室提交《网络与信息安全检查整改情况报告》，并提请复核。

    第十条《网络与信息安全检查整改情况报告》等相关文档，经过审批后存档。

    第十一条 对于国家主管部门组织的各种网络与信息安全检查，被查部门要以电话、传真或电子邮件形式及时上报至网络安全与信息化建设领导小组。被检查部门应按照本办法相关要求进行改进，妥善保留有关检查结果和报告并存档。

    第十二条 各种形式的检查都应获得相应授权，不得违反相关信息安全管理规定要求，应遵循对应用系统影响最小化的原则，严格控制可能带来高风险的检查方法；对于在线业务系统的评估检查时间必须避开业务高峰时期。

    第五章 评价与考核

    第十三条 检查考核组对各网络与信息安全检查工作、检查结果以及整改情况进行评价考核。

    第十四条 网络安全建设和绩效纳入审计范围，作为领导班子、领导干部考核评价的主要内容。

    第十五条 在网络与信息安全检查与整改工作中弄虚作假的，一经查实，将按照有关管理制度对该部门的相关领导和责任人进行处罚。