安全审计与检查管理规定
总则
为规范科技发展部信息安全检查和外部检查审计配合工作，明确信息安全检查方法、工作流程和跟踪改进要求，特制定本规定。
本规定适用于科技发展部职责范围内的信息安全检查和外部检查审计等活动。
本规定所称外部检查审计是指哈尔滨银行以外的单位或总行相关部门发起的对科技发展部职责范围内涉及信息科技、管理体系相关的检查或审计，不包含财务审计。
组织与职责
科技发展部风险管理组负责信息安全检查的组织、实施和整改情况跟踪；牵头配合外部检查审计工作的开展。
各部门负责组织本部门信息安全自查，落实相关整改工作，配合科技发展部内外部检查审计工作。
各部门信息安全员负责实施部门信息安全自查，配合科技发展部检查和外部检查审计工作。
信息安全检查的依据、方式和频率
信息安全检查工作的依据为国家相关法律法规、行业规章和监管要求、总行及科技发展部相关制度要求等。
信息安全检查分为部门自查和科技发展部检查。各部门每季度开展自查，科技发展部每半年开展全面检查。信息安全工作指挥小组根据需要可适时下达开展信息安全专项检查的要求，科技发展部负责组织和实施。
科技发展部风险管理组负责建立并维护哈尔滨银行信息安全检查项目库，各部门应根据哈尔滨银行检查项目库，针对部门及岗位工作职责、信息安全工作要求和专业特性进行细化，建立并维护本部门信息安全检查项目清单并向科技发展部备案。
信息安全检查项目应包含检查项目名称、检查内容、检查方法、检查频率等内容。信息安全检查项目中应明确标识重点检查项目，每次科技发展部检查或部门自查都应包含重点检查项目，年度内信息安全检查项目应达到检查频率要求。
信息安全检查的方式包括访谈、现场检查、现场观察和工具使用等。检查涉及专用工具的使用时，应经过审批，并在检查计划内明确工具使用的目的、范围及可能造成的影响，工具的使用过程必须得到监督和记录。
信息安全检查的工作流程
各部门按照以下步骤开展部门自查：
各部门在实施部门自查前应由安全员牵头，抽调各职能组相关人员组成部门检查组；
检查组在检查实施前应填写《安全检查计划表》和《安全检查项目表》，经本部门负责人审批后执行，同时向科技发展部备案；
在检查实施期间，检查组应根据检查情况填写《安全检查记录表》并进行汇总整理；
检查组应要求相关责任人对《安全检查记录表》确认，部门自查结束后，检查组应将《安全检查记录表》提交部门负责人审核，经部门负责人确认后向科技发展部备案；
检查结束后检查组应编写检查报告并向科技发展部备案，报告中应包括检查总体情况、检查范围、检查时间、存在问题、改进措施等内容。
科技发展部按照以下步骤开展科技发展部检查：
科技发展部在实施科技发展部检查前抽调本部门和其他相关部门人员组成检查组；
检查组在检查实施前应填写《安全检查计划表》和《安全检查项目表》，经信息安全工作指挥小组审批通过后执行；
在检查实施期间，检查组根据检查情况填写《安全检查记录表》并进行汇总整理；
检查组应要求相关责任部门对《安全检查记录表》确认。科技发展部检查结束后，检查组应就检查发现的问题开具《不符合项报告》并与责任部门沟通确认，如责任部门有异议则提交信息安全工作指挥小组审定；
检查结束后检查组应编写检查报告并向信息安全工作指挥小组提交，报告中应包括检查总体情况、检查范围、检查时间、存在问题、改进措施等内容。
外部检查审计配合工作要求
科技发展部组织成立外部检查审计配合工作组，统一协调配合外部检查审计的各项工作；工作组应由科技发展部负责人担任组长，组员由科技发展部有关人员及其他部门选派的联系人担任。
工作组应在检查审计工作开展前，与外部检查组沟通并确认检查审计安排。
工作组应根据检查审计安排全程协调配合外部检查审计工作。各部门应根据工作组要求落实本部门范围内的资料提供、人员访谈、现场检查取证等各项具体配合工作。
针对