信息系統(tǒng)安全審計管理制度_第1頁
信息系統(tǒng)安全審計管理制度_第2頁
信息系統(tǒng)安全審計管理制度_第3頁
免費預(yù)覽已結(jié)束,剩余3頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息系統(tǒng)安全審計管理制度第一章 工作職責安排第一條 安全審計員的職責是:1. 制定信息安全審計的范圍和日程;2管理具體的審計過程;3. 分析審計結(jié)果并提出對信息安全管理體系的改進意見;4. 召開審計啟動會議和審計總結(jié)會議;5. 向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議;6. 為相關(guān)人員提供審計培訓(xùn)。第二條 評審員由審計負責人指派, 協(xié)助主評審員進行評審,其職責是:1. 準備審計清單;2. 實施審計過程;3. 完成審計報告;4. 提交糾正和預(yù)防措施建議;5. 審查糾正和預(yù)防措施的執(zhí)行情況。第三條 受審員來自相關(guān)部門,其職責是:1. 配合評審員的審計工作;2. 落實糾正和預(yù)防措施;3. 提交糾正和預(yù)防措施的

2、實施報告。第二章 審計計劃的制訂第四條 審計計劃應(yīng)包括以下內(nèi)容:1. 審計的目的;2. 審計的范圍;3. 審計的準則;4. 審計的時間;5. 主要參與人員及分工情況。第五條 制定審計計劃應(yīng)考慮以下因素:1. 每年應(yīng)進行至少一次涵蓋所有部門的審計;2. 當進行重大變更后(如架構(gòu)、業(yè)務(wù)方向等) ,需要進行 次涵蓋所有部門的審計。第三章 安全審計實施第六條 審計的準備:第一條 評審員需事先了解審計范圍相關(guān)的安全策略、標 準和程序;第二條 準備審計清單,其內(nèi)容主要包括:1. 需要訪問的人員和調(diào)查的問題;2. 需要查看的文檔和記錄(包括日志) ;3. 需要現(xiàn)場查看的安全控制措施。第七條 在進行實際審計前

3、,召開啟動會議,其內(nèi)容主要包 括:1. 評審員與受審員一起確認審計計劃和所采用的審計方式,如在審計的內(nèi)容上有異議,受審員應(yīng)提出聲明(例如:限制可訪問的人員、可調(diào)查的系統(tǒng)等)2. 向受審員說明審計通過抽查的方式來進行。第八條 審計方式包括面談、現(xiàn)場檢查、文檔的審查、記錄 (包括日志)的審查。第九條 評審員應(yīng)詳細記錄審計過程的所有相關(guān)信息。 在審 計記錄中應(yīng)包含下列信息:1. 審計的時間;2. 被審計的部門和人員;3. 審計的主題 ;4. 觀察到的違規(guī)現(xiàn)象;5. 相關(guān)的文檔和記錄,比如操作手冊、備份記錄、操作員日 志、軟件許可證、培訓(xùn)記錄等;6. 審計參考的文檔,比如策略、標準和程序等;7. 參考

4、所涉及的標準條款;8. 審計結(jié)果的初步總結(jié)。第十條 如懷疑與相關(guān)安全標準有不符合項的情況, 審計員 應(yīng)記錄所觀察到的詳細信息 ( 如在何處、何時,所涉及的人員、 事項,和具體的情況等 ) 并描述其為什么不符合。 關(guān)于不符合的 情況應(yīng)與受審員達成共識。第十一條 在每項審計結(jié)束時應(yīng)準備審計報告, 審計報告應(yīng) 包括:1. 審計的范圍;2. 審計所覆蓋的安全領(lǐng)域;3. 審計結(jié)果的總結(jié);4. 不符合項,不符合項的具體描述和相關(guān)證據(jù);5. 糾正和預(yù)防措施的建議。第十二條 不符合項是指與等級保護基本要求不一致的情 況。產(chǎn)生不符合項可能是由于與相關(guān)的規(guī)定不一致,包括:1. 等級保護基本要求;2. 信息安全策略

5、;3. 相關(guān)標準和程序;4. 相關(guān)法律條款;5. 本單位的相關(guān)規(guī)定;6. 任何其它在客戶合同中規(guī)定的要求。第十三條 不符合項可以細分為 “主要” 或“次要”。如果所 發(fā)現(xiàn)的不符合項屬于下列任何一種情況, 此不符合項應(yīng)被分類為 “主要”的:1. 會導(dǎo)致系統(tǒng)、程序或控制措施整體失效;2. 操作過程沒有形成標準的文檔;3. 累計多個同一類型的“次要”不符合項;4. 對信息安全管理體系的未授權(quán)變更。 如果所發(fā)現(xiàn)的不符合項屬于個別事件, 此不符合項將被分類 為 “次要”的,例如:1. 未標識信息安全分類的文檔;2. 沒有被管理層審閱的事故報告;3. 不完整的變更記錄;4. 不完整的機房進出記錄。第十四條

6、 造成不符合項的原因可以分為以下幾種:1. 其文檔化的標準和程序與信息安全策略不一致;2. 實際的操作與文檔化的標準和程序要求不一致;3. 實際的操作沒有達到預(yù)期效果。第四章 安全審計匯報第十四條 召開審計總結(jié)會議。應(yīng)總結(jié)匯報以下內(nèi)容:1. 審計的目標和范圍;2. 審計的時間;3. 參與審計的人員;4. 審計報告(包括糾正和預(yù)防措施的建議) ;5. 提交審計報告的副本供受審員參考。第十五條 在總結(jié)會議上,受審員應(yīng)闡述任何疑問。第五章 糾正和預(yù)防措施第十六條 糾正和預(yù)防措施應(yīng)該包括問題描述、根本原因、 應(yīng)急措施(可選) 、糾正措施以及預(yù)防措施。第十七條 受審員必須制定糾正和預(yù)防措施的實施計劃。第十八條 受審員應(yīng)在規(guī)定時間內(nèi)向評審員提交糾正和預(yù) 防措施的實施報告。第六章 審計糾正和預(yù)防措施的實施狀況第十九條 評審員應(yīng)在受審員提交報告的 3 個月內(nèi), 審計糾正和預(yù)防措施的實施狀況。第二十條 審計糾正和預(yù)防措施應(yīng)包括:面談、現(xiàn)場檢查、 文檔的審查以及記錄(包括日志)的審查。第二十一條 評審員根據(jù)受審員提交的糾正和預(yù)防措施實 施報告,收集、記錄和審查

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論