信息系統(tǒng)安全審計(jì)管理制度

1、-.信息系統(tǒng)安全審計(jì)管理制度第一章工作職責(zé)安排第一條安全審計(jì)員的職責(zé)是：擬定信息安全審計(jì)的范圍和日程；管理詳細(xì)的審計(jì)過程；解析審計(jì)結(jié)果并提出對信息安全管理系統(tǒng)的改進(jìn)建議；召開審計(jì)啟動會講和審計(jì)總結(jié)會議；向主管領(lǐng)導(dǎo)報(bào)告審計(jì)的結(jié)果及建議；為相關(guān)人員供應(yīng)審計(jì)培訓(xùn)。第二條評審員由審計(jì)負(fù)責(zé)人指派，協(xié)助主評審員進(jìn)行評審，其職責(zé)是：準(zhǔn)備審計(jì)清單；推行審計(jì)過程；完成審計(jì)報(bào)告；提交糾正和預(yù)防措施建議；審查糾正和預(yù)防措施的執(zhí)行情況。第三條受審員來自相關(guān)部門，其職責(zé)是：配合評審員的審計(jì)工作；落實(shí)糾正和預(yù)防措施；.-.提交糾正和預(yù)防措施的推行報(bào)告。第二章審計(jì)計(jì)劃的擬定第四條審計(jì)計(jì)劃應(yīng)包括以下內(nèi)容：審計(jì)的目的；審計(jì)的范

2、圍；審計(jì)的準(zhǔn)則；審計(jì)的時間；主要參加人員及分工情況。第五條擬定審計(jì)計(jì)劃應(yīng)試慮以下因素：每年應(yīng)進(jìn)行最少一次涵蓋所有部門的審計(jì)；當(dāng)進(jìn)行重要改正后（如架構(gòu)、業(yè)務(wù)方向等），需要進(jìn)行一次涵蓋所有部門的審計(jì)。第三章安全審計(jì)推行第六條審計(jì)的準(zhǔn)備：評審員需早先認(rèn)識審計(jì)范圍相關(guān)的安全策略、標(biāo)準(zhǔn)和程序；準(zhǔn)備審計(jì)清單，其內(nèi)容主要包括：需要接見的人員和檢查的問題；.-.2)需要查察的文檔和記錄（包括日志）；需要現(xiàn)場查察的安全控制措施。第七條在進(jìn)行實(shí)質(zhì)審計(jì)前，召開啟動會議，其內(nèi)容主要包括：評審員與受審員一起確認(rèn)審計(jì)計(jì)劃和所采用的審計(jì)方式，如在審計(jì)的內(nèi)容上有異議，受審員應(yīng)提出聲明（比方：限制可接見的人員、可檢查的系統(tǒng)等）

3、；向受審員說明審計(jì)經(jīng)過抽查的方式來進(jìn)行。第八條審計(jì)方式包括面談、現(xiàn)場檢查、文檔的審查、記錄（包括日志）的審查。第九條評審員應(yīng)詳細(xì)記錄審計(jì)過程的所有相關(guān)信息。在審計(jì)記錄中應(yīng)包括以下信息：審計(jì)的時間；被審計(jì)的部門和人員；審計(jì)的主題；觀察到的違規(guī)現(xiàn)象；相關(guān)的文檔和記錄，比方操作手冊、備份記錄、操作員日志、軟件同意證、培訓(xùn)記錄等；審計(jì)參照的文檔，比方策略、標(biāo)準(zhǔn)和程序等；參照所涉及的標(biāo)準(zhǔn)條款；審計(jì)結(jié)果的初步總結(jié)。第十條如思疑與相關(guān)安全標(biāo)準(zhǔn)有不吻合項(xiàng)的情況，審.-.計(jì)員應(yīng)記錄所觀察到的詳細(xì)信息(如在哪處、何時，所涉及的人員、事項(xiàng)，和詳細(xì)的情況等)并描述其為什么不吻合。關(guān)于不吻合的情況應(yīng)與受審員完成共識。第

4、十一條在每項(xiàng)審計(jì)結(jié)束時應(yīng)準(zhǔn)備審計(jì)報(bào)告，審計(jì)報(bào)告應(yīng)包括：審計(jì)的范圍；審計(jì)所覆蓋的安全領(lǐng)域；審計(jì)結(jié)果的總結(jié)；不吻合項(xiàng)，不吻合項(xiàng)的詳細(xì)描述和相關(guān)憑據(jù)；糾正和預(yù)防措施的建議。第十二條不吻合項(xiàng)是指與等級保護(hù)基本要求不一致的情況。產(chǎn)生不吻合項(xiàng)可能是由于與相關(guān)的規(guī)定不一致，包括：1.等級保護(hù)基本要求；2.信息安全策略；3.相關(guān)標(biāo)準(zhǔn)和程序；4.相關(guān)法律條款；5.本單位的相關(guān)規(guī)定；6.任何其他在客戶合同中規(guī)定的要求。第十三條不吻合項(xiàng)可以細(xì)分為“主要”或“次要”。如果所發(fā)現(xiàn)的不吻合項(xiàng)屬于以下任何一種情況，此不吻合項(xiàng)應(yīng)被分類為“主要”的：會以致系統(tǒng)、程序或控制措施整體無效；.-.操作過程沒有形成標(biāo)準(zhǔn)的文檔；累計(jì)多個

5、同一種類的“次要”不吻合項(xiàng)；對信息安全管理系統(tǒng)的未授權(quán)改正。若是所發(fā)現(xiàn)的不吻合項(xiàng)屬于個別事件，此不吻合項(xiàng)將被分類為“次要”的，比方：未表記信息安全分類的文檔；沒有被管理層批閱的事故報(bào)告；不完滿的改正記錄；不完滿的機(jī)房進(jìn)出記錄。第十四條造成不吻合項(xiàng)的原因可以分為以下幾種：其文檔化的標(biāo)準(zhǔn)和程序與信息安全策略不一致；實(shí)質(zhì)的操作與文檔化的標(biāo)準(zhǔn)和程序要求不一致；實(shí)質(zhì)的操作沒有達(dá)到預(yù)期收效。第四章安全審計(jì)報(bào)告第十五條召開審計(jì)總結(jié)會議。應(yīng)總結(jié)報(bào)告以下內(nèi)容：審計(jì)的目標(biāo)和范圍；審計(jì)的時間；參加審計(jì)的人員；4.審計(jì)報(bào)告（包括糾正和預(yù)防措施的建議）；提交審計(jì)報(bào)告的副本供受審員參照。.-.第十六條在總結(jié)會議上，受審員

6、應(yīng)闡述任何疑問。第五章糾正和預(yù)防措施第十七條糾正和預(yù)防措施應(yīng)該包括問題描述、根根源因、應(yīng)急措施（可選）、糾正措施以及預(yù)防措施。第十八條受審員必定擬定糾正和預(yù)防措施的推行計(jì)劃。第十九條受審員應(yīng)在規(guī)準(zhǔn)時間內(nèi)向評審員提交糾正和預(yù)防措施的推行報(bào)告。第六章審計(jì)糾正和預(yù)防措施的推行情況第二十條評審員應(yīng)在受審員提交報(bào)告的3個月內(nèi)，審計(jì)糾正和預(yù)防措施的推行情況。第二十一條審計(jì)糾正和預(yù)防措施應(yīng)包括：面談、現(xiàn)場檢查、文檔的審查以及記錄（包括日志）的審查。第二十二條評審員依照受審員提交的糾正和預(yù)防措施推行報(bào)告，收集、記錄和審查相關(guān)憑據(jù)。第七章審計(jì)結(jié)果的批閱.-.第二十三條安全審計(jì)員應(yīng)批閱和解析所有審計(jì)結(jié)果。第二十四條受審員的