2信息安全检查与审计管理制度.docVIP

PAGE PAGE 4 第 页 xxxx网络中心 信息安全检查与审计管理制度 总则 为了加强xxxx网络中心（以下简称“网络中心”）信息安全检查与审计工作管理，确保信息安全管理符合国家有关要求，特制订本制度。 本规定适用于xxxx网络中心。 安全检查 信息安全检查包括各业务处室自查和信息安全部门定期执行的安全检查。 各业务处室的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况，自查工作应保留自查结果。自查应至少一个季度组织一次。 信息安全部门执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务处室自查结果抽查等。安全检查应至少半年组织一次。 自查和安全检查均应在检查之前形成检查表，自查检查表应经过业务处室领导审核通过，安全检查表应经过信息安全工作小组审核通过。 应严格按照检查表实施检查，检查完毕，记录下所有检查结果，检查记录需经各业务处室领导签字认可。 应对检查记录进行归档，只有授权人员可以访问阅读 应对检查结果进行汇总分析，形成安全检查报告，检查报告应对问题进行分析，提出解决建议。 应制定措施防止安全检查结果的非授权散布，只对经过授权的人员通报安全检查结果。 各业务处室应阅读并理解安全检查报告，在信息安全处的指导下对出现的问题进行整改。信息安全处应对整改过程进行监督，并将整改结果报送信息安全工作小组。 安全审计 安全审计作为整体审计工作的一个部份，依据审计工作相关管理办法开展安全审计工作。 安全审计人员的配备应根据实际情况，采用如下方法的一种，原则上应以审计部门培养自身独立的安全审计人员为主，其他手段为辅。 由审计部门独立完成，使用审计部门具备相应技能的人员完成审计工作； 由审计部门和信息中心共同完成，信息中心指派熟悉技术的人员配合审计部门完成审计工作，本情形需注意审计独立的原则，进行交叉审计； 聘请外部专业审计单位完成审计工作 安全审计的内容主要包括： 相关法律法规的符合情况； 管理部门的相关管理要求的符合情况； 现有安全技术措施的有效性； 安全配置与安全策略的一致性； 安全管理制度的执行情况； 安全检查和自查的检查结果及检查报告； 日志信息是否完整记录； 各类重要记录是否免受损失、破坏或伪造篡改； 检查系统是否存在漏洞； 检查数据是否具备安全保障措施。 安全审计工作应具有独立性，避免有舞弊的情况发生。 安全审计的方式分为： 全面审计：即审计内容覆盖安全管理范围内的所有部门，以及所有信息安全控制措施要求的检查。 专项审计：即审计内容只涉及部分部门，或部分信息安全控制措施要求的检查。 无论是采用全面审计还是专项审计方式，安全审计应每一年对所有的部门，以及所有的信息安全控制措施要求至少进行过一次审计。 被审计方应积极配合信息安全审计工作，应对审计结果进行确认。 安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。审计部门应将改进过程和结果通告给信息安全工作小组。 附则 本制度的解释权归xxxx网络中心。 本制度自发布之日起生效。