安全检查安全审计管理规范模板.docVIP

安全检查、安全审计管理规范 【模板】． ⅹⅹⅹⅹ信息中心 安全检查、安全审计管理规范 ISMS-P02-A-安全检查、安全审计管理规范 编 号： ISMS-P02-A 版 本 号： V1.0 内部公开 级： 密 3 ISMS-P02-A-安全检查、安全审计管理规范 版本记录 版本号 版本日期 修改 审核 批准 修改记录 4 ISMS-P02-A-安全检查、安全审计管理规范 1. 目的 为了规范信息系统安全检查工作流程，明确各科室职责，有效地对信息中心信息系统进行安全检查，并做好信息系统安全测评的配合工作。 2. 适用范围 适用于ⅹⅹⅹ信息中心安全检查和安全审计的管理。 3. 定义 安全检查：指信息中心内部对信息系统的安全性情况进行的评价活动。安全检查的依据是我局现行的信息系统运行管理制度、信息系统安全体系规范、有关信息系统的法律、法规和标准等。安全检查包括安全例行检查、安全专项检查。 安全审计：包括项目信息化领导单位（上级单位或授权单位）对我信息中心实施的审计或测评工作。 5 ISMS-P02-A-安全检查、安全审计管理规范 4. 职责 4.1AAA科室 4.1.1作为信息中心内部安全检查责任科室，牵头负责安全检查的管理工作。 4.1.2作为信息中心外部安全审计的牵头接待科室。 4.1.3负责维护和管理安全检查工具。 4.2各科室 4.2.1配合安全检查和安全审计，如实提供AAA科室所需要的检查信息。 4.2.2对安全检查和安全审计所发现的问题制定整改措施、整改计划并实施整改。 5. 管理规范 5.1安全检查管理规范 5.1.1安全检查的要求 5.1.1.1安全检查应当遵循全面、审慎、有效、独立的原则。 5.1.1.2检查工作要按照计划、准备、实施、报告、跟踪五个阶段开展。 6 ISMS-P02-A-安全检查、安全审计管理规范 5.1.1.3AAA科室要建立检查机制，制定检查计划，定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。 5.1.1.4每年安全检查的内容应覆盖网络管理、主机管理、应用管理、物理环境管理、系统运行管理、安全制度管理等方面。 5.1.1.5可根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。 5.1.1.6必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的滥用。 5.2.1安全检查的准备工作 5.2.1.1AAA科室根据信息系统安全相关的国家标准，信息中心发布的相关制度确定安全检查内容和安全检查方案。 5.2.1.2经AAA科室科长批准后将有关检查内容列入《安全检查清单》，明确检查要点、检查方式、检查工具、检查所涉及的信息系统范围和检查所需配合科室。 5.3.1安全检查的实施工作 5.3.1.1安全检查分为安全例行检查及安全专项抽查，安全例行检查每年进行一次，安全专项抽查则根据信息中心的安全运行状况所作的不定期的抽查。AAA科室应按照检查周期进行安全例行检查，根据需要 7 ISMS-P02-A-安全检查、安全审计管理规范 组织安全专项检查。 5.3.1.2安全检查应按照《安全检查清单》所规定的检查要点、检查方式、使用规定的检查工具进行检查。 5.3.1.3应选择对信息系统运行影响最小的方式和时间进行检查。 检查过程中应做好检查结果的记录工作。 5.4.1安全检查的报告工作 5.4.1.1检查完成后由AAA科室编写检查报告并提出整改建议，并填写包含不符合项和问题的《安全检查问题及整改表》，提供给被检查科室和相关科室。 5.5.1安全检查的整改工作 5.5.1.1被检查科室和相关科室应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改，填写《安全检查问题及整改表》，报AAA科室。 5.5.1.2AAA科室应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，并将整改、预防措施验证情况填入《安全检查问题及整改表》。 5.5.1.3AAA科室根据检查结果和整改情况进行汇总，形成安全状况通报。 8 ISMS-P02-A-安全检查、安全审计管理规范 5.2安全审计管理规范 5.2.1安全审计的要求 5.2.1.1AAA科室应全程跟踪安全审计工作的实施过程，保证审计工作不能超出预定的审计范围。 5.2.1.2在审计过程中如果需要使用审计工具，需审计