信息安全审计管理程序.pdfVIP

精品文档 深圳市首品精密模型有限公司 信息安全审计管理程序 文件编号 :ISMS-2017 编 制 审 核 批 准 . 精品文档 变更履历 版 本 编 号 简要说明 ( 变更内容、 序 或 更 改 记 变更位置、 变更原因和 变更日期 变更人 审核人 批准人 批准日期 号 录编号 变更范围 ) 1 A/0 初始发行 - - - - 2016-8-5 . 精品文档 1 目的 评价信息安全管理和实践的原则和控制，以维持公司期望的信息安全水平。 2 适用范围 适用于公司的所有管理人员和员工， 以及所有为本公司工作， 同时接触公司的信息资源的外来人 员。 3 术语和定义 无 4 职责和权限 在信息安全委员会的统一组织下实施。 5 工作流程 审计包括两种检查方式： a) 自我评估 b) 内部/ 外部审计 5.1 自我评估 为保持各部门内部良好的信息安全管理状态及第一时间发现和处理不符合现象， 确定各控制措施 的有效性，要求每个部门进行信息安全管理和实践和自我评估并根据需求采取纠正措施。 自我评估通常在信息安全委员会的统一安排下，由各部门负责人组织实施。 自我评估通常每年至少进行一次。除此以外，为了提高部门内信息安全管理水平，部门负责人也 可以指定其认为必要和合适的时间进行自我评估。 各部门结合本部门的要求和工作实际， 制定适合本部门的自我评估的检查表并实施， 但必须包括 对控制措施符合性和有效性的评估。 自我评估的结果要报告给信息安全委员会，由信息安全委员会确定纠正措施的计划并指导实施。 纠正措施实施计划包括： a) 对纠正措施的简单描述，包括当前控制措施与和要达到的目标之间的差距分析； b) 纠正措施的实施时间要求； c) 纠正措施的实施负责人。 . 精品文档 5.2 内部/ 外部审计 信息安全委员会根据业务活动的安全需求，确定是否进行内部 / 外部审计。在一个年度内，若没 有进行自我评估，则必须进行一次内部 / 外部审计。 由信息安全委员会确定审计人员。 为了实现审计的目的， 内部审计人员必须是具有掌握最新信息 技术并了解公司信息安全管理计划的人或组织。一般由内审员承担。 在进行内部 / 外部审计前，审计要求和活动应得到信息安全委员会的认可： a) 审计要求、范围和计划、程序； b) 审计人员对审计作业相关的必要的软件和数据（特别是不具有写保护的）访问； c) 提供支持检查的必要 IT 人员； d) 数据处理和（或）操作的要求。 审计的结果要