xx公司信息安全内部审计制度.docx

xx公司信息安全内部审计制度 第一章 总则 第一条 为了加强信息系统安全管理工作，保证单位各类信息系统数据的规范性、安全性、完整性，保障业务系统和日常工作的正常进行；根据国家、行业以及单位相关政策制度，结合本单位实际情况制定本制度。 第二条 安全审计的范围应包括与信息系统安全有关的所有范畴，包括各类网络与信息资产、组织与人员（管理层、员工、用户、第三方等）和业务流程等。 第三条 信息安全管理委员会负责对本文档的审批和管理；信息安全工作主管领导负责本文档的审核及组织编写，监督管理安全审计工作的落实；信息安全工作小组负责对本文档的组织编写修订工作，对安全审计发现的问题采取措施进行控制；信息安全审计小组负责定期对本文档的适用性进行审定，组织各部门准备安全审计资料，编写安全审计报告，对安全审计中提出的纠正与预防措施实施情况进行跟踪和验证，并归档保管安全审计中形成的相关资料。 第四条 信息安审计术语和定义 1.安全策略：有关管理、保护和发布敏感信息的法律规定和实施细则。 2.安全审计：按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。 3.安全审计的独立性：审计方与被审计方保持相对独立，包括审计职责和流程，以确保审计结果的公正可靠。 第二章 信息安全内部审计机构 第五条 作为xx公司（以下称“xx公司”）的信息安全审计组织，负责实施xx公司信息安全内部审核或对外审核，协助外部第二方/第三方审核；审核组的工作应该直接向信息安全领导小组汇报；实施独立审核，确保信息安全管理系统各项控制及组成部分按照策略要求运行良好，确保信息安全管理体系的完整性、符合性和有效性； 第六条 与审计制度相关的人员分为审计人和被审计人。被审计人及相关信息系统为xx公司企业信用信息管理平台以及相关系统的信息安全执行组人员，审计的目标包括xx公司信息安全相关制度文件、企业信用信息管理平台以及相关网络以及安全设备等、机房视频监控系统和其相关的管理、维护和使用人员等； 第三章 信息安全内部审计机构人员的职责和权限 第七条 信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。信息安全审计员的职责如下： 1.负责xx公司企业信用信息管理平台以及相关系统的安全审计制度的建设与完善工作； 2.信息安全审计员要对收集到的大量审计行为记录进行检查，以监督对省征信系统平台的相关信息系统的不当使用和非法行为； 3.定期执行安全审计检查，对系统的安全状况进行分析评估，向上级主管提供系统安全状况审计报告和改进措施等。 第八条 信息安全执行组人员，包括各系统 ( 网络设备，安全产品，主机，数据库和应用系统) 的管理维护人员负责维护各自系统正常运行的同时必须向审计人员提供审计所需的各种信息（如各系统的日志，系统升级、备份、加固、权限及配置变更等各种操作记录）以配合审计人员完成审计工作； 第四章 信息安全审计工作程序 第九条 全面收集入侵者，内部恶意用户或合法用户误操作的相关信息，以便进一步的查看和分析。防止重要的日志信息收集的遗漏。需要根据各种系统的安全设置方法设定重要事件的日志审计，如对安全设备的登入事件、用户增减事件、用户权限及属性修改事件、访问规则修改事件、系统开启或关闭事件、系统配置修改事件、安全告警事件，系统版本更新升级等事件的日志审计，包括所有系统特权命令的使用都必须被全面的记录； 第十条 分析存在安全威胁的原因，以便制定相应的对策。日志查看和分析具体要求日志可以作为证据，提供安全事故调查；信息安全主管需要定期查看各系统的安全管理员是否根据其职责进行安全的维护，包括日常的运维操作记录和日志；信息安全审计员需要在信息安全主管的配合下对所有日志事件进行分类，划分不同的安全事件等级，并分析存在威胁的原因；信息安全审计员整理并编写安全分析报告，定期向上级汇报日志报表中存在的安全威胁其中包括：安全威胁的统计、新威胁的列表、威胁同比增长率、安全威胁的防范。审计人员与使用人员沟通，将重点审计对象的访问特点反馈给这些对象的使用者，尤其是各自的管理员；对于发现存在异常信息的审计对象，将这些信息告知相关管理员和操作者，并要求他们给出合理的解释。 第十一条 以信息安全审计数据作为基础抽样对象，汇总成为审计月报，经相关领导审核、批准后，向全公司人员公布。信息安全审计月报的内容： 1.信息安全审计的范围； 2.信息安全审计的标准或原则； 3.信息安全审计的检查清单； 4.列举所有安全问题和安全隐患，并按照严重程度进行划分； 5.列举所有信息安全问题和安全隐患的有关责任人员或责任部。 第十二条 审计过程中发现的违规行为，经确认应当通报给有关责任部门和责任人，并要求在规定时间内有关责任部提出解决方案和处理报告，信息安全审计部门和相关责