信息系统安全审计管理制度.pdfVIP

信息系统安全审计管理制度 第一章 工作职责安排 第一条 安全审计员的职责是: 1。 制定信息安全审计的范围和日程； 2。 管理具体的审计过程; 3。 分析审计结果并提出对信息安全管理体系的改进意见； 4. 召开审计启动会议和审计总结会议; 5. 向主管领导汇报审计的结果及建议； 6. 为相关人员提供审计培训。 第二条 评审员由审计负责人指派,协助主评审员进行评审，其职责是： 1. 准备审计清单; 2。 实施审计过程; 3. 完成审计报告; 4。 提交纠正和预防措施建议； 5。 审查纠正和预防措施的执行情况。 第三条 受审员来自相关部门,其职责是： 1. 配合评审员的审计工作； 2。 落实纠正和预防措施； 3. 提交纠正和预防措施的实施报告. 第二章 审计计划的制订 第四条 审计计划应包括以下内容: 1. 审计的目的； 2. 审计的范围; 3. 审计的准则; 4。 审计的时间； 5。 主要参与人员及分工情况。 第五条 制定审计计划应考虑以下因素: 1。 每年应进行至少一次涵盖所有部门的审计; 2。 当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的 审计. 第三章 安全审计实施 第六条 审计的准备: 1。 评审员需事先了解审计范围相关的安全策略、标准和程序; 2. 准备审计清单,其内容主要包括： 1) 需要访问的人员和调查的问题; 2） 需要查看的文档和记录（包括日志）; 3） 需要现场查看的安全控制措施。 第七条 在进行实际审计前,召开启动会议，其内容主要包括： 1. 评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容 上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等)； 2. 向受审员说明审计通过抽查的方式来进行。 第八条 审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审 查。 第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下 列信息: 1。 审计的时间; 2. 被审计的部门和人员; 3。 审计的主题 ； 4。 观察到的违规现象； 5。 相关的文档和记录，比如操作手册、备份记录、操作员日志、软件许可 证、培训记录等； 6。 审计参考的文档,比如策略、标准和程序等; 7. 参考所涉及的标准条款； 8。 审计结果的初步总结. 第十条 如怀疑与相关安全标准有不符合项的情况，审 计员应记录所观察到的详细信息 (如在何处、何时，所涉及的人员、事项,和 具体的情况等） 并描述其为什么不符合。关于不符合的情况应与受审员达成共 识。 第十一条 在每项审计结束时应准备审计报告，审计报告应包括： 1. 审计的范围； 2。 审计所覆盖的安全领域； 3. 审计结果的总结； 4。 不符合项，不符合项的具体描述和相关证据; 5。 纠正和预防措施的建议. 第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可 能是由于与相关的规定不一致，包括： 1. 等级保护基本要求； 2. 信息安全策略； 3。 相关标准和程序； 4。 相关法律条款； 5. 本单位的相关规定; 6. 任何其它在客户合同中规定的要求。 第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项 属于下列任何一种情况，此不符合项应被分类为 “主要的： 1. 会导致系统、程序或控制措施整体失效； 2。 操作过程没有形成标准的文档; 3. 累计多个同一类型的“次要”不符合项; 4. 对信息安全管理体系的未授权变更。 如果所发现的不符合项属于个别事件，此不符合项将被分类为 “次要”的， 例如: 1。 未标识信息安全分类的文档； 2. 没有被管理层审阅的事故报告； 3. 不完整的变更记录; 4. 不完整的机房进出记录。 第十四条 造成不符合项的原因可以分为以下几种： 1。 其文档化的标准和程序与信息安全策略不一致; 2。 实际的操作与文档化的标准和程序要求不一致; 3. 实际的操作没有达到预期效果. 第四章 安全审计汇报 第十五条 召开审计总结会议。应总结汇报以下内容： 1。 审计的目标