信息系统审核规范.pdf

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

信息系统审核规范--第1页

信息系统审核规范

1.目的和范围

确保本公司制定的信息安全策略和规定能够定期评审和正确执

行。

2.术语和定义

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要

求》

ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细

则》规定的术语适用于本标准。

3.引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡

是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)

或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用

这些文件的最新版本。凡是不注日期的引用文件,其最新版本适

用于本标准。

ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要

ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细

合规性管理程序

第1页共4页

信息系统审核规范--第1页

信息系统审核规范--第2页

补丁管理规定

4.职责和权限

(1)制定信息系统安全审核策略

(2)对信息系统进行定期审核

5.活动描述

(1)技术部根据公司情况,制定出公司在用户管理、权限管理、

漏洞扫描、渗透测试等方面的审核策略,必要时填写《信息系统

定期评审策略明细表》

(2)管理人员应确保在其职责范围内的所有安全程序被正确地

执行,以确保符合安全策略及标准。

(3)管理人员应对自己职责范围内的信息处理是否符合合适的

安全策略、标准和任何其它安全要求进行定期评审。

(4)信息系统应被定期检查是否符合安全实施标准。

(5)任何技术符合性检查应仅由有能力的、已授权的人员来完

成,或在他们的监督下完成。

(6)涉及对运行系统检查的审核要求和活动,应谨慎地加以规

划并取得批准,以便最小化造成业务过程中断的风险。

(7)漏洞扫描管理:

1)管理员应定期进行漏洞扫描,客户端和服务器可考虑使用奇

虎360工具进行漏洞扫描。

2)根据漏洞扫描结果,管理员应及时根据《补丁管理规定》及

第2页共4页

信息系统审核规范--第2页

信息系统审核规范--第3页

时修补系统漏洞。

3)渗透测试管理:

4)技术符合性检查应由有经验的系统工程师手动执行(如需要,

利用合适的软件工具支持),或者由技术专家用自动工具来执行,

此工具可生成供后续解释的技术报告。

5)如果使用渗透测试或脆弱性评估,则应格外小心,因为这些

活动可能导致系统安全的损害。这样的测试应预先计划,形成文

件,且重复执行。

6.审核注意事项:

(1)应与合适的管理者商定审核要求;

(2)应商定和控制检查范围;

(3)检查应限于对软件和数据的只读访问;

(4)非只读的访问应仅用于对系统文件的单独拷贝,当审核完

成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些

文件的义务,则要给予适当的保护;

(5)应明确地识别和提供执行检查所需的资源;

(6)应识别和商定特定的或另外的处理要求;

(7)应监视和记录所有访问,以产生参照踪迹;对关键数据或

系统,应考虑使用时间戳参照踪迹;

(8)应将所有的程序、要求和职责形成文件;

(9)执行审核的人员应独立于审核活动。

第3页共4页

信息系统审

文档评论(0)

157****7523 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档