安全检查、安全审计管理规范【模板】.docVIP

ISMS-P02-A-安全检查、安全审计管理规范

PAGE2

ⅹⅹⅹⅹ信息中心

安全检查、安全审计管理规范

编号： ISMS-P02-A

版本号： V1.0

密级： 内部公开

版本记录

版本号

版本日期

修改

审核

批准

修改记录

5.2.1.1AAA科室根据信息系统安全相关的国家标准，信息中心发布的相关制度确定安全检查内容和安全检查方案。

5.2.1.2经AAA科室科长批准后将有关检查内容列入《安全检查清单》，明确检查要点、检查方式、检查工具、检查所涉及的信息系统范围和检查所需配合科室。

5.3.1安全检查的实施工作

5.3.1.1安全检查分为安全例行检查及安全专项抽查，安全例行检查每年进行一次，安全专项抽查则根据信息中心的安全运行状况所作的不定期的抽查。AAA科室应按照检查周期进行安全例行检查，根据需要组织安全专项检查。

5.3.1.2安全检查应按照《安全检查清单》所规定的检查要点、检查方式、使用规定的检查工具进行检查。

5.3.1.3应选择对信息系统运行影响最小的方式和时间进行检查。

检查过程中应做好检查结果的记录工作。

5.4.1安全检查的报告工作

5.4.1.1检查完成后由AAA科室编写检查报告并提出整改建议，并填写包含不符合项和问题的《安全检查问题及整改表》，提供给被检查科室和相关科室。

5.5.1安全检查的整改工作

5.5.1.1被检查科室和相关科室应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改，填写《安全检查问题及整改表》，报AAA科室。

5.5.1.2AAA科室应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，并将整改、预防措施验证情况填入《安全检查问题及整改表》。

5.5.1.3AAA科室根据检查结果和整改情况进行汇总，形成安全状况通报。

5.2安全审计管理规范

5.2.1安全审计的要求

5.2.1.1AAA科室应全程跟踪安全审计工作的实施过程，保证审计工作不能超出预定的审计范围。

5.2.1.2在审计过程中如果需要使用审计工具，需审计方说明该工具用途以及可能引入的风险，严禁使用来路不明的审计工具。

5.2.1.3在生产系统中使用审计工具前，AAA科室要组织相关科室进行测试工作，对其可能产生的影响进行评估和论证。

5.2.1.4审计工具只能在我信息中心的设备上运行并由我信息中心人员负责操作，要对安全审计工具运行结果中的敏感信息等进行过滤。

5.2.1.5安全审计工作的实施要选择对生产系统运行影响最小的方式和时间进行。

5.2.1.6AAA科室应按照审计调阅清单提供相关文档资料。AAA科室应建立文档资料交接清单，清单应包括文档名称、介质类型、提供日期，预计归还日期、双方签字等内容。

5.2.2配合外部审计时的安全保密要求

5.2.2.1外部审计实施单位应通过现场查阅或者现场访谈方式获取相关信息，原则上不直接提供电子文档。

5.2.2.2外部审计实施单位不得将文档资料复制或带离现场。特殊情况下如需将文档资料带离现场时，必须根据通过AAA科室统一转交。

5.2.2.3审计工作结束后，AAA科室要及时收回向审计实施单位提供的文档资料并妥善保管，防止丢失。

相关文件与记录

《安全检查清单》ISMS-R-P0201

《安全检查问题及整改表》ISMS-R-P0202

安全检查报告

安全检查计划

安全检查清单

NO：ISMS-R-P0201-

被检查科室

检查员

检查日期

科室负责人

标准条款

检查内容

检查情况

检查情况记录

符合

不符合

安全检查问题及整改表

NO：ISMS-R-P0202-

部门

检查员

日期

不符合项问题事实描述：

不符合或问题涉及的依据条款

签名（提出人/检查员/部门负责人）日期：

不符合项问题潜在原因分析

提出人年月日

整改、预防措施：

签名（提出人/检查员/部门负责人）日期：

认可（检查员/部门负责人）日期：

整改、预防措施完成情况

完成日期

签名（部门负责人）日期

整改、预防措施验证情况