安全檢查安全審計(jì)管理規(guī)范

1、XXXX信息中心安全檢查、安全審計(jì)管理規(guī)范編號：ISMS-P02-A版本號：V1.0密級：內(nèi)部公開版本記錄版本號版本日期修改審核批準(zhǔn)修改記錄1. 目的為了規(guī)范信息系統(tǒng)安全檢查工作流程，明確各科室職責(zé)，有效地對信息中心信息系統(tǒng)進(jìn)行安全檢查，并做好信息系統(tǒng)安全測評的配合工作。2. 適用范圍適用于XXX信息中心安全檢查和安全審計(jì)的管理。3. 定義安全檢查：指信息中心內(nèi)部對信息系統(tǒng)的安全性情況進(jìn)行的評價(jià)活動(dòng)。安全檢查的依據(jù)是我局現(xiàn)行的信息系統(tǒng)運(yùn)行管理制度、信息系統(tǒng)安全體系規(guī)范、有關(guān)信息系統(tǒng)的法律、法規(guī)和標(biāo)準(zhǔn)等。安全檢查包括安全例行檢查、安全專項(xiàng)檢查。安全審計(jì)：包括項(xiàng)目信息化領(lǐng)導(dǎo)單位（上級單位或授權(quán)單位

2、）對我信息中心實(shí)施的審計(jì)或測評工作。4. 職責(zé)4.1 AAAM室4.1.1 作為信息中心內(nèi)部安全檢查責(zé)任科室，牽頭負(fù)責(zé)安全檢查的管理工作。4.1.2 作為信息中心外部安全審計(jì)的牽頭接待科室。4.1.3 負(fù)責(zé)維護(hù)和管理安全檢查工具。4.2 各科室4.2.1 配合安全檢查和安全審計(jì)，如實(shí)提供AAA科室所需要的檢查信息。4.2.2 對安全檢查和安全審計(jì)所發(fā)現(xiàn)的問題制定整改措施、整改計(jì)劃并實(shí)施整改。5. 管理規(guī)范5.1 安全檢查管理規(guī)范5.1.1 安全檢查的要求5.1.1.1 安全檢查應(yīng)當(dāng)遵循全面、審慎、有效、獨(dú)立的原則。5.1.1.2 檢查工作要按照計(jì)劃、準(zhǔn)備、實(shí)施、報(bào)告、跟蹤五個(gè)階段開展。5.1.

3、1.3 AA硼室要建立檢查機(jī)制，制定檢查計(jì)劃，定期開展檢查活動(dòng)。檢查計(jì)劃要根據(jù)實(shí)際情況及時(shí)進(jìn)行補(bǔ)充和調(diào)整。5.1.1.4 每年安全檢查的內(nèi)容應(yīng)覆蓋網(wǎng)絡(luò)管理、主機(jī)管理、應(yīng)用管理、物理環(huán)境管理、系統(tǒng)運(yùn)行管理、安全制度管理等方面。5.1.1.5 可根據(jù)實(shí)際需要組織專項(xiàng)檢查，對于信息系統(tǒng)發(fā)生的重大事故和問題，要進(jìn)行專項(xiàng)檢查，對重大事件實(shí)施全面的監(jiān)控和評價(jià)。5.1.1.6 必須對檢查工具、檢查過程信息和檢查結(jié)果信息的使用和訪問采取控制措施加以保護(hù)，以防止任何可能的濫用。5.2.1 安全檢查的準(zhǔn)備工作5.2.1.1 AAA科室根據(jù)信息系統(tǒng)安全相關(guān)的國家標(biāo)準(zhǔn)，信息中心發(fā)布的相關(guān)制度確定安全檢查內(nèi)容和安全檢查

4、方案。5.2.1.2 經(jīng)AAAM室科長批準(zhǔn)后將有關(guān)檢查內(nèi)容列入安全檢查清單，明確檢查要點(diǎn)、檢查方式、檢查工具、檢查所涉及的信息系統(tǒng)范圍和檢查所需配合科室。5.3.1 安全檢查的實(shí)施工作5.3.1.1 安全檢查分為安全例行檢查及安全專項(xiàng)抽查，安全例行檢查每年進(jìn)行一次，安全專項(xiàng)抽查則根據(jù)信息中心的安全運(yùn)行狀況所作的不定期的抽查。AAA科室應(yīng)按照檢查周期進(jìn)行安全例行檢查，根據(jù)需要組織安全專項(xiàng)檢查。5.3.1.2 安全檢查應(yīng)按照安全檢查清單所規(guī)定的檢查要點(diǎn)、檢查方式、使用規(guī)定的檢查工具進(jìn)行檢查。5.3.1.3 應(yīng)選擇對信息系統(tǒng)運(yùn)行影響最小的方式和時(shí)間進(jìn)行檢查。檢查過程中應(yīng)做好檢查結(jié)果的記錄工作。5.4

5、.1 安全檢查的報(bào)告工作5.4.1.1 檢查完成后由AAAM室編寫檢查報(bào)告并提出整改建議，并填寫包含不符合項(xiàng)和問題的安全檢查問題及整改表，提供給被檢查科室和相關(guān)科室。5.5.1 安全檢查的整改工作5.5.1.1 被檢查科室和相關(guān)科室應(yīng)按照檢查報(bào)告中整改的時(shí)間要求，針對檢查報(bào)告中所提出的問題制定整改實(shí)施計(jì)劃并組織整改，填寫安全檢查問題及整改表，報(bào)AAA科室。5.5.1.2 AAA科室應(yīng)對整改措施的落實(shí)情況進(jìn)行跟蹤，驗(yàn)證整改措施的實(shí)施結(jié)果是否有效，并將整改、預(yù)防措施驗(yàn)證情況填入安全檢查問題及整改表。5.5.1.3 AAA科室根據(jù)檢查結(jié)果和整改情況進(jìn)行匯總，形成安全狀況通報(bào)。5.2安全審計(jì)管理規(guī)范5

6、.2.1 安全審計(jì)的要求5.2.1.1 AAA科室應(yīng)全程跟蹤安全審計(jì)工作的實(shí)施過程，保證審計(jì)工作不能超出預(yù)定的審計(jì)范圍。5.2.1.2 在審計(jì)過程中如果需要使用審計(jì)工具，需審計(jì)方說明該工具用途以及可能引入的風(fēng)險(xiǎn)，嚴(yán)禁使用來路不明的審計(jì)工具。5.2.1.3 在生產(chǎn)系統(tǒng)中使用審計(jì)工具前，AAA科室要組織相關(guān)科室進(jìn)行測試工作，對其可能產(chǎn)生的影響進(jìn)行評估和論證。5.2.1.4 審計(jì)工具只能在我信息中心的設(shè)備上運(yùn)行并由我信息中心人員負(fù)責(zé)操作，要對安全審計(jì)工具運(yùn)行結(jié)果中的敏感信息等進(jìn)行過濾。5.2.1.5 安全審計(jì)工作的實(shí)施要選擇對生產(chǎn)系統(tǒng)運(yùn)行影響最小的方式和時(shí)間進(jìn)行。5.2.1.6 AAA科室應(yīng)按照審計(jì)

7、調(diào)閱清單提供相關(guān)文檔資料。AAA科室應(yīng)建立文檔資料交接清單，清單應(yīng)包括文檔名稱、介質(zhì)類型、提供日期，預(yù)計(jì)歸還日期、雙方簽字等內(nèi)容。5.2.2 配合外部審計(jì)時(shí)的安全保密要求5.2.2.1 外部審計(jì)實(shí)施單位應(yīng)通過現(xiàn)場查閱或者現(xiàn)場訪談方式獲取相關(guān)信息，原則上不直接提供電子文檔。特殊情況5.2.2.2 外部審計(jì)實(shí)施單位不得將文檔資料復(fù)制或帶離現(xiàn)場。下如需將文檔資料帶離現(xiàn)場時(shí)，必須根據(jù)通過AAAM室統(tǒng)一轉(zhuǎn)交。5.2.2.3 計(jì)工作結(jié)束后，AAA科室要及時(shí)收回向?qū)徲?jì)實(shí)施單位提供的文檔資料并妥善保管，防止丟失。6.相關(guān)文件與記錄安全檢查清單ISMS-R-P0.01安全檢查問題及整改表ISMS-R-P0.0.安全檢查報(bào)告安全檢查計(jì)劃安全檢查清單NOISMS-R-P0201-被檢查科室檢查員檢查日期科室負(fù)責(zé)標(biāo)準(zhǔn)條款檢查內(nèi)容檢查情況記錄符合1小兒不符合安全檢查問題及整改表NO:ISMS-R-P0202-部門檢查員日期不符合項(xiàng)問題事實(shí)描述：不符合或問題涉及的依據(jù)條款簽名（提出人/檢查員/部門負(fù)