信息系統(tǒng)安全審計管理制度_第1頁
信息系統(tǒng)安全審計管理制度_第2頁
信息系統(tǒng)安全審計管理制度_第3頁
信息系統(tǒng)安全審計管理制度_第4頁
信息系統(tǒng)安全審計管理制度_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、-.信息系統(tǒng)安全審計管理制度第一章工作職責安排第一條安全審計員的職責是:擬定信息安全審計的范圍和日程;管理詳細的審計過程;解析審計結(jié)果并提出對信息安全管理系統(tǒng)的改進建議;召開審計啟動會講和審計總結(jié)會議;向主管領(lǐng)導報告審計的結(jié)果及建議;為相關(guān)人員供應(yīng)審計培訓。第二條評審員由審計負責人指派,協(xié)助主評審員進行評審,其職責是:準備審計清單;推行審計過程;完成審計報告;提交糾正和預防措施建議;審查糾正和預防措施的執(zhí)行情況。第三條受審員來自相關(guān)部門,其職責是:配合評審員的審計工作;落實糾正和預防措施;.-.提交糾正和預防措施的推行報告。第二章審計計劃的擬定第四條審計計劃應(yīng)包括以下內(nèi)容:審計的目的;審計的范

2、圍;審計的準則;審計的時間;主要參加人員及分工情況。第五條擬定審計計劃應(yīng)試慮以下因素:每年應(yīng)進行最少一次涵蓋所有部門的審計;當進行重要改正后(如架構(gòu)、業(yè)務(wù)方向等),需要進行一次涵蓋所有部門的審計。第三章安全審計推行第六條審計的準備:評審員需早先認識審計范圍相關(guān)的安全策略、標準和程序;準備審計清單,其內(nèi)容主要包括:需要接見的人員和檢查的問題;.-.2)需要查察的文檔和記錄(包括日志);需要現(xiàn)場查察的安全控制措施。第七條在進行實質(zhì)審計前,召開啟動會議,其內(nèi)容主要包括:評審員與受審員一起確認審計計劃和所采用的審計方式,如在審計的內(nèi)容上有異議,受審員應(yīng)提出聲明(比方:限制可接見的人員、可檢查的系統(tǒng)等)

3、;向受審員說明審計經(jīng)過抽查的方式來進行。第八條審計方式包括面談、現(xiàn)場檢查、文檔的審查、記錄(包括日志)的審查。第九條評審員應(yīng)詳細記錄審計過程的所有相關(guān)信息。在審計記錄中應(yīng)包括以下信息:審計的時間;被審計的部門和人員;審計的主題;觀察到的違規(guī)現(xiàn)象;相關(guān)的文檔和記錄,比方操作手冊、備份記錄、操作員日志、軟件同意證、培訓記錄等;審計參照的文檔,比方策略、標準和程序等;參照所涉及的標準條款;審計結(jié)果的初步總結(jié)。第十條如思疑與相關(guān)安全標準有不吻合項的情況,審.-.計員應(yīng)記錄所觀察到的詳細信息(如在哪處、何時,所涉及的人員、事項,和詳細的情況等)并描述其為什么不吻合。關(guān)于不吻合的情況應(yīng)與受審員完成共識。第

4、十一條在每項審計結(jié)束時應(yīng)準備審計報告,審計報告應(yīng)包括:審計的范圍;審計所覆蓋的安全領(lǐng)域;審計結(jié)果的總結(jié);不吻合項,不吻合項的詳細描述和相關(guān)憑據(jù);糾正和預防措施的建議。第十二條不吻合項是指與等級保護基本要求不一致的情況。產(chǎn)生不吻合項可能是由于與相關(guān)的規(guī)定不一致,包括:1.等級保護基本要求;2.信息安全策略;3.相關(guān)標準和程序;4.相關(guān)法律條款;5.本單位的相關(guān)規(guī)定;6.任何其他在客戶合同中規(guī)定的要求。第十三條不吻合項可以細分為“主要”或“次要”。如果所發(fā)現(xiàn)的不吻合項屬于以下任何一種情況,此不吻合項應(yīng)被分類為“主要”的:會以致系統(tǒng)、程序或控制措施整體無效;.-.操作過程沒有形成標準的文檔;累計多個

5、同一種類的“次要”不吻合項;對信息安全管理系統(tǒng)的未授權(quán)改正。若是所發(fā)現(xiàn)的不吻合項屬于個別事件,此不吻合項將被分類為“次要”的,比方:未表記信息安全分類的文檔;沒有被管理層批閱的事故報告;不完滿的改正記錄;不完滿的機房進出記錄。第十四條造成不吻合項的原因可以分為以下幾種:其文檔化的標準和程序與信息安全策略不一致;實質(zhì)的操作與文檔化的標準和程序要求不一致;實質(zhì)的操作沒有達到預期收效。第四章安全審計報告第十五條召開審計總結(jié)會議。應(yīng)總結(jié)報告以下內(nèi)容:審計的目標和范圍;審計的時間;參加審計的人員;4.審計報告(包括糾正和預防措施的建議);提交審計報告的副本供受審員參照。.-.第十六條在總結(jié)會議上,受審員

6、應(yīng)闡述任何疑問。第五章糾正和預防措施第十七條糾正和預防措施應(yīng)該包括問題描述、根根源因、應(yīng)急措施(可選)、糾正措施以及預防措施。第十八條受審員必定擬定糾正和預防措施的推行計劃。第十九條受審員應(yīng)在規(guī)準時間內(nèi)向評審員提交糾正和預防措施的推行報告。第六章審計糾正和預防措施的推行情況第二十條評審員應(yīng)在受審員提交報告的3個月內(nèi),審計糾正和預防措施的推行情況。第二十一條審計糾正和預防措施應(yīng)包括:面談、現(xiàn)場檢查、文檔的審查以及記錄(包括日志)的審查。第二十二條評審員依照受審員提交的糾正和預防措施推行報告,收集、記錄和審查相關(guān)憑據(jù)。第七章審計結(jié)果的批閱.-.第二十三條安全審計員應(yīng)批閱和解析所有審計結(jié)果。第二十四條受審員的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論