大學(xué)信息系統(tǒng)安全審計管理制度

大學(xué)信息系統(tǒng)安全審計管理制度第一章工作職責(zé)安排第一條安全審計員的職責(zé)是：（一）制定信息安全審計的范圍和日程；（二）管理具體的審計過程；（三）分析審計結(jié)果并提出對信息安全管理體系的改進意見；（四）召開審計啟動會議和審計總結(jié)會議；（五）向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議；（六）為相關(guān)人員提供審計培訓(xùn)；第二條評審員由審計負(fù)責(zé)人指派，協(xié)助主評審員進行評審，其職責(zé)是：（一）準(zhǔn)備審計清單；（二）實施審計過程；（三）完成審計報告；（四）提交糾正和預(yù)防措施建議；（五）審查糾正和預(yù)防措施的執(zhí)行情況；第三條受審員來自相關(guān)部門，其職責(zé)是：（一）配合評審員的審計工作；（二）落實糾正和預(yù)防措施；（三）提交糾正和預(yù)防措施的實施報告。第二章審計計劃的制定第四條審計計劃應(yīng)包括以下內(nèi)容：（一）審計的目的；（二）審計的范圍；（三）審計的準(zhǔn)則；（四）審計的時間；（五）主要參與人員及分工情況。第五條制定審計計劃應(yīng)考慮以下因素（一）每年應(yīng)進行至少一次涵蓋所有部門的審計；（二）當(dāng)進行重大變更后（如構(gòu)架、業(yè)務(wù)方向等），需要進行一次涵蓋所有部門的審計；第三章安全審計實施第六條審計的準(zhǔn)備（一）評審員需要先了解審計范圍相關(guān)的安全策略、標(biāo)準(zhǔn)和程序；（二）準(zhǔn)備審計清單，其內(nèi)容主要包括：（三）需要訪問的人員和調(diào)查的問題；（四）需要查看的文檔和記錄（包括日志）（五）需要現(xiàn)場查看的安全控制措施。第七條在進行實際審計前，召開啟動會議，其內(nèi)容主要包括：（一）評審員與受審員一起確認(rèn)審計計劃和所采用的審計方式，如在審計的內(nèi)容上有異議，受審員應(yīng)提出聲明（例如：限制可訪問的人員、可調(diào)查的系統(tǒng)等）；（二）向受審員說明審計通過抽查的方式來進行。第八條審計方式包括面談、現(xiàn)場檢查、文檔的審查、記錄（包括日志）的審查。第九條評審員應(yīng)詳細(xì)記錄審計過程的所有相關(guān)信息。在審計記錄中應(yīng)包含下列信息：（一）審計的時間；（二）被審計的部門和人員；（三）審計的主體；（四）觀察到的違規(guī)現(xiàn)象；（五）相關(guān)的文檔和記錄，比如操作手冊、備份記錄、操作員日志、軟件許可證、培訓(xùn)記錄等；（六）審計參考的文檔，比如策略、標(biāo)準(zhǔn)和程序等；（七）參考所涉及的標(biāo)準(zhǔn)條款；（八）審計結(jié)果的初步總結(jié)；第十條如懷疑與相關(guān)安全標(biāo)準(zhǔn)有不符合項的情況，審計員應(yīng)記錄所觀察到的詳細(xì)信息（如在何處、何時，所涉及的人員、事項，和具體的情況等）并描述其為什么不符合。關(guān)于不符合的情況應(yīng)與受審員達(dá)成共識。第十一條在每項審計結(jié)束時應(yīng)準(zhǔn)備審計報告，審計報告應(yīng)包括：（一）審計的范圍；（二）審計所覆蓋的安全領(lǐng)域；（三）審計結(jié)果的總結(jié)；（四）不符合項，不符合項的具體描述和相關(guān)證據(jù)；（五）糾正和預(yù)防措施的建議。第十二條不符合項是指與等級保護基本要求不一致的情況。產(chǎn)生不符合項可能是由于與相關(guān)的規(guī)定不一致，包括：（一）等級保護基本要求；（二）信息安全策略；（三）相關(guān)標(biāo)準(zhǔn)和程序；（四）相關(guān)法律條款；（五）本單位的相關(guān)規(guī)定；（六）任何其它在客戶合同中規(guī)定的要求。第十三條不符合項可以細(xì)分為“主要”或“次要”。如果所發(fā)現(xiàn)的不符合項屬于下列任何一種情況，此不符合項應(yīng)被分類為“主要”的：（一）會導(dǎo)致系統(tǒng)、程序或控制整體失效；（二）操作過程沒有形成標(biāo)準(zhǔn)的文檔；（三）累計多個同一類型的“次要”不符合項；（四）對信息安全管理體系的未授權(quán)變更。如果所發(fā)現(xiàn)的不符合項屬于個別事件，此不符合項將被分類為“次要”的，例如：（一）未標(biāo)識信息安全分類的文檔；（二）沒有被管理層審閱的事故報告；（三）不完整的變更記錄；（四）不完整的機房進出記錄。第十四條造成不符合項的原因可以分為以下幾種；（一）其文檔化的標(biāo)準(zhǔn)和程序與信息安全策略不一致；（二）實際的操作與文檔化的標(biāo)準(zhǔn)和程序要求不一致；（三）實際的操作沒有達(dá)到預(yù)期效果。第四章安全審計匯報第十五條召開審計總結(jié)會議。應(yīng)總結(jié)匯報以下內(nèi)容：（一）審計的目標(biāo)和范圍；（二）審計的時間；（三）參與審計的人員；（四）審計報告（包括糾正和預(yù)防措施的建議）；（五）提交審計報告的副本供受審員參考。第十六條在總結(jié)會議上，受審員應(yīng)闡述任何疑問。第五章糾正和預(yù)防措施第十七條糾正和預(yù)防措施應(yīng)該包括問題描述、根本原因、應(yīng)急措施（可選）、糾正措施以及預(yù)防措施。第十八條受審員必須制定糾正和預(yù)防措施的實施計劃。第十九條受審員在規(guī)定時間內(nèi)向評審員提交糾正和預(yù)防措施的實施報告。第六章審計糾正和預(yù)防措施的實施狀況第二十條評審員應(yīng)在受審員提交報告的3個月內(nèi)，審計糾正和預(yù)防措施實施狀況。第二十一條審計糾正和預(yù)防措施應(yīng)包括：面談、現(xiàn)場檢查、文檔的審查以及記錄（包括日志）的審查。第二十二條評審員根據(jù)受審員提交的糾正和預(yù)防措施實施報告，收集、記錄和審查相關(guān)證據(jù)。第七章審計結(jié)果的審閱第二十三條安全審計員應(yīng)審閱和分析所有審計結(jié)果。第二十四條受審員的領(lǐng)導(dǎo)在審