信息系統(tǒng)安全審計(jì)管理制度.doc
《信息系統(tǒng)安全審計(jì)管理制度.doc》由會(huì)員分享,可在線(xiàn)閱讀,更多相關(guān)《信息系統(tǒng)安全審計(jì)管理制度.doc(7頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
.信息系統(tǒng)安全審計(jì)管理制度第一章 工作職責(zé)安排第一條 安全審計(jì)員的職責(zé)是:1. 制定信息安全審計(jì)的范圍和日程;2. 管理具體的審計(jì)過(guò)程;3. 分析審計(jì)結(jié)果并提出對(duì)信息安全管理體系的改進(jìn)意見(jiàn);4. 召開(kāi)審計(jì)啟動(dòng)會(huì)議和審計(jì)總結(jié)會(huì)議;5. 向主管領(lǐng)導(dǎo)匯報(bào)審計(jì)的結(jié)果及建議;6. 為相關(guān)人員提供審計(jì)培訓(xùn)。第二條 評(píng)審員由審計(jì)負(fù)責(zé)人指派,協(xié)助主評(píng)審員進(jìn)行評(píng)審,其職責(zé)是:1. 準(zhǔn)備審計(jì)清單;2. 實(shí)施審計(jì)過(guò)程;3. 完成審計(jì)報(bào)告;4. 提交糾正和預(yù)防措施建議;5. 審查糾正和預(yù)防措施的執(zhí)行情況。第三條 受審員來(lái)自相關(guān)部門(mén),其職責(zé)是:1. 配合評(píng)審員的審計(jì)工作;2. 落實(shí)糾正和預(yù)防措施;3. 提交糾正和預(yù)防措施的實(shí)施報(bào)告。第二章 審計(jì)計(jì)劃的制訂第四條 審計(jì)計(jì)劃應(yīng)包括以下內(nèi)容:1. 審計(jì)的目的;2. 審計(jì)的范圍;3. 審計(jì)的準(zhǔn)則;4. 審計(jì)的時(shí)間;5. 主要參與人員及分工情況。第五條 制定審計(jì)計(jì)劃應(yīng)考慮以下因素:1. 每年應(yīng)進(jìn)行至少一次涵蓋所有部門(mén)的審計(jì);2. 當(dāng)進(jìn)行重大變更后(如架構(gòu)、業(yè)務(wù)方向等),需要進(jìn)行一次涵蓋所有部門(mén)的審計(jì)。第三章 安全審計(jì)實(shí)施第六條 審計(jì)的準(zhǔn)備:1. 評(píng)審員需事先了解審計(jì)范圍相關(guān)的安全策略、標(biāo)準(zhǔn)和程序;2. 準(zhǔn)備審計(jì)清單,其內(nèi)容主要包括:1) 需要訪(fǎng)問(wèn)的人員和調(diào)查的問(wèn)題;2) 需要查看的文檔和記錄(包括日志);3) 需要現(xiàn)場(chǎng)查看的安全控制措施。第七條 在進(jìn)行實(shí)際審計(jì)前,召開(kāi)啟動(dòng)會(huì)議,其內(nèi)容主要包括:1. 評(píng)審員與受審員一起確認(rèn)審計(jì)計(jì)劃和所采用的審計(jì)方式,如在審計(jì)的內(nèi)容上有異議,受審員應(yīng)提出聲明(例如:限制可訪(fǎng)問(wèn)的人員、可調(diào)查的系統(tǒng)等);2. 向受審員說(shuō)明審計(jì)通過(guò)抽查的方式來(lái)進(jìn)行。第八條 審計(jì)方式包括面談、現(xiàn)場(chǎng)檢查、文檔的審查、記錄(包括日志)的審查。第九條 評(píng)審員應(yīng)詳細(xì)記錄審計(jì)過(guò)程的所有相關(guān)信息。在審計(jì)記錄中應(yīng)包含下列信息:1. 審計(jì)的時(shí)間;2. 被審計(jì)的部門(mén)和人員;3. 審計(jì)的主題 ;4. 觀察到的違規(guī)現(xiàn)象;5. 相關(guān)的文檔和記錄,比如操作手冊(cè)、備份記錄、操作員日志、軟件許可證、培訓(xùn)記錄等;6. 審計(jì)參考的文檔,比如策略、標(biāo)準(zhǔn)和程序等;7. 參考所涉及的標(biāo)準(zhǔn)條款;8. 審計(jì)結(jié)果的初步總結(jié)。第十條 如懷疑與相關(guān)安全標(biāo)準(zhǔn)有不符合項(xiàng)的情況,審計(jì)員應(yīng)記錄所觀察到的詳細(xì)信息 (如在何處、何時(shí),所涉及的人員、事項(xiàng),和具體的情況等) 并描述其為什么不符合。關(guān)于不符合的情況應(yīng)與受審員達(dá)成共識(shí)。第十一條 在每項(xiàng)審計(jì)結(jié)束時(shí)應(yīng)準(zhǔn)備審計(jì)報(bào)告,審計(jì)報(bào)告應(yīng)包括:1. 審計(jì)的范圍;2. 審計(jì)所覆蓋的安全領(lǐng)域;3. 審計(jì)結(jié)果的總結(jié);4. 不符合項(xiàng),不符合項(xiàng)的具體描述和相關(guān)證據(jù);5. 糾正和預(yù)防措施的建議。第十二條 不符合項(xiàng)是指與等級(jí)保護(hù)基本要求不一致的情況。產(chǎn)生不符合項(xiàng)可能是由于與相關(guān)的規(guī)定不一致,包括:1. 等級(jí)保護(hù)基本要求;2. 信息安全策略;3. 相關(guān)標(biāo)準(zhǔn)和程序;4. 相關(guān)法律條款;5. 本單位的相關(guān)規(guī)定;6. 任何其它在客戶(hù)合同中規(guī)定的要求。第十三條 不符合項(xiàng)可以細(xì)分為“主要”或“次要”。如果所發(fā)現(xiàn)的不符合項(xiàng)屬于下列任何一種情況,此不符合項(xiàng)應(yīng)被分類(lèi)為 “主要”的:1. 會(huì)導(dǎo)致系統(tǒng)、程序或控制措施整體失效;2. 操作過(guò)程沒(méi)有形成標(biāo)準(zhǔn)的文檔;3. 累計(jì)多個(gè)同一類(lèi)型的“次要”不符合項(xiàng);4. 對(duì)信息安全管理體系的未授權(quán)變更。如果所發(fā)現(xiàn)的不符合項(xiàng)屬于個(gè)別事件,此不符合項(xiàng)將被分類(lèi)為 “次要”的,例如:1. 未標(biāo)識(shí)信息安全分類(lèi)的文檔;2. 沒(méi)有被管理層審閱的事故報(bào)告;3. 不完整的變更記錄;4. 不完整的機(jī)房進(jìn)出記錄。第十四條 造成不符合項(xiàng)的原因可以分為以下幾種: 1. 其文檔化的標(biāo)準(zhǔn)和程序與信息安全策略不一致;2. 實(shí)際的操作與文檔化的標(biāo)準(zhǔn)和程序要求不一致;3. 實(shí)際的操作沒(méi)有達(dá)到預(yù)期效果。第四章 安全審計(jì)匯報(bào)第十五條 召開(kāi)審計(jì)總結(jié)會(huì)議。應(yīng)總結(jié)匯報(bào)以下內(nèi)容:1. 審計(jì)的目標(biāo)和范圍;2. 審計(jì)的時(shí)間;3. 參與審計(jì)的人員;4. 審計(jì)報(bào)告(包括糾正和預(yù)防措施的建議);5. 提交審計(jì)報(bào)告的副本供受審員參考。第十六條 在總結(jié)會(huì)議上,受審員應(yīng)闡述任何疑問(wèn)。第五章 糾正和預(yù)防措施第十七條 糾正和預(yù)防措施應(yīng)該包括問(wèn)題描述、根本原因、應(yīng)急措施(可選)、糾正措施以及預(yù)防措施。第十八條 受審員必須制定糾正和預(yù)防措施的實(shí)施計(jì)劃。第十九條 受審員應(yīng)在規(guī)定時(shí)間內(nèi)向評(píng)審員提交糾正和預(yù)防措施的實(shí)施報(bào)告。第六章 審計(jì)糾正和預(yù)防措施的實(shí)施狀況第二十條 評(píng)審員應(yīng)在受審員提交報(bào)告的3個(gè)月內(nèi),審計(jì)糾正和預(yù)防措施的實(shí)施狀況。第二十一條 審計(jì)糾正和預(yù)防措施應(yīng)包括:面談、現(xiàn)場(chǎng)檢查、文檔的審查以及記錄(包括日志)的審查。第二十二條 評(píng)審員根據(jù)受審員提交的糾正和預(yù)防措施實(shí)施報(bào)告,收集、記錄和審查相關(guān)證據(jù)。第七章 審計(jì)結(jié)果的審閱第二十三條 安全審計(jì)員應(yīng)審閱和分析所有審計(jì)結(jié)果。第二十四條 受審員的領(lǐng)導(dǎo)在審閱審計(jì)結(jié)果時(shí),應(yīng)分析的事件包括審計(jì)計(jì)劃、此次審計(jì)結(jié)果和上次審計(jì)結(jié)果的比較、糾正和預(yù)防措施。第八章 附 則第二十五條 本制度由某某單位負(fù)責(zé)解釋。第二十六條 本制度自發(fā)布之日起生效執(zhí)行。精選word范本!- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
15 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息系統(tǒng)安全 審計(jì) 管理制度
鏈接地址:http://m.italysoccerbets.com/p-5425479.html