某公司信息系统安全检查与审计管理制度.docxVIP

PAGE \* ROMAN II 编号：XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXX XXXX公司 TITLE 信息系统安全检查与审计管理制度 XXX年XXX月 文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。 版本号 1.0 发布时间 ××× 发布范围 ××× 修订时间 ××× 修订内容 ××× 备注 发布之日起施行 PAGE 1 总则 为规范XXXXX公司信息安全检查工作流程，明确职责，有效地对企业进行安全检查和安全审计，确保信息系统信息安全管理符合XXXXX公司信息技术部安全管理要求，特制订本制度。 本规定适用于XXXXX公司各部门和信息系统。 组织职责 安全管理员负责牵头协调组织各系统信息安全检查的管理工作。 相关管理员应配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。 安全审计人员配合审计部门开展审计工作。 安全检查要求 安全检查应当遵循全面、审慎、有独立的原则。 安全检查包括部门自查和信息技术部定期执行的安全检查和专项检查。 部门自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况，自查工作应保留自查结果。自查应至少一个季度组织一次。 信息技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务部门自查结果抽查等。安全检查应至少半年组织一次。 根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。 对于新系统，包括设备、主机、应用系统上线或安装前必须经过安全检查，检查方式应包括系统安全配置，漏洞评估，恶意代码检测，根据检查结果进行整改后方可上线。 必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的风险。 自查和安全检查均应在检查之前形成检查表，专项检查根据检查内容形成检查表。 应严格按照检查表实施检查，检查完毕，记录下所有检查结果。 应对检查记录进行归档，只有授权人员可以访问阅读。 应对检查结果进行汇总分析，形成安全检查报告，检查报告应对问题进行分析，提出解决建议。 应制定措施防止安全检查结果的非授权散布，只对经过授权的人员通报安全检查结果。 各部门应阅读并理解安全检查报告，在信息技术部的指导下对出现的问题进行整改。信息技术部应对整改过程进行监督，并将整改结果报送信息安全领导小组。 安全检查准备 各部门和信息技术部应组织相关部门或人员按照检查周期进行安全例行检查，根据需要组织安全专项检查。 安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。 应选择对单位信息系统运行影响最小的方式和时间进行检查。 实施对生产环境可能造成影响的安全检查后，应协调相关部门或人员对被检查系统检查后运行状态进行验证。 安全检查可采用抽查的方式进行，抽查的采样量应能确保安全检查结果的准确性、代表性并符合系统实际生产情况。 检查过程中应做好检查结果的记录工作。 安全检查报告 安全检查完成后由检查人员或部门组织编写检查报告并提出整改建议，提供给相关部门。 安全检查整改 相关部门应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改。 检查人员或部门应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。 系统管理员根据检查结果和整改情况进行汇总，形成安全状况通报并提供给相关部门。 安全审计要求 安全审计作为整体审计工作的一个部份，依据审计工作相关管理办法开展安全审计工作。 安全审计人员的配备应根据实际情况，采用如下方法的一种，原则上应以审计部门培养自身独立的安全审计人员为主，其他手段为辅。 由审计部门独立完成，使用审计部门具备相应技能的人员完成审计工作； 由审计部门和被审计部门共同完成，被审计部门指派熟悉技术的人员配合审计部门完成审计工作，本情形需注意审计独立的原则，进行交叉审计； 聘请外部专业审计单位完成审计工作 安全审计的内容主要包括： 相关法律法规的符合情况； 管理部门的相关管理要求的符合情况； 现有安全技术措施的有效性； 安全配置与安全策略的一致性； 安全管理制度的执行情况； 安全检查和自查的检查结果及检查报告； 日志信息是否完整记录； 各类重要记录是否免受损失、破坏或伪造篡改； 检查系统是否存在漏洞； 检查数据是否具备安全保障措施。 安全审计工作应具有独立性，避免有舞弊的情况发生。 安全审计的方式分为： 全面审计：即审计内容覆盖信息系统安全管理范围内的所有部门，以及所有信息安全控制