信息系统审核规范.pdf

信息系统审核规范--第1页

信息系统审核规范

1.目的和范围

确保本公司制定的信息安全策略和规定能够定期评审和正确执

行。

2.术语和定义

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要

求》

ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细

则》规定的术语适用于本标准。

3.引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡

是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）

或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用

这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适

用于本标准。

ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要

求

ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细

则

合规性管理程序

第1页共4页

信息系统审核规范--第1页

信息系统审核规范--第2页

补丁管理规定

4.职责和权限

(1)制定信息系统安全审核策略

(2)对信息系统进行定期审核

5.活动描述

(1)技术部根据公司情况，制定出公司在用户管理、权限管理、

漏洞扫描、渗透测试等方面的审核策略，必要时填写《信息系统

定期评审策略明细表》

(2)管理人员应确保在其职责范围内的所有安全程序被正确地

执行，以确保符合安全策略及标准。

(3)管理人员应对自己职责范围内的信息处理是否符合合适的

安全策略、标准和任何其它安全要求进行定期评审。

(4)信息系统应被定期检查是否符合安全实施标准。

(5)任何技术符合性检查应仅由有能力的、已授权的人员来完

成，或在他们的监督下完成。

(6)涉及对运行系统检查的审核要求和活动，应谨慎地加以规

划并取得批准，以便最小化造成业务过程中断的风险。

(7)漏洞扫描管理：

1)管理员应定期进行漏洞扫描，客户端和服务器可考虑使用奇

虎360工具进行漏洞扫描。

2)根据漏洞扫描结果，管理员应及时根据《补丁管理规定》及

第2页共4页

信息系统审核规范--第2页

信息系统审核规范--第3页

时修补系统漏洞。

3)渗透测试管理：

4)技术符合性检查应由有经验的系统工程师手动执行（如需要，

利用合适的软件工具支持），或者由技术专家用自动工具来执行，

此工具可生成供后续解释的技术报告。

5)如果使用渗透测试或脆弱性评估，则应格外小心，因为这些

活动可能导致系统安全的损害。这样的测试应预先计划，形成文

件，且重复执行。

6.审核注意事项：

(1)应与合适的管理者商定审核要求；

(2)应商定和控制检查范围；

(3)检查应限于对软件和数据的只读访问；

(4)非只读的访问应仅用于对系统文件的单独拷贝，当审核完

成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些

文件的义务，则要给予适当的保护；

(5)应明确地识别和提供执行检查所需的资源；

(6)应识别和商定特定的或另外的处理要求；

(7)应监视和记录所有访问，以产生参照踪迹；对关键数据或

系统，应考虑使用时间戳参照踪迹；

(8)应将所有的程序、要求和职责形成文件；

(9)执行审核的人员应独立于审核活动。

第3页共4页

信息系统审