安全检查、安全审计管理规范【模板】

信息中心信息中心 安全检查 安全审计管理规范安全检查 安全审计管理规范 编 号 ISMS P02 A 版 本 号 V1 0 密 级 内部公开 ISMS P02 A 安全检查 安全审计管理规范 2 版本记录版本记录 版本号版本号版本日期版本日期修改修改审核审核批准批准修改记录修改记录 ISMS P02 A 安全检查 安全审计管理规范 3 1 1 目的目的 为了规范信息系统安全检查工作流程 明确各科室职责 有效地 对信息中心信息系统进行安全检查 并做好信息系统安全测评的配 合工作 2 2 适用范围适用范围 适用于 信息中心安全检查和安全审计的管理 3 3 定义定义 安全检查 指信息中心内部对信息系统的安全性情况进行的评价 活动 安全检查的依据是我局现行的信息系统运行管理制度 信息 系统安全体系规范 有关信息系统的法律 法规和标准等 安全检 查包括安全例行检查 安全专项检查 安全审计 包括项目信息化领导单位 上级单位或授权单位 对 我信息中心实施的审计或测评工作 4 4 职责职责 4 14 1AAAAAA 科室科室 4 1 1 作为信息中心内部安全检查责任科室 牵头负责安全检查的管 理工作 4 1 2 作为信息中心外部安全审计的牵头接待科室 ISMS P02 A 安全检查 安全审计管理规范 4 4 1 3 负责维护和管理安全检查工具 4 24 2 各科室各科室 4 2 1 配合安全检查和安全审计 如实提供 AAA 科室所需要的检查信 息 4 2 2 对安全检查和安全审计所发现的问题制定整改措施 整改计划 并实施整改 5 5 管理规范管理规范 5 15 1 安全检查安全检查管理规范管理规范 5 1 1 安全检查的要求 5 1 1 1 安全检查应当遵循全面 审慎 有效 独立的原则 5 1 1 2 检查工作要按照计划 准备 实施 报告 跟踪五个阶段开 展 5 1 1 3AAA 科室要建立检查机制 制定检查计划 定期开展检查活 动 检查计划要根据实际情况及时进行补充和调整 5 1 1 4 每年安全检查的内容应覆盖网络管理 主机管理 应用管理 物理环境管理 系统运行管理 安全制度管理等方面 5 1 1 5 可根据实际需要组织专项检查 对于信息系统发生的重大事 故和问题 要进行专项检查 对重大事件实施全面的监控和评价 5 1 1 6 必须对检查工具 检查过程信息和检查结果信息的使用和访 问采取控制措施加以保护 以防止任何可能的滥用 5 2 1 安全检查的准备工作 ISMS P02 A 安全检查 安全审计管理规范 5 5 2 1 1AAA 科室根据信息系统安全相关的国家标准 信息中心发布 的相关制度确定安全检查内容和安全检查方案 5 2 1 2 经 AAA 科室科长批准后将有关检查内容列入 安全检查清单 明确检查要点 检查方式 检查工具 检查所涉及的信息系统范 围和检查所需配合科室 5 3 1 安全检查的实施工作 5 3 1 1 安全检查分为安全例行检查及安全专项抽查 安全例行检查 每年进行一次 安全专项抽查则根据信息中心的安全运行状况所作 的不定期的抽查 AAA 科室应按照检查周期进行安全例行检查 根据 需要组织安全专项检查 5 3 1 2 安全检查应按照 安全检查清单 所规定的检查要点 检查 方式 使用规定的检查工具进行检查 5 3 1 3 应选择对信息系统运行影响最小的方式和时间进行检查 检查过程中应做好检查结果的记录工作 5 4 1 安全检查的报告工作 5 4 1 1 检查完成后由 AAA 科室编写检查报告并提出整改建议 并填 写包含不符合项和问题的 安全检查问题及整改表 提供给被检查 科室和相关科室 5 5 1 安全检查的整改工作 5 5 1 1 被检查科室和相关科室应按照检查报告中整改的时间要求 针对检查报告中所提出的问题制定整改实施计划并组织整改 填写 安全检查问题及整改表 报 AAA 科室 5 5 1 2AAA 科室应对整改措施的落实情况进行跟踪 验证整改措施 的实施结果是否有效 并将整改 预防措施验证情况填入 安全检 查问题及整改表 ISMS P02 A 安全检查 安全审计管理规范 6 5 5 1 3AAA 科室根据检查结果和整改情况进行汇总 形成安全状况 通报 5 25 2 安全审计管理规范安全审计管理规范 5 2 1 安全审计的要求 5 2 1 1AAA 科室应全程跟踪安全审计工作的实施过程 保证审计工 作不能超出预定的审计范围 5 2 1 2 在审计过程中如果需要使用审计工具 需审计方说明该工具 用途以及可能引入的风险 严禁使用来路不明的审计工具 5 2 1 3 在生产系统中使用审计工具前 AAA 科室要组织相关科室进 行测试工作 对其可能产生的影响进行评估和论证 5 2 1 4 审计工具只能在我信息中心的设备上运行并由我信息中心人 员负责操作 要对安全审计工具运行结果中的敏感信息等进行过滤 5 2 1 5 安全审计工作的实施要选择对生产系统运行影响最小的方式 和时间进行 5 2 1 6AAA 科室应按照审计调阅清单提供相关文档资料 AAA 科室 应建立文档资料交接清单 清单应包括文档名称 介质类型 提供 日期 预计归还日期 双方签字等内容 5 2 2 配合外部审计时的安全保密要求 5 2 2 1 外部审计实施单位应通过现场查阅或者现场访谈方式获取相 关信息 原则上不直接提供电子文档 5 2 2 2 外部审计实施单位不得将文档资料复制或带离现场 特殊情 况下如需将文档资料带离现场时 必须根据通过 AAA 科室统一转交 ISMS P02 A 安全检查 安全审计管理规范 7 5 2 2 3 审计工作结束后 AAA 科室要及时收回向审计实施单位提供 的文档资料并妥善保管 防止丢失 6 6 相关文件与记录相关文件与记录 安全检查清单 ISMS R P0201 安全检查问题及整改表 ISMS R P0202 安全检查报告 安全检查计划 ISMS P02 A 安全检查 安全审计管理规范 8 安全检查清单 NO ISMS R P0201 被检查科室检查员检查日期 科室负责 人 检查情况 标准条款检 查 内 容 符合不符合 检查情况记录 ISMS P02 A 安全检查 安全审计管理规范 9 安全检查问题及整改表 NO ISMS R P0202 部 门 检查员日 期 不符合项问题事实描述 不符合或问题涉及的依据 条款 签名