安全审核和检查制度

1、平安审核和检查制度文件编号：目的为适时发现、纠正、消除并预防公司自身信息平安不符合工程，确保信息平安系统各项活动能到达 预期之信息平安目标，特制定信息平安审核和检查制度，期望能通过此制度及相关作业程序的实施，自 查自纠，改进与完善现行信息平安管理体系。范围网安公司所有信息资产与实体环境。术语“平安审核和检查”以下简称为“稽核”参考文件GB/T 22239-2008信息平安技术-信息系统平安等级保护基本要求ISO/IEC 27001 2005 Information technology-Security techniques-lnformation securitymanagement sys

2、tems-Requirements定义定期平安稽核：依据等级保护基本要求，应定期进行平安检查，检查内容包括系统日常运行、系 统漏洞和数据备份等情况；不定期稽核：组织架构、系统、过程发生变化所进行的稽核(比方：客户需求、作业流程突发性 的变更以及外部稽核)。角色与职责信息平安管理部：负责对各信息平安稽核之制订计划、实施稽核以及改善成果。稽核小组 (1)召开内部稽核会议；(2)拟订内部信息平安稽核检点表与内部信息平安稽核计划书；(3)拟订内部信息平安稽核通知单并呈核后，通知所有被稽核单位；(4)依稽核时程执行内部稽核；(5)撰写内部信息平安稽核报告，并提出查核工作之检讨。被稽核部门被稽核部门之主管

3、(1)参加内部稽核之准备会议、总结会议、检讨会议；(2)支持内部稽核开展工作；(3)督导缺失改善情况。被稽核部门之人员(1)协助提供稽核相关记录；(2)执行缺失改善工作；(3)回复缺失改善情况。稽核员资质与准那么稽核人员资质为提升内部稽核员信息平安稽核能力，稽核人员应具备内部稽核的资格，需满足以下至少一项要求：(1)具备国际标准相关稽核认证的人员；(2)经过稽核知识及相关技能强化的培训。稽核员准那么(1)稽核独立性：对于所有稽核相关事项，稽核员应在态度和表现上独立于被稽核单位，以确保 稽核工作完成的客观性。(2)稽核职业道德和标准：稽核员应遵守职业道德规范，签署并同意遵守诚信廉洁职业道德约 定

4、书保密协议。(3)稽核专业能力：稽核员必须参加内部稽核员课程并通过考核，具备进行稽核工作的相应知识和技能。(4)持续之教育训练：稽核员必须参与不定期举行的专业教育和培训以便始终保持良好的专业能力。8.作业描述稽核时机8.作业描述定期稽核每年至少执行一次，以配合相关信息平安管理审查制度的运作。假设涉及以下情况, 那么执行不定期稽核：(1)对已运作之信息系统存在平安疑虑时；(2)组织架构、系统、过程发生变化时；(3)所采取之矫正措施，需进一步检查评估时。稽核前准备稽核组长的相关工作(1)于内部稽核前一个月，召集稽核人员举行内部稽核准备会议，拟订内部信息平安稽核 检点表和内部信息平安稽核计划书。(2

5、)于内部稽核前十日，拟订内部信息平安稽核通知单。(3)于内部稽核前七日，确定内部信息平安稽核通知单、内部信息平安稽核检点表、内部信息平安稽核计划书，并通知被稽核部门。(4)于内部稽核前三日，召集稽核人员举行内部稽核前会议，并说明本次稽核要点与注意事 项。稽核人员的相关工作(1)稽核人员在稽核前收集被稽核部门数据并准备稽核相关数据(2)与被稽核部门协调审查时间，解释相关稽核要点与考前须知。被稽核部门相关工作(1)提供所需要的系统相关性的文文件、记录及辅助数据。(2)配合稽核作业，假设因故无法于预定稽核日配合执行，或稽核范围有变更，需立即以书面 形式协调。稽核执行中稽核组长于内部稽核开始日，在被稽

6、核部门内部举行内部稽核开始会议，说明稽核行程及稽 核方式，被稽核部门负责人员或代理人必须在场。按内部信息平安稽核检点表对所有数据逐项进行稽核，将每项稽核情况记录在信息安 全内部稽核记录单中，形成历史数据，以备后查，追踪。以内部信息平安稽核检点表所订定范围为主，并可衡量实际作业需求做相应调整。先对文件进行审查，再稽核现场。稽核后检讨稽核结束后，稽核组汇总信息平安内部稽核记录单中所阐述不符合工程。稽核组与被稽核方讨论确认稽核缺失工程。稽核组与被稽核方将所稽核到的缺失工程确认后，汇总稽核报告。稽核组将稽核报告呈核后，发送给所有被稽核单位，以便追溯改善结果。被稽核单位依据稽核报告之所需改善缺失工程进行整改，并回复给资安管理课。信息平安管部将根据被稽核单位回复的整改结果，进行逐步核实，直到所有缺失工程改善完 成后，予以归档保存，以备后查。改善矫正与追踪稽核缺失之后续追踪应依据纠正预防措施管理程序执行。查核缺失事项应纳入下次稽核作业时检查，以确保所有改善行动皆已确实执行。相关稽核数据应保存三年，数据销毁应依存储媒体报废与再利用管控作业方法执行。稽核工具保护系统稽核工具（例如漏洞扫描软件等）之存取应由权限人员于授权范围内操作，并留有存取、操作 记录，以防止任何可能的误用或破解。系统稽核工具应