公司信息安全内部审计制度

XX公司信息安全内部审计制度

第一章总则

第一条为了加强信息系统安全管埋工作，保证单位各

类信息系统数据的规范性、安全性、完整性，保障业务系统

和日常工作的正常进行；根据国家、行业以及单位相关政策

制度，结合本单位实际情况制定本制度。

第二条安全审计的范围应包括与信息系统安全有关

的所有范畴，包括各类网络与信息资产、组织与人员（管理

层、员工、用户、第三方等）和业务流程等。

第三条信息安全管理委员会负责对本文档的审批和

管理；信息安全工作主管领导负责本文档的审核及组织编

写，监督管理安全审计工作的落实；信息安全工作小组负责

对本文档的组织编写修订工作，对安全审计发现的问题采取

措施进行控制；信息安全审计小组负责定期对本文档的适用

性进行审定，组织各部门准备安全审计资料，编写安全审计

报告，对安全审计中提出的纠正与预防措施实施情况进行跟

踪和验证，并归档保管安全审计中形成的相关资料。

第四条信息安审计术语和定义

1.安全策略：有关管理、保护和发布敏感信息的法律规

定和实施细则。

2.安全审计：按确定规则的要求，对与安全相关的事件

进行审计，以日志方式记录必要信息，并作出相应处理的安

全机制。

3.安全审计的独立性：审计方与被审计方保持相对独

立，包括审计职责和流程，以确保审计结果的公正可靠。

第二章信息安全内部审计机构

第五条作为xx公司（以下称“xx公司”）的信息安

全审计组织，负责实施xx公司信息安全内部审核或对外审

核，协助外部第二方/第三方审核；审核组的工作应该直接

向信息安全领导小组汇报；实施独立审核，确保信息安全管

理系统各项控制及组成部分按照策略要求运行良好，确俣信

息安全管理体系的完整性、符合性和有效性；

第六条与审计制度相关的人员分为审计人和被审计

人。被审计人及相关信息系统为xx公司企业信用信息管理

平台以及相关系统的信息安全执行组人员，审计的目标包括

xx公司信息安全相关制度文件、企业信用信息管理平台以及

相关网络以及安全设备等、机房视频监控系统和其相关的管

理、维护和使用人员等；

第三章信息安全内部审计机构人员的职责和权限

第七条信息安全审计员岗位要独立于其他角色管理

员和各类系统使用人员。信息安全审计员的职责如下：

1.负责XX公司企业信用信息管理平台以及相关系统的

安全审计制度的建设与完善工作；

2.信息安全审计员要对收集到的大量审计行为记录进

行检查，以监督对省征信系统平台的相关信息系统的不当使

用和非法行为；

3.定期执行安全审计检查，对系统的安全状况进行分析

评估，向上级主管提供系统安全状况审计报告和改进措施

等。

第八条信息安全执行组人员，包括各系统（网络设

备，安全产品，主机，数据库和应用系统）的管理维护人员

负责维护各自系统正常运行的同时必须向审计人员提供审

计所需的各种信息（如各系统的日志，系统升级、备份、加

固、权限及配置变更等各种操作记录）以配合审计人员完成

审计工作；

第四章信息安全审计工作程序

第九条全面收集入侵者，内部恶意用户或合法用户误

操作的相关信息，以便进一步的查看和分析。防止重要的日

志信息收集的遗漏。需要根据各种系统的安全设置方法设定

重要事件的日志审计，如对安全设备的登入事件、用户增减

事件、用户权限及属性修改事件、访问规则修改事件、系统

开启或关闭事件、系统配置修改事件、安全告警事件，系统

版本更新升级等事件的日志审计，包括所有系统特权命令的

使用都必须被全面的记录；

第十条分析存在安全威胁的原因，以便制定相应的对

策。日志查看和分析具体要求日志可以作为证据，提供安全

事故调查；信息安全主管需要定期查看各系统的安全管理员

是否根据其职责进行安全的维护，包括日常的运维操作记录

和日志；信息安全审计员需要在信息安全主管的配合下对所

有日志事件进行分类，划分不同的安全事件等级，并分析存

在威胁的原因；信息安全审计员整理并编写安全分析报告，

定期向上级汇报日志报表中存在的安全威胁其中包括：安全

威胁的统计、新威胁的列表、威胁同比增长率、安全威胁的

防范。审计人员与使用人员沟通，将重点审计对象的访问特

点反馈给这些对象的使用者，尤其是各自的管理员；对于发

现存在异常信息的审计对象，将这些信息告知相关管理员和

操作者，并要求他们给出合理的解释。

第十一条以信息安全审计数据作为基础抽样对象，汇

总成为审计月报，经相关领导审核、批准后，向全公司人员

公布。信息安全审计月报的内容：

1.信息安全审计的范围；

2.信息安全审计的标准或原则；

3.信息安全审计的检查清单；

4,列举所有安全问题和安全隐患，并按照严重程度进行

划分;

5.列举所有信息安全问题和安全隐患的有关责任人员

或责任部。

第十二条审计过程中发现的违规行为，经确认应当通

报给有关责任部门和责任人，并要求在规定时间内有关责任

部提出解决方案和处理报告，信息安全审计部门和相关责任

人负责监督各违规行为是否纠正，并做相关的记录。信息安

全审计员，负责检查信息安全主管的相关记录以确保纠正措

施都得到了实施，在纠正措施完成之后再次对相关的违规事

项进行检查。

第十三条日志审计的目标主要是对信息系统访问操

作，对访问控制，对敏感数据以及对应用数据的审计，也可

以分类为主机系统，安全产品，网络设备，数据库和应用系

统的信息安全审计。

第十四条安全产品、网络设备的日志审核对安全产

品、网络设备的日志的审核工作具体要求如下：

(一)责任人应明确审核频率、定义安全事件判断规则、

规定安全事件通报流程，用以审核日志，发现并确定安全事

件。

(―)重大安全事件必须被记录在案，例如：

1.多次失败登录；

2.异常时间的接入或者异常地点的接入；

3.信息流量的突然增加；

4.针对系统资源的异常或饱和性尝试；

5.重大网络与信息系统事件（比如配置更新以及系统崩

侦寺寺）；

6.其他安全相关属性变化等。

第十五条对审计各系统日志的要求如下：

1.应用系统日志产生是否正常，包括日志产生的时间、

格式；

2.日志功能是否被关闭过；

3.日志中是否有被人为篡改的痕迹，（包括日志文件被

编辑或删除，记录的消息类型被修改等）；

4.日志中是否存在多次登陆失败的情况，如果超过一定

的阀值，应当考虑为攻击事件；

5.日志文件存储媒介是否用尽，防止造成无法记录事件

或自行覆盖以前的日志文件；

6.是否定期打印重要的操作清单；

7.针对各业务系统维护人员通过系统界面对业务数据

进行的增、册人改操作进行日志审查；

8.对清单查询操作进行日志审查；

9.对用户权限变更操作进行日志审查。

第十六条主机日志审计。对主机日志的审核内容，至

少要包括以下内容：

1.审计未经授权的，对数据库的非法连接；

2.系统错误及所采取的纠正措施；

3.系统的配置文件被修改；

4.用户帐号变更；

5.根用户或者用户被修改。

第十七条数据库日志审计。对主机日志的审核内容，

至少要包括以下内容：

1.审计未经授权的，直接连接数据库后的变更（增加，

删除，修改）所有操作日志；

2.系统错误及所采取的纠正措施；

3.数据库服务的启动和关闭的日志信息；

4.数据库系统核心配置文件被修改；

5.数据库的日志是否定期备份。

第五章信息安全审计档案管理

第十八条信息安全内部审计档案是指在各项信息安

全审计活动中形成和取得的具有保存价值的各种文字、图表

及电子形态的信息等记录资料，以实物形态存在的实物证

据。

第十九条审计档案一般不对外借阅，必须借阅者，须

经信息安全审计部门负责人批准。

第二十条在信息安全内部审计活动中形成的文件、记

录和反映审计监督、评价、签证等业务活动的取证材料，包

括签报、批件、定稿、复印件、审计调查记录、审计工作底

稿等重要原始凭证，均应收集齐全，立卷归档，具体立卷归

档的范围是：

1.年初审计计划和上级领导交办的审计项目、审计调查

等。

2.上级领导对审计项目的批示、指示。

3•审计通知书、委派通知书。

4.审计报告及审定该报告的会议记录、纪要等。

5•审计证据，审计调查材料，审计工作底稿。

6.审计结论和审计处理决定及讨论该审计结论和审计

处理决定的会议记录、纪要。

7.审计案件移送书。

8.与审计有关的其他材料。

第二十一条为保证审计档案的完整、系统和便于利

用，对立卷的归档文件材料要进行严格的挑选，重点是取证

及其他有关材料，要以审计报告、审计结论和处理决定所列

的问题为中心整理材料，一般不得将审计监督和行政管理两

类文件材料混合立卷。

第二十二条审计档案应当按项目立卷，一个项目的文

件材料立一卷，不得把两个以上项目的文件材料归为一卷。

跨年度的审计事项存放于审计结束的年度。

第二十三条卷内文件应按正件在前，原文在后；复印

件在前，原件在后；批复在前，请示在后；重要文件的定稿

在前，修改文件在后的顺序排列。

第二十四条内部审计档案按国家审计署有关的立卷

归档程序，采取逆向归档方法：

1、卷内目录：

第一部：审计报告、审计结论、审计处理决定。

第二部：取证材料。

第三部：审计通知书、委派通知书。

2、立卷的所有文件材料应逐页在右上角编写阿拉伯数

码。

第二十五条为保证案卷质量，审计档案管理人员应对

立卷的卷宗分别逐卷检查和验收，对破损或褪色的文件材料

应进行修补和复制，声、像档案及计算机软件等资料，应在

每盘上注明内容、承办单位、复制时间、录制人并逐盘登记,

不得有油笔或半页纸张出现。为做到卷内美观、整齐，所有

文件材料一般使用A4纸张。案卷立好后应定期向本单位档

案室移交，以便集中统一管理。

第六章奖励和罚则

第二十六条对被审计单位、人员的遵纪守法、效益显

著行为，审计人员应向公司主管领导提出各类奖励建议。

第二十七条审计人员对有下列行为的单位和个人，根

据情节轻重，向集团公司主管领导提出各类处罚建议：

1.拒绝提供有关信息安全相关的文件、密码、配置文件

资料和证明材料的；

2.阻挠信息安全审计人员行使职权，抗拒、破坏监督检

查的；

3.弄虚作假、隐瞒事实真相的；

4.拒不执行审计结论和决定的；

5.打击报复审计人员或举报人的。