信息系统审计操作管理办法

信息系统审计操作管理办法一、总则（一）目的依据。为规范信息系统审计工作，防范信息风险，保障信息系统安全稳定运行，依据《中华人民共和国网络安全法》《信息系统安全等级保护管理办法》等法律法规，制定本办法。（二）适用范围。本办法适用于本单位所有信息系统及相关审计活动，包括硬件、软件、网络、数据等全部信息资产。（三）基本原则。坚持客观公正、全面覆盖、风险导向、持续改进的原则，确保审计工作科学有效。二、组织机构（一）职责分工。信息中心负责信息系统日常运维管理，审计部负责组织实施审计工作，业务部门负责配合提供相关资料。（二）人员要求。审计人员必须具备信息系统审计专业知识，通过专业资格认证，定期参加业务培训。（三）权限配置。审计人员依法获取审计所需信息，被审计单位不得拒绝配合。三、审计计划（一）年度计划编制。审计部每年12月编制下年度审计计划，经分管领导审批后实施。（二）专项计划制定。针对重大信息系统或突发事件，可制定专项审计计划，报主管领导批准。（三）计划调整程序。因业务变化需调整计划时，由审计部提出申请，经信息中心会商后报批。四、审计准备（一）资料收集。审计组提前30日向被审计单位发送审计通知书，要求提供组织架构、管理制度、操作手册等资料。（二）方案制定。审计组根据被审计单位实际情况编制审计方案，明确审计内容、方法、时间安排。（三）风险识别。对信息系统进行全面风险排查，确定审计重点，编制风险清单。五、审计实施（一）现场审计。审计组按照审计方案开展现场审计，包括访谈、检查、测试等。1.访谈要求。与关键岗位人员访谈，核实操作流程、权限设置等。2.检查标准。检查信息系统文档、记录、日志等，验证制度执行情况。3.测试方法。采用黑盒测试、白盒测试等方法，评估系统安全性。（二）非现场审计。对远程信息系统开展非现场审计，包括数据分析和漏洞扫描。1.数据分析。对系统日志、交易数据等进行统计分析，发现异常行为。2.漏洞扫描。使用专业工具扫描系统漏洞，评估风险等级。（三）证据收集。审计过程中收集的各类证据必须真实、完整、有效。1.证据类型。包括书面记录、电子数据、视听资料等。2.证据保管。建立证据台账，注明来源、时间、内容等信息。六、审计报告（一）报告编制。审计组在完成审计后15日内提交审计报告，包括审计概况、发现问题、整改建议等。（二）报告内容。报告应客观反映审计情况，问题描述应具体明确，整改建议应具有可操作性。（三）报告审核。审计报告经部门负责人审核后报分管领导审批。七、问题整改（一）整改要求。被审计单位收到审计报告后30日内制定整改方案，明确整改措施、责任人和完成时限。（二）整改跟踪。审计部对整改情况进行跟踪检查，确保问题彻底解决。（三）结果评估。对整改效果进行评估，作为后续审计的重要依据。八、持续改进（一）经验总结。每次审计结束后，审计部组织召开总结会议，分析问题原因，改进审计方法。（二）制度完善。根据审计发现，及时修订完善信息系统管理制度。（三）能力提升。定期开展审计业务培训，提高审计人员专业水平。九、附则（一）保密规定。审计过程中知悉的国家秘密、商业秘密必须严格保密。（二）责任追究。对拒绝或阻挠审计工作的单位或个人，依法依规追究责任。（三）解释权。本办法由审计部负责解释，自发布之日起施行。（四）配套文件。本办法配套《信息系统审计工作细则》《信息系统审计证据管理办法》等文件，共同构成信息系统审计制度体系。（五）实施监督。