信息技术应用风险管理审计办法

信息技术应用风险管理审计办法一、总则（一）目的依据。为规范信息技术应用风险管理审计工作，保障信息系统安全稳定运行，依据《中华人民共和国网络安全法》《信息系统安全等级保护管理办法》等法律法规制定本办法。本办法适用于本单位所有信息系统应用及管理活动。（二）适用范围。本办法适用于本单位所有信息系统应用的设计开发、测试运行、生产运维、应急处置等全生命周期管理活动，涵盖网络设备、服务器、数据库、应用系统、数据资源等信息技术资产。（三）基本原则。风险管理审计工作应当遵循全面性、系统性、重要性、合法合规原则，确保风险识别准确、评估客观、控制有效、审计规范。二、组织机构与职责（一）职责划分。信息技术应用风险管理审计工作由信息安全管理部门牵头负责，各部门按照“谁主管谁负责”原则落实管理责任，审计部门依法独立开展监督审计。（二）部门职责。1.信息安全管理部门负责制定风险管理制度，组织风险识别评估，监督控制措施落实。2.各部门负责本部门信息系统应用的风险管理，配合开展审计工作。3.审计部门负责对风险管理全过程实施独立监督，出具审计报告。（三）人员要求。从事风险管理审计的人员应当具备信息系统专业知识，熟悉相关法律法规，通过专业培训考核，保持独立性，不得参与被审计事项的管理工作。三、风险管理流程（一）风险识别。1.各部门每月开展信息系统应用风险排查，填写《风险排查登记表》。2.信息安全管理部门每季度组织专项风险识别，重点排查数据安全、访问控制、系统漏洞等风险点。3.风险识别结果应当形成风险清单，明确风险描述、可能影响、发生概率等要素。（二）风险评估。1.采用定性与定量相结合方法开展风险评估，确定风险等级。2.风险等级分为重大、较大、一般三级，对应整改期限分别为30日、60日、90日。3.风险评估结果应当形成《风险评估报告》，经部门负责人审核后报信息安全管理部门备案。（三）风险控制。1.根据风险评估结果制定风险控制方案，明确控制措施、责任人和完成时限。2.控制措施分为技术、管理、物理三类，技术措施应当优先采用加密、防火墙等技术手段。3.信息安全管理部门每月检查控制措施落实情况，形成《控制措施检查报告》。四、审计内容与方法（一）审计内容。1.信息系统应用风险管理制度建设情况。2.风险识别评估工作开展情况。3.风险控制措施落实情况。4.应急响应处置情况。5.第三方服务管理情况。（二）审计方法。1.采取文档查阅、现场访谈、技术测试相结合方式开展审计。2.审计频次为每年至少一次，重大信息系统应用应当增加审计频次。3.审计过程中应当收集审计证据，形成审计工作底稿。（三）审计标准。1.风险管理流程符合《信息安全管理体系要求》GB/T22080-2016标准。2.风险控制措施符合《信息安全技术网络安全等级保护基本要求》GB/T22239-2019标准。3.应急响应处置符合《信息安全技术应急响应规范》GB/T28448-2019标准。五、审计程序与要求（一）审计准备。1.制定审计方案，明确审计范围、内容、方法、时间安排。2.编制审计清单，明确需要查阅的文档资料。3.通知被审计部门，说明审计目的和要求。（二）审计实施。1.按照审计方案开展现场审计，做好审计记录。2.对发现的问题及时与被审计部门沟通确认。3.重要问题应当形成审计发现，明确整改要求。（三）审计报告。1.审计结束后10个工作日内出具审计报告，内容应当包括审计概况、审计发现、整改建议等。2.审计报告经审计部门负责人审核后报单位领导审批。3.审计报告应当及时送达被审计部门，并抄送信息安全管理部门。六、整改与持续改进（一）整改要求。1.被审计部门收到审计报告后30日内制定整改方案，明确整改措施、责任人和完成时限。2.整改方案应当经部门负责人审核后报信息安全管理部门备案。3.信息安全管理部门跟踪整改落实情况，形成《整改情况报告》。（二）整改监督。1.对整改措施落实情况进行跟踪检查，确保整改到位。2.对未按期完成整改的，应当发出《整改催办通知》。3.对整改不到位的，应当实施问责，并通报批评。（三）持续改进。1.根据整改情况完善风险管理制度，优化管理流程。2.定期开展风险管理培训，提升人员能力素质。3.每年对风险管理审计工作进行全面总结，形成《年度工作总结报告》。七、附则（一）名词解释。1.信息系统应用是指利用计算机硬件、网络设备、软件系统等信息技术手段开展业务活动的系统应用。2.风险是指信息系统应用在运行过程中可能遭受的威胁和脆弱性组合导致损失的可能性。3.风险管理是指通过风险识别、评估、控制等手段降低风险影响的管理活动。（二）制度衔接。本办法与《信息