网络安全信息系统审核规范_第1页
网络安全信息系统审核规范_第2页
网络安全信息系统审核规范_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、网络安全信息系统审核规范1. 目的和范围确保本公司制定的信息安全策略和规定能够定期评审和正确执行。2. 术语和定义ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ISO/IEC27001:2005信息技术-安全技术-信息安全管

2、理体系要求ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则合规性管理程序补丁管理规定4. 职责和权限(1)制定信息系统安全审核策略(2)对信息系统进行定期审核5. 活动描述(1)技术部根据公司情况,制定出公司在用户管理、权限管理、漏洞扫描、渗透测试等方面的审核策略,必要时填写信息系统定期评审策略明细表(2)管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。(3)管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。(4)信息系统应被定期检查是否符合安全实施标准。(5)任何技术符合性检查应仅由有能

3、力的、已授权的人员来完成,或在他们的监督下完成。(6)涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。(7)漏洞扫描管理:1)管理员应定期进行漏洞扫描,客户端和服务器可考虑使用奇虎360工具进行漏洞扫描。2)根据漏洞扫描结果,管理员应及时根据补丁管理规定及时修补系统漏洞。3)渗透测试管理:4)技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。5)如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。6. 审核注意事项:(1)应与合适的管理者商定审核要求;(2)应商定和控制检查范围;(3)检查应限于对软件和数据的只读访问;(4)非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护;(5)应明确地识别和提供执行检查所需的资源;(6)应识别和商定特定的或另外的处理要求;(7)应监视和记录所有访问,以产生参照踪迹;对关键数据或系统,应考虑使用时间戳参照踪迹;(8)应将所有的程序、要求和职责形成文件;(9)执行审核的人员应独立于审核活动。相关记录表1-1 信息系统定期评

人人文库> 全部分类> 专业文献 > IT计算机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论