安全检查安全审计管理规范【模板】.doc
9页
ISMS-P02-A-安全检查、安全审计管理规范ⅹⅹⅹⅹ信息中心安全检查、安全审计管理规范编 号: ISMS-P02-A版 本 号: V1.0密 级: 内部公开版本记录版本号版本日期修改审核批准修改记录1. 目的为了规范信息系统安全检查工作流程,明确各科室职责,有效地对信息中心信息系统进行安全检查,并做好信息系统安全测评的配合工作2. 适用范围适用于ⅹⅹⅹ信息中心安全检查和安全审计的管理3. 定义安全检查:指信息中心内部对信息系统的安全性情况进行的评价活动安全检查的依据是我局现行的信息系统运行管理制度、信息系统安全体系规范、有关信息系统的法律、法规和标准等安全检查包括安全例行检查、安全专项检查安全审计:包括项目信息化领导单位(上级单位或授权单位)对我信息中心实施的审计或测评工作4. 职责4.1AAA科室作为信息中心内部安全检查责任科室,牵头负责安全检查的管理工作作为信息中心外部安全审计的牵头接待科室负责维护和管理安全检查工具4.2各科室配合安全检查和安全审计,如实提供AAA科室所需要的检查信息对安全检查和安全审计所发现的问题制定整改措施、整改计划并实施整改5. 管理规范5.1安全检查管理规范安全检查的要求安全检查应当遵循全面、审慎、有效、独立的原则。
5.1.1.2检查工作要按照计划、准备、实施、报告、跟踪五个阶段开展5.1.1.3AAA科室要建立检查机制,制定检查计划,定期开展检查活动检查计划要根据实际情况及时进行补充和调整5.1.1.4每年安全检查的内容应覆盖网络管理、主机管理、应用管理、物理环境管理、系统运行管理、安全制度管理等方面5.1.1.5可根据实际需要组织专项检查,对于信息系统发生的重大事故和问题,要进行专项检查,对重大事件实施全面的监控和评价5.1.1.6必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护,以防止任何可能的滥用5.2.1安全检查的准备工作5.2.1.1AAA科室根据信息系统安全相关的国家标准,信息中心发布的相关制度确定安全检查内容和安全检查方案5.2.1.2经AAA科室科长批准后将有关检查内容列入《安全检查清单》,明确检查要点、检查方式、检查工具、检查所涉及的信息系统范围和检查所需配合科室5.3.1安全检查的实施工作5.3.1.1安全检查分为安全例行检查及安全专项抽查,安全例行检查每年进行一次,安全专项抽查则根据信息中心的安全运行状况所作的不定期的抽查AAA科室应按照检查周期进行安全例行检查,根据需要组织安全专项检查。
5.3.1.2安全检查应按照《安全检查清单》所规定的检查要点、检查方式、使用规定的检查工具进行检查5.3.1.3应选择对信息系统运行影响最小的方式和时间进行检查检查过程中应做好检查结果的记录工作5.4.1安全检查的报告工作5.4.1.1检查完成后由AAA科室编写检查报告并提出整改建议,并填写包含不符合项和问题的《安全检查问题及整改表》,提供给被检查科室和相关科室5.5.1安全检查的整改工作5.5.1.1被检查科室和相关科室应按照检查报告中整改的时间要求,针对检查报告中所提出的问题制定整改实施计划并组织整改,填写《安全检查问题及整改表》,报AAA科室5.5.1.2AAA科室应对整改措施的落实情况进行跟踪,验证整改措施的实施结果是否有效,并将整改、预防措施验证情况填入《安全检查问题及整改表》5.5.1.3AAA科室根据检查结果和整改情况进行汇总,形成安全状况通报5.2安全审计管理规范安全审计的要求5.2.1.1AAA科室应全程跟踪安全审计工作的实施过程,保证审计工作不能超出预定的审计范围5.2.1.2在审计过程中如果需要使用审计工具,需审计方说明该工具用途以及可能引入的风险,严禁使用来路不明的审计工具。
5.2.1.3在生产系统中使用审计工具前,AAA科室要组织相关科室进行测试工作,对其可能产生的影响进行评估和论证5.2.1.4审计工具只能在我信息中心的设备上运行并由我信息中心人员负责操作,要对安全审计工具运行结果中的敏感信息等进行过滤5.2.1.5安全审计工作的实施要选择对生产系统运行影响最小的方式和时间进行5.2.1.6AAA科室应按照审计调阅清单提供相关文档资料AAA科室应建立文档资料交接清单,清单应包括文档名称、介质类型、提供日期,预计归还日期、双方签字等内容5.2.2配合外部审计时的安全保密要求.1外部审计实施单位应通过现场查阅或者现场访谈方式获取相关信息,原则上不直接提供电子文档2外部审计实施单位不得将文档资料复制或带离现场特殊情况下如需将文档资料带离现场时,必须根据通过AAA科室统一转交3审计工作结束后,AAA科室要及时收回向审计实施单位提供的文档资料并妥善保管,防止丢失6. 相关文件与记录《安全检查清单》ISMS-R-P0201《安全检查问题及整改表》ISMS-R-P0202安全检查报告安全检查计划安全检查清单NO:ISMS-R-P0201-被检查科室检查员检查日期科室负责人标准条款检 查 内 容 检查情况检查情况记录符合不符合安全检查问题及整改表 NO:ISMS-R-P0202-部 门检查员日 期不符合项问题事实描述:不符合或问题涉及的依据 条款 签名 (提出人/检查员/部门负责人) 日期: 不符合项问题潜在原因分析提出人 年 月 日整改、预防措施:签名 (提出人/检查员/部门负责人) 日期: 认可 (检查员/部门负责人) 日期: 整改、预防措施完成情况 完成日期签名 (部门负责人) 日期 整改、预防措施验证情况 验证日期 签名 (检查员) 日期 2。
