安全信息等级保护-信息系统安全检查与审计管理制度
4页1、信息系统安全检查与审计管理制度第一章 总则第一条 为避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息系统信息安全管理符合*公司安全管理要求,特制订本制度。第二条 本规定适用于企业信息化部。第二章 安全检查第三条 安全检查包括系统建设和运维部的自查和信息安全工作小组定期执行的安全检查。第四条 信息系统运维单位的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况,自查工作应保留自查结果。自查应至少一个季度组织一次。第五条 信息安全工作小组执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。第六条 自查和安全检查均应在检查之前形成检查表。第七条 应严格按照检查表实施检查,检查完毕,记录下所有检查结果。第八条 应对检查记录进行归档,只有授权人员可以访问阅读第九条 应对检查结果进行汇总分析,形成安全检查报告,检查报告应对问题进行分析,提出解决建议。第十条 应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。第十一条 系
2、统建设和运维部应阅读并理解安全检查报告,在信息安全工作小组的指导下对出现的问题进行整改。第十二条 信息安全工作小组应对整改过程进行监督,并将整改结果报送信息安全领导小组。第三章 安全审计第十三条 安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。第十四条 安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计部门培养自身独立的安全审计人员为主,其他手段为辅:1、 由信息安全部独立完成,应使用具备相应技能的人员完成审计工作;2、 由信息安全部和系统建设和运维部共同完成,系统建设和运维部应指派熟悉技术的人员配合安全部完成审计工作。3、 聘请外部专业安全审计单位完成审计工作。第十五条 安全审计的内容主要包括:1、 相关法律法规的符合情况;2、 管理部门的相关管理要求的符合情况;3、 现有安全技术措施的有效性;4、 安全配置与安全策略的一致性;5、 安全管理制度的执行情况;6、 安全检查和自查的检查结果及检查报告;7、 日志信息是否完整记录;8、 各类重要记录是否免受损失、破坏或伪造篡改;9、 检查系统是否存在漏洞;10、 检查数据是否具备安全保障措施。第十六条 安全审计工作应具有独立性,避免有舞弊的情况发生。第十七条 安全审计的方式分为:1、 全面审计:即审计内容覆盖信息系统安全管理范围内的所有部门,以及所有信息安全控制措施要求的检查。2、 专项审计:即审计内容只涉及部分部门,或部分信息安全控制措施要求的检查。第十八条 无论是采用全面审计还是专项审计方式,安全审计应每一年对所有的部门,以及所有的信息安全控制措施要求至少进行过一次审计。第十九条 被审计方应积极配合信息安全审计工作,应对审计结果进行确认。第二十条 安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。审计部门应将改进过程和结果通告给信息安全工作小组。第四章 附则第二十一条 本制度的解释权归企业信息化部所有。
《安全信息等级保护-信息系统安全检查与审计管理制度》由会员小**分享,可在线阅读,更多相关《安全信息等级保护-信息系统安全检查与审计管理制度》请在金锄头文库上搜索。
安全信息等级保护-信息系统产品采购管理制度
安全信息等级保护-信息系统运维安全管理制度
安全信息等级保护-信息系统运行维护和监控管理制度
安全信息等级保护-机房管理制度
安全信息等级保护-用户个人信息安全保护制度
安全信息等级保护-信息系统信息审核登记制度
安全信息等级保护-信息系统介质安全管理制度
安全信息等级保护-信息分类分级标识管理制度
安全信息等级保护-制度体系制定和发布管理规定
安全信息等级保护-自行软件开发管理制度
安全信息等级保护-信息系统测试验收管理制度
安全信息等级保护-信息系统资产管理制度
安全信息等级保护-信息系统安全检查与审计管理制度
安全信息等级保护-外联单位信息记录表
安全信息等级保护-信息系统第三方人员访问管理制度
安全信息等级保护-总体安全方针和政策管理制度
安全信息等级保护-人员保密协议
安全信息等级保护-离岗离职涉密人员保密承诺书
安全信息等级保护-信息系统管理授权审批制度
安全信息等级保护-信息系统补丁安全管理制度
2024-03-26 33页
2023-07-05 6页
2023-01-18 51页
2022-10-13 8页
2022-08-03 9页
2022-08-03 35页
2022-08-03 9页
2022-08-03 10页
2022-08-03 9页
2022-08-01 60页