《某公司信息系统安全检查与审计管理制度.docx》由会员分享,可在线阅读,更多相关《某公司信息系统安全检查与审计管理制度.docx(10页珍藏版)》请在第一文库网上搜索。
1、编号:XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXXXXXX公司信息系统安全检查与审计管理制度XXX年XXX月1.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1O时,表示该版本文件为草案,仅可作为参照资料之目的。版本号1.0发布时间发布范围修订时间修订内容备注发布之日起施行I1第一章总则第一条为规范XXXXX公司信息安全检查工作流程,明确职责,有效地对企业进行安全检查和安全审计,确保信息系统信息安全管理符合XXXXX公司信息技术部安全管理要求,特制订本制度Q第二条本规定适用于XXXXX公司各
2、部门和信息系统。第二章组织职责第三条安全管理员负责牵头协调组织各系统信息安全检查的管理工作。第四条相关管理员应配合安全检查,如实提供所需要的检查信息,对安全检查所发现的问题制定整改措施、整改计划并实施整改。第五条安全审计人员配合审计部门开展审计工作Q第三章安全检查要求第六条安全检查应当遵循全面、审慎、有独立的原则。第七条安全检查包括部门自查和信息技术部定期执行的安全检查和专项检查。第八条部门自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况,自查工作应保留自查结果。自查应至少一个季度组织一次。第九条信息技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安
3、全管理制度的执行情况和业务部门自查结果抽查等。安全检查应至少半年组织一次。第十条根据实际需要组织专项检查,对于信息系统发生的重大事故和问题,要进行专项检查,对重大事件实施全面的监控和评价。第十一条对于新系统,包括设备、主机、应用系统上线或安装前必须经过安全检查,检查方式应包括系统安全配置,漏洞评估,恶意代码检测,根据检查结果进行整改后方可上线。第十二条必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护,以防止任何可能的风险。第十三条自查和安全检查均应在检查之前形成检查表,专项检查根据检查内容形成检查表。第十四条应严格按照检查表实施检查,检查完毕,记录下所有检查结果。第十
4、五条应对检查记录进行归档,只有授权人员可以访问阅读。第十六条应对检查结果进行汇总分析,形成安全检查报告,检查报告应对问题进行分析,提出解决建议。第十七条应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果Q第十八条各部门应阅读并理解安全检查报告,在信息技术部的指导下对出现的问题进行整改。信息技术部应对整改过程进行监督,并将整改结果报送信息安全领导小组。第四章安全检查准备第十九条各部门和信息技术部应组织相关部门或人员按照检查周期进行安全例行检查,根据需要组织安全专项检查。第二十条安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查Q第二十一条应选择对单位信息
5、系统运行影响最小的方式和时间进行检查。第二十二条实施对生产环境可能造成影响的安全检查后,应协调相关部门或人员对被检查系统检查后运行状杰进行验证。第二十三条安全检查可采用抽查的方式进行,抽查的采样量应能确保安全检查结果的准确性、代表性并符合系统实际生产情况Q第二十四条检查过程中应做好检查结果的记录工作。第五章安全检查报告第二十五条安全检查完成后由检查人员或部门组织编写检查报告并提出整改建议,提供给相关部门。第六章安全检查整改第二十六条相关部门应按照检查报告中整改的时间要求,针对检查报告中所提出的问题制定整改实施计划并组织整改。第二十七条检查人员或部门应对整改措施的落实情况进行跟踪,验证整改措施的
6、实施结果是否有效,必要时可进行复查确认。第二十八条系统管理员根据检查结果和整改情况进行汇总,形成安全状况通报并提供给相关部门。第七章安全审计要求第二十九条安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。第三十条安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计部门培养自身独立的安全审计人员为主,其他手段为辅。(一)由审计部门独立完成,使用审计部门具备相应技能的人员完成审计工作;(二)由审计部门和被审计部门共同完成,被审计部门指派熟悉技术的人员配合审计部门完成审计工作,本情形需注意审计独立的原则,进行交叉审计;(三)聘请外部专业审计单位完成审计工作
7、第三十一条安全审计的内容主要包括:(一)相关法律法规的符合情况;(二)管理部门的相关管理要求的符合情况;(三)现有安全技术措施的有效性;(四)安全配置与安全策略的一致性;(五)安全管理制度的执行情况;(六)安全检查和自查的检查结果及检查报告;(七)日志信息是否完整记录;(A)各类重要记录是否免受损失、破坏或伪造篡改;(九)检查系统是否存在漏洞;(+)检查数据是否具备安全保障措施。第三十二条安全审计工作应具有独立性,避免有舞弊的情况发生。第三十三条安全审计的方式分为:(一)全面审计:即审计内容覆盖信息系统安全管理范围内的所有部门,以及所有信息安全控制措施要求的检查Q(二)专项审计:即审计内容只涉
8、及部分部门,或部分信息安全控制措施要求的检查Q第三十四条无论是采用全面审计还是专项审计方式,安全审计应每一年对所有的部门,以及所有的信息安全控制措施要求至少进行过一次审计。第三十五条被审计方应积极配合信息安全审计工作,应对审计结果进行确认。第三十六条安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。审计部门应将改进过程和结果通告给信息安全工作小组。第八章持续改进第三十七条为了保证本策略文件的时效性、可有性,必须根据相关审核规定进行评审和修订,修订后重新发布Q第九章附则第三十八条本规定的解释权归XXXXX公司信息技术部。第三十九条本规定自发布之日起生效。检查人:时间:设备IP品牌型号运行情况安全漏洞数量补丁版本安全策略有效性数据备份情况备注XXXXXXXXXXXXXXXXXXXXXXXX名称数量运行情况问题故障备注空调灭火器检交人:时间:附件三:安全检查报告检查人X相关负责人XXX检查时间X检查地点XXX检查内容检查结论主要安全问题检查意见总结