文件名称 版本号 文件编号 发布日期
机密等级 生效日期 XXXX
信息安全内部审计管理办法拟制 审核 批准 日期 日期 日期 --
--
文件修订履历
创建/变更人 变化状 态 变更摘要(章节/内 容) 版本 创建/变更时 间 批准人 变化状态:新建,增加,修改,删除 --
--
目录
1目的 ................................................................................................................................................ 4 2适用范围 ......................................................................................................................................... 4 3职责 ................................................................................................................................................ 4 4术语和定义 ..................................................................................................................................... 5 5日常安全审计管理规定 .................................................................................................................. 5
5.1法律合规性要求 ................................................................................................................... 5 5。2知识产权保护 ................................................................................................................... 5 5.3个人信息保护 ...................................................................................................................... 5 5。4安全审计要求 ................................................................................................................... 6
5。4.1防止网络与信息处理设施的不当使用 ................................................................... 6 5。4.2加密技术控制 ........................................................................................................ 6 5。4。3保护单位记录...................................................................................................... 6 5。4.4收集证据 ................................................................................................................ 6 5.5安全审计实施 ...................................................................................................................... 7 5.6安全审计管理 ...................................................................................................................... 7
5.6。1独立审计原则 ........................................................................................................ 7 5。6.2控制安全审计过程 ................................................................................................. 7 5.6。3保护审计记录和工具 .............................................................................................. 8
6附则 ................................................................................................................................................ 8
--
--
XXXX
信息安全内部审计管理办法
1目的
为了加强信息系统安全管理工作,保证单位各类信息系统数据的规范性、安全性、完整性,保障业务系统和日常工作的正常进行;根据国家、行业,以及单位相关政策制度,结合本单位实际情况特制定本管理程序。
2适用范围 安全审计的范围应包括与信息系统安全有关的所有范畴,包括各类网络与信息资产、组织与人员(管理层、员工、用户、第三方等)和业务流程等。
3职责 1、信息安全管理委员会:
➢ 负责对本文档的审批和管理; 2、信息安全工作主管领导:
➢ 负责本文档的审核及组织编写; ➢ 监督管理安全审计工作的落实。 3、信息安全工作小组:
➢ 负责对本文档的组织编写、修订工作; ➢ 对安全审计发现的问题采取措施进行控制。 4、信息安全审计小组:
➢ 负责定期对本文档的适用性进行审定; ➢ 组织各部门准备安全审计资料; ➢ 编写安全审计报告;
➢ 对安全审计中提出的纠正与预防措施实施情况进行跟踪和验证,并归档保管安全审计中形成的相关资料.
5、各部门:
➢ 负责本部门安全审计资料的准备;
➢ 负责安全审计中提出的纠正、预防措施的实施和改进。
--
--
4术语和定义 1、安全策略:有关管理、保护和发布敏感信息的法律、规定和实施细则。 2、安全审计:按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制.
3、安全审计的独立性:审计方与被审计方保持相对独立,包括审计职责和流程,以确保审计结果的公正可靠。
5日常安全审计管理规定 本程序从管理和技术两个方面检查单位的安全策略和控制措施的执行情况,从而发现安全隐患的过程.
5.1法律合规性要求
1、网络与信息系统的设计、操作、使用和管理不仅要遵从单位本身的安全方针,而且要符合国家法律法规、管理条例及合同的要求。
2、单位应正确识别与各网络与信息系统相关的所有法律法规、管理条例以及合同要求,并明确满足这些要求所应采取的特定控制措施及相关责任。以上内容都应记录在案,并传达给相关人员。
5.2知识产权保护 1、单位应明确规定有关知识产权的识别、授权、使用和检查等方面的要求,以确保符合相关法律。
2、单位应特别重视软件版权的管理,使每个员工都意识到遵守软件许可协议是其必须承担的责任。
3、试用或演示软件不得用于生产运营,并应在授权期结束后终止使用; 4、除非通过全面测试,并确保能够获取后续支持服务,否则共享或免费软件不得用于关键业务系统,也不得用于单位对外提供的任何产品中。
5。3个人信息保护 1、单位应制定相关管理办法,保护个人信息,防止泄露、删除、篡改和非法使用。
2、单位不得将用户信息用于获取目的以外的其他用途,也不得擅自向他人提供用户信息。
--
--
3、单位应保护用户的通信自由和通信秘密,除非法律另有规定,否则不得泄露用户的任何通信信息.
5。4安全审计要求 5.4.1防止网络与信息处理设施的不当使用
1、网络与信息处理设施的使用应基于业务目的,未经授权或非业务目的的使用,都应被视为不当使用.
2、网络与信息处理设施的不当使用有可能构成违法犯罪,单位应对其进行监控,并对违规者进行惩罚。
3、单位应通过恰当途径告之所有用户其确切的合法访问范围,具体途径如下:
➢ 与用户签署书面授权协议,明确除非经过授权,否则禁止一切访问活动;
➢ 在用户登录时显示警告消息,表明禁止非法访问;用户只有确认该消息后,才可继续访问过程。
4、单位应在法律法规允许的范围内进行监控,并告知用户此类监控的存在。 5.4。2加密技术控制 加密技术受国家控制,与国家军事、经济安全密切相关。单位在使用加密技术、涉及加密技术进出口活动、或对国家规定必须通过加密以保证内容机密性的信息进行加密/访问时,必须遵守国家的相关法律法规。 5.4.3保护单位记录 1、单位应制定有关收集、保存、处理和处置重要记录的指导原则,防止重要记录的丢失、破坏或篡改,以便符合相应的法律法规或管理条例要求,支持必要的业务活动。例如:财务记录、交易记录等.
2、单位应明确记录的保留时间和具体内容,并符合国家的相应法律法规。单位应安全保存记录,确保其在整个保存期内的可用性,并只发放给授权人员。 5.4。4收集证据 1、在单位的日常事务处理中,当需要提供证据证明某一事实时,应站在法律规范的高度,提供符合法律要求的充分证据.例如:惩戒员工、应对法律诉讼等.
2、证据的具体法律要求如下:
--
--
➢ 确保证据的被采纳和信任的程度(采信度); ➢ 确保证据的质量和完整性;
➢ 提供充分的流程控制证据,以证明在证据收集过程中采取了正确而连贯的控制措施。
3、单位应建立合理流程,在日常经营活动中注意收集并妥善保管证据,避免证据在形成正式法律诉讼前被破坏。
5。5安全审计实施
1、安全审计可以分为管理和技术两个方面。
2、所有人员(包括第三方)都应履行其在单位业务流程中承担的职责,管理人员应在其职责范围内确保单位的安全策略和控制措施得到有效落实。管理审计应侧重管理层面检查以上内容的执行结果和执行过程。
3、技术审计应检查安全策略和控制措施中技术层面的落实情况。技术审计应由经验丰富的授权人员利用专业技术手段和适当的审计工具进行,如漏洞扫描、渗透测试等。
4、资产责任人应为安全审计提供支持,对安全审计中发现的问题进行分析,确定并采取必要的整改措施。管理层应跟踪督促责任人按期完成整改。
5、单位应制定基于审计结果的奖惩措施,纳入被审计方的考核内容。 6、安全审计应定期进行,安全审计活动和后续整改工作应被正式记录并保存.
5.6安全审计管理 为确保安全审计的有效性和真实性,最大限度地降低对正常运营带来的影响和潜在风险,单位应加强对安全审计的管理工作。 5。6.1独立审计原则 1、独立的信息安全审计必须每年至少进行一次。
2、安全审计可由单位内部的独立审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验.当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施.
3、为加强安全策略和控制措施的有效落实,系统责任人和维护人还应开展 自查工作,并将之作为日常工作的一部分。 5。6.2控制安全审计过程 --
--
为最大限度降低安全审计对正常运营造成的影响,单位应采用以下措施控制 安全审计过程:
1、审计时间、内容和范围应得到管理部门的批准,并得到有效控制. 2、有可能对单位关键业务系统造成负面影响的安全审计活动必须经过单位安全领导机构的批准。
3、明确审计所需的资源,并得到保障;做好工作计划和安排。
4、检查应仅限于对系统的“只读”访问;非“只读\"访问仅限于被隔离的数据拷贝,并在检查结束后全部删除。
5、特殊或者额外的处理要求应与相关业务部门确认,并得到管理部门批准. 6、审计所涉及的所有访问过程都应被监控并记录,以便跟踪调查。 7、审计过程的所有程序、要求和职责都应被记录在案。 5。6。3保护审计记录和工具
单位应严密保护审计记录,防止审计记录用于不良目的,避免泄露被审计对象的安全属性遭到破坏。同时应严密保护审计工具,防止任何不当使用行为对系统的安全性造成威胁,具体保护措施如下:
1、审计记录应与被审计对象设定相同的密级,采取同等的保护措施。 2、审计记录的调阅、引用、处置必须经过授权,并记录在案。 3、审计工具的使用必须经过授权,并记录使用情况.
4、审计工具应与运营系统分离,单独并安全地保存于非公共区域,以免被轻易获得。单位应严格限定可用的审计工具,并禁止使用破坏性的功能。
6附则
1. 本制度由 IT 中心、信息安全部负责制定、修订和解释。 2. 本制度自发布之日起实施.
--
因篇幅问题不能全部显示,请点此查看更多更全内容