第一篇:信息系統安全管理制度
信息系統安全管理制度
第一章
總則
第一條
為保證本單位信息系統的操作系統和數據庫系統的安全,根據《中華人民共和國計算機信息系統安全保護條例》,結合本單位系統建設實際情況,特制定本制度。第二條
本制度適用于本單位XX部門及所有系統使用部門和人員。
第三條
XX部門是本單位系統管理的責任主體,負責組織單位系統的維護和管理。
第二章
系統安全策略
第四條
XX部門負責單位人員的權限分配,權限設定遵循最小授權原則。
1)管理員權限:維護系統,對數據庫與服務器進行維護。系統管理員、數據庫管理員應權限分離,不能由同一人擔任。
2)普通操作權限:對于各個系統的使用人員,針對其工作范圍給予操作權限。3)查詢權限:對于單位管理人員可以以此權限查詢數據,但不能輸入、修改數據。4)特殊操作權限:嚴格控制單位管理方面的特殊操作,只將權限賦予相關科室負責人,例如退費操作等。
第五條 加強密碼策略,使得普通用戶進行鑒別時,如果輸入三次錯誤口令將被鎖定,需要系統管理員對其確認并解鎖,此帳號才能夠再使用。用戶使用的口令應滿足以下要求:-8個字符以上;
-使用以下字符的組合:a-z、A-Z、0-9,以及!@#$%^&*()-+;-口令每三個月至少修改一次。
第六條 定期安裝系統的最新補丁程序,在安裝前進行安全測試,并對重要文件進行備份。第七條 每月對操作系統進行安全漏洞掃描,及時發現最新安全問題,通過升級、打補丁或加固等方式解決。第八條 關閉信息系統不必要的服務。
第九條
做好備份策略,保障系統故障時能快速的恢復系統正常并避免數據的丟失。
第三章
系統日志管理
第十一條
對于系統重要數據和服務器配值參數的修改,必須征得XX領導批準,并做好相應記錄。
第十二條
對各項操作均應進行日志管理,記錄應包括操作人員、操作時間和操作內容等詳細信息。
第十三條
審計日志應包括但不局限于以下內容:包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全事件。
第十四條
安全審計員應每日對審計日志進行審查,對異常事件及時跟進解決,并定期形成日志分析報告。
第十五條
系統審計日志應定期做好備份工作。
第四章
個人操作管理
第十六條 單位工作人員申請賬戶權限需填寫《系統權限申請表》,經系統管理員批準后方可開通。賬號申請表上應詳細記錄賬號信息。
第十七條 人員離職或調職時需交回相關系統賬號及密碼,經系統管理員刪除或變更賬號后方能離職或調職。
第十八條 單位工作人員嚴禁私自在辦公計算機上安裝軟件,以免造成病毒感染。嚴禁私自更改計算機的設置及安全策略。
第十九條 嚴格管理口令,包括口令的選擇、保管和更換,采取關閉guest和匿名用戶、增強管理員口令選擇要求等措施。第二十條 計算機設備應設屏幕密碼保護的用戶界面,保證數據的機密性的安全。
第五章
懲處
第二十一條
違反本管理制度,將提請單位行政部視情節給予相應的批評教育、通報批評、行政處分或處以警告、以及追究其他責任。觸犯國家法律、行政法規的,依照有關法律、行政法規的規定予以處罰;構成犯罪的,依法追究刑事責任。
第二篇:信息系統安全管理制度
信 息 安 全 管 理 制 度
為維護公司信息安全,保證公司網絡環境的穩定,特制定本制度。
一、互聯網使用管理互聯網使用管理互聯網使用管理互聯網使用管理
1、禁止利用公司計算機信息網絡系統制作、復制、查閱和傳播危害國家安全、泄露公司秘密、非法網站及與工作無關的網頁等信息。行政部門建立網管監控渠道對員工上網信息進行監督。一經發現,視情節嚴重給予警告、通報批評、扣發工資500-1000元/次、辭退等處罰。
2、未經允許,禁止進入公司計算機信息網絡或者使用計算機信息網絡資源、對公司計算機信息網絡功能進行刪除、修改或者增加的、對公司計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統和計算機網絡安全的。一經發現,視情節嚴重給予警告、通報批評、扣發工資1000-2000元/次、辭退等處罰。
3、公司網絡采取分組開通域名方式,防止木馬蠕蟲病毒造成計算機運行速度降低、網絡堵塞、帳號密碼安全系數降低。
二、網站信息管理
1、公司網站發布、轉載信息依據國家有關規定執行,不包含違反國家各項法律法規的內容。
2、公司網站內容定期進行備份,由網管員保管,并對相應操作系統和應用系統進行安全保護。
3、公司網管加強對上網設備及相關信息的安全檢查,對網站系統的安全進行實時監控。
4、嚴格執行公司保密規定,凡涉及公司秘密內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網;
5、所有上網稿件須經分管領導審批后,由企劃部門統一上傳。
三、軟件管理軟件管理軟件管理軟件管理
1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統管理員統一進行,任何部門和員工不得擅自采購。
2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經許可,不得將公司購買或開發的軟件擅自提供給第三人。
3、操作系統由公司統一提供。禁止安裝使用其它來源的操作系統,特別是未經授權的非法拷貝。擅自使用造成的一切后果由使用人自行承擔,對于造成損失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-200元/次等處罰。
4、一般應用軟件統一在公司文件服務器上提供常用軟件安裝目錄,不提供安裝光盤(操作系統除外)。安裝非公司提供的軟件導致系統損害,信息丟失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-300元/次、辭退等處罰。
5、公司小范圍使用的專業版權軟件,使用人需在自行備份并由信息系統管理員驗證后才可進行安裝。
6、禁止安裝使用非工作用軟件。其它工作所需的應用軟件,可由使用部門申請,再由行政部門統一發布。
四、計算機病毒管理
1、集團計算機病毒管理由集團信息辦負責進行規劃、實施和監控。
2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施,及時更新系統漏洞和使用殺毒軟件。具體內容包括:(1)及時更新微軟補丁,每周至少更新一次。當屏幕右下角有自動更新的圖標時,要及時安裝。(2)有些特殊的軟件(如SQL SERVER等),及時到相應網站打補丁。(3)及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能,而把殺毒軟件卸載。每周至少更新一次,確保殺毒軟件為最新版本。(4)嚴禁
打開來歷不明的郵件。能判斷為病毒郵件的,立即刪除;不能判斷的聯系信息系統管理員解決。當計算機感染病毒后,請及時斷開網線,使用殺毒軟件查殺和查看操作系統和應用軟件的補丁是否及時更新;嚴重者請及時聯系信息辦信息系統管理員解決。(5)當有新病毒通過某些軟件(如:QQ,MSN)傳播時,請立即關閉相應軟件或拔掉網線。查殺問題解決后,方可繼續使用。
3、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者,第一次給予警告、第二次給予通報批評,第三次及以上將給予通報批評并扣發工資50-100元/次。
五、網絡資源管理
1、集團網絡資源和服務器由集團信息辦信息系統管理員統一進行規劃、管理和監督。
2、服務器及個人用機的管理:(1)部門級及以上服務器必須指定專人負責管理,并在行政部門備案,未經授權,非管理員不得對其進行操作。(2)部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查,包括:服務器的CPU、內存、硬盤等資源利用情況;服務器上運行的服務使用情況;服務器上運行的OS及時升級;服務器上運行的殺毒軟件的及時更新;(3)服務器管理員要做好服務器的備份工作,至少每季度有一份完整異地(異機)備份,重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。(4)個人和部門未經行政部門批準不得私自設立服務器。(5)服務器管理員每月定期對服務器做一次全面檢查,并填寫服務器檢查日志。(6)服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時,管理員密碼需及時更改。(7)員工應避免隨意共享工作相關資料,若需共享,應指定合理權限,并在完成后及時取消;嚴禁未經信息系統管理部門批準,擅自共享給局域網內所有用戶。(8)員工應自行維護電腦的正常使用,并按照網管的要求進行設置及及時進行補丁更新,不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。
3、IP地址的管理:(1)IP地址由行政部門統一規劃管理。未經許可,不得擅自更改任何設備的IP地址。(2)公司申請的公網IP任何人不得私用。(3)工作需要公網IP,需申請信息部批準后,方可使用。(4)公司公網IP使用無工作需要時,立即停止使用,并通知行政部門收回。(5)FTP等特殊服務器的使用須經行政部門批準,且不得擅自更改使用用途。
六、機房管理
1、人員管理:相關維護人員憑門禁卡或密碼進出機房,其它人員不得擅入。如確需進入機房的其它工作人員,應向相關部門提出申請,并做相應的登記備案后,在相關人員的陪同下入內。信息系統管理員有權在場監控及記錄入內者的工作情況。
2、機房設備管理:參照公司固定資產管理制度進行管理。非電源性電子設備(如路由器,服務器等)必須接不間斷電源,保證數據在突然斷電時不致丟失;機房溫度應保持在22±2℃。工作時間,非工作時間公司保安應定時巡視機房,確保機房環境、供電及溫度正常;如出現機房溫度超過30攝氏度警戒線、停電等異常情況,應與管理員聯絡,立刻采取必要措施保障機房設備的安全。
3、信息管理:任何人員(包括管理員)在機房信息設備上進行更改操作,都需記錄備案。未經管理員許可在機房內擅自進行操作者,可視情節給予通報批評、扣發工資200-500元;情節嚴重的,可予以辭退。
4、施工管理:公司機房建設應符合機房建設的有關標準和規定;在公司機房內施工,須由信息安全部經理批準,并有網絡管理員或授權的公司保安監督施工現場。
七、電子設備使用管理
1、電子設備的新增購買申請先采用調配方式,若無法調配同等配置的,才予購買。使用管理參照公司固定資產管理制度。
2、計算機及其輔助設備一經領用,使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失,可視情節給予警告、通報批評、按價賠償。(1)臺式計算機:非經信息管理員工同意不得擅自打開機箱。(2)筆記本電腦設備:a、不同品牌型號的零配件不可互換使用。b、用于移動辦公,絕對不允許作為服務器共享操作。c、應保持出廠預裝的正版操作系統,保留硬盤中的隱藏分區。如確因工作需要重新安裝其它操作系統(如WIN2000等),需由系統管理員進行。不允許私自重新分區格式化,將原出廠隱藏區格式化刪除。
3、非經許可,不得將個人臺式電腦及相關設備帶入公司,特殊情況,需辦理相關登記手續。
4、員工不得隨意增減配件,不得在未經管理員許可的情況下對硬盤做低級格式化。未經行政部門批準,嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備(含配件),可視情節給予警告、通報批評、扣發工資200-500元/次。
八、信息系統管理員
1、管理權限和責任(1)負責公司各信息系統的信息安全、日常維護、系統管理等。(2)嚴格遵守公司制定的相關信息安全管理制度,履行工作職責。(3)制定各信息系統的管理維護標準,包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等,送交信息安全主管部門審核備案,并嚴格執行。(4)信息系統管理員必須簽訂《關鍵職位員工之保密承諾書》。
2、職責規范(1)推動員工樹立信息系統安全防范意識,完善公司信息安全保障機制,逐步建立以預防、發現、響應、恢復為基礎的信息安全管理機制。(2)遵守職業道德,嚴守保密制度,不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料;不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業秘密(包括技術秘密和經營秘密);未經公司書面同意,不擅自使用已接觸到、了解到、知悉或被告之的商業秘密;不利用已知的公司資源(如公司信息系統缺陷、口令等),做違反國家法規、竊取公司商業秘密、攻擊公司服務器等行為。(3)端正服務態度,對員工的需求積極快速響應,并提供迅速、周到的技術服務支持。
九、附則:
1、本制度解釋權歸集團信息辦。
2、本制度自頒布之日起施行。
第三篇:信息系統安全管理制度
信息系統安全管理制度
一、總則
1、為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》、等有關規定,結合本公司實際,特制訂本制度;
2、計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統;
3、公司由微機科專門負責本公司范圍內的計算機信息系統安全管理工作。
二、網絡管理
1、遵守國家有關法律、法規,嚴格執行安全保密制度及公司信息保密協議相關條款,不得利用網絡從事危害公司安全、泄露公司秘密等違法犯罪活動,嚴格控制和防范計算機病毒的侵入;
2、禁止未授權用戶或外來計算機接入公司計算機網絡及訪問、拷貝網絡中的資源;
3、任何員工不得故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據;
4、計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;計算機使用者更應以30天為周期更改密碼、密碼長度不少于8位。
三、設備管理
1、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排;
2、設備硬件或重裝操作系統等問題由微機科統一管理。
四、數據管理
1、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存;
2、工作范圍內的重要數據(重要程度由各部門負責人核定)由計算機終端用戶定期更新、備份,并提交給所在部門負責人,由部門負責人負責保存;
3、計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與微機科聯系并采取保護數據安全的措施;
4、終端用戶未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份,存放在不同的地點;光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
五、操作管理
1、凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;
2、微機科將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由微機科收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
3、計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與微機科或軟件開發單位、硬件供應商聯系,盡快解決問題。
六、網站管理
1、公司網站由微機科提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
七、處罰措施
1、計算機終端用戶擅自下載、安裝或存放與工作無關的文件經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
2、有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。構成犯罪的,依法追究刑事責任。(1)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(2)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(3)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(4)訪問未經授權的文件、系統或更改設備設置;
(5)申請人在設備領用或報廢一周之內未將所涉及到的表單交微機科;(6)擅自與他人更換使用計算機或相關設備;
(7)擅自調整部門內部計算機的安排且未向行政部備案;
(8)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等;(9)工作時間外使用公司計算機做與工作無關的事務;(10)相同故障出現三次以上(包括三次)仍無法自行處理的;
(11)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
3、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
行政部微機科
第四篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
--北京聯華中安制定
為加強開發區計算機信息系統安全和保密管理,保障計算機信息系統的安全,北京聯華中安信息技術有限公司特制定本管理制度。
第一條 嚴格落實計算機信息系統安全和保密管理工作責任制。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則,各科室在其職責范圍內,負責本單位計算機信息系統的安全和保密管理。
第二條 辦公室是全局計算機信息系統安全和保密管理的職能部門。辦公室負責具體管理和技術保障工作。
第三條 計算機信息系統應當按照國家保密法標準和國家信息安全等級保護的要求實行分類分級管理,并與保密設施同步規劃、同步建設。
第四條 局域網分為內網、外網。內網運行各類辦公軟件,專用于公文的處理和交換,屬涉密網;外網專用于各部門和個人瀏覽國際互聯網,屬非涉密網。上內網的計算機不得再上外網,涉及國家秘密的信息應當在指定的涉密信息系統中處理。
第五條 購置計算機及相關設備須按保密局指定的有關參數指標由機關事務中心統一購置,并對新購置的計算機及相關設備進行保密技術處理。辦公室將新購置的計算機及相關設備的有關信息參數登記備案后統一發放。經辦公室驗收的計算機,方可提供上網IP地址,接入機關局域網。
第六條 計算機的使用管理應符合下列要求:
(一)嚴禁同一計算機既上互聯網又處理涉密信息;
(二)各科室要建立完整的辦公計算機及網絡設備技術檔案,定期對計算機及軟件安裝情況進行檢查和登記備案;
(三)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(四)安裝正版防病毒等安全防護軟件,并及時進行升級,及時更新操作系統補丁程序;
(五)未經辦公室認可,機關內所有辦公計算機不得修改上網IP地址、網關、DNS服務器、子網掩碼等設置;
(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理涉密信息;
(七)嚴禁將辦公計算機帶到與工作無關的場所;確因工作需要需攜帶有涉密信息的手提電腦外出的,必須確保涉密信息安全。第七條 涉密移動存儲設備的使用管理應符合下列要求:
(一)分別由各科室兼職保密員負責登記,做到專人專用專管,并將登記情況報信息中心備案;
(二)嚴禁涉密移動存儲設備在內、外網之間交叉使用;
(三)移動存儲設備在接入本部門計算機信息系統之前,應查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。第八條 數據復制操作管理應符合下列要求:
(一)將互聯網上的信息復制到內網時,應采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)使用移動存儲設備從內網向外網復制數據時,應當采取嚴格的保密措施,防止泄密;
(三)復制和傳遞密級電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。不得利用電子郵件傳遞、轉發或抄送涉密信息;
(四)各科室因工作需要向外網公開內部信息資料時,必須由該科室負責人審核同意,交由辦公室統一發布。
第九條 辦公計算機及相關設備由機關事務中心負責維護,按保密要求實行定點維修。需外請維修的,要派專人全程監督;需外送維修的,應由辦公室拆除信息存儲部件,以防止存儲資料泄密。
第十條 辦公計算機及相關設備在變更用途時,必須進行嚴格的消磁技術處理。第十一條 辦公計算機及相關設備報廢時,應由信息中心拆除存儲部件,然后交辦公室核定,由機關事務中心按有關要求統一銷毀,同時作好備案登記。嚴禁各科室自行處理報廢計算機。
第十二條 加強對兼職保密員的管理,積極參加國家保密工作部門組織的崗位職能培訓。定期內辦公室組織開展經常性的保密教育培訓,提高機關工作人員的計算機信息安全保密意識與技能。
第十三條 辦公室要加強機關計算機信息系統安全和保密管理情況的監督,定期進行檢查,提高泄密隱患發現能力和泄密事件應急處置能力。其它各科室要密切配合,共同做好計算機信息系統安全和保密工作。
第十四條 機關工作人員離崗離職,有關科室應即時取消其計算機涉密信息系統訪問授權,收回計算機、移動存儲設備等相關物品。
第十五條 各科室和個人應當接受并配合機關保密工作領導小組組織的保密監督檢查,協助核查有關泄密行為。對違反本規定的有關人員應給予批評教育,并責令限期整改;造成泄密事件的,由有關部門根據國家相關保密法律法規進行查處,并追究相關責任人的責任。
第十六條 各科室要根據本規定,確保涉密信息安全。
本制度是經總經理核準后公布實施
北京聯華中安信息技術有限公司
二零一四年五月十日
第五篇:信息系統安全審計管理制度
信息系統安全審計管理制度
第一章 工作職責安排
第一條 安全審計員的職責是: 1.制定信息安全審計的范圍和日程; 2.管理具體的審計過程;
3.分析審計結果并提出對信息安全管理體系的改進意見;
4.召開審計啟動會議和審計總結會議; 5.向主管領導匯報審計的結果及建議; 6.為相關人員提供審計培訓。
第二條 評審員由審計負責人指派,協助主評審員進行評審,其職責是:
1.準備審計清單; 2.實施審計過程; 3.完成審計報告;
4.提交糾正和預防措施建議; 5.審查糾正和預防措施的執行情況。第三條 受審員來自相關部門,其職責是: 1.配合評審員的審計工作; 2.落實糾正和預防措施; 3.提交糾正和預防措施的實施報告。
第二章 審計計劃的制訂
第四條 審計計劃應包括以下內容: 1.審計的目的; 2.審計的范圍; 3.審計的準則; 4.審計的時間;
5.主要參與人員及分工情況。第五條 制定審計計劃應考慮以下因素: 1.每年應進行至少一次涵蓋所有部門的審計; 2.當進行重大變更后(如架構、業務方向等),需要進行一次涵蓋所有部門的審計。
第三章 安全審計實施
第六條 審計的準備:
1.評審員需事先了解審計范圍相關的安全策略、標準和程序;
2.準備審計清單,其內容主要包括: 1)需要訪問的人員和調查的問題; 2)需要查看的文檔和記錄(包括日志); 3)需要現場查看的安全控制措施。
第七條 在進行實際審計前,召開啟動會議,其內容主要包括:
1.評審員與受審員一起確認審計計劃和所采用的審計方式,如在審計的內容上有異議,受審員應提出聲明(例如:限制可訪問的人員、可調查的系統等); 2.向受審員說明審計通過抽查的方式來進行。第八條 審計方式包括面談、現場檢查、文檔的審查、記錄(包括日志)的審查。
第九條 評審員應詳細記錄審計過程的所有相關信息。在審計記錄中應包含下列信息:
1.審計的時間;
2.被審計的部門和人員; 3.審計的主題 ; 4.觀察到的違規現象;
5.相關的文檔和記錄,比如操作手冊、備份記錄、操作員日志、軟件許可證、培訓記錄等; 6.審計參考的文檔,比如策略、標準和程序等; 7.參考所涉及的標準條款; 8.審計結果的初步總結。
第十條 如懷疑與相關安全標準有不符合項的情況,審計員應記錄所觀察到的詳細信息(如在何處、何時,所涉及的人員、事項,和具體的情況等)并描述其為什么不符合。關于不符合的情況應與受審員達成共識。
第十一條 在每項審計結束時應準備審計報告,審計報告應包括:
1.審計的范圍;
2.審計所覆蓋的安全領域; 3.審計結果的總結;
4.不符合項,不符合項的具體描述和相關證據; 5.糾正和預防措施的建議。
第十二條 不符合項是指與等級保護基本要求不一致的情況。產生不符合項可能是由于與相關的規定不一致,包括:
1.等級保護基本要求; 2.信息安全策略; 3.相關標準和程序; 4.相關法律條款; 5.本單位的相關規定;
6.任何其它在客戶合同中規定的要求。
第十三條 不符合項可以細分為“主要”或“次要”。如果所發現的不符合項屬于下列任何一種情況,此不符合項應被分類為 “主要”的:
1.會導致系統、程序或控制措施整體失效; 2.操作過程沒有形成標準的文檔;
3.累計多個同一類型的“次要”不符合項; 4.對信息安全管理體系的未授權變更。
如果所發現的不符合項屬于個別事件,此不符合項將被分類為 “次要”的,例如:
1.未標識信息安全分類的文檔; 2.沒有被管理層審閱的事故報告; 3.不完整的變更記錄; 4.不完整的機房進出記錄。
第十四條 造成不符合項的原因可以分為以下幾種: 1.其文檔化的標準和程序與信息安全策略不一致; 2.實際的操作與文檔化的標準和程序要求不一致; 3.實際的操作沒有達到預期效果。
第四章 安全審計匯報
第十五條 召開審計總結會議。應總結匯報以下內容: 1.審計的目標和范圍; 2.審計的時間; 3.參與審計的人員;
4.審計報告(包括糾正和預防措施的建議); 5.提交審計報告的副本供受審員參考。第十六條 在總結會議上,受審員應闡述任何疑問。
第五章 糾正和預防措施
第十七條 糾正和預防措施應該包括問題描述、根本原因、應急措施(可選)、糾正措施以及預防措施。
第十八條 受審員必須制定糾正和預防措施的實施計劃。
第十九條 受審員應在規定時間內向評審員提交糾正和預防措施的實施報告。
第六章 審計糾正和預防措施的實施狀況
第二十條 評審員應在受審員提交報告的3個月內,審計糾正和預防措施的實施狀況。
第二十一條 審計糾正和預防措施應包括:面談、現場檢查、文檔的審查以及記錄(包括日志)的審查。
第二十二條 評審員根據受審員提交的糾正和預防措施實施報告,收集、記錄和審查相關證據。
第七章 審計結果的審閱
第二十三條 安全審計員應審閱和分析所有審計結果。第二十四條 受審員的領導在審閱審計結果時,應分析的事件包括審計計劃、此次審計結果和上次審計結果的比較、糾正和預防措施。
第八章 附 則
第二十五條 本制度由某某單位負責解釋。第二十六條 本制度自發布之日起生效執行。
點擊咨詢 