云平台信息安全审计制度

1、XXX云平台信息安全审计文件编号使用部门初版日期修订日期XXXXXX 保留所有权利。未经版权所有者的书面许可，禁止通过直接复印机、缩微胶片、静电复印术或任何其他方式以任何形式分发本文任何部分。文件修订及复核记录修订记录版次起草复核批准发行日期摘要审核栏条目姓名审核日期批准复核起草第一章总则 4 4第二章人员及职责 4 4第三章日志审计的步骤 5 5第四章日志审计的目标和内容 7 7第五章管理制度和技术规范的检查步骤 8 8第七章管理制度和技术规范的检查内容 9 9第八章检查表 1010第九章相关记录 1010第十章相关文件 1010第十一章附则 1010附件一：体系管理制度和技术规范控制点重点

2、检查的内容及方法 1111第一章总则第一条目的：为加强电子政 XXXX 心云平台的内部审计工作，建立健全内部审计制度，明确内部审计职责，通过对人工和安全设备收集到的大量审计行为记录进行检查，以监督不当使用和非法行为， 并对发生的非法操作行为进行责任追查。 同时根据 XXXWXXXW 息委的各种与信息安全的相关的制度和技术手段进行检查,确保 XXXXXXrXXXXXXr平台中所有设备正常运行；第二条适用范围：包括对各系统日志的审计和安全管理制度及技术规范符合性检查。第二章人员及职责第三条本制度指定 XXXXXXXX 乍为 XXXXXXiXXXXXXi平台的信息安全审计组织，负责实施 XXXXXX

3、 云平台内部审核或对外审核， 协助外部第二方/第三方审核； 审核组的工作应该直接向信息安全领导小组汇报；实施独立审核，确保信息安全管理系统各项控制及组成部分按照策略要求运行良好，确保信息安全管理体系的完整性、符合性和有效性；第四条与审计制度相关的人员分为审计人和被审计人。审计人除了 XXXXSXXXXS 全审计员外，还需设立信息安全协调员指导和配合安全审计员的工作。被审计的人及系统为 XXXXXX&XXXXXX&平台的信息安全执行人员，包括综服务器虚拟资源池、云桌面虚拟资源池等和其相关的管理、维护和使用人员等；第五条 XXXXXX 云平台的审计相关人员根据 X X 规划战略、年

4、度工作目标，以及上级的部署，拟订审计工作计划，报经 XXXXXX 导批准后实施审计工作。除年度审计计划外，也可根据工作需要或 XXXXXX 领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项；第六条信息安全审计员的角色和职责本着安全管理权限分离的原则，信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。信息安全审计员和本制度相关职责如下：负责 XXXXXXSXXXXXXS平台安全审计制度的建设与完善工作；信息安全审计员要对人工收集到的大量审计行为记录进行检查，以监督对XXXXXXXXXXXX平台的不当使用和非法行为；定期执行安全审计检查，对 XXXzJXXXzJ 平台的安

5、全状况进行分析评估，向上级主管提供系统安全状况审计报告和改进措施等。负责指导和协助 XXXXXX 云平台建立安全审计制度并协调相关工作，以确保安全审计工作的顺利进行；对发生的非法操作行为进行责任追查；审查信息安全审计员的审计报告并汇报上级部门领导。第八条信息安全执行组人员，包括各系统（网络设备，安全产品，主机，数据库和应用系统）的管理维护人员负责维护各自系统正常运行的同时必须向审计人员提供审计所需的各种信息（如各系统的日志，系统升级、备份、加固、权限及配置变更等各种操作记录）以配合审计人员完成审计工作；第九条其他与审计相关的人员的职责参见信息安全岗位管理规定。第三章日志审计的步骤第十条日志收集

6、目的全面收集入侵者，内部恶意用户或合法用户误操作的相关信息，以便进一步的查看和分析。防止重要的日志信息收集的遗漏。具体要求需要根据各种系统的安全设置方法设定重要事件的日志审计（详细参见云平台系统运维和日志管理规定），如对安全设备的登入事件、用户增减事件、用户权限及属性修改事件、访问规则修改事件、系统开启或关闭事件、系统配置修改事件、安全告警事件，系统版本更新升级等事件的日志审计，包括所有系统特权命令的使用都必须被全面的记录；第十一条对日志查看与分析目的第七条信息安全主管和本制度相关职责是:分析存在安全威胁的原因，以便制定相应的对策。日志查看和分析具体要求日志可以作为证据，提供安全事故调查；信息

7、安全主管需要定期查看各系统的安全管理员是否根据其职责进行安全的维护，包括日常的运维操作记录和日志；信息安全审计员需要在信息安全主管的配合下对所有日志事件进行分类，划分不同的安全事件等级，并分析存在威胁的原因；信息安全审计员整理并编写安全分析报告，定期向上级汇报日志报表中存在的安全威胁其中包括：安全威胁的统计；新威胁的列表；威胁同比增长率；安全威胁的防范。审计人员与使用人员沟通将重点审计对象的访问特点反馈给这些对象的使用者，尤其是各自的管理员；对于发现存在异常信息的审计对象， 将这些信息告知相关管理员和操作者， 并要求他们给出合理的解释。第十二条审计月报以审计数据作为基础抽样对象，汇总成为审计月

8、报，经相关领导审核、批准后，向全 X X 人员公布。审计月报的内容：必须明确安全审计的范围；必须明确安全审计的标准或原则；必须明确安全审计的检查清单；必须列举所有安全问题和安全隐患，并按照严重程度进行划分；必须列举所有安全问题和安全隐患的有关责任人员或责任部。第十三条审计后续追踪所有在日志审计过程中发现的各种违规行为，一旦经 XXXX!XXXX!认后，由 XXXXfftXXXXfft 责人通报给有关责任部门，并要求在规定时间内有关责任部提出解决方案和处理报告，XXXXXXXX负责监督各违规行为是否纠正，并做相关的记录。信息安全审计员，负责检查信息安全主管的相关记录以确保纠正措施都得到了实施。X

9、XXX等在一个月之内再次对相关的违规行为进行检查。第四章日志审计的目标和内容第十四条审计的目标、分类日志审计的目标主要是对访问操作的审计，对访问控制的审计，对敏感数据的审计和对应用数据的审计。按云平台系统运维和日志管理规定中的分类方法，日志也可以分类为主机系统，安全产品，网络设备，数据库和应用系统的审计。第十五条安全产品、网络设备的日志审核对安全产品、网络设备的日志的审核工作具体要求如下：责任人应明确审核频率、定义安全事件判断规则、规定安全事件通报流程，用以审核日志，发现并确定安全事件。重大安全事件必须被记录在案，例如：多次失败登录；异常时间的接入或者异常地点的接入；信息流量的突然增加；针对系

10、统资源的异常和/或饱和性尝试；重大网络与信息系统事件（比如配置更新以及系统崩溃等等）；安全属性变化第十六条应用系统日志审核对各应用系统的日志的要求：由于对应用系统日志的审核工作比较复杂，在实施审计之前先要对各应用系统的生成的日志提出统一的要求（详细的日志要求参见云平台系统运维和日志管理规定）；对应用系统日志审计至少要包括以下内容：应用系统日志产生是否正常，包括日志产生的时间、格式；日志功能是否被关闭过；日志中是否有被人为篡改的痕迹，（包括日志文件被编辑或删除，记录的消息类型被修改等）；日志中是否存在多次登陆失败的情况，如果超过一定的阀值，应当考虑为攻击事件；日志文件存储媒介是否用尽，防止造成无

11、法记录事件或自行覆盖以前的日志文件；是否定期打印重要的操作清单；针对各业务系统维护人员通过系统界面对业务数据进行的增、删、改操作进行日志审查；对清单查询操作进行日志审查；对用户权限变更操作进行日志审查。第十七条主机日志审计对主机日志的审核内容，至少要包括以下内容：审计未经授权的，对数据库的非法连接;系统错误及所采取的纠正措施;系统的配置文件被修改;用户帐号变更;根用户或者用户被修改。第十八条数据库日志审计审计未经授权的，直接连接数据库后的变更（增加，删除，修改）所有操作日志；系统错误及所采取的纠正措施；数据库服务的启动和关闭的日志信息；数据库系统核心配置文件被修改；数据库的日志是否定期备份。第

12、五章管理制度和技术规范的检查步骤第十九条检查信息的收集安全管理制度和技术规范执行情况的抽查，分为初步调查、详细调查和问题询问三个步骤进行：初步调查：初步调查的目的是使安全检查人员了解检查对象的背景情况、 基本运作流程、 具体管理人员和操作人员的人员配备等大致的情况， 以便快速熟悉检查对象， 并制定相应的检查策略和工作清单。详细调查：在初步调查的基础上，安全检查人员对检查对象进行深入了解，同时调整、修改并最终决定检查策略和工作清单。问题询问：安全检查人员就检查的细节问题向具体管理人员和操作人员提出询问， 进行检查报告编写前的最后准备工作。第二十条检查报告的编写安全检查人员对收集的资料进行分析整理

13、，并完成安全检查报告的编写工作。安全检查报告内容要求：必须明确安全检查的范围；必须明确安全检查的标准；必须明确安全检查的检查清单；必须列举所有安全问题和安全隐患，并按照严重程度进行划分；必须列举所有安全问题和安全隐患的有关责任人员或责任部；必须对检查单位有安全检查的整体评估。第二十一条检查报告的汇报由 xxxxexxxxe 全检查员对各单位的检查卜#况汇总整理后，提交给 XXX!XXX!行审阅。第二十二条确认检查中发现的安全问题和后续措施的实行所有在检查过程中发现的安全问题和安全隐患，一旦经 xxxxxx 领导确认后，由 xxxxxxxx通报给有关责任部门，并要求在规定时间内有关责任部提出解决

14、方案和处理报告，同时负责监督各违规行为是否纠正并作相关的记录。第二十三条检查工作总结xxxxxx 对整个检查工作进行总结，并呈报 xxxxxx 信息委上级部门。第七章管理制度和技术规范的检查内容第二十四条安全检查控制点信息安全的检查分为五个层面。本制度所涉及的检查范围和检查内容见附件一;第二十五条检查内容检查信息安全管理系统策略文档是否由各文档负责人按该文档要求或者在业务系统发生重大变化后得到及时变更或更新，保证策略的有效性和可用性。详细文档及对应负责人见附件二。第八章检查表第二十六条本制度的执行情况检查表任务编勺检查点检查内容检查方法检查周期1 1各系统日志审计报告各系统生成日志是否符合相关

15、要求查阅日志记录每周2 2女全策略和技术规沱检查报告从管理制度和技术规范检查报告是否符合本制度相关检查项目查阅检查报告每年第九章相关记录第二十七条执行本制度产生如下记录：各系统生成的日志记录。系统操作审计报告各系统管理员日常操作记录。信息安全管理制度和技术规范控制点检查结果。第十章相关文件第二十八条本制度参考了如下文件：云平台安全运维和日志管理制度第十一章附则第二十九条本制度自发布之日起开始实施；第三十条本管理规定的解释和修改权属于XXX第三十一条 XXXXXX 每年统一检查和评估本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。附件一：体系管理制度和

16、技术规范控制点重点检查的内容及方法信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期安全事件响应和处理云安全事件及事故应急响应制度计算机安全事故检测措施计算机安全事故响应和事后处理计划审核云安全事件响应和处理报告检查某一种事故出现的频率，如果频率过图说明事件没有能够及时处理和处理方法不得当现场让维护人员“预演”模拟二级或二级以上的安全事故的响应和事后处理每个月一次安全管理日常安全工作云平台安全运维和日志管理制度各系统安全日常安全工作的执行情况各系统安全策略在运行中的情况各系统安全日志的检查报告记录分析情况各管理员在安全日常工作中的工作情况查看信息系统管理员的日常工作日报、周报、月报

17、等，检查安全工作是否做过对信息系统管理员日常的安全工作内容进行抽样检查， 检查工作报告和实际工作情况是否符合对所有管理进行问卷调查，检查管理员是否能够马上回答出日常安全工作内容每半年一次信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期设备入网情况云平台资产入库管理规定设备入网流程设备入网安全检查人员的工作情况设备入网安全标准的执行情况设备入网加固情况设备入网的记录情况对入网设备进行安全性检查、检查安全设备是否达到相应的安全标准每次设备入网信息资产分级和管理制度云平台资产管理规定信息安全分类标识的执行情况信息安全分类管理执行情况抽查信息设备是否有安全分类标识和安全分类标识的准确性和

18、完整性查看信息设备清单查看信息设备安全分类清单和专管人员进行“面谈”，确定其对信息安全分类控制管理制度的熟悉程度抽查信息设备处理（作废、重新利用）记录对 XXXXXX 云平台电子邮件、电子文档的安全加密情况进行抽查对 XXXXXX 云平台有密级文件（硬拷贝或电子拷贝）复每年一次信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期ERER、备份、复制记录进行抽查第二方人员管理外部人员来访管理制度第二方信息服务的管理制度和执行情况第二方信息现场服务人员的管理制度和执行情况第二方信息服务服务/维护合同查看外包服务协议中附带的保密协定或有关保密章节查看服务合同（服务级别和服务期限）查看外来信

19、息服务人员的登记记录和临时出入证（工作证）的管理记录抽查后关软件/硬件的维护记录抽查外包信息服务项目的肩关项目文件每年一次用户帐号和密码安全管理云平台密码使用规范用户帐号和权限分配密码的安全设置和强度用户帐号和密码的管理规定的执行情况关键服务器、小型机、数据库的管理员和超级管理员帐号和密码抽查用户帐号创建的相关书面文档并和计算机用户帐号日志文件进行比对抽查用户权限分配情况（尤其是特权用户）查看系统密码的安全配置情况使用工具软件对一些用户密码进行“强行”破解， 以检验用户密码的强度检查系统是否拒绝创建不符合安全要求的用户帐号每季度一次信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期

20、和密码查看用户帐号登录和注销日志义件查看用户帐号密码变更、禁止和删除的日志文件计算机业务连续性和灾难恢复 云 平 台 数据备份与恢复管理规程 云 安 全 事件及事应急故响应制度业务风险（信息系统肩关）分析业务连续性计划的制定和实施情况信息系统灾难恢复计划和具体实施情况查看业务风险分析文档（风险等级）查看关键设备和系统清单查看业务风险控制计划和相应的解决方案查看灾难恢复计划和相应的解决方案每年一次计算机机房物理环境安全机房安全运行管理规定物理访问控制情况防火和防水情况电源供应情况综合布线情况物理环境情况报警系统情况人员进出控制情况文件/磁介质保险柜建筑（门、窗、查看防火/防水系统的达标和维护义档

21、或记录检查 UPSUPS 和备用发电机是否能正常运行使用仪器检查建筑内的温度、湿度、静电、灰尘、通风、照明是否符合要求检查报警系统的达标和维护义档或记录抽查人员进出记录检查建筑的防火等级检查保险柜的防火/防磁/每半年一次信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期地板）实时监控和入侵检测设备防盗等级检查通讯和网络线路的物理布置和接口位置， 以及对明线的物理防护要求检查机房内物理入侵检测设备（红外线移动探头等） 和物理访问控制设备 （读卡机）是否正常工作网络安全网络安全管理规定网络的划分网络间通讯的流程和控制网络链路的备份网络安全的设计网络服务查看网络物理连接图查看网络逻辑连接

22、图（IPIP分配）使用网络侦测工具进行 IPIP（网络服务）扫描查看网络安全设计和实施力杀测试备份网络链路测试网络路由情况测试网络负裁情况每季度一次网络设备安全机房设备安全管理制度防火墙入侵检测路由器交换机网关/网关代理查看防火墙安全日志文件查看入侵检测安全日志文件检查防火墙安全配置查看入侵检测安全配置查看路由器路由和其他网信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期络配置查看交换机 VLANVLAN 端口映射、数据流控制等配置查看网关/网关代理配置查看网关/网关代理访问日志义件使用漏洞扫描工具对防火墙、路由器、交换机、网关/网关代理进 XXX1XXX1 息委内部和外部“刺穿

23、性”扫描 （必须保证扫描不会影响系统和网络性能）使用 DoSfcDoSfc 击模拟工具测试防火墙、路由器、交换机、网关/网关代理对 DoSfcDoSfc 击的防御程度 （严禁对在线的生产系统进行 DoSMDoSM 试）加密设备安全密钥管理办法加密设备物理保护加密设备密钥管理制度和执行情况加密设备操作制度和执行情况对加密设备物理访问控制进行现场检查查看密钥生成、传递、备份、存储和使用记录查看加密设备管理员操作记录和有关系统日志文件每季度一次信息安全管理制度检查域信息安全管理制度检查内容具体检查方法周期计算机病毒防治云平台恶意代码防范制度防病母系统的女装情况防病毒系统运行情况系统病毒数据库更新情况用户病毒数据库更新情况抽查云平台内的终端和服务器是否安装了XXXX-规止防病母程序，并检查程序的内部设定查看防抗附系统的运行日志义件检查防病毒系统的病毒数据库的版本抽查计算机用户 PCPC 机上的病毒数据库版本随机测试防，内毒系统功能每季度一次数据备份和恢复云平台数据备份与恢复管理规程数据备份和恢复计划和执行情况备份应用程序备份介质管理制度和执行情况备份和恢复操作制度和执行情况查看备份应用程序的运行日志义件查看备份介质记录查看备份介质管理记录查看备份和恢复操作记录热机备份测试RAIDRAID 磁盘备份测试备用机测试进行系统、 应用程序、 数据等/