信息系统安全审计管理制度

1、-.信息系统安全审计管理制度第一章工作职责安排第一条安全审计员的职责是：拟定信息安全审计的范围和日程；管理详细的审计过程；解析审计结果并提出对信息安全管理系统的改进建议；召开审计启动会讲和审计总结会议；向主管领导报告审计的结果及建议；为相关人员供应审计培训。第二条评审员由审计负责人指派，协助主评审员进行评审，其职责是：准备审计清单；推行审计过程；完成审计报告；提交纠正和预防措施建议；审查纠正和预防措施的执行情况。第三条受审员来自相关部门，其职责是：配合评审员的审计工作；落实纠正和预防措施；.-.提交纠正和预防措施的推行报告。第二章审计计划的拟定第四条审计计划应包括以下内容：审计的目的；审计的范

2、围；审计的准则；审计的时间；主要参加人员及分工情况。第五条拟定审计计划应试虑以下因素：每年应进行最少一次涵盖所有部门的审计；当进行重要改正后（如架构、业务方向等），需要进行一次涵盖所有部门的审计。第三章安全审计推行第六条审计的准备：评审员需早先认识审计范围相关的安全策略、标准和程序；准备审计清单，其内容主要包括：需要接见的人员和检查的问题；.-.2)需要查察的文档和记录（包括日志）；需要现场查察的安全控制措施。第七条在进行实质审计前，召开启动会议，其内容主要包括：评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明（比方：限制可接见的人员、可检查的系统等）

3、；向受审员说明审计经过抽查的方式来进行。第八条审计方式包括面谈、现场检查、文档的审查、记录（包括日志）的审查。第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包括以下信息：审计的时间；被审计的部门和人员；审计的主题；观察到的违规现象；相关的文档和记录，比方操作手册、备份记录、操作员日志、软件同意证、培训记录等；审计参照的文档，比方策略、标准和程序等；参照所涉及的标准条款；审计结果的初步总结。第十条如思疑与相关安全标准有不吻合项的情况，审.-.计员应记录所观察到的详细信息(如在哪处、何时，所涉及的人员、事项，和详细的情况等)并描述其为什么不吻合。关于不吻合的情况应与受审员完成共识。第

4、十一条在每项审计结束时应准备审计报告，审计报告应包括：审计的范围；审计所覆盖的安全领域；审计结果的总结；不吻合项，不吻合项的详细描述和相关凭据；纠正和预防措施的建议。第十二条不吻合项是指与等级保护基本要求不一致的情况。产生不吻合项可能是由于与相关的规定不一致，包括：1.等级保护基本要求；2.信息安全策略；3.相关标准和程序；4.相关法律条款；5.本单位的相关规定；6.任何其他在客户合同中规定的要求。第十三条不吻合项可以细分为“主要”或“次要”。如果所发现的不吻合项属于以下任何一种情况，此不吻合项应被分类为“主要”的：会以致系统、程序或控制措施整体无效；.-.操作过程没有形成标准的文档；累计多个

5、同一种类的“次要”不吻合项；对信息安全管理系统的未授权改正。若是所发现的不吻合项属于个别事件，此不吻合项将被分类为“次要”的，比方：未表记信息安全分类的文档；没有被管理层批阅的事故报告；不完满的改正记录；不完满的机房进出记录。第十四条造成不吻合项的原因可以分为以下几种：其文档化的标准和程序与信息安全策略不一致；实质的操作与文档化的标准和程序要求不一致；实质的操作没有达到预期收效。第四章安全审计报告第十五条召开审计总结会议。应总结报告以下内容：审计的目标和范围；审计的时间；参加审计的人员；4.审计报告（包括纠正和预防措施的建议）；提交审计报告的副本供受审员参照。.-.第十六条在总结会议上，受审员

6、应阐述任何疑问。第五章纠正和预防措施第十七条纠正和预防措施应该包括问题描述、根根源因、应急措施（可选）、纠正措施以及预防措施。第十八条受审员必定拟定纠正和预防措施的推行计划。第十九条受审员应在规准时间内向评审员提交纠正和预防措施的推行报告。第六章审计纠正和预防措施的推行情况第二十条评审员应在受审员提交报告的3个月内，审计纠正和预防措施的推行情况。第二十一条审计纠正和预防措施应包括：面谈、现场检查、文档的审查以及记录（包括日志）的审查。第二十二条评审员依照受审员提交的纠正和预防措施推行报告，收集、记录和审查相关凭据。第七章审计结果的批阅.-.第二十三条安全审计员应批阅和解析所有审计结果。第二十四条受审员的