企业级信息安全管理制度及应急预案

企业级信息安全管理制度及应急预案TOC\o"1-2"\h\u3302第1章总则 5147491.1信息安全管理制度目的 5277131.2适用范围 5102791.3制定依据 5159821.4责任与义务 534261.4.1企业应建立健全信息安全组织架构，明确各级管理人员、部门及员工的信息安全职责。 5235831.4.2企业应制定、实施和维护信息安全政策、目标、计划，并保证资源投入。 5108271.4.3企业各部门及相关人员应遵守本信息安全管理制度，参与信息安全培训，提高信息安全意识。 523171.4.4企业应定期进行信息安全风险评估，采取相应措施降低风险。 5265331.4.5企业应制定并实施应急预案，保证在突发信息安全事件时能够迅速、有效地应对。 559401.4.6企业应建立健全信息安全报告和处理机制，对信息安全进行调查和处理。 5129821.4.7企业应加强与行业组织及其他利益相关方的沟通与合作，共同提高信息安全防护能力。 632015第2章信息安全组织架构 6135912.1信息安全领导小组 6160592.1.1机构设立 6265682.1.2成员构成 6187272.1.3主要职责 6174492.2信息安全管理部门 660692.2.1机构设立 6106372.2.2成员构成 6327632.2.3主要职责 611482.3信息安全职责分配 773082.3.1各部门信息安全职责 7278662.3.2员工信息安全职责 722243第3章信息资源分类与保护 7231923.1信息资源分类 7209823.1.1商业秘密 7196093.1.2内部管理信息 7168783.1.3公开信息 7235223.1.4个人信息 8253723.2信息资源保护等级划分 8177613.2.1极高保护等级 843913.2.2高保护等级 817363.2.3中保护等级 8186843.2.4低保护等级 8202983.3保护措施 8294623.3.1极高保护等级 8192633.3.2高保护等级 82673.3.3中保护等级 9189433.3.4低保护等级 9137第4章信息安全风险管理 9305754.1风险识别 959194.1.1范围界定 9284364.1.2风险识别方法 9137164.1.3风险识别过程 9237244.2风险评估 916774.2.1评估方法 9160264.2.2评估过程 9317024.2.3风险评估周期 10165534.3风险应对策略 10139664.3.1风险规避 1066414.3.2风险降低 10107504.3.3风险接受 10283924.3.4风险转移 1056084.3.5风险应对措施实施 102224.3.6风险应对措施监控 107310第5章信息安全防护措施 10323735.1物理安全 1066025.1.1设备安全 1094375.1.2环境安全 11194235.2网络安全 1181485.2.1边界安全 1192075.2.2网络访问控制 11181055.2.3网络安全监测 118695.3系统安全 1118485.3.1系统漏洞管理 1151585.3.2系统访问控制 1146975.3.3系统安全审计 1177335.4数据安全 12181665.4.1数据备份 1222175.4.2数据加密 12278695.4.3数据访问控制 12278445.4.4数据销毁 1211832第6章信息安全事件管理 1246866.1信息安全事件分类 12268586.1.1网络安全事件：指通过网络进行的攻击、入侵、篡改、窃取等行为，导致企业信息系统安全受到影响的事件。 12102266.1.2系统安全事件：指因操作系统、应用系统或硬件设备等故障、漏洞导致的系统瘫痪、数据损坏或丢失等事件。 12327586.1.3数据安全事件：指因数据泄露、篡改、丢失等导致企业数据安全受到影响的事件。 12244516.1.4物理安全事件：指因物理环境、设施设备等导致的系统故障、数据损坏等事件。 12218256.1.5社交工程攻击事件：指通过欺骗、诱导等手段，获取企业内部敏感信息或权限的事件。 1254476.1.6内部违规事件：指企业内部员工违规操作、泄露机密信息等导致的安全事件。 1256666.2信息安全事件报告与处置流程 1388936.2.1事件报告： 1365516.2.2事件处置： 13165086.3信息安全事件调查与处理 13176996.3.1调查： 13143626.3.2处理： 13219216.4信息安全事件总结与改进 13282216.4.1总结： 1349976.4.2改进： 1320037第7章信息安全培训与宣传 14303187.1培训计划 14113097.1.1定期开展信息安全培训活动，保证每位员工每年至少参加一次培训。 1466397.1.2针对不同岗位和职责，制定有针对性的培训内容，提高培训效果。 1457867.1.3将信息安全培训纳入新员工入职培训内容，保证新员工具备基本的信息安全意识。 14138177.1.4对信息安全关键岗位人员进行专门培训，提高其专业技能和应急处理能力。 1487477.2培训内容与方式 1480217.2.1培训内容： 14165227.2.2培训方式： 14145917.3信息安全意识宣传 1422607.3.1开展常态化信息安全宣传活动，如举办信息安全知识竞赛、制作信息安全宣传海报、发放信息安全手册等。 14177747.3.2利用企业内部网站、公告栏、群等渠道，定期发布信息安全资讯、预警信息及防范措施。 14174737.3.3建立信息安全举报渠道，鼓励员工发觉并报告潜在的信息安全隐患。 15161427.4培训效果评估 15269527.4.1定期对员工进行信息安全知识测试，评估培训效果。 15228897.4.2通过问卷调查、访谈等形式，收集员工对培训内容的意见和建议，持续优化培训计划。 15165197.4.3对培训过程中发觉的问题和不足，及时进行整改，保证培训效果。 1563677.4.4结合实际工作，关注信息安全事件发生情况，对培训效果进行持续跟踪和评估。 152609第8章信息安全应急预案 1573888.1应急预案编制 15286448.1.1编制原则 15227578.1.2编制流程 15117788.1.3编制要求 1569098.2应急预案内容 15309848.2.1应急组织架构 15292228.2.2应急预案分类 1516618.2.3应急响应流程 15240848.2.4应急资源保障 1577858.2.5应急预案附件 16146668.3应急预案演练 163768.3.1演练目的 1664488.3.2演练组织 1643988.3.3演练计划 16317298.3.4演练实施 16212168.3.5演练评估与改进 1666818.4应急预案修订与更新 16274688.4.1修订与更新原则 1687788.4.2修订与更新流程 16245748.4.3修订与更新要求 1660238.4.4修订与更新记录 165359第9章信息安全审计与评估 1638109.1审计制度 16286659.1.1审计目的 17121779.1.2审计原则 1764279.1.3审计主体与职责 17124739.1.4审计周期 17178219.1.5审计报告 17108569.2审计内容与流程 17116679.2.1审计内容 17316439.2.2审计流程 1716269.3评估制度 18218299.3.1评估目的 18291789.3.2评估原则 18150219.3.3评估主体与职责 1847529.3.4评估周期 1824649.4评估内容与流程 18108089.4.1评估内容 18289999.4.2评估流程 1813066第10章违规行为处理与法律责任 191347510.1违规行为处理 193075110.1.1违规行为认定 191587310.1.2违规行为分类 191632810.1.3违规行为处理措施 192940610.1.4违规行为处理程序 192260710.2法律责任 192971310.2.1企业法律责任 19921710.2.2员工法律责任 19518010.3举报与投诉 202619810.3.1举报投诉渠道 202427610.3.2举报投诉处理 202544810.4信息安全管理制度修订与废止 20722210.4.1修订 201129210.4.2废止 20第1章总则1.1信息安全管理制度目的本信息安全管理制度旨在保障企业信息资产安全，维护企业正常运营秩序，防范和降低信息安全风险，保证企业信息资源的完整性、保密性和可用性，同时提高企业对突发信息安全事件的应对能力，保障企业持续健康发展。1.2适用范围本制度适用于企业内部所有部门、子公司及关联公司，包括但不限于企业员工、临时工作人员、外包服务提供商等与企业信息处理相关的个人和团体。1.3制定依据本信息安全管理制度依据以下法律法规及标准制定：（1）《中华人民共和国网络安全法》；（2）《中华人民共和国信息安全技术信息系统安全等级保护基本要求》；（3）《信息安全管理体系要求》ISO/IEC27001；（4）其他相关国家法律法规、行业标准和最佳实践。1.4责任与义务1.4.1企业应建立健全信息安全组织架构，明确各级管理人员、部门及员工的信息安全职责。1.4.2企业应制定、实施和维护信息安全政策、目标、计划，并保证资源投入。1.4.3企业各部门及相关人员应遵守本信息安全管理制度，参与信息安全培训，提高信息安全意识。1.4.4企业应定期进行信息安全风险评估，采取相应措施降低风险。1.4.5企业应制定并实施应急预案，保证在突发信息安全事件时能够迅速、有效地应对。1.4.6企业应建立健全信息安全报告和处理机制，对信息安全进行调查和处理。1.4.7企业应加强与行业组织及其他利益相关方的沟通与合作，共同提高信息安全防护能力。第2章信息安全组织架构2.1信息安全领导小组2.1.1机构设立为全面加强企业信息安全管理工作，设立信息安全领导小组，负责对企业信息安全工作进行统一领导、协调和监督。2.1.2成员构成信息安全领导小组由企业高层领导、信息安全管理部门负责人及关键部门负责人组成。成员应具备一定的信息安全知识和实践经验。2.1.3主要职责（1）制定企业信息安全战略规划和政策；（2）审批信息安全预算和项目；（3）协调企业内部各部门在信息安全管理工作中的协作；（4）监督信息安全管理部门的工作；（5）对重大信息安全事件进行决策和指导。2.2信息安全管理部门2.2.1机构设立设立专门的信息安全管理部门，负责企业信息安全日常管理工作，保证信息安全制度、措施的有效实施。2.2.2成员构成信息安全管理部门由具备专业知识和实践经验的信息安全管理人员组成，包括部门负责人、技术人员、管理人员等。2.2.3主要职责（1）制定、修订和完善信息安全管理制度；（2）组织实施信息安全风险评估和等级保护工作；（3）开展信息安全教育和培训；（4）监督检查信息安全措施落实情况；（5）处理信息安全事件；（6）推动信息安全技术和产品的研发与应用。2.3信息安全职责分配2.3.1各部门信息安全职责（1）制定本部门信息安全管理制度和操作规程；（2）落实企业信息安全政策，保证本部门信息安全工作顺利进行；（3）定期进行信息安全自查，发觉问题及时整改；（4）参与企业信息安全教育和培训；（5）配合信息安全管理部门进行信息安全事件的调查和处理。2.3.2员工信息安全职责（1）遵守企业信息安全管理制度和操作规程；（2）参与信息安全教育和培训，提高自身信息安全意识和技能；（3）妥善保管个人信息安全账号和密码；（4）及时报告发觉的信息安全问题；（5）配合信息安全管理部门进行信息安全事件的调查和处理。第3章信息资源分类与保护3.1信息资源分类为有效管理企业信息资源，保证信息安全，本章节对企业信息资源进行分类。信息资源分类遵循以下原则：（1）按照信息的内容属性进行分类；（2）按照信息的价值进行分类；（3）按照信息的敏感程度进行分类。信息资源分类如下：3.1.1商业秘密包括企业战略规划、经营策略、市场营销计划、客户资料、研发成果等对企业具有商业价值的信息。3.1.2内部管理信息包括企业内部规章制度、人力资源信息、财务信息、项目管理信息等。3.1.3公开信息包括企业对外发布的新闻、公告、报告、产品手册等。3.1.4个人信息包括企业员工及客户的个人信息，如姓名、身份证号、联系方式等。3.2信息资源保护等级划分根据信息资源的重要性、敏感程度和可能造成的损失，将信息资源分为以下四个保护等级：3.2.1极高保护等级涉及企业核心商业秘密、重要个人信息等，一旦泄露可能导致企业破产或严重损害企业声誉的信息。3.2.2高保护等级涉及企业一般商业秘密、内部管理信息等，一旦泄露可能导致企业竞争优势下降或造成较大经济损失的信息。3.2.3中保护等级涉及企业公开信息、部分内部管理信息等，一旦泄露可能导致企业运营受到影响的信息。3.2.4低保护等级涉及企业非核心、非敏感信息，一旦泄露对企业影响较小的信息。3.3保护措施针对不同保护等级的信息资源，采取以下保护措施：3.3.1极高保护等级（1）实施严格的访问控制，保证授权人员才能访问；（2）采用加密、身份认证等技术手段；（3）定期进行安全审计和风险评估；（4）制定应急预案，保证在紧急情况下迅速采取措施。3.3.2高保护等级（1）实施访问控制，保证授权人员才能访问；（2）采用加密、身份认证等技术手段；（3）定期进行安全审计和风险评估；（4）制定应急预案，保证在紧急情况下迅速采取措施。3.3.3中保护等级（1）实施适当的访问控制措施；（2）采用身份认证等技术手段；（3）定期进行安全检查；（4）制定应急预案，保证在紧急情况下迅速采取措施。3.3.4低保护等级（1）实施基本的访问控制措施；（2）定期进行安全培训，提高员工安全意识；（3）制定应急预案，保证在紧急情况下迅速采取措施。第4章信息安全风险管理4.1风险识别4.1.1范围界定本节主要对企业在信息系统中可能面临的风险进行识别，包括但不限于以下方面：物理安全、网络安全、主机安全、数据安全、应用安全、人员管理等。4.1.2风险识别方法采用问卷调查、现场查看、安全审计、技术检测等多种方式，全面识别企业信息安全风险。4.1.3风险识别过程（1）收集企业内部和外部信息安全威胁信息；（2）分析企业信息系统资产，确定资产价值；（3）识别企业信息系统潜在的安全威胁和脆弱性；（4）输出风险识别报告。4.2风险评估4.2.1评估方法采用定性与定量相结合的方法，包括风险矩阵、DREAD模型、CVSS等，对企业信息安全风险进行评估。4.2.2评估过程（1）对已识别的风险进行分类和归纳；（2）分析风险发生的可能性和影响程度；（3）计算风险值，确定风险等级；（4）输出风险评估报告。4.2.3风险评估周期定期进行风险评估，以保证企业信息安全风险管理持续有效。4.3风险应对策略4.3.1风险规避针对高风险且无法通过其他措施降低的风险，采取风险规避策略，如：限制或禁止高风险业务、隔离敏感数据等。4.3.2风险降低对中风险和部分高风险，采取风险降低策略，如：加强安全防护措施、优化安全配置、开展安全培训等。4.3.3风险接受对低风险，在保证企业信息系统安全的前提下，可采取风险接受策略，但需持续关注风险变化。4.3.4风险转移对于部分风险，可通过购买保险、签订合同等方式，将风险转移给第三方。4.3.5风险应对措施实施根据风险评估结果，制定针对性的风险应对措施，明确责任部门、人员、实施时间及效果评估等，保证措施的有效执行。4.3.6风险应对措施监控对实施的风险应对措施进行持续监控，保证其效果，并根据风险变化及时调整应对策略。第5章信息安全防护措施5.1物理安全5.1.1设备安全（1）对重要信息系统硬件设备采取双机热备、冗余配置，保证设备故障时能够快速切换，降低系统停机风险。（2）对数据中心、服务器等关键设备进行定期检查和维护，保证设备运行稳定。（3）对设备进行物理访问控制，设置专门的设备存放区域，限制无关人员接触。5.1.2环境安全（1）建立完善的机房管理制度，保证机房温度、湿度、清洁度等环境因素符合国家标准。（2）对机房进行防火、防水、防雷等安全措施，降低自然灾害对信息系统的影响。5.2网络安全5.2.1边界安全（1）部署防火墙、入侵检测系统等安全设备，对进出网络的数据进行实时监控和过滤。（2）定期对网络边界进行安全检查，发觉漏洞及时修复。5.2.2网络访问控制（1）实施严格的网络访问控制策略，限制非法访问和内部数据泄露。（2）对远程访问进行身份认证和加密，保证数据传输安全。5.2.3网络安全监测（1）建立网络安全监测预警机制，对网络流量进行实时分析，发觉异常情况及时处理。（2）定期开展网络安全风险评估，提高网络安全防护能力。5.3系统安全5.3.1系统漏洞管理（1）定期对操作系统、数据库、中间件等软件进行安全更新和漏洞修复。（2）建立系统安全基线，对系统配置进行安全优化。5.3.2系统访问控制（1）实施权限最小化原则，对用户权限进行合理分配和管控。（2）建立用户身份认证机制，保证合法用户才能访问系统资源。5.3.3系统安全审计（1）开启系统审计功能，对关键操作进行记录和分析，发觉违规行为。（2）定期对系统日志进行审查，保证系统运行安全。5.4数据安全5.4.1数据备份（1）建立数据备份制度，定期对关键数据进行备份，保证数据可用性。（2）采取多种备份方式，如本地备份、远程备份等，提高数据抗风险能力。5.4.2数据加密（1）对敏感数据进行加密存储和传输，防止数据泄露和篡改。（2）采用国家认可的加密算法和设备，保证数据安全。5.4.3数据访问控制（1）对数据访问权限进行严格控制，实施“谁主管、谁负责”的原则。（2）加强对数据操作行为的审计，防止内部数据泄露。5.4.4数据销毁（1）对不再使用的存储设备进行安全销毁，防止数据泄露。（2）建立数据销毁管理制度，保证数据在销毁过程中的安全。第6章信息安全事件管理6.1信息安全事件分类为保证企业信息安全事件的有效管理，首先应对信息安全事件进行科学合理的分类。根据事件的性质、影响范围和严重程度，将信息安全事件分为以下几类：6.1.1网络安全事件：指通过网络进行的攻击、入侵、篡改、窃取等行为，导致企业信息系统安全受到影响的事件。6.1.2系统安全事件：指因操作系统、应用系统或硬件设备等故障、漏洞导致的系统瘫痪、数据损坏或丢失等事件。6.1.3数据安全事件：指因数据泄露、篡改、丢失等导致企业数据安全受到影响的事件。6.1.4物理安全事件：指因物理环境、设施设备等导致的系统故障、数据损坏等事件。6.1.5社交工程攻击事件：指通过欺骗、诱导等手段，获取企业内部敏感信息或权限的事件。6.1.6内部违规事件：指企业内部员工违规操作、泄露机密信息等导致的安全事件。6.2信息安全事件报告与处置流程6.2.1事件报告：（1）任何员工发觉信息安全事件，应立即向信息安全管理部门报告。（2）报告内容应包括：事件类型、发生时间、影响范围、已采取的措施等。（3）信息安全管理部门接到报告后，应立即启动应急预案，进行初步评估。6.2.2事件处置：（1）根据初步评估结果，制定详细的处置方案。（2）组织相关部门和人员，按照处置方案进行应急响应。（3）针对不同类型的信息安全事件，采取相应的技术手段和措施。（4）定期向上级领导和信息安全管理部门汇报事件处置进展。6.3信息安全事件调查与处理6.3.1调查：（1）信息安全事件处置结束后，应立即启动事件调查。（2）调查组由信息安全管理部门、相关业务部门和技术部门组成。（3）调查内容包括：事件原因、影响范围、损失程度、责任归属等。6.3.2处理：（1）根据调查结果，对事件责任人进行处理，包括但不限于警告、记过、辞退等。（2）对涉及的法律责任，依法移交司法机关处理。（3）对事件中暴露的问题，制定相应的整改措施，并督促落实。6.4信息安全事件总结与改进6.4.1总结：（1）信息安全事件处理结束后，组织相关部门进行总结。（2）分析事件原因、处理过程和效果，总结经验教训。（3）形成书面总结报告，报上级领导和信息安全管理部门。6.4.2改进：（1）根据总结报告，完善信息安全管理制度和应急预案。（2）加强信息安全培训和宣传，提高员工安全意识。（3）定期开展信息安全风险评估，及时发觉并整改安全隐患。（4）加强信息安全基础设施建设，提高系统安全防护能力。第7章信息安全培训与宣传7.1培训计划为提高全体员工的信息安全意识，保证企业信息安全管理制度的有效实施，制定如下培训计划：7.1.1定期开展信息安全培训活动，保证每位员工每年至少参加一次培训。7.1.2针对不同岗位和职责，制定有针对性的培训内容，提高培训效果。7.1.3将信息安全培训纳入新员工入职培训内容，保证新员工具备基本的信息安全意识。7.1.4对信息安全关键岗位人员进行专门培训，提高其专业技能和应急处理能力。7.2培训内容与方式7.2.1培训内容：（1）信息安全基础知识及法律法规；（2）企业信息安全管理制度及应急预案；（3）信息安全风险识别与防范；（4）信息安全事件应急处理流程；（5）信息安全意识培养。7.2.2培训方式：（1）线上培训：利用企业内部学习平台，开展线上课程学习；（2）线下培训：组织专题讲座、研讨会、实操演练等形式；（3）内外部培训：邀请行业专家、信息安全厂商等进行授课；（4）互动式培训：通过案例分析、角色扮演、小组讨论等形式，提高培训效果。7.3信息安全意识宣传7.3.1开展常态化信息安全宣传活动，如举办信息安全知识竞赛、制作信息安全宣传海报、发放信息安全手册等。7.3.2利用企业内部网站、公告栏、群等渠道，定期发布信息安全资讯、预警信息及防范措施。7.3.3建立信息安全举报渠道，鼓励员工发觉并报告潜在的信息安全隐患。7.4培训效果评估7.4.1定期对员工进行信息安全知识测试，评估培训效果。7.4.2通过问卷调查、访谈等形式，收集员工对培训内容的意见和建议，持续优化培训计划。7.4.3对培训过程中发觉的问题和不足，及时进行整改，保证培训效果。7.4.4结合实际工作，关注信息安全事件发生情况，对培训效果进行持续跟踪和评估。第8章信息安全应急预案8.1应急预案编制8.1.1编制原则本章节阐述应急预案编制的原则，包括合法性、实用性、及时性和持续性原则。8.1.2编制流程介绍应急预案编制的流程，包括成立编制小组、风险评估、确定应急响应级别、明确应急资源、编写预案、审批发布等环节。8.1.3编制要求明确应急预案编制的要求，包括内容完整、操作性强、职责明确、流程清晰等。8.2应急预案内容8.2.1应急组织架构描述应急组织架构，包括应急指挥部、应急工作小组、应急支援部门等。8.2.2应急预案分类根据不同安全风险，将应急预案分为网络安全事件、系统故障、数据泄露、物理安全事件等类别。8.2.3应急响应流程详细阐述应急响应流程，包括事件报告、事件评估、应急启动、应急处置、应急恢复等环节。8.2.4应急资源保障明确应急资源保障措施，包括人员、设备、物资、技术支持等。8.2.5应急预案附件提供应急预案相关的参考资料、工具和模板等。8.3应急预案演练8.3.1演练目的阐述应急预案演练的目的，包括检验应急预案、提升应急能力、完善应急措施等。8.3.2演练组织介绍应急预案演练的组织架构，包括演练领导小组、演练工作小组、参演部门等。8.3.3演练计划制定应急预案演练计划，包括演练频率、时间、地点、内容等。8.3.4演练实施详细描述演练实施过程，包括前期准备、演练启动、演练执行、演练总结等环节。8.3.5演练评估与改进对演练过程进行评估，发觉问题并提出改进措施。8.4应急预案修订与更新8.4.1修订与更新原则阐述应急预案修订与更新的原则，包括合规性、实际性、动态性等。8.4.2修订与更新流程介绍应急预案修订与更新的流程，包括启动修订、风险评估、预案修改、审批发布等环节。8.4.3修订与更新要求明确应急预案修订与更新的要求，保证预案的实用性和有效性。8.4.4修订与更新记录记录应急预案的修订与更新情况，包括修订日期、修订内容、审批人员等。第9章信息安全审计与评估9.1审计制度本节主要阐述企业级信息安全审计制度的相关内容。审计制度包括但不限于以下方面：9.1.1审计目的明确信息安全审计的目标，保证企业信息安全管理制度的有效性，发觉潜在的安全隐患，提升信息安全防护能力。9.1.2审计原则遵循独立性、客观性、公正性、全面性原则，保证审计工作的顺利进行。9.1.3审计主体与职责明确审计工作的主体，包括内部审计部门、外部审计机构等，以及各自的职责和权限。9.1.4审计周期根据企业实际情况，合理确定信息安全审计的周期，保证及时发觉并解决信息安全问题。9.1.5审计报告规定审计报告的内容、格式及提交流程，保证审计结果的准确、清晰和可追溯。9.2审计内容与流程本节主要介绍信息安全审计的内容和具体流程。9.2.1审计内容（1）安全策略审计：检查安全策略的制定、发布和执行情况；（2）安全管理审计：评估安全管理制度的完善程度和执行效果；（3）技术措施审计：检查信息安全技术的应用和运维情况；（4）安全事件审计：对安全事件进行记录、分析和报告；（5）合规性审计：保证企业信息安全工作符合国家相关法律法规和标准。9.2.2审计流程（1）审计计划：制定审计计划，明确审计范围、时间、人员等；（2）审计准备：收集相关资料，了解企业信息安全现状，准备审计工具和方法；（3）实施审计：按照审计计划，对信息安全管理制度、技术措施等进行现场检查；（4）审计报告：整理审计发觉，撰写审计报告，并提出改进建议；（5）整改与跟踪：企业根据审计报告进行整改，审计部门对整改情况进行跟踪和评估。9.3评估制度本节主要阐述企业级信息安全评估制度的相关内容。