文档介绍:xxxx网络中心
信息安全检查与审计管理制度
总则
为了加强xxxx网络中心(以下简称“网络中心”)信息安全检查与审计工作管理,确保信息安全管理符合国家有关要求,特制订本制度。
本规定适用于xxxx网络中心。
安全检查
信息安全检查包括各业务处室自查和信息安全部门定期执行的安全检查。
各业务处室的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况,自查工作应保留自查结果。自查应至少一个季度组织一次。
信息安全部门执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务处室自查结果抽查等。安全检查应至少半年组织一次。
自查和安全检查均应在检查之前形成检查表,自查检查表应经过业务处室领导审核通过,安全检查表应经过信息安全工作小组审核通过。
应严格按照检查表实施检查,检查完毕,记录下所有检查结果,检查记录需经各业务处室领导签字认可。
应对检查记录进行归档,只有授权人员可以访问阅读
应对检查结果进行汇总分析,形成安全检查报告,检查报告应对问题进行分析,提出解决建议。
应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。
各业务处室应阅读并理解安全检查报告,在信息安全处的指导下对出现的问题进行整改。信息安全处应对整改过程进行监督,并将整改结果报送信息安全工作小组。
安全审计
安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。
安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计部门培养自身独立的安全审计人员为主,其他手段为辅。
由审计部门独立完成,使用审计部门具备相应技能的人员完成审计工作;
由审计部门和信息中心共同完成,信息中心指派熟悉技术的人员配合审计部门完成审计工作,本情形需注意审计独立的原则,进行交叉审计;
聘请外部专业审计单位完成审计工作
安全审计的内容主要包括:
相关法律法规的符合情况;
管理部门的相关管理要求的符合情况;
现有安全技术措施的有效性;
安全配置与安全策略的一致性;
安全管理制度的执行情况;
安全