文档介绍:信息系统安全审计管理制度
第一章工作职责安排
第一条安全审计员的职责是:
;
;
;
;
;
。
第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是:
;
;
;
;
。
第三条受审员来自相关部门,其职责是:
;
;
。
第二章审计计划的制订
第四条审计计划应包括以下内容:
;
;
;
;
。
第五条制定审计计划应考虑以下因素:
;
(如架构、业务方向等),需要进行一次涵盖所有部门的审计。
第三章安全审计实施
第六条审计的准备:
、标准和程序;
,其内容主要包括:
1)需要访问的人员和调查的问题;
2)需要查看的文档和记录(包括日志);
3)需要现场查看的安全控制措施。
第七条在进行实际审计前,召开启动会议,其内容主要包括:
,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
。
第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。
第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息:
;
;
;
;
,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等;,比如策略、标准和程序等;
;
。
第十条如怀疑与相关安全标准有不符合项的情况,
审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。
第十一条在每项审计结束时应准备审计报告,审计报告应包括:
;
;
;
,不符合项的具体描述和相关证据;
。
第十二条不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致,包括:
;
;
;
;
;
。
第十三条不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况,此不符合项应被分类为“主要”的:
、程序或控制措施整体失效;
;
3.