文档介绍:互联网金融有限公司信息安全审计管理办法西安北创互联网金融信息服务有限公司信息安全审计管理办法总则为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“信息安全审计”,根据总部信息安全相关文件规定,特制订本办法。安全审计内容分为管理和技术两个方面,管理审计检查安全管理制度的执行情况;技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况。安全审计通过设立独立的审计岗位或交叉审计等方式开展。适用范围本办法适用于西安北创互联网金融信息服务有限公司和各分公司。可依据本办法开展企业网、局域网、互联网出口和各信息系统的安全审计,开展信息安全等其他安全管理方面的审计。用于指导开展定期和不定期,全面和针对特定目的的安全审计。组织与职责发起网络与信息安全审计工作的部门是:总公司信息管理处、各分公司信息管理部门。信息管理处在西安北创互联网金融信息服务有限公司信息安全领导小组的领导下,组织开展所辖子公司信息安全审计工作:落实总部信息安全工作总体安排;组织制定信息安全审计细则;组织制定并实施公司级的信息安全审计计划;对各分公司进行指导、审批、检查和备案;汇总、审阅信息安全审计报告,制定整改方案,解决发现的突出问题,重大问题或者需要对技术、管理流程做出重大调整时,应向西安北创互联网金融信息服务有限公司信息化领导小组汇报。各分公司信息部门职责:配合完成信息安全领导小组、信息管理处安排的信息安全审计任务;制定本单位内部信息安全审计实施细则;制定本单位信息安全审计计划和实施方案,并上报信息管理处备案审核;按照信息安全审计计划实施工作;提交信息安全审计报告,针对审计发现的问题,形成改进方案。信息安全审计重点内容信息安全审计原则:对重要系统、核心设备、规章制度和技术要求,进行重点检查。信息安全审计频次:针对公司范围进行的全面审计,每年一次,不定期开展;对局部范围进行的安全策略技术审计,根据总部信息安全等级保护文件规定,三级系统每半年审计一次,三级以下系统每年审计一次,并形成分系统的审计报告。第十二条信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。审计内容和审计方法第十三条安全审计主要依据各项安全管理规定和技术检查,检查具体要求的落实情况。第十四条审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场访问等。第十五条可以采用人工和技术手段进行。工作步骤第十六条制定计划,确定审计范围、审计重点、时间安排、审计人员和配