安全檢查安全審計(jì)管理規(guī)范

1、xxxx信息中心平安檢查、平安審計(jì)管理標(biāo)準(zhǔn)編 號(hào)： ISMS-P02-A 版本 號(hào)： V1.0 密 級(jí)： 內(nèi)部公開(kāi)版本記錄版本號(hào)版本日期修改審核批準(zhǔn)修改記錄1. 目的為了標(biāo)準(zhǔn)信息系統(tǒng)平安檢查工作流程，明確各科室職責(zé)，有效地 對(duì)信息中心信息系統(tǒng)進(jìn)行平安檢查，并做好信息系統(tǒng)平安測(cè)評(píng)的配合 工作。2. 適用范圍適用于XXX信息中心平安檢查和平安審計(jì)的管理。3. 定義平安檢查：指信息中心內(nèi)部對(duì)信息系統(tǒng)的平安性情況進(jìn)行的評(píng)價(jià)活動(dòng)。平安檢查的依據(jù)是我局現(xiàn)行的信息系統(tǒng)運(yùn)行管理制度、信息系 統(tǒng)平安體系標(biāo)準(zhǔn)、有關(guān)信息系統(tǒng)的法律、法規(guī)和標(biāo)準(zhǔn)等。平安檢查包 括平安例行檢查、平安專項(xiàng)檢查。平安審計(jì)：包括工程信息化領(lǐng)導(dǎo)

2、單位上級(jí)單位或授權(quán)單位對(duì) 我信息中心實(shí)施的審計(jì)或測(cè)評(píng)工作4. 職責(zé)4.1AAA科室4.1.1 作為信息中心內(nèi)部平安檢查責(zé)任科室，牽頭負(fù)責(zé)平安檢查的管 理工作。4.1.2 作為信息中心外部平安審計(jì)的牽頭接待科室。4.1.3 負(fù)責(zé)維護(hù)和管理平安檢查工具。4.2 各科室配合平安檢查和平安審計(jì)，如實(shí)提供 AAA科室所需要的檢查信 息。4.2.2 對(duì)平安檢查和平安審計(jì)所發(fā)現(xiàn)的問(wèn)題制定整改措施、整改方案 并實(shí)施整改。5. 管理標(biāo)準(zhǔn)5.1 平安檢查管理標(biāo)準(zhǔn)5.1.1 平安檢查的要求5.1.1.1 平安檢查應(yīng)當(dāng)遵循全面、審慎、有效、獨(dú)立的原那么。5.1.1.2 檢查工作要按照方案、 準(zhǔn)備、實(shí)施、報(bào)告、跟蹤五個(gè)

3、階段開(kāi)展?？剖乙z查機(jī)制，制定檢查方案，定期開(kāi)展檢查活動(dòng)。檢查方案要根據(jù)實(shí)際情況及時(shí)進(jìn)行補(bǔ)充和調(diào)整。5.1.1.4 每年平安檢查的內(nèi)容應(yīng)覆蓋網(wǎng)絡(luò)管理、主機(jī)管理、應(yīng)用管理、 物理環(huán)境管理、系統(tǒng)運(yùn)行管理、平安制度管理等方面。5.1.1.5 可根據(jù)實(shí)際需要組織專項(xiàng)檢查， 對(duì)于信息系統(tǒng)發(fā)生的重大事故 和問(wèn)題，要進(jìn)行專項(xiàng)檢查，對(duì)重大事件實(shí)施全面的監(jiān)控和評(píng)價(jià)。5.1.1.6 必須對(duì)檢查工具、檢查過(guò)程信息和檢查結(jié)果信息的使用和訪問(wèn) 采取控制措施加以保護(hù)，以防止任何可能的濫用。5.2.1 平安檢查的準(zhǔn)備工作521.1 AAA科室根據(jù)信息系統(tǒng)平安相關(guān)的國(guó)家標(biāo)準(zhǔn)，信息中心發(fā)布的 相關(guān)制度確定平安檢查內(nèi)容和平安

4、檢查方案。經(jīng)AAA科室科長(zhǎng)批準(zhǔn)后將有關(guān)檢查內(nèi)容列入 ?平安檢查清單?， 明確檢查要點(diǎn)、檢查方式、檢查工具、檢查所涉及的信息系統(tǒng)范圍和 檢查所需配合科室。5.3.1 平安檢查的實(shí)施工作5.3.1.1 平安檢查分為平安例行檢查及平安專項(xiàng)抽查， 平安例行檢查每 年進(jìn)行一次，平安專項(xiàng)抽查那么根據(jù)信息中心的平安運(yùn)行狀況所作的不 定期的抽查。AAA科室應(yīng)按照檢查周期進(jìn)行平安例行檢查，根據(jù)需要組織平安專項(xiàng)檢查。5.3.1.2 平安檢查應(yīng)按照?平安檢查清單?所規(guī)定的檢查要點(diǎn)、檢查方 式、使用規(guī)定的檢查工具進(jìn)行檢查。5.3.1.3 應(yīng)選擇對(duì)信息系統(tǒng)運(yùn)行影響最小的方式和時(shí)間進(jìn)行檢查。 檢查過(guò)程中應(yīng)做好檢查結(jié)果的記

5、錄工作。5.4.1 平安檢查的報(bào)告工作541.1檢查完成后由AAA科室編寫(xiě)檢查報(bào)告并提出整改建議，并填寫(xiě) 包含不符合項(xiàng)和問(wèn)題的?平安檢查問(wèn)題及整改表? ，提供應(yīng)被檢查科 室和相關(guān)科室。5.5.1 平安檢查的整改工作5.5.1.1 被檢查科室和相關(guān)科室應(yīng)按照檢查報(bào)告中整改的時(shí)間要求， 針 對(duì)檢查報(bào)告中所提出的問(wèn)題制定整改實(shí)施方案并組織整改，填寫(xiě)?安全檢查問(wèn)題及整改表?，報(bào)AAA科室。5.5.1.2 AAA科室應(yīng)對(duì)整改措施的落實(shí)情況進(jìn)行跟蹤，驗(yàn)證整改措施的 實(shí)施結(jié)果是否有效，并將整改、預(yù)防措施驗(yàn)證情況填入?平安檢查問(wèn) 題及整改表?。5.5.1.3 AAA科室根據(jù)檢查結(jié)果和整改情況進(jìn)行匯總，形成平安

6、狀況通5.2 平安審計(jì)管理標(biāo)準(zhǔn)5.2.1 平安審計(jì)的要求521.1 AAA科室應(yīng)全程跟蹤平安審計(jì)工作的實(shí)施過(guò)程，保證審計(jì)工作 不能超出預(yù)定的審計(jì)范圍。5.2.1.2 在審計(jì)過(guò)程中如果需要使用審計(jì)工具， 需審計(jì)方說(shuō)明該工具用 途以及可能引入的風(fēng)險(xiǎn)，嚴(yán)禁使用來(lái)路不明的審計(jì)工具。521.3在生產(chǎn)系統(tǒng)中使用審計(jì)工具前，AAA科室要組織相關(guān)科室進(jìn)行 測(cè)試工作，對(duì)其可能產(chǎn)生的影響進(jìn)行評(píng)估和論證。5.2.1.4 審計(jì)工具只能在我信息中心的設(shè)備上運(yùn)行并由我信息中心人 員負(fù)責(zé)操作，要對(duì)平安審計(jì)工具運(yùn)行結(jié)果中的敏感信息等進(jìn)行過(guò)濾。5.2.1.5 平安審計(jì)工作的實(shí)施要選擇對(duì)生產(chǎn)系統(tǒng)運(yùn)行影響最小的方式 和時(shí)間進(jìn)行。5

7、.2.1.6 AAA科室應(yīng)按照審計(jì)調(diào)閱清單提供相關(guān)文檔資料。 AAA科室應(yīng) 建立文檔資料交接清單， 清單應(yīng)包括文檔名稱、 介質(zhì)類型、 提供日期， 預(yù)計(jì)歸還日期、雙方簽字等內(nèi)容。5.2.2 配合外部審計(jì)時(shí)的平安保密要求5.2.2.1 外部審計(jì)實(shí)施單位應(yīng)通過(guò)現(xiàn)場(chǎng)查閱或者現(xiàn)場(chǎng)訪談方式獲取相 關(guān)信息，原那么上不直接提供電子文檔5.2.2.2 外部審計(jì)實(shí)施單位不得將文檔資料復(fù)制或帶離現(xiàn)場(chǎng)。 特殊情況下如需將文檔資料帶離現(xiàn)場(chǎng)時(shí)，必須根據(jù)通過(guò) AAA科室統(tǒng)一轉(zhuǎn)交。522.3審計(jì)工作結(jié)束后，AAA科室要及時(shí)收回向?qū)徲?jì)實(shí)施單位提供的 文檔資料并妥善保管，防止喪失。6. 相關(guān)文件與記錄?平安檢查清單? ISMS-R-P0201?平安檢查問(wèn)題及整改表? ISMS-R-P0202平安檢查報(bào)告平安檢查方案平安檢查清單NO ISMS-R-P0201-被檢杳科室檢杳員檢查日期科室負(fù)責(zé)標(biāo)準(zhǔn)條款檢查內(nèi)容檢查情況記錄檢杳符合情況不符合平安檢查問(wèn)題及整改表NO : ISMS-R-P0202-部 門(mén)檢查員日 期不符合項(xiàng)問(wèn)題事實(shí)描述：不符合或問(wèn)題涉及的依據(jù)條款簽名提出人/