.公司信息系統(tǒng)安全審計管理制度

1、蒙西華中鐵路股份 信息系統(tǒng) 平安審計管理制度第一章 工作職責(zé)安排第一條 平安審計員職責(zé)1. 制定信息平安審計的范圍和日程；2. 管理具體的審計過程；3. 分析審計結(jié)果并提出對信息平安管理體系的改進意見；4. 召開審計啟動會議和審計總結(jié)會議；5. 向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議；6. 為相關(guān)人員提供審計培訓(xùn)。第二條 評審員由審計負(fù)責(zé)人指派， 協(xié)助主評審員進行評審，其職責(zé)是：1. 準(zhǔn)備審計清單；2. 實施審計過程；3. 完成審計報告；4. 提交糾正和預(yù)防措施建議；5. 審查糾正和預(yù)防措施的執(zhí)行情況。第三條 受審員來自相關(guān)部門1. 配合評審員的審計工作；2. 落實糾正和預(yù)防措施；3. 提交糾正和預(yù)防

2、措施的實施報告第二章 審計方案的制訂 第四條 審計方案應(yīng) 包括以下內(nèi)容：1. 審計的目的；2. 審計的范圍；3. 審計的準(zhǔn)那么；4. 審計的時間；5. 主要參與人員及分工情況。第五條 制定審計方案應(yīng)考慮以下因素：1. 每年應(yīng)進行至少一次涵蓋所有部門的審計；2. 當(dāng)進行重大變更后 ( 如架構(gòu)、業(yè)務(wù)方向等 ) 次涵蓋所有部 門的審計。第三章 平安審計實施 第六條 審計的準(zhǔn)備1. 評審員需事先了解審計范圍相關(guān)的平安策略、2. 準(zhǔn)備審計清單，其內(nèi)容主要包括：(1) 需要訪問的人員和調(diào)查的問題 ;(2) 需要查看的文檔和記錄 (包括日志 ) ；(3) 需要現(xiàn)場查看的平安控制措施。第七條 在進行實際審計前

3、， 召開啟動會議，括：1. 評審員與受審員一起確認(rèn)審計方案和所采用的審計方式， 如在審計的內(nèi)容上有異議， 受審員應(yīng)提出聲明 例如： 限制可 訪 問的人員、可調(diào)查的系統(tǒng)等 ；2. 向受審員說明審計通過抽查的方式來進行。第八條 審計方式包括面談、 現(xiàn)場檢查、文檔的審查、 記錄包 括日志的審查。第九條 評審員應(yīng)詳細(xì)記錄審計過程的所有相關(guān)信息。 在審 計 記錄中應(yīng)包含以下信息：1. 審計的時間；2. 被審計的部門和人員；，需要進行3. 審計的主題；4. 觀察到的違規(guī)現(xiàn)象；5. 相關(guān)的文檔和記錄， 比方操作手冊、 備份標(biāo)準(zhǔn)和程序；記錄、操作員日 志、軟件許可證、培訓(xùn)記錄等；6. 審計參考的文檔， 比方策

4、略、 標(biāo)準(zhǔn)和程序 等；7. 參考所涉及的標(biāo)準(zhǔn)條款；8. 審計結(jié)果的初步總結(jié)。 情況，審計員應(yīng)記錄所觀察到的詳細(xì)信息 如在何處、何時， 所涉及的人員、事項，和具體的情況等并描述其為什么不符合。 關(guān)于不符合的 情況應(yīng)與受審員達成共識。第十條 如疑心與相關(guān)平安標(biāo)準(zhǔn)有不符合項的其內(nèi)容主要第十一條在每項審計結(jié)束時應(yīng)準(zhǔn)備審計報告， 審計報告應(yīng)包 括：1. 審計的范圍；2. 審計所覆蓋的平安領(lǐng)域；3. 審計結(jié)果的總結(jié)；4. 不符合項，不符合項的具體描述和相關(guān)證據(jù)；5. 糾正和預(yù)防措施的建議。第十二條不符合項是指與等級保護根本要求不一致的情況。 產(chǎn)生不符合項可能是由于與相關(guān)的規(guī)定不一致，包括：1. 等級保護根

5、本要求；2. 信息平安策略；3. 相關(guān)標(biāo)準(zhǔn)和程序；4. 相關(guān)法律條款；5. 本單位的相關(guān)規(guī)定；6. 任何其它在客戶合同中規(guī)定的要求。第十三條不符合項可以細(xì)分為“主要或“次要 。如果所發(fā)現(xiàn)的不符合項屬于以下任何一種情況， 此不符合項應(yīng)被分類為“主要的：1. 會導(dǎo)致系統(tǒng)、程序或控制措施整體失效； 2.操作過程沒有形成標(biāo)準(zhǔn)的文檔；3. 累計多個同一類型的“次要不符合項；4. 對信息平安管理體系的未授權(quán)變更。 如果所發(fā)現(xiàn)的不符項屬于個別事件，此不符合項將被分類為“次要的，例如：(1) 未標(biāo)識信息平安分類的文檔；(2) 沒有被管理層審閱的事故報告；(3) 不完整的變更記錄；(4) 不完整的機房進出記錄。

6、第十四條 造成不符合項的原因可以分為以下幾種：1.其文檔化的標(biāo)準(zhǔn)和程序與信息平安策略不一致；2. 實際的操作與文檔化的標(biāo)準(zhǔn)和程序要求不一致；3. 實際的操作沒有到達預(yù)期效果。第四章 平安審計匯報第十五條 召開審計總結(jié)會議。應(yīng)總結(jié)匯報以下內(nèi)容：1.審計的目標(biāo)和范圍；2.審計的時間；3. 參與審計的人員；4. 審計報告 包括糾正和預(yù)防措施的建議 ；5. 提交審計報告的副本供受審員參考。第十六條 在總結(jié)會議上，受審員應(yīng)闡述任何疑問。第五章 糾正和預(yù)防措施第十七條 糾正和預(yù)防措施應(yīng)該包括問題描述、根本原因、 應(yīng) 急措施 可選 、糾正措施以及預(yù)防措施。第十八條 受審員必須制定糾正和預(yù)防措施的實施方案。第十九條 受審員應(yīng)在規(guī)定時間內(nèi)向評審員提交糾正和預(yù) 防措施的實施報告。第六章 審計糾正和預(yù)防措施的實施狀況第二十條 評審員應(yīng)在受審員提交報告的 3 個月內(nèi)，審計糾 正 和預(yù)防措施的實施狀況。第二十一條 審計糾正和預(yù)防措施應(yīng)包括： 面談、現(xiàn)場檢查、 文檔的審查以及記錄包括日志的審查。第二十二條 評審員根據(jù)受審員提交的糾正和預(yù)防措施實施報告，收集、記錄和審查相關(guān)證據(jù)。I第七章審計結(jié)果的審閱弟一十二條 平安審計員應(yīng)審閱和分析所有審計結(jié)