信息安全审计管理制度.docx
《信息安全审计管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全审计管理制度.docx(25页珍藏版)》请在冰豆网上搜索。
信息安全审计管理制度
网络信息中心
信息安全审计管理制度
文件编号
05
使用部门
网络信息中心
维护人
初版日期
修订日期
XX保留所有权利。
未经版权所有者的书面许可,禁止通过直接复印机、缩微胶片、静电复印术或任何其他方式以任何形式分发本文任何部分。
第一章总则
第一条为了规范XX网络信息中心的内部审计工作,建立并健全网络信息中心内部的审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用和非法行为,并对发生的非法操作行为进行责任追查。
同时根据XX的各种与信息安全的相关的制度和技术手段进行检查,确保XX的由网络信息中心管理的信息系统设备和应用系统正常、可靠、安全地运行;
第二条包括对各系统日志的审计和安全管理制度及技术规范符合性检查。
第二章人员及职责
第三条本制度指定XX网络信息中心审计组作为XX的信息安全审计组织,负责实施XX内部审核,在聘请外部审计组织参与的情况下,网络信息中心审计组协助外部第三方进行审核;审计组的工作应该直接向信息安全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;
第四条与审计制度相关的人员分为审计人和被审计人。
审计人除了网络信息中心的信息技术审计员外,还需设立信息安全协调员以指导和配合信息技术审计员的工作。
被审计人及系统为XX的信息安全执行组人员,包括上海市招考热线系统、内部网络管理系统、日志管理系统、机房视频监控系统和其相关的管理、维护和使用人员等;
第五条网络信息中心的审计相关人员根据XX规划战略、年度工作目标,以及上级的部署,拟订审计工作计划,报经XX领导批准后实施审计工作。
除年度审计计划外,也可根据工作需要或XX领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项;
第六条信息安全审计员的角色和职责
本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。
信息安全审计员和本制度相关职责如下:
(一)负责XX的信息安全审计制度的建设与完善工作;
(二)信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对XX的相关信息系统的不当使用和非法行为;
(三)定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供系统安全状况审计报告和改进措施等。
第七条XX网络信息中心的信息安全领导和本制度相关职责是:
(一)负责指导和协助XX建立信息安全审计制度并协调相关工作,以确保信息安全审计工作的顺利进行;
(二)对发生的非法操作行为进行责任追查;
审查信息安全审计员的审计报告并汇报上级部门领导。
第八条信息安全执行组人员,包括各系统(网络设备,安全产品,主机,数据库和应用系统)的管理维护人员负责维护各自系统正常运行的同时必须向审计人员提供审计所需的各种信息(如各系统的日志,系统升级、备份、加固、权限及配置变更等各种操作记录)以配合审计人员完成审计工作;
第九条其他与审计相关的人员的职责参见网络信息中心岗位规范。
第三章日志审计的步骤
第十条日志收集
(一)目的
全面收集入侵者,内部恶意用户或合法用户误操作的相关信息,以便进一步的查看和分析。
防止重要的日志信息收集的遗漏。
(二)具体要求
需要根据各种系统的安全设置方法设定重要事件的日志审计(详细参见《系统运维和日志管理规定》),如对安全设备的登入事件、用户增减事件、用户权限及属性修改事件、访问规则修改事件、系统开启或关闭事件、系统配置修改事件、安全告警事件,系统版本更新升级等事件的日志审计,包括所有系统特权命令的使用都必须被全面的记录;
第十一条对日志查看与分析
(一)目的
分析存在安全威胁的原因,以便制定相应的对策。
(二)日志查看和分析具体要求
日志可以作为证据,提供安全事故调查;
(1)信息安全领导需要定期查看各系统的安全管理员是否根据其职责进行安全的维护,包括日常的运维操作记录和日志;
(2)信息安全审计员需要在信息安全领导的配合下对所有日志事件进行分类,划分不同的安全事件等级,并分析存在威胁的原因;
(3)信息安全审计员整理并编写安全分析报告,定期向上级汇报日志报表中存在的安全威胁其中包括:
✓安全威胁的统计;
✓新威胁的列表;
✓威胁同比增长率;
✓安全威胁的防范。
(4)审计人员与使用人员沟通
将重点审计对象的访问特点反馈给这些对象的使用者,尤其是各自的管理员;对于发现存在异常信息的审计对象,将这些信息告知相关管理员和操作者,并要求他们给出合理的解释。
第十二条审计月报
以审计数据作为基础抽样对象,汇总成为审计月报,经相关领导审核、批准后,向XX人员公布。
审计月报的内容:
(一)必须明确安全审计的范围;
(二)必须明确安全审计的标准或原则;
(三)必须明确安全审计的检查清单;
(四)必须列举所有安全问题和安全隐患,并按照严重程度进行划分;
(五)必须列举所有安全问题和安全隐患的有关责任人员或责任部。
第十三条审计后续追踪
所有在日志审计过程中发现的各种违规行为,一旦经XX信息安全审计组确认后,由网络信息中心相关负责人通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,信息安全审计组负责监督各违规行为是否纠正,并做好相关的记录。
信息安全审计员,负责检查网络信息中心的相关记录以确保纠正措施都得到了实施。
XX信息安全委员会所辖的信息安全审计组将在一个月之内再次对相关的违规行为进行检查。
第四章日志审计的目标和内容
第十四条审计的目标、分类
日志审计的目标主要是对访问操作的审计,对访问控制的审计,对敏感数据的审计和对应用数据的审计。
按《系统运维和日志管理规定》中的分类方法,日志也可以分类为主机系统,安全产品,网络设备,数据库和应用系统的审计。
第十五条安全产品、网络设备的日志审核
对安全产品、网络设备的日志的审核工作具体要求如下:
(一)责任人应明确审核频率、定义安全事件判断规则、规定安全事件通报流程,用以审核日志,发现并确定安全事件。
(二)重大安全事件必须被记录在案,例如:
✓多次失败登录;
✓异常时间的接入或者异常地点的接入;
✓信息流量的突然增加;
✓针对系统资源的异常和/或饱和性尝试;
✓重大网络与信息系统事件(比如配置更新以及系统崩溃等等);
✓安全属性变化
第十五条应用系统日志审核
(一)对各应用系统的日志的要求:
由于对应用系统日志的审核工作比较复杂,在实施审计之前先要对各应用系统的生成的日志提出统一的要求(详细的日志要求参见《系统运维和日志管理规定》);
(二)对应用系统日志审计至少要包括以下内容:
✓应用系统日志产生是否正常,包括日志产生的时间、格式;
✓日志功能是否被关闭过;
✓日志中是否有被人为篡改的痕迹,(包括日志文件被编辑或删除,记录的消息类型被修改等);
✓日志中是否存在多次登陆失败的情况,如果超过一定的阀值,应当考虑为攻击事件;
✓日志文件存储媒介是否用尽,防止造成无法记录事件或自行覆盖以前的日志文件;
✓是否定期打印重要的操作清单;
✓针对各业务系统维护人员通过系统界面对业务数据进行的增、删、改操作进行日志审查;
✓对清单查询操作进行日志审查;
✓对用户权限变更操作进行日志审查。
第十六条主机日志审计
对主机日志的审核内容,至少要包括以下内容:
(一)审计XX的,对数据库的非法连接;
(二)系统错误及所采取的纠正措施;
(三)系统的配置文件被修改;
(四)用户帐号变更;
(五)根用户或者用户被修改。
第十七条数据库日志审计
(一)审计XX的,直接连接数据库后的变更(增加,删除,修改)所有操作日志;
(二)系统错误及所采取的纠正措施;
(三)数据库服务的启动和关闭的日志信息;
(四)数据库系统核心配置文件被修改;
(五)数据库的日志是否定期备份。
第五章管理制度和技术规范的检查步骤
第十七条检查信息的收集
安全管理制度和技术规范执行情况的抽查,分为初步调查、详细调查和问题询问三个步骤进行:
(一)初步调查:
初步调查的目的是使安全检查人员了解检查对象的背景情况、基本运作流程、具体管理人员和操作人员的人员配备等大致的情况,以便快速熟悉检查对象,并制定相应的检查策略和工作清单。
(二)详细调查:
在初步调查的基础上,安全检查人员对检查对象进行深入了解,同时调整、修改并最终决定检查策略和工作清单。
(三)问题询问:
安全检查人员就检查的细节问题向具体管理人员和操作人员提出询问,进行检查报告编写前的最后准备工作。
第十八条检查报告的编写
安全检查人员对收集的资料进行分析整理,并完成安全检查报告的编写工作。
安全检查报告内容要求:
(一)必须明确安全检查的范围;
(二)必须明确安全检查的标准;
(三)必须明确安全检查的检查清单;
(四)必须列举所有安全问题和安全隐患,并按照严重程度进行划分;
(五)必须列举所有安全问题和安全隐患的有关责任人员或责任部;
(六)必须对检查单位有安全检查的整体评估。
第十九条检查报告的汇报
由XX信息安全管理员对各单位的检查情况汇总整理后,提交给XX信息安全委员会进行审阅。
第二十条确认检查中发现的安全问题和后续措施的实行
所有在检查过程中发现的安全问题和安全隐患,一旦经XX信息安全委员会相关领导确认后,由XX网络信息中心通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,同时负责监督各违规行为是否纠正并作相关的记录。
第二十一条检查工作总结
XX网络信息中心对整个检查工作进行总结,并呈报XX上级部门。
第六章管理制度和技术规范的检查内容
第二十二条安全检查控制点
信息安全的检查可以根据国家信息安全等级保护标准,分五层面进行检查。
本制度所涉及的检查范围和检查内容见附件一;
第二十三条检查内容
检查信息安全管理系统策略文档是否由各文档负责人按该文档要求或者在业务系统发生重大变化后得到及时变更或更新,保证策略的有效性和可用性。
详细文档及对应负责人见附件二。
第七章检查表
第二十四条本制度的执行情况检查表
任务编号
检查点
检查内容
检查方法
检查周期
1
各系统日志审计报告
各系统生成日志是否符合相关要求
查阅日志记录
每周
2
安全策略和技术规范检查报告
从管理制度和技术规范检查报告是否符合本制度相关检查项目
查阅检查报告
每年
第八章相关记录
第二十五条执行本制度产生如下记录:
(一)各系统生成的日志记录。
(二)系统操作审计报告
(三)各系统管理员日常操作记录。
(四)信息安全管理制度和技术规范控制点检查结果。
第九章相关文件
第二十六条本制度参考了如下文件:
《系统运维和日志管理规定》《XX聘任制试行方案-网络信息中心岗位规范》
第一十章附则
第二十七条本制度自发布之日起开始实施;
第二十八条本管理规定的解释和修改权属于XX网络信息;
第二十九条XX每年统一检查和评估本管理规定,并做出适当更新。
在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
附件一:
体系管理制度和技术规范控制点重点检查的内容及方法
信息安全
管理制度检查域
信息安全
管理制度
检查内容
具体检查方法
周期
安全事件响应和处理
《信息安全事件及事故应急响应程序》
⏹计算机安全事故检测措施
⏹计算机安全事故响应和事后处理计划
⏹安全事件响应和处理报告》
⏹一种事故出现的频率,如果频率过高说明事件没有能够及时处理和处理方法不得当。
⏹现场让维护人员“预演”模拟二级或二级以上的安全事故的响应和事后处理。
每个月一次
安全管理日常安全工作
《系统运维和日志管理规定》
⏹各系统安全日常安全工作的执行情况
⏹各系统安全策略在运行中的情况
⏹各系统安全日志的检查报告记录分析情况
⏹各管理员在安全日常工作中的工作情况
⏹查看信息系统管理员的日常工作日报、周报、月报等,检查安全工作是否做过
⏹对信息系统管理员日常的安全工作内容进行抽样检查,检查工作报告和实际工作情况是否符合
⏹对所有管理进行问卷调查,检查管理员是否能够马上回答出日常安全工作内容
⏹每半年一次
设备入网情况
《系统操作与网络安全管理规范》
⏹设备入网流程
⏹设备入网安全检查人员的工作情况
⏹设备入网安全标准的执行情况
⏹设备入网加固情况
⏹设备入网的记录情况
⏹对入网设备进行安全性检查、检查安全设备是否达到相应的安全标准
每次设备入网
信息资产分级和管理制度
《信息资产安全管理规定》
⏹信息安全分类标识的执行情况
⏹信息安全分类管理执行情况
⏹抽查信息设备是否有安全分类标识和安全分类标识的准确性和完整性
⏹查看信息设备清单
⏹查看信息设备安全分类清单
⏹和资产管理员进行“面谈”,确定其对信息安全分类控制管理制度的熟悉程度
⏹抽查信息设备处理(作废、重新利用)记录
⏹对XX电子邮件、电子文档的安全加密情况进行抽查
⏹对XX有密级文件(硬拷贝或电子拷贝)复印、备份、复制记录进行抽查
每年一次
第三方人员管理
《人员安全管理规定》
⏹第三方信息服务的管理制度和执行情况
⏹第三方信息现场服务人员的管理制度和执行情况
⏹第三方信息服务服务/维护合同
⏹查看外包服务协议中附带的保密协定或有关保密章节
⏹查看服务合同(服务级别和服务期限)
⏹查看外来信息服务人员的登记记录和临时出入证(工作证)的管理记录
⏹抽查有关软件/硬件的维护记录
⏹抽查外包信息服务项目的有关项目文件
⏹每年一次
计算机安全使用管理
《系统安全管理规定》
⏹一般计算机安全使用规定执行情况
⏹计算机保密规定的执行情况
⏹个人电脑和终端安全使用规定的执行情况
⏹计算机周边设备安全使用规定的执行情况
⏹电子邮件、浏览器、BBS、新闻组、防入侵以及防病毒软件安全规定的执行情况
⏹查看有关使用监控日志
⏹文件和系统安全配置文件
⏹对人员进行规定笔试或机试测验,考核其对规定的熟悉和理解程度
⏹每半年一次
用户帐号和密码安全管理
《信息安全保密管理规定》
⏹用户帐号和权限分配
⏹密码的安全设置和强度
⏹用户帐号和密码的管理规定的执行情况
⏹关键服务器、小型机、数据库的管理员和超级管理员帐号和密码
⏹抽查用户帐号创建的相关书面文档并和计算机用户帐号日志文件进行比对
⏹抽查用户权限分配情况(尤其是特权用户)
⏹查看系统密码的安全配置情况
⏹使用工具软件对一些用户密码进行“强行”破解,以检验用户密码的强度
⏹检查系统是否拒绝创建不符合安全要求的用户帐号和密码
⏹查看用户帐号登录和注销日志文件
⏹查看用户帐号密码变更、禁止和删除的日志文件
⏹每季度一次
计算机技术文档管理
《XX行政公文处理办法》
⏹技术文档编制规定的执行情况
⏹技术文档的安全管理的执行情况
⏹查看技术文档清单和技术文档使用记录
⏹查看技术文档的版本控制记录
⏹检查技术文档的存放和保管地点
⏹抽查关键计算机设备或系统的整套技术文档,并仔细查看其内容
⏹每季度一次
计算机业务连续性和灾难恢复
《数据备份与恢复管理规程》
《信息安全事件及事故应急响应程序》
⏹业务风险(信息系统有关)分析
⏹业务连续性计划的制定和实施情况
⏹信息系统灾难恢复计划和具体实施情况
⏹查看业务风险分析文档(风险等级)
⏹查看关键设备和系统清单
⏹查看业务风险控制计划和相应的解决方案
⏹查看灾难恢复计划和相应的解决方案
⏹每年一次
计算机机房物理环境安全
《机房管理制度》
⏹物理访问控制情况
⏹防火和防水情况
⏹电源供应情况
⏹综合布线情况
⏹物理环境情况
⏹报警系统情况
⏹人员进出控制情况
⏹文件/磁介质保险柜
⏹建筑(门、窗、地板)
⏹实时监控和入侵检测设备
⏹查看防火/防水系统的达标和维护文档或记录
⏹检查UPS和备用发电机是否能正常运行
⏹使用仪器检查建筑内的温度、湿度、静电、灰尘、通风、照明是否符合要求
⏹检查报警系统的达标和维护文档或记录
⏹抽查人员进出记录
⏹检查建筑的防火等级
⏹检查保险柜的防火/防磁/防盗等级
⏹检查通讯和网络线路的物理布置和接口位置,以及对明线的物理防护要求
⏹检查机房内物理入侵检测设备(红外线移动探头等)和物理访问控制设备(读卡机)是否正常工作
⏹每半年一次
网络安全
《系统操作与网络安全管理规范》
⏹网络的划分
⏹网络间通讯的流程和控制
⏹网络链路的备份
⏹网络安全的设计
⏹网络服务
⏹查看网络物理连接图
⏹查看网络逻辑连接图(IP分配)
⏹使用网络侦测工具进行IP(网络服务)扫描
⏹查看网络安全设计和实施方案
⏹测试备份网络链路
⏹测试网络路由情况
⏹测试网络负载情况
⏹每季度一次
网络设备安全
《系统操作与网络安全管理规范》
⏹防火墙
⏹入侵检测
⏹路由器
⏹交换机
⏹网关/网关代理
⏹查看防火墙安全日志文件
⏹查看入侵检测安全日志文件
⏹检查防火墙安全配置
⏹查看入侵检测安全配置
⏹查看路由器路由和其他网络配置
⏹查看交换机VLAN、端口映射、数据流控制等配置
⏹查看网关/网关代理配置
⏹查看网关/网关代理访问日志文件
⏹使用漏洞扫描工具对防火墙、路由器、交换机、网关/网关代理进XX内部和外部“刺穿性”扫描(必须保证扫描不会影响系统和网络性能)
使用DoS攻击模拟工具测试防火墙、路由器、交换机、网关/网关代理对DoS攻击的防御程度(严禁对在线的生产系统进行DoS测试)
加密设备安全
《信息安全保密管理规定》
⏹加密设备物理保护
⏹加密设备密钥管理制度和执行情况
⏹加密设备操作制度和执行情况
⏹对加密设备物理访问控制进行现场检查
⏹查看密钥生成、传递、备份、存储和使用记录
⏹查看加密设备管理员操作记录和有关系统日志文件
⏹每季度一次
电子邮件安全
《系统安全管理规定》
⏹电子邮件系统性能
⏹电子邮件系统安全设置
⏹电子邮件系统的备份
⏹电子邮件系统的管理制度和执行情况
⏹查看电子邮件系统的负载情况(电子邮件队列日志文件)
⏹测试电子邮件系统是否具有防“垃圾”邮件、严格身份验证、防邮件病毒、加密传输等安全防护功能,并查看有关配置文件
⏹查看电子邮件系统管理员操作日志文件和系统安全日志文件
⏹查看电子邮件备份和恢复日志文件
⏹对电子邮件备份和恢复进行测试(邮件系统恢复、单个邮箱恢复、单个邮件恢复等)
⏹每季度一次
计算机病毒防治
《病毒防治管理制度》
⏹防病毒系统的安装情况
⏹防病毒系统运行情况
⏹系统病毒数据库更新情况
⏹用户病毒数据库更新情况
⏹抽查计算机用户的PC机是否安装了XX统一规定防病毒程序,并检查程序的内部设定
⏹查看防病毒系统的运行日志文件
⏹检查防病毒系统的病毒数据库的版本
⏹抽查计算机用户PC机上的病毒数据库版本
⏹随机测试防病毒系统功能
⏹每季度一次
数据备份和恢复
《数据备份与恢复管理规程》
⏹数据备份和恢复计划和执行情况
⏹备份应用程序
⏹备份介质管理制度和执行情况
⏹备份和恢复操作制度和执行情况
⏹查看备份应用程序的运行日志文件
⏹查看备份介质记录
⏹查看备份介质管理记录
⏹查看备份和恢复操作记录
⏹热机备份测试
⏹RAID磁盘备份测试
⏹备用机测试
⏹进行系统、应用程序、数据等不同程度恢复测试
⏹查看离线备份管理记录
⏹离线备份介质可用性测试
⏹离线备份系统可用性测试
⏹备份系统和生产系统切换测试
⏹备份介质存放地点检查
⏹每季度一次
应用系统安全
《系统安全管理规定》
⏹业务主机安全性
⏹业务主机备份和恢复
⏹查看业务主机安全日志文件
⏹查看业务主机管理员操作日志文件
⏹查看文件访问记录
⏹进行主机漏洞扫描
⏹查看数据备份记录
⏹检查所有用户的权限分配情况
⏹进行不同等级(全系统恢复、应用程序数据恢复、单个数据或文件恢复)的恢复测试
⏹每季度一次
系统安全
《系统安全管理规定》
⏹操作系统安全性
⏹查看操作系统安全日志文件
⏹查看管理员操作日志文件
⏹查看文件访问记录
⏹对用户权限分配情况进行抽查
⏹进行系统漏洞扫描
⏹每季度一次
数据库安全
《系统安全管理规定》
⏹数据库用户设定和权限分配
⏹数据库访问身份验证
⏹数据库完整性
⏹数据库访问性能
⏹查看数据库安全日志文件
⏹查看数据库性能日志文件
⏹查看数据库用户和用户组设定以及相应的权限设定
⏹运行数据库“健康”测试工具,检查数据库内数据和数据关系的完整性
⏹每季度一次
软件开发安全
⏹软件开发环境
⏹软件测试规定和执行情况
⏹软件开发文档管理规定和执行情况
⏹测试系统的升级
⏹测试系统的备份
⏹查看软件开发规范
⏹查看软件开发环境设计和实施方案
⏹抽查软件开发项目文档和有关技术文档
⏹抽查软件测试记录
⏹查看软件开发系统的备份记录
⏹查看测试系统升级(升级到生产系统)计划和有关实施文档
⏹随软件项目进度和开放计划定
网络监控和入侵检测
《系统操作与网络安全管理规范》
⏹监控系统的运作情况
⏹入侵检测运行情况
⏹查看监控系统和入侵检测系统的策略配置文件
⏹查看监控系统和入侵检测系统的日志文件
⏹测试监控系统和入侵检测系统的报警机制能否正常运作
⏹测试关键的监控和入侵检测功能(运行非正常操作,测试系统能否捕获和报警)
⏹每季度一次
升级会员 