信息系统审计管理体系.docx
《信息系统审计管理体系.docx》由会员分享,可在线阅读,更多相关《信息系统审计管理体系.docx(22页珍藏版)》请在冰豆网上搜索。
信息系统审计管理体系
XXXX
信息系统审计管理体系
XXX室
1
目录
1适应范围......3
2信息系统安全审计目标......3
3信息系统安全审计原则......3
4信息系统安全审计范围......3
5信息系统安全审计的方式和周期.....4
6审计机构及其职责.....4
6.1目的.....4
6.2工作职责......4
7安全审计流程....6
7.1审计计划阶段......6
7.2审计实施阶段......7
7.3审计报告阶段......8
7.4后续跟踪阶段......9
8安全审计主要内容.....9
8.1规章制度和组织管理......9
8.2安全运行管理......9
8.3关键资产和服务的管理.....9
8.4存储介质及物理环境安全....9
8.5网络和信息系统安全....10
8.6应用系统安全....10
8.7人员岗位能力评估和审计......10
附件一:
安全审计表......11
附件二:
审计调查表......13
2
1适应范围
本文仅适用于XXX信息系统涉及的所有设备及相关物理资产、软件资产、数据资产及其它无形资产;XXX信息系统相关的所有部门(包括分公司、子公司)及相关供应商。
2信息系统安全审计目标
审计是为了获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。
信息系统安全审计的目的就是通过评价获取的与系统安全相关的证据,以判断计算机系统是否能够保证公司资产的安全、数据的完整,以及有效率地利用公司的资源并有效果地实现公司目标。
3信息系统安全审计原则
独立性原则:
是指内部审计人应在思想上、组织上、和业务上保持相对独立,应排除
干扰,独立履行审计职责。
内部审计人行使职责时应当独立于业务部门、职能部门之外;
既是由内外部有关人员构成的临时审计组,也应当独立于其他业务部门和职能部门。
客观性原则:
要以信息系统客观存在的事实为依据,作为审计工作的前提。
对被审计的对象要以相应的审计标准加以衡量。
公正性原则:
审计者应当树立办事公道、不偏不倚、公正不阿的工作作风,保障审计工作的公正性。
审计过程和结果都应有理有据、实事求是。
重要性原则:
是指审计者以实现审计目标为前提,而对被审查目标择其重要方面进行审查。
保密性原则:
审计者为被审计对象对外保守秘密的审计原则,审计结果和内容仅在授权范围内公布。
4信息系统安全审计范围
信息系统安全保障分为三个维度,保障要素包括管理、过程、技术、人员,保障周期贯穿信息系统整个生命周期,包括系统规划、开发采购、部署实施、运行维护、废止几个阶段,安全特征包括系统的可用性、完整性和机密性。
安全审计从三个维考虑,涉及系统保障工作的各个方面。
3
本规定主要是对航信股份组织本身和运营的系统的安全保障工作进行审计,包括了对外聘人员和外部技术支持专家的安全审计。
不适用于对供应商和用户的全面的外部审计工作。
5信息系统安全审计的方式和周期
信息系统安全审计工作计划分为两种组织方式:
一是自行组织完成的内部安全审计,主要目的是检查公司各部门对安全保障制度的遵守情况和系统安全状况,包括对外聘人员和外部技术支持专家的安全审计。
主要方式是通过内部安全审计员完成。
保持内部安全审计员的独立性,保证他们自由地和客观地进行工作,提出公正的和合理的判断意见。
公司日常安全审计工作以自行组织完成的内部安全审计为主,周期计划为三个月。
部门日常安全审计工作依据安全审计员职责和被审计项目的特性,审计工作可分为周例行审计工作和月例行审计工作。
另一是由专业技术服务提供商完成的外部安全审计。
公司至少每年聘请外部专业安全审计公司进行一次全面的或指定重点方面的安全审计。
6审计机构及其职责
6.1目的
设立公司信息系统安全审计组织机构的目的在于确保审计的独立性,通过审计评价信息系统安全状况,确认信息网络系统是否能够保证公司资产的安全、数据的完整,以及有效率地利用公司的资源,有效果地保障实现公司目标的基础工作。
公司安全审计工作组是在公司领导下、由公司各部门安全审计员、技术专家、安全管理员以及公司各部门、分公司相关人员根据审计项目成立的审计工作小组。
公司审计工作小组组织机构及其负责人、工作人员和有关专家联络手册应动态更新。
6.2工作职责
6.2.1审计领导小组:
由公司总经理任组长,主管安全的副总经理、纪委书记任副组长,安全生产办公
室正副主任及被审计部门的一把手为委员组成公司安全审计领导小组。
领导小组为公
司级安全审计工作的行政领导机构,在公司总经理的领导下,研究决定、部署和推动
安全审计工作,负责聘请外部专业审计公司参与全面审计工作。
各委员应按照公司业
4
务分工,配合工作。
日常审计工作由主管安全的公司副总经理负责。
6.2.2安全生产办公室:
公司安全生产办公室为安全审计领导小组下设的日常工作办公室,安全办公室负责具体组织,综合协调职能和信息汇总;承办公司安全审计专题会议,督促落实有关决定事项;负责落实审计体系建设;组织定期的安全审计,协调公司外聘专业审计公司,参与全面审计工作。
6.2.3审计工作小组
在公司安全审计领导小组领导下,在每次公司内部安全审计工作中组建由安全生
产办公室领导、部门主管领导、安全审计员、安全管理员参与的公司临时安全审计工
作小组,指定工作小组长。
审计工作小组主要负责安全审计工作的具体实施,包括安
全审计计划、检查和评价信息、通报安全审计结四个主要方面的工作。
6.2.4公司安全审计员:
¾定期对各部门执行公司安全管理制度,和制定生产技术流程、应急流程等规范的
情况,按专题进行审计检查;
¾定期对各部门安全自查落实情况进行检查,向公司领导提交评估报告;¾定期对各部门安全审计日常工作进行核查;
¾负责公司审计系统的安装部署及审计策略的配置与管理;¾对安全事故发生后的处理情况进行检查;
公司审计员在完成上述定期和非定期审计工作后,应向公司领导和安全办公室提
交系统安全状况评估报告和建议;经领导同意后,将报告和建议通报相关部门。
6.2.5部门安全审计员:
¾对安全管理员、系统管理员的日常工作进行审计检查;¾检查和核实部门巡检工作;
¾定期审计系统日志和各项生产记录,包括问题处理记录、配置变更记录等;
¾定期对本部门安全管理制度、生产技术流程、应急流程的制定程序和执行情况进
行检查;
¾定期对生产系统和测试系统的用户管理授权和账户登录安全性进行审计;
¾定期执行安全审计检查,对系统的安全状况进行分析评估,监督审核网络系统扫
5
描、容量分析、安全设备的具体安全设置等具体技术工作的执行情况;¾参与安全事件的事后追查工作。
部门审计员在完成上述定期和非定期审计工作后,应向本部门领导和安全办公室
提交系统安全状况评估报告和建议,该报告应在此审计周期结束后三个工作日内提
交。
6.2.6部门安全管理员:
¾负责信息系统安全工作的日常管理和有关信息系统安全问题的处理,根据信息系
统安全事件的处理情况和对信息系统安全检测的结果,提交事件处理报告;
¾根据信息系统安全需求,定期提出信息系统安全整改意见;
¾组织并参加部门定期的信息系统安全巡检,并在其他管理员的协助下建立完整的
安全巡检报告,及时向上级领导和安全生产办公室提交报告,汇报信息系统安全
现状;
¾配合部门安全审计员定期执行安全审计检查,并负责组织和参与对系统的安全状
况进行分析评估;
¾负责对生产系统和测试系统的用户管理授权和账户登录安全性进行检查;
部门安全员定期安全检查和对重大安全事件处理的情况和建议,应向本部门领导
提交正式报告,并抄报安全办公室,该报告应在此审计周期结束后三个工作日内提交。
7安全审计流程
内部安全审计工作包括安全审计计划、检查和评价信息、通报安全审计结果以及后续跟踪四个主要方面的工作。
内部安全审计过程分为计划、实施、报告和后续四个阶段。
7.1审计计划阶段
7.1.1组建公司安全审计工作组
在公司安全审计领导领导下,组建部门主管领导、安全审计员、安全管理员参与的公司安全审计工作组,指定工作小组长。
在确定安全审计组的具体成员时,应考虑以下几个方面:
¾公司年度安全审计计划对人力资源、时间预算和费用预算的要求;¾被安全审计活动的性质和业务量的大小;
6
¾上一次安全审计对被安全审计单位内部控制状况的评价;¾公司对该安全审计项目的一些特殊要求;
¾被安全审计单位的组织机构、人事、方针等内部控制环境方面发生的重大变化;
¾上一次安全审计的结果,尤其是对安全审计中发现的问题所采取的纠正行动及
其效果。
7.1.2召开内部安全审计计划会议
通过内部安全审计计划会议,通报本次安全审计工作的一些相关事宜,明确计划阶段应完成哪些方面的准备工作,保证整个安全审计工作在有效率和效果的方式下进行。
¾内部安全审计工作组组长说明与完成本次安全审计任务相关的所有重要事项
包括介绍被安全审计项目的基本情况,上一次或过去安全审计的结果,以及公
司的一些特殊要求等;
¾确定并说明总的内部安全审计目标、范围和步骤;¾完成现场安全审计工作所需要的时间预算;
¾确定内部安全审计人员的责任分工。
7.1.3制定安全审计计划、编制安全审计方案
¾掌握被安全审计内容的管理章程、程序、相关的公司安全生产的规定和条例,
及以前的安全审计工作底稿、备忘录和安全审计报告等等;
¾掌握有关安全审计、安全管理等方面的专业理论和实务资料;¾编制书面的具体安全审计方案;
¾审计方案报领导小组批准。
7.2审计实施阶段
7.2.1现场调查
¾与被安全审计项目的管理者和相关人员进行讨论,听取他们对被安全审计活动
所发表的意见和说明;
¾对一些重要性资料进行认真的分析研究,例如安全报告、安全统计资料、内部
制度;
¾实地观察安全环境和作业过程,填写调查表或用文字说明等方式来记录观察的
结果;
¾进行安全审计测试,确定公司的安全方针、安全管理计划、应急程序等规章制
7
度是否被贯彻执行,内部安全控制系统是否适当和有效,并发挥了预期的效果,识别控制缺陷和潜在或实际的安全隐患;
¾结合风险评估,确定重点安全审计领域和范围;
¾检查现场调查的工作进展情况,收集和汇总所掌握的信息,并将其形成书面记
录。
7.2.2检查与评价
对与被安全审计项目相关的系统、网络及应用等进行实质性的检查和评价活动。
收集充分可靠的安全审计证据,确定真实的安全审计发现,达到安全审计目标。
在安全审计测试时,考虑以下三个具体方面,确定测试的性质和范围:
¾被安全审计活动的总量及其复杂程度,特殊业务的性质及其处理要求。
¾样本的规模适当,并具有代表性。
¾获取安全审计证据的种类和数量应该覆盖安全审计方案中既定的安全审计范
围,并与安全审计目标相一致,能证实安全审计结论和建议。
7.2.3结果分析
¾对所产生的结果阐述能够足以说明和解释原因。
¾尽可能将因缺陷导致的不良状况数量化,用数据来说明这种缺陷可能所造成的
危害程度。
¾如果结果分析表明存在一系列的问题,内部安全审计人员必须追踪检查,收集
充分的证据,证实这些领域控制失败的原因及其危害程度。
¾提出有助于解决问题的建议和措施。
7.2.4讨论与总结
¾安全审计人员将其负责领域的工作进展情况作阶段性的总结汇报。
汇总所有书
面记录,着重说明阶段性的安全审计发现、结论和建议。
¾与被安全审计部门讨论安全审计结果。
使安全审计双方认真考虑安全审计的结
果,避免事后产生不必要的争议。
7.3审计报告阶段
7.3.1出具最终的安全审计报告
审计工作小组不仅要将安全审计实施阶段双方讨论的结果写入报告,安全审计单位负责人要独立发表的其意见和建议,对其意见和建议负责。
7.3.2审计结果报告制度
8
审计小组或审计员完成最终的安全审计报告之后,按上述对公司、部门审
计的规定将审计报告上报领导小组或主管领导。
领导小组组长或主管领导应签字
接收。
针对存在的问题,公司和部门应及时采取纠正行动,达到安全审计报告的目
的。
7.4后续跟踪阶段
对报告中反映的问题进行跟踪检查,直到被安全审计单位采取了纠正行动;
对属于部门内部的安全问题,部门安全审计人员要进行后续核查,以确定对已报告的安全审计发现是否采取了恰当的纠正措施;对跨部门的安全问题,公司安全审计人员要进行后续核查,以确定对已报告的安全审计发现是否采取了恰当的纠正措施;
确认纠正的措施是否已经实施并正在取得预期的效果,或者是确认对已报告问题,公司管理层已经承担了不采取纠正措施的风险。
8安全审计主要内容
8.1规章制度和组织管理
对安全管理制度、技术流程、应急流程制定及其执行情况进行审计。
对检查项目的安全防护所采取的基本管理制度以及安全防护措施进行审计。
包括与安全维护相关的保障组织体系、管理制度、工作职责、文件资料、人员管理制度及其执行情况等内容。
8.2安全运行管理
对检查项目的生产运行和风险控制进行安全审计,涉及安全策略、认证系统、安全
技术管理、运行安全管理等方面。
具体包括:
系统访问授权、系统身份鉴别、行为责任
认定、安全防护和隔离、漏洞管理、病毒防护、系统监测、系统安全监控、安全性能测
试、产品和程序投产、信息安全事件管理、灾难备份、应急处理和系统恢复、应急演练。
8.3关键资产和服务的管理
对检查项目的关键资产(设备)和服务的管理机制、管理规范等进行审计。
包括关
键设备的管理机制、管理规范、设备清单记录、维护服务及采购规范和合同管理等内容。
8.4存储介质及物理环境安全
对检查项目的基本存储介质和运行环境进行安全审计。
主要内容包括存储介质的管理,用户接入安全管理,机房环境安全等。
9
8.5网络和信息系统安全
对检查项目的网络和系统现状、结构以及设备配置、配置策略进行审计,对其容量和未来发展规划做出审计评估,保障系统资源满足近中期发展规划,达到公司要求的目标。
不仅对其运行状况进行审计,也要对安全状况进行审计。
8.6应用系统安全
对检查项目的应用系统安全状况进行审计,主要包括应用架构,安全配置,安全保障技术,密码策略,数据保护,版本控制及源代码保护,安全功能验证等内容。
并对应用系统设计、开发过程的质量保证计划和活动进行审计。
数据审计包括:
一要加强业务数据用户安全审计,确保公司业务数据用户管理制度完善、数据完整安全,仅可让获取授权的人员访问。
二是要保证数据的可用性和完整性:
数据能够满足规定的条件,防止错误信息的输入和输出,以及非授权状态下修改信息所造成的无效操作和错误后果,保证数据和处理方法的准确及完善。
8.7人员岗位能力评估和审计
对各类维护技术岗位人员数量与能力要求做出评估,内容包括对各技术岗位设置和岗
位安全重要程度的设定的过程进行审核,对安全人员数量、能力要求,及其履职情况做出
评估。
对人员的行为进行安全审计,也包括对外聘人员管理,外部技术专家支持的工作的
审计。
10
附件一:
安全审计表
XXXX
信息系统审计表
XXX(部)
(审计名称)审计
文档编号:
版本号:
审计类别:
(XXX办公室填写)
主要编制部门:
协助编制部门:
主要编制人:
编制日期:
部门审批人:
审批日期:
公司审批机构:
(公司审批附文件号)审批日期:
(备注:
文档编号的第6-8个字母为部门代号,后三位数字为部门按顺序给出的计数数字。
)
11
审计项目名称
1、适用范围
(详细描述此应急预案所对应的故障问题)
2、审计目标
(预案执行所能够达到的目标)
3、可能影响
(清晰、概要描写此审计实施过程可能对相关系统、应用以及用户使用的影响)
4、审计概述
概述此审计的工作内容与采用的手段)
5、审计工作的时间计划与要求
(时间要求指此审计从启动到方案完成所需要的时间)
6、支持与配合
(如果此审计需要其它的人力、物力、部门的配合才能完成,则填写)
7、审计步骤
(审计工作步骤)
8、审计结论
9、整改建议
附录:
[若有附录在此写标题]
[如没有“附录”,请删除标题和本行]
12
附件二:
审计调查表
¾规章制度和组织管理
审计项目名称
审计部门
审计涉及部门
审计环境(生产系统)
规章制度和管理制度基本情况:
技术操作流程基本情况:
应急处理流程基本情况
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
公司批示:
安全管理部备案人与备案日期:
审计人员
审计日期
审计是否影响生产
系统
被审计部门负责人签字:
13
¾关键基础设备和服务的管理
审计项目名称
审计部门审计人员
审计涉及部门审计日期
审计环境(生产系统/审计是否影响生产
网络)系统
关键设备和服务基本情况:
对关键设备和服务的管理情况:
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
被审计部门负责人签字:
公司批示:
安全管理部备案人与备案日期:
14
¾网络和信息系统安全
审计项目名称
审计部门审计人员
审计涉及部门审计日期
审计环境(生产系统)审计是否影响生产
系统
网络和结构以及设备配置基本情况:
安全设备情况:
服务器和主机设备情况
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
被审计部门负责人签字:
公司批示:
安全管理部备案人与备案日期:
15
¾应用系统安全
审计项目名称
审计部门审计人员
审计涉及部门审计日期
审计环境(生产系统)审计是否影响生产
系统
应用安全设计和配置基本情况:
应用开发过程控制情况:
安全保障技术基本情况(用户安全、密码策略、数据保护):
版本及源代码、安全功能验证:
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
被审计部门负责人签字:
公司批示:
安全管理部备案人与备案日期:
16
¾安全管理和运行情况
审计项目名称
审计部门审计人员
审计涉及部门审计日期
审计环境(生产系统)审计是否影响生产
系统
访问控制基本情况:
安全技术管理(管理平台、监测系统、漏洞管理):
运行安全基本情况(灾难备份、应急处理与恢复、应急演练)
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
被审计部门负责人签字:
公司批示:
安全管理部备案人与备案日期:
17
¾存储介质及物理环境安全
审计项目名称
审计部门审计人员
审计涉及部门审计日期
审计环境(生产系统)审计是否影响生产
系统
存储介质安全基本情况:
接入环境安全基本情况:
机房基础环境安全情况:
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
被审计部门负责人签字:
公司批示:
安全管理部备案人与备案日期:
18
¾人员岗位能力评估和审计
审计项目名称
审计部门
审计涉及部门
审计环境(生产系统)
系统配备维护人员基本情况:
岗位能力要求基本情况:
外聘人员和技术支持专家安全管理情况:
审计结果评价及存在的风险,并描述。
被审计部门的反馈意见:
审计部门领导签字:
公司批示:
安全管理部备案人与备案日期:
审计人员
审计日期
审计是否影响生产
系统
被审计部门负责人签字:
19
¾整改措施和后续情况跟踪表
审计项目名称
审计部门审计人员
审计涉及部门审计日期
审计环境(生产系统)审计是否影响生产
系统
审计项目存在的风险情况:
风险控制基本情况:
未能控制的风险情况及原因:
进一步的措施并描述
被审计部门的反馈意见:
审计部门领导签字:
被审计部门负责人签字:
公司批示:
安全管理部备案人与备案日期:
20