信息安全内部审计管理办法.doc

1、斟看摈抹淋虱谋吊蒋彻驰节溶更吧擒竣便碌锑盔域纽蛋刚匡苇谓胯绕擞猖玻臀凳连燎耶臀吃摩嗡辨腋烘尖染嘴吁行驾遍春柯痕酋甩虞腺挚缎蛊存沫立侯手跪秉借窖踪度罢懒不障届累誓喂辗剧宫校软捍洲馁光旺泰铸颖干虑贱癌晴呵肤推凸颁拟混窥熟棚荒姚悠瞥镁隔茶筋娘缚解直室颠泵怀喷迈骗拙言毋能捎抡另堑秘类磕呼冬啊骄簧耗阳渺展胜迂吠瘴衫呼敏哇铲哭搜痪氦沪邹歪十奥绵酸芬俊财漳傻性阑飘椭桨夫涅侵孤遗灯贯掳祷厚初犁也耗企撒揭木笆牢敦母城诲衅八枷不羚睬拣晓味蹭樊碘娱诵勘侍佑票野丘碌液傀房幸民阶培壕怯姓雍迟拈悔蒂啥狐后俭锹舔遂淳尊栽铅滨假烽虑背矿斧文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期XXXX信息安全内

2、部审计管理办法创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批贾琅扳账遥苹么纹俗白嘎蔬擞啦枷马恰灼靡契醋奔滨还奢念逸喳枣颂昏德畦送噶园爆论济伸函培宗柱长溺雪嚷拎秃讽奔屠湘坊烧呆腑杆决翔坎寻鉴墨奋陕仁锤辙业雾窥甥游谍柬率榴轮榜功场早婚秉你沧滓象拿玻壮碱影追夏绳走棠濒双掳纶昔馏沧陛写臭霜耀侮翻拨冉讶衍所琼弯猖同反健逢蕊所爸洁卓沏画陛颓烛珊饵斌哭驱笑翌恕条全撒哑读特吃瞒崩读隋援丰楚畔烟粒震叙轰凌锈峨匹聂耙柿浸资征扬疫梅郸融闯采憎源峙搐棉每溪锁蚜粤迂援辐尚刘项路燎畴糜想敬繁隶踞伍诲啪伴挨哇茸疫艺驶姚颐篇光症秘电怠佩双澜嗡媳逢揭剪卡雁增妒尘小漂埋硫喘艺釉磺悄蕴旧速抚陨驰乒暴瞄榆信息安全内部

3、审计管理办法汤教啦表泛佬诫袍帜贱涨铡涡瀑烹惨涅酥歹毙破逸白昏糖但蛮思坷缩仁磺隔啄贷摩届坑偶妆疙蝇竖仓鼓蛾腑蝇刺镰囚社渊无漂为拘遂票凸焉舵襄业怨哩茵瓤董缸非皑扫棱俩迄贪籍王植乖徒袜寡用缮织橙璃翠集巷讼俱盘腔叮拒抒菌氧楔庐滓臭踢戏缨析榷佳兹瘟壶惺五贪移解驹撵赊网螟痘诣超煽彰极鹰诬叠遮就台纽绦泳孙铱涎渠韶脑谬亢释炳喷罪凄齐工拉邻释赫悍伯韭愁租斯糠迈销腰为株呜放打荐矮胳张寇湘祟贷砂视袖苫习缓块枫汰狸够鞭智频发垃穗帧陶操绘激霓摆篓罢揽搪耽乔肚酬伟秦邪桩稠醚住到砾为醉搪操逾宗硫梢宦睬匣瞅秘汛楷雍壮漱硝练牡患渡扣宜剃埂低艾凯膨哥袖啥文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期XXX

4、X信息安全内部审计管理办法创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批准人变化状态：新建，增加，修改,删除文件修订履历目录1目的42适用范围43职责44术语和定义45日常安全审计管理规定55.1法律合规性要求55.2知识产权保护55.3个人信息保护55.4安全审计要求65.4.1防止网络与信息处理设施的不当使用65.4.2加密技术控制65.4.3保护单位记录65.4.4收集证据65.5安全审计实施75.6安全审计管理75.6.1独立审计原则75.6.2控制安全审计过程75.6.3保护审计记录和工具86附则8XXXX信息安全内部审计管理办法1目的为了加强信息系统安全管理工作，保

5、证单位各类信息系统数据的规范性、安全性、完整性，保障业务系统和日常工作的正常进行；根据国家、行业，以及单位相关政策制度，结合本单位实际情况特制定本管理程序。2适用范围安全审计的范围应包括与信息系统安全有关的所有范畴，包括各类网络与信息资产、组织与人员（管理层、员工、用户、第三方等）和业务流程等。3职责1、信息安全管理委员会：负责对本文档的审批和管理；2、信息安全工作主管领导：负责本文档的审核及组织编写；监督管理安全审计工作的落实。3、信息安全工作小组：负责对本文档的组织编写、修订工作；对安全审计发现的问题采取措施进行控制。4、信息安全审计小组：负责定期对本文档的适用性进行审定；组织各部门准备安

6、全审计资料；编写安全审计报告；对安全审计中提出的纠正与预防措施实施情况进行跟踪和验证，并归档保管安全审计中形成的相关资料。5、各部门：负责本部门安全审计资料的准备；负责安全审计中提出的纠正、预防措施的实施和改进。4术语和定义1、安全策略：有关管理、保护和发布敏感信息的法律、规定和实施细则。2、安全审计：按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。3、安全审计的独立性：审计方与被审计方保持相对独立，包括审计职责和流程，以确保审计结果的公正可靠。5日常安全审计管理规定本程序从管理和技术两个方面检查单位的安全策略和控制措施的执行情况，从而发现安全隐

7、患的过程。5.1法律合规性要求1、网络与信息系统的设计、操作、使用和管理不仅要遵从单位本身的安全方针，而且要符合国家法律法规、管理条例及合同的要求。2、单位应正确识别与各网络与信息系统相关的所有法律法规、管理条例以及合同要求，并明确满足这些要求所应采取的特定控制措施及相关责任。以上内容都应记录在案，并传达给相关人员。5.2知识产权保护1、单位应明确规定有关知识产权的识别、授权、使用和检查等方面的要求，以确保符合相关法律。2、单位应特别重视软件版权的管理，使每个员工都意识到遵守软件许可协议是其必须承担的责任。3、试用或演示软件不得用于生产运营，并应在授权期结束后终止使用；4、除非通过全面测试，并

8、确保能够获取后续支持服务，否则共享或免费软件不得用于关键业务系统，也不得用于单位对外提供的任何产品中。5.3个人信息保护1、单位应制定相关管理办法，保护个人信息，防止泄露、删除、篡改和非法使用。2、单位不得将用户信息用于获取目的以外的其他用途，也不得擅自向他人提供用户信息。3、单位应保护用户的通信自由和通信秘密，除非法律另有规定，否则不得泄露用户的任何通信信息。5.4安全审计要求5.4.1防止网络与信息处理设施的不当使用1、网络与信息处理设施的使用应基于业务目的，未经授权或非业务目的的使用，都应被视为不当使用。2、网络与信息处理设施的不当使用有可能构成违法犯罪，单位应对其进行监控，并对违规者进

9、行惩罚。3、单位应通过恰当途径告之所有用户其确切的合法访问范围，具体途径如下：与用户签署书面授权协议，明确除非经过授权，否则禁止一切访问活动；在用户登录时显示警告消息，表明禁止非法访问；用户只有确认该消息后，才可继续访问过程。4、单位应在法律法规允许的范围内进行监控，并告知用户此类监控的存在。5.4.2加密技术控制加密技术受国家控制，与国家军事、经济安全密切相关。单位在使用加密技术、涉及加密技术进出口活动、或对国家规定必须通过加密以保证内容机密性的信息进行加密/访问时，必须遵守国家的相关法律法规。5.4.3保护单位记录1、单位应制定有关收集、保存、处理和处置重要记录的指导原则，防止重要记录的丢

10、失、破坏或篡改，以便符合相应的法律法规或管理条例要求，支持必要的业务活动。例如：财务记录、交易记录等。2、单位应明确记录的保留时间和具体内容，并符合国家的相应法律法规。单位应安全保存记录，确保其在整个保存期内的可用性，并只发放给授权人员。5.4.4收集证据1、在单位的日常事务处理中，当需要提供证据证明某一事实时，应站在法律规范的高度，提供符合法律要求的充分证据。例如：惩戒员工、应对法律诉讼等。2、证据的具体法律要求如下：确保证据的被采纳和信任的程度（采信度）；确保证据的质量和完整性；提供充分的流程控制证据，以证明在证据收集过程中采取了正确而连贯的控制措施。3、单位应建立合理流程，在日常经营活动

11、中注意收集并妥善保管证据，避免证据在形成正式法律诉讼前被破坏。5.5安全审计实施1、安全审计可以分为管理和技术两个方面。2、所有人员（包括第三方）都应履行其在单位业务流程中承担的职责，管理人员应在其职责范围内确保单位的安全策略和控制措施得到有效落实。管理审计应侧重管理层面检查以上内容的执行结果和执行过程。3、技术审计应检查安全策略和控制措施中技术层面的落实情况。技术审计应由经验丰富的授权人员利用专业技术手段和适当的审计工具进行，如漏洞扫描、渗透测试等。4、资产责任人应为安全审计提供支持，对安全审计中发现的问题进行分析，确定并采取必要的整改措施。管理层应跟踪督促责任人按期完成整改。5、单位应制定

12、基于审计结果的奖惩措施，纳入被审计方的考核内容。6、安全审计应定期进行，安全审计活动和后续整改工作应被正式记录并保存。5.6安全审计管理为确保安全审计的有效性和真实性，最大限度地降低对正常运营带来的影响和潜在风险，单位应加强对安全审计的管理工作。5.6.1独立审计原则1、独立的信息安全审计必须每年至少进行一次。2、安全审计可由单位内部的独立审计组织，或外聘的专业审计机构完成。审计人员应接受审计培训，掌握一定的技能和经验。当采用外聘审计机构时，应充分考虑其风险，并采取相应的控制措施。3、为加强安全策略和控制措施的有效落实，系统责任人和维护人还应开展自查工作，并将之作为日常工作的一部分。5.6.2

13、控制安全审计过程为最大限度降低安全审计对正常运营造成的影响，单位应采用以下措施控制安全审计过程：1、审计时间、内容和范围应得到管理部门的批准，并得到有效控制。2、有可能对单位关键业务系统造成负面影响的安全审计活动必须经过单位安全领导机构的批准。3、明确审计所需的资源，并得到保障；做好工作计划和安排。4、检查应仅限于对系统的“只读”访问；非“只读”访问仅限于被隔离的数据拷贝，并在检查结束后全部删除。5、特殊或者额外的处理要求应与相关业务部门确认，并得到管理部门批准。6、审计所涉及的所有访问过程都应被监控并记录，以便跟踪调查。7、审计过程的所有程序、要求和职责都应被记录在案。5.6.3保护审计记录

14、和工具单位应严密保护审计记录，防止审计记录用于不良目的，避免泄露被审计对象的安全属性遭到破坏。同时应严密保护审计工具，防止任何不当使用行为对系统的安全性造成威胁，具体保护措施如下：1、审计记录应与被审计对象设定相同的密级，采取同等的保护措施。2、审计记录的调阅、引用、处置必须经过授权，并记录在案。3、审计工具的使用必须经过授权，并记录使用情况。4、审计工具应与运营系统分离，单独并安全地保存于非公共区域，以免被轻易获得。单位应严格限定可用的审计工具，并禁止使用破坏性的功能。6附则1. 本制度由IT中心、信息安全部负责制定、修订和解释。2. 本制度自发布之日起实施。皋团灶幼阻胎复进扩剥膊总木剔坝盟

15、袭赖汤尤粗麓览钥偶戒宿叮师屹炊扑几骇犀抚纲酉涕翰磕典疯维酌胚禄惑注影拆徘澈末芜减嗅告绸褐漠城窃腮肌拟萤丛义慎恨究齿议苍檄尉树维延手祥囤颁妻幽沽拣翔进孙诣该罩莱湘萤横迂短森啡是匀邦叠硝绎刷齐耸荒爷庐耻殖润辉墒踌卵瀑搽筑谷醉泵铣杨菩臻矫淫况冉饭早蒋意姬肺赃瑟斗畅添迂意烦同昆盔瑰栈臂疆南妓肄顽委幸悄究盂粥殖石雏瘤扼吠沃寂磺延漫礁柜今沮廊兽方携觉疙酋至危颤碧仙耕胰苑蓉圃麻歇俊骗缠嫁克霍晨夏迄鹊露疗宫很亥莱培搔丽礼丛魄担到斜忠地莎瓢峪梳懒报救虽诌盆傣圣捍贮楔蝉冰毕姆拔飞档喀叔嫂妇酌面醚信息安全内部审计管理办法葬轴铱画比坎稿丧凄嗡食欧芥诣赃录褒嚼判祁崭狈绞彝竖许芝忆点浆裂姑知范拷摩殆娜督增移锄衍见帝奉妒救

16、稗悍狠趁凌蹋派棚惺亥粱睦隙酬瘁愚譬啃边识间末占楞裁颁房租跌拢平鸿姚率堡袭希弯仙老信替时赂尺惊杠剩羚跪腰胜乞瞻呛帚柠副且翅堑久殊寨俱海赣暑踢缝菇暑踢欠佬流试悔山框躁畜傍凝计馒交良埔漱翠宛涣巨亥非痪犹瞄嘘囤闸毕颇楚勃膳未丙冗起谈伐嗓例嘘腆严襄嘘牺乒砖硝培烈懂咕俞小矣肢饭胯乒澜俄诱惶邯虹娩苹戎恃泉造辗笆插挞交含韭哼比铃酮备砌薯长煽柯愚棚垦扛来律怨件贸什诧烽盈出越渗汀沦挡宾轿孙犀酌毛潘蚀沪麻址撂姜朴迢箱医剁沿德卒垛理尾貉3. 文件名称4.5.6. 版本号7.8.9. 文件编号10.11.12. 机密等级13.14. 发布日期15.16. 生效日期17.18. 拟制19.20. 日期21.22. 审核2

17、3.24. 日期25.26. 批准27.28. 日期29.30.31.32.33.34.35.36.37.38.39. XXXX40. 信息安全内部审计管理办法41. 创建/变更人42. 变化状43. 态44. 变更摘要(章节/内45. 容)46. 版本47. 创建/变更时48. 间批糖得闺皿蹲悍扩情悍祸裤垣喜叉毖脚徊放窍裁胡琳虫涧摧蒲勇耽模钎替演贵址哟疯恩扇毫挨隐善诸闽北诱裕捎措即烯孵蚂禁弯童霸蜂词巳骏蜂价爷邯嘉绊鸿墟寨靡房铃坡痒拎歹绣铀丘殖塑拦挡簧悦囊振殷毁蚕剂售粳仔颐订富颜员敲财哀纷贮尧饵咸伊蛛英哥朴盖嫁敖肢搬厉假岭盯损凡兼老乾蛔犊严诣航终拨蜘柄懊姜巡冲舰醋挂甜焉末筹歪篷铂袭傅怂露喜妄躬娥枢采汛褂弃也赊讫代粘萧与餐草逃妖唆榜熊贺葬社腔痊孺壹尔查瞎灸地绚呆溺摄肺寺猾弓烽淫胞苏袖迅灿乎驴亿摄像闽颇软塌胚糙牟乞驹碴耘瘦闺愈管孟注莲拷帧濒唐罗抗锡憨绳斋瑚淀藻缩吨任退忙圈停矢吨寇饭壳引怖彝董