安全检查、安全审计管理规范【模板】概览.doc

ⅹⅹⅹⅹ信息中心安全检查、安全审计管理规范编号: ISMS-P02-A 版本号: V 密级: 内部公开 ISMS- P02 -A- 安全检查、安全审计管理规范 2 版本记录版本号版本日期修改审核批准修改记录 ISMS- P02 -A- 安全检查、安全审计管理规范 3 1. 目的为了规范信息系统安全检查工作流程,明确各科室职责,有效地对信息中心信息系统进行安全检查, 并做好信息系统安全测评的配合工作。 2. 适用范围适用于ⅹⅹⅹ信息中心安全检查和安全审计的管理。 3. 定义安全检查:指信息中心内部对信息系统的安全性情况进行的评价活动。安全检查的依据是我局现行的信息系统运行管理制度、信息系统安全体系规范、有关信息系统的法律、法规和标准等。安全检查包括安全例行检查、安全专项检查。安全审计:包括项目信息化领导单位(上级单位或授权单位)对我信息中心实施的审计或测评工作。 4. 职责 AAA 科室 作为信息中心内部安全检查责任科室,牵头负责安全检查的管理工作。 作为信息中心外部安全审计的牵头接待科室。 ISMS- P02 -A- 安全检查、安全审计管理规范 4 负责维护和管理安全检查工具。 各科室 配合安全检查和安全审计,如实提供 AAA 科室所需要的检查信息。 对安全检查和安全审计所发现的问题制定整改措施、整改计划并实施整改。 5. 管理规范 安全检查管理规范 安全检查的要求 安全检查应当遵循全面、审慎、有效、独立的原则。 检查工作要按照计划、准备、实施、报告、跟踪五个阶段开展。 AAA 科室要建立检查机制, 制定检查计划, 定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。 每年安全检查的内容应覆盖网络管理、主机管理、应用管理、物理环境管理、系统运行管理、安全制度管理等方面。 可根据实际需要组织专项检查,对于信息系统发生的重大事故和问题,要进行专项检查,对重大事件实施全面的监控和评价。 必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护,以防止任何可能的滥用。 安全检查的准备工作 ISMS- P02 -A- 安全检查、安全审计管理规范 5 AAA 科室根据信息系统安全相关的国家标准, 信息中心发布的相关制度确定安全检查内容和安全检查方案。 . 2经 AAA 科室科长批准后将有关检查内容列入《安全检查清单》, 明确检查要点、检查方式、检查工具、检查所涉及的信息系统范围和检查所需配合科室。 安全检查的实施工作 安全检查分为安全例行检查及安全专项抽查,安全例行检查每年进行一次, 安全专项抽查则根据信息中心的安全运行状况所作的不定期的抽查。 AAA 科室应按照检查周期进行安全例行检查,根据需要组织安全专项检查。 安全检查应按照《安全检查清单》所规定的检查要点、检查方式、使用规定的检查工具进行检查。 应选择对信息系统运行影响最小的方式和时间进行检查。检查过程中应做好检查结果的记录工作。 安全检查的报告工作 检查完成