安全审核和检查制度.docx

安全审核和检查制度文件编号：1. 目的为适时发现、纠正、消除并预防公司自身信息安全不符合项目，确保信息安全系统各项活动能达到预期之信息安全目标，特制定信息安全审核和检查制度，期望能通过此制度及相关作业程序的实施，自查自纠，改进与完善现行信息安全管理体系。2. 范围网安公司所有信息资产与实体环境。3. 术语31'安全审核和检查”以下简称为“稽核”4. 参考文件4.1 GBT22239-2008信息安全技术-信息系统安全等级保护基本要求4.2 ISO/IEC270012005Informationtechnology-Securitytechniques-lnformationsecuritymanagementSyStemS-ReqUirements5. 定义5.1 定期安全稽核：依据等级保护基本要求，应定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况：5.2 不定期稽核：组织架构、系统、过程发生变化所进行的稽核(比如：客户需求、作业流程突发性的变更以及外部稽核)。6. 角色与职责6.1 信息安全管理部：负责对各信息安全稽核之制订计划、实施稽核以及改善成果。稽核小组(1)召开内部稽核会议：(2)拟订内部信息安全稽核检点表与内部信息安全稽核计划书；(3)拟订内部信息安全稽核通知单并呈核后，通知所有被稽核单位；(4)依稽核时程执行内部稽核；(5)撰写内部信息安全稽核报告，并提出查核工作之检讨。被稽核部门6.2 被稽核部门之主管(1)参加内部稽核之准备会议、总结会议、检讨会议；(2)支持内部稽核开展工作；(3)督导缺失改善情况。6.3 被稽核部门之人员(1)协助提供稽核相关记录；(2)执行缺失改善工作；(3)回复缺失改善情况。7. 稽核员资质与准则7.1 稽核人员资质为提升内部稽核员信息安全稽核能力，稽核人员应具备内部稽核的资格，需满足以下至少一项要求：(1)具备国际标准相关稽核认证的人员；(2)经过稽核知识及相关技能强化的培训。7.2 稽核员准则(1)稽核独立性：对于所有稽核相关事项，稽核员应在态度和表现上独立于被稽核单位，以确保稽核工作完成的客观性。(2)稽核职业道德和标准：稽核员应遵守职业道德规范，签署并同意遵守诚信廉洁职业道德约定书保密协议。(3)稽核专业能力：稽核员必须参加内部稽核员课程并通过考核，具备进行稽核工作的相应知识和技能。(4)持续之教育训练：稽核员必须参与不定期举行的专业教育和培训以便始终保持良好的专业能力。8.作业描述8.1 稽核时机8.1.1 定期稽核每年至少执行一次，以配合相关信息安全管理审查制度的运作。若涉及以下情况,则执行不定期稽核：(1)对已运作之信息系统存在安全疑虑时；(2)组织架构、系统、过程发生变化时：(3)所采取之矫正措施，需进一步检查评估时。8.2 稽核前准备8.2.1 稽核组长的相关工作(1)于内部稽核前一个月，召集稽核人员举行内部稽核准备会议，拟订内部信息安全稽核检点表和内部信息安全稽核计划书。(2)于内部稽核前十日，拟订内部信息安全稽核通知单。(3)于内部稽核前七日，确定内部信息安全稽核通知单、内部信息安全稽核检点表、内部信息安全稽核计划书，并通知被稽核部门。(4)于内部稽核前三日，召集稽核人员举行内部稽核前会议，并说明本次稽核要点与注意事项。8.2.2 稽核人员的相关工作(1)稽核人员在稽核前收集被稽核部门数据并准备稽核相关数据(2)与被稽核部门协调审查时间，解释相关稽核要点与注意事项。8.2.3 被稽核部门相关工作(1)提供所需要的系统相关性的文文件、记录及辅助数据。(2)配合稽核作业，若因故无法于预定稽核日配合执行，或稽核范围有变更，需立即以书面形式协调。8.3 稽核执行中8.3.1 稽核组长于内部稽核开始日，在被稽核部门内部举行内部稽核开始会议，说明稽核行程及稽核方式，被稽核部门负责人员或代理人必须在场。8.3.2 按内部信息安全稽核检点表对所有数据逐项进行稽核，将每项稽核情况记录在信息安全内部稽核记录单中，形成历史数据，以备后查，追踪。8.3.3 以内部信息安全稽核检点表所订定范围为主，并可衡量实际作业需求做相应调整。7.3.4先对文件进行审查，再稽核现场。8.4 稽核后检讨8.4.1 稽核结束后，稽核组汇总信息安全内部稽核记录单中所阐述不符合项目。8.4.2 稽核组与被稽核方讨论确认稽核缺失项目。8.4.3 稽核组与被稽核方将所稽核到的缺失项目确认后，汇总稽核报告。8.4.4 稽核组将稽核报告呈核后，发送给所有被稽核单位，以便追溯改善结果。8.4.5 被稽核单位依据稽核报告之所需改善缺失项目进行整改，并回复给资安管理课。8.4.6 信息安全管部将根据被稽核单位回复的整改结果，进行逐步核实，直到所有缺失项目改善完成后，予以归档保存，以备后查。8.5 改善矫正与追踪8.5.1 稽核缺失之后续追踪应依据纠正预防措施管理程序执行。8.5.2 查核缺失事项应纳入下次稽核作业时检查，以确保所有改善行动皆已确实执行。8.5.3 相关稽核数据应保存三年，数据销毁应依存储媒体报废与再利用管控作业办法执行。9. 稽核工具保护9.1 系统稽核工具（例如漏洞扫描软件等）之存取应由权限人员于授权范围内操作，并留有存取、操作记录，以防止任何可能的误用或破解。9.2 系统稽核工具应存放于独立系统及安全的地点内，防止不当操作造成其他系统之损害。10. 作业流程参见附件内部信息安全稽核作业流程图11. 附件11.1 内部信息安全稽核作业流程图11.2 信息安全稽核点检表11.3 信息安全稽核计划书11.4 信息安全资安稽核通知单11.5 内部信息安全稽核记录单