信息安全审计管理制度Word下载.docx

1、安全审计员的审计任务应以第三方的立场，对信息系统的可靠性、安全性、紧急对策、灾害恢复计划、隐私机密数据的保护、系统开发与维护的有效性及系统的运行效率等有关各项目进行检查、评价并报告结果。第三章 审计权限安全审计员有权及时、全面了解信息系统管理信息，并就有关问题向审计对象和相关人员进行调查、质询、取证。对拒绝接受或不配合内部安全审计、拒绝提供或提供虚假资料、打击报复或陷害安全审计员的，有权向上级报告，要求及时予以制止并做出处理。第四章 信息系统开发审计信息系统审计内容主要包括信息系统开发、信息系统内部控制功能、信息系统运行管理、基础设施管理、综合管理等方面。信息系统开发审计，包括检查软件开发项目

2、的组织管理和开发过程控制存在的问题。主要审计项目如下：（一）信息战略审计：主要检查是否符合业务经营战略要求等；（二）整体计划审计：主要检查是否得到最高领导的认可，依照立案规则决定，是否明确信息系统的整体概貌等；（三）开发计划审计：主要检查是否在对信息技术调查的基础上决定，是否明确目的、对象业务、费用效果等内容；（四）系统分析、需求定义审计：主要检查是否得到开发方及用户方的认可，明确对象、范围及方法，对随着信息系统引入而产生的风险进行分析等；（五）系统设计审计：主要检查是否得到开发方与用户方负责人的认可，系统性能是否满足用户需求等；（六）程序设计审计：主要检查程序设计是否规范，是否按照系统设计报

3、告进行程序设计等；（七）编码审计：主要检查编码过程是否安全，是否按程序说明书进行编码，重要的程序是否由程序作者以外的人员进行测试等；（八）系统测试审计：主要检查系统测试结果是否得到开发及用户的负责人的认可等；（九）试运行审计：主要检查是否制定合理的试运行计划，明确试运行结束的验收方法等。第五章 信息系统内部控制功能审计信息系统内部控制功能审计，包括系统和数据的安全控制和对它们的操作控制、审计管理功能设置等情况。（一）查阅审计日志，应检查以下内容：1.用户ID；2.日期、时间和关键事态的细节，例如登录和退出；3.若有可能，终端身份或位置；4.成功的和被拒绝的对系统尝试访问的记录；5.成功的和被拒

4、绝的对数据以及其他资源尝试访问的记录；6.系统配置的变化；7.特殊权限的使用；8.系统实用工具和应用程序的使用；9.访问的文件和访问类型；10.网络地址和协议；11.访问控制系统引发的警报；12.防护系统的激活和停用，例如防病毒系统和入侵检测系统。（二）使用监视系统，应检测以下内容：1.授权访问；2.所有特殊权限操作；3.未授权的访问尝试；4.系统警报或故障；5.改变或企图改变系统的安全设置和控制措施。第六章 信息系统运行管理审计信息系统运行管理审计，包括有关制度建设、系统运行环境、系统软件和硬件管理、网络和通讯管理、数据输入和输出管理、病毒防范、防灾和应急管理、系统维护、系统升级和废止管理。

5、（一）运行管理审计；主要检查输入管理、数据管理、输出管理、软件管理、硬件管理、网络管理、用户操作行为、入侵行为、用户访问控制、系统操作等方面内容。（二）系统维护审计：主要检查维护计划、维护实施、维护顺序、维护确认、试运行管理、旧信息系统废除等方面内容。（三）有关制度审计：主要检查制度的完整性、合理性及有效性，制度文档管理等方面内容。第七章 基础设施管理审计基础设施管理审计，包括计算机机房管理、网络管理和个人办公计算机管理情况。（一）设备管理审计；（二）机房管理制度审计；（三）机房的门禁系统管理审计；（四）供电系统、空调系统管理审计；（五）防灾措施和防灾监控系统管理审计； （六）个人办公计算机管

6、理审计。第八章 综合管理审计综合管理情况审计，包括信息系统在计划、开发、运行维护等各阶段相同的文档管理、进度管理、人员管理、外部委托及灾害对策等。（一）文档管理审计：包括文档制作、文档管理审计等方面内容；（二）进度管理审计：包括进度实施、进度评价审计等方面内容；（三）人员管理审计：包括人员职责权限、业务分配、教育培训审计等方面内容；（四）外包管理审计：包括委托计划、委托单位选定、委托合同审计、委托业务审计等方面内容；（五）灾难对策审计：包括风险分析、灾难应急计划、备份恢复审计等方面内容。第九章 信息系统的审计实施在进行信息系统审计前，必须制定审计计划，计划应包括以下内容：（一）作为信息系统审计

7、对象的系统及领域；（二）具体的信息系统审计项目、审计目的及风险；（三）信息系统审计方法及顺序；（四）信息系统审计日程安排；（五）信息系统审计负责人、承担者及作业的分配；（六）信息系统审计报告日期。信息系统审计计划必须以文档化形式提交给被审计系统的部门负责人，并得到其认可。在进行信息系统审计前，必须准备信息系统审计工具。包括编制信息系统审计实施表，选择适用的审计软件包和其他审计工具,主要工具如下：（一）信息系统审计实施表包括信息系统审计顺序、内部审计评价表、安全检查实施表等；（二）信息系统审计用的工具软件包括通用信息系统审计程序、审计模块、业务管理的程序等；（三）信息系统监控工具包括网络监控、主

8、机监控、数据库监控、应用系统监控以及专用安全工具等。在审计实施阶段，安全审计员应完成以下主要工作：（一）收集资料；（二）决定审计或测试的方式，包括符合性测试、实质性测试；（三）列出需要访谈的人员名单及主要内容；（四）查阅有关部门的政策、标准及准则，以供审计使用；（五）利用审计方法，对所有控制进行测试和评价。在审计过程中，针对各个阶段进度方面出现的问题，必须提交以下报告：（一）针对项目中某一问题的专题分析报告，提出紧急改进方案或一般改进方案；（二）阶段性报告，在每一个阶段结束后，提交阶段性审计报告；（三）综合审计报告。第十章 信息系统的审计方法在信息系统审计中，应通过现场核查获取相关信息，进行安

9、全性、可靠性、有效性评估分析。安全审计员核查评估应保证分析依据具有代表性，分析方法的正确性。在信息系统审计中，必要时应按照以下方法进行符合性测试、实质性测试等审计测试。安全审计员进行审计测试应保证测试条件符合实际运行情况，以及测试方法的正确性和准确性。在信息系统审计中，应对行为记录、审计日志记录、网络活动记录、重点监控记录等有关审计记录进行查阅。安全审计员进行记录查阅应保证提取信息的完整性和准确性，以及分析方法的正确性。第十一章 信息系统的报告跟踪信息系统审计报告的内容要点包括：（一）安全审计员制作信息系统审计报告的时间；（二）对信息系统的可靠性、安全性及有效性进行评价的结果；（三）系统存在的

10、问题；（四）根据存在的问题提出的改进劝告；（五）根据改进的劝告提出的改进方案；（六）还可记载其他的必要事项。安全审计员在完成信息系统审计后，对审计结果迅速记录与归纳，应尽快向领导报告。信息系统审计结果最终应以报告形式归纳，向领导提交。信息系统审计报告由承担该审计的安全审计员完成，并在得到信息系统审计负责人的认可后方可提交。信息系统审计报告要向被审计部门即信息技术部门和有关业务部门负责人及信息系统审计部门提交。信息系统审计不应以提交报告书为结束，必须对审计报告中提出的问题，特别是重大问题，要跟踪整改的状况，确立信息系统审计跟踪制度。信息系统审计跟踪必须做到以下几点：（一）被审计部门要在规定期限内

11、提交整改计划，安全审计员随时与被审计部门接触，了解跟踪整改的状况；（二）如整改进展缓慢，要帮助找出原因，促使整改的完成；（三）信息系统审计要达到最终目的，审计结果的跟踪是不可缺少的，并要使其成为一种制度。第十二章 信息系统的其他要求对信息系统审计的周期要求如下：（一）对信息系统的全面审计应每2年进行一次；（二）对信息系统开发审计，应与开发项目同步进行；（三）对信息系统内部控制功能审计、基础设施管理审计、综合管理审计，应每年进行一次；（四）对信息系统运行管理审计，应每半年进行一次。对信息系统审计过程中产生的文档按照以下要求进行管理：（一）对信息系统审计中产生的各种文档，应进行归档，并由机要室专人

12、保管；（二）对信息系统审计中产生的各种文档的查阅，应按照管理权限要求进行审批；（三）对信息系统审计中产生的各种文档的保存期限，分别为：信息系统审计产生中间文档，保存2年；信息系统审计产生最终文档，保存5年。信息系统审计过程中，相关部门应做好以下配合工作：（一）安全审计员应做好与有关业务部门的协调工作，取得有关业务部门对信息系统审计工作的支持；（二）对系统整体进行信息系统审计时，安全审计员事先明确各方的职责，并与有关各方研究和落实；（三）信息技术部门和有关业务部门负责人应支持安全审计员的工作，必须提供便利的工作条件和足够的资源；（四）信息技术部门人员应配合安全审计员的工作，对安全审计员使用计算机来辅助实施审计，提供必要的技术支持；（五）根据信息系统审计需要，信息技术部门和有关业务部门人员应认真接受安全审计员就相关问题的调查、质询、取证；（六）对信息系统审计，信息技术部门和有关业务部门人员不得提供虚假资料。根据集团业务的安全性需要和信息系统安全审计技术的发展，定期检查和评估信息系统安全审计管理的强度及有效性，对信息系统安全审计管理进行适时调整。第十三章 附则本制度由XXXX集团负责解释。本制度自发布之日起实行。