信息安全审计管理制度.docxVIP

XXXX集团 信息安全审计管理制度 版本：1.0 XXXX信息技术部门 第一章 总则 为规范XXXX集团信息系统安全审计工作，完善集团信息系统安全审计机制，衡量信息系统现有安全措施的整体状况，验证是否应该继续执行现有安全措施，确保现有的安全措施符合相关的安全标准、策略和要求，特制定本管理制度。 本制度适用于XXXX集团信息系统规划设计、开发运行和管理维护的审计管理，主要涉及信息系统的开发管理、信息系统内部控制功能、运行管理、基础设施及综合管理等方面。 第二章 职责 信息安全领导小组和领导小组办公室负责建立和维护健全有效的内部审计体系，并由信息安全审计员负责内部信息系统的安全审计工作。 信息安全领导小组对内部审计的适当性和有效性承担最终责任，信息安全领导小组办公室组织指导内部审计工作，定期检查和研究信息系统安全审计工作。 安全审计员的审计职责权限如下： （一）对于自身的判断要有明确的依据； （二）有权要求被审计部门提交审计所需的相关资料； （三）安全审计员要向被审计部门负责人报告审计实施状况及有关改进事项。 安全审计员的审计任务应以第三方的立场，对信息系统的可靠性、安全性、紧急对策、灾害恢复计划、隐私机密数据的保护、系统开发与维护的有效性及系统的运行效率等有关各项目进行检查、评价并报告结果。 第三章 审计权限 安全审计员有权及时、全面了解信息系统管理信息，并就有关问题向审计对象和相关人员进行调查、质询、取证。 对拒绝接受或不配合内部安全审计、拒绝提供或提供虚假资料、打击报复或陷害安全审计员的，有权向上级报告，要求及时予以制止并做出处理。 第四章 信息系统开发审计 信息系统审计内容主要包括信息系统开发、信息系统内部控制功能、信息系统运行管理、基础设施管理、综合管理等方面。 信息系统开发审计，包括检查软件开发项目的组织管理和开发过程控制存在的问题。主要审计项目如下： （一）信息战略审计：主要检查是否符合业务经营战略要求等； （二）整体计划审计：主要检查是否得到最高领导的认可，依照立案规则决定，是否明确信息系统的整体概貌等； （三）开发计划审计：主要检查是否在对信息技术调查的基础上决定，是否明确目的、对象业务、费用效果等内容； （四）系统分析、需求定义审计：主要检查是否得到开发方及用户方的认可，明确对象、范围及方法，对随着信息系统引入而产生的风险进行分析等； （五）系统设计审计：主要检查是否得到开发方与用户方负责人的认可，系统性能是否满足用户需求等； （六）程序设计审计：主要检查程序设计是否规范，是否按照系统设计报告进行程序设计等； （七）编码审计：主要检查编码过程是否安全，是否按程序说明书进行编码，重要的程序是否由程序作者以外的人员进行测试等； （八）系统测试审计：主要检查系统测试结果是否得到开发及用户的负责人的认可等； （九）试运行审计：主要检查是否制定合理的试运行计划，明确试运行结束的验收方法等。 第五章 信息系统内部控制功能审计 信息系统内部控制功能审计，包括系统和数据的安全控制和对它们的操作控制、审计管理功能设置等情况。主要审计项目如下： （一）查阅审计日志，应检查以下内容： 1.用户ID； 2.日期、时间和关键事态的细节，例如登录和退出； 3.若有可能，终端身份或位置； 4.成功的和被拒绝的对系统尝试访问的记录； 5.成功的和被拒绝的对数据以及其他资源尝试访问的记录； 6.系统配置的变化； 7.特殊权限的使用； 8.系统实用工具和应用程序的使用； 9.访问的文件和访问类型； 10.网络地址和协议； 11.访问控制系统引发的警报； 12.防护系统的激活和停用，例如防病毒系统和入侵检测系统。 （二）使用监视系统，应检测以下内容： 1.授权访问； 2.所有特殊权限操作； 3.未授权的访问尝试； 4.系统警报或故障； 5.改变或企图改变系统的安全设置和控制措施。 第六章 信息系统运行管理审计 信息系统运行管理审计，包括有关制度建设、系统运行环境、系统软件和硬件管理、网络和通讯管理、数据输入和输出管理、病毒防范、防灾和应急管理、系统维护、系统升级和废止管理。主要审计项目如下： （一）运行管理审计；主要检查输入管理、数据管理、输出管理、软件管理、硬件管理、网络管理、用户操作行为、入侵行为、用户访问控制、系统操作等方面内容。 （二）系统维护审计：主要检查维护计划、维护实施、维护顺序、维护确认、试运行管理、旧信息系统废除等方面内容。 （三）有关制度审计：主要检查制度的完整性、合理性及有效性，制度文档管理等方面内容。 第七章 基础设施管理审计 基础设施管理审计，包括计算机机房管理、网络管理和个人办公计算机管理情况。主要审计项目如下： （一）设备管理审计； （二）机房管理制度审计； （三）机房的门禁系统管理审计； （四）供电系统