ISMS信息安全审计管理程序.doc

《ISMS信息安全审计管理程序.doc》由会员分享，可在线阅读，更多相关《ISMS信息安全审计管理程序.doc（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、深圳市首品精细模型信息平安审计管理程序文件编号:ISMS-2021编 制审 核批 准变更履历序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行-2021-8-51目的评价信息平安管理和实践的原那么和控制，以维持公司期望的信息平安水平。2适用范围适用于公司的所有管理人员和员工，以及所有为本公司工作，同时接触公司的信息资源的外来人员。3术语和定义 无4职责和权限在信息平安委员会的统一组织下实施。5工作流程审计包括两种检查方式：a) 自我评估b) 内部/外部审计5.1自我评估为保持各部门内部良好的信息平安管理状态及第一时间发

2、现和处理不符合现象，确定各控制措施的有效性，要求每个部门进展信息平安管理和实践和自我评估并根据需求采取纠正措施。自我评估通常在信息平安委员会的统一安排下，由各部门负责人组织实施。自我评估通常每年至少进展一次。除此以外，为了提高部门内信息平安管理水平，部门负责人也可以指定其认为必要和适宜的时间进展自我评估。各部门结合本部门的要求和工作实际，制定适合本部门的自我评估的检查表并实施，但必须包括对控制措施符合性和有效性的评估。自我评估的结果要报告给信息平安委员会，由信息平安委员会确定纠正措施的方案并指导实施。纠正措施实施方案包括：a) 对纠正措施的简单描述，包括当前控制措施与和要到达的目标之间的差距分

3、析；b) 纠正措施的实施时间要求；c) 纠正措施的实施负责人。5.2内部/外部审计信息平安委员会根据业务活动的平安需求，确定是否进展内部/外部审计。在一个年度内，假设没有进展自我评估，那么必须进展一次内部/外部审计。由信息平安委员会确定审计人员。为了实现审计的目的，内部审计人员必须是具有掌握最新信息技术并了解公司信息平安管理方案的人或组织。一般由内审员承当。在进展内部/外部审计前，审计要求和活动应得到信息平安委员会的认可：a) 审计要求、范围和方案、程序；b) 审计人员对审计作业相关的必要的软件和数据特别是不具有写保护的访问；c) 提供支持检查的必要IT人员；d) 数据处理和或操作的要求。审计

4、的结果要报告给信息平安委员会，由信息平安委员会确定纠正措施的方案并指导实施。纠正措施实施方案包括：a) 对纠正措施的简单描述，包括当前控制措施与和要到达的目标之间的差距分析；b) 纠正措施的实施时间要求；c) 纠正措施的实施负责人。5.3自我评估和平安审计涉及到的内容5.3.1技术脆弱性、符合性管理为确保对技术脆弱性的控制，减少利用公开的技术弱点导致的风险，从以下特定的领域考虑到实施控制，包括：a) 共用效劳器/开发用效劳器的管理；b) 测试环境与业务环境别离状况；c) 未经授权的公司以外设备使用的制止；d) 平安漏洞、弱口令；e) 防病毒软件的有效性；f) 认证/加密措施的有效性。假设必要5.3.2符合平安策略和标准在审计过程中，应考虑到管理状况是否符合公司的平安策略和相关标准，如发现不符合情况，应采取相应措施，包括：a) 不符合的原因；b) 所需要的控制措施的有效性；c) 方案实施的时间要求；d) 实施的负责人。6 相关记录信息平安审计报告纠正预防措施报告