xx公司信息安全内部审计制度.docx

《xx公司信息安全内部审计制度.docx》由会员分享，可在线阅读，更多相关《xx公司信息安全内部审计制度.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、xx公司信息安全内部审计制度 xx 公司信息平安内部审计制度第一章 总则 第一条为了加强信息系统平安管理工作，保证单位各类信息系统数据的规范性、平安性、完整性，保障业务系统和日常工作的正常进行；依据国家、行业以及单位相关政策制度，结合本单位实际状况制定本制度。其次条平安审计的范围应包括与信息系统平安有关的全部范畴，包括各类网络与信息资产、组织与人员（管理层、员工、用户、第三方等）和业务流程等。第三条信息平安管理委员会负责对本文档的审批和管理；信息平安工作主管领导负责本文档的审核及组织编写，监督管理平安审计工作的落实；信息平安工作小组负责对本文档的组织编写修订工作，对平安审计发觉的问题实行措施进

2、行限制；信息平安审计小组负责定期对本文档的适用性进行审定，组织各部门打算平安审计资料，编写平安审计报告，对平安审计中提出的订正与预防措施实施状况进行跟踪和验证，并归档保管平安审计中形成的相关资料。第四条信息安审计术语和定义 1.平安策略：有关管理、爱护和发布敏感信息的法律规定和实施细则。2.平安审计：按确定规则的要求，对与平安相关的事务进行审计，以日志方式记录必要信息，并作出相应处理的平安机制。3.平安审计的独立性：审计方与被审计方保持相对独立，包括审计职责和流程，以确保审计结果的公正牢靠。其次章 信息平安内部审计机构 第五条作为 xx 公司（以下称xx 公司）的信息平安审计组织，负责实施 x

3、x 公司信息平安内部审核或对外审核，帮助外部其次方/第三方审核；审核组的工作应当干脆向信息平安领导小组汇报；实施独立审核，确保信息平安管理系统各项限制及组成部分根据策略要求运行良好，确保信息平安管理体系的完整性、符合性和有效性； 第六条与审计制度相关的人员分为审计人和被审计人。被审计人及相关信息系统为 xx 公司企业信用信息管理平台以及相关系统的信息平安执行组人员，审计的目标包括xx 公司信息平安相关制度文件、企业信用信息管理平台以及相关网络以及平安设备等、机房视频监控系统和其相关的管理、维护和运用人员等；第三章 信息平安内部审计机构人员的职责和权限第七条信息平安审计员岗位要独立于其他角色管理

4、员和各类系统运用人员。信息平安审计员的职责如下：1.负责 xx 公司企业信用信息管理平台以及相关系统的平安审计制度的建设与完善工作； 2.信息平安审计员要对收集到的大量审计行为记录进行检查，以监督对省征信系统平台的相关信息系统的不当运用和非法行为； 3.定期执行平安审计检查，对系统的平安状况进行分析评估，向上级主管供应系统平安状况审计报告和改进措施等。第八条信息平安执行组人员，包括各系统 ( 网络设备，平安产品，主机，数据库和应用系统) 的管理维护人员负责维护各自系统正常运行的同时必需向审计人员供应审计所需的各种信息（如各系统的日志，系统升级、备份、加固、权限及配置变更等各种操作记录）以协作审

5、计人员完成审计工作； 第四章信息平安审计工作程序 第九条全面收集入侵者，内部恶意用户或合法用户误操作的相关信息，以便进一步的查看和分析。防止重要的日志信息收集的遗漏。须要依据各种系统的平安设置方法设定重要事务的日志审计，如对平安设备的登入事务、用户增减事务、用户权限及属性修改事务、访问规则修改事务、系统开启或关闭事务、系统配置修改事务、平安告警事务，系统版本更新升级等事务的日志审计，包括全部系统特权吩咐的运用都必需被全面的记录； 第十条分析存在平安威逼的缘由，以便制定相应的对策。日志查看和分析详细要求日志可以作为证据，供应平安事故调查；信息平安主管须要定期查看各系统的平安管理员是否依据其职责进

6、行平安的维护，包括日常的运维操作记录和日志；信息平安审计员须要在信息平安主管的协作下对全部日志事务进行分类，划分不同的平安事务等级，并分析存在威逼的缘由；信息平安审计员整理并编写平安分析报告，定期向上级汇报日志报表中存在的平安威逼其中包括：平安威逼的统计、新威逼的列表、威逼同比增长率、平安威逼的防范。审计人员与运用人员沟通，将重点审计对象的访问特点反馈给这些对象的运用者，尤其是各自的管理员；对于发觉存在异样信息的审计对象，将这些信息告知相关管理员和操作者，并要求他们给出合理的说明。第十一条以信息平安审计数据作为基础抽样对象，汇总成为审计月报，经相关领导审核、批准后，向全公司人员公布。信息平安审

7、计月报的内容：1.信息平安审计的范围； 2.信息平安审计的标准或原则； 3.信息平安审计的检查清单；4.列举全部平安问题和平安隐患，并根据严峻程度进行划分； 5.列举全部信息平安问题和平安隐患的有关责任人员或责任部。第十二条审计过程中发觉的违规行为，经确认应当通报给有关责任部门和责任人，并要求在规定时间内有关责任部提出解决方案和处理报告，信息平安审计部门和相关责任人负责监督各违规行为是否订正，并做相关的记录。信息平安审计员，负责检查信息平安主管的相关记录以确保订正措施都得到了实施，在订正措施完成之后再次对相关的违规事项进行检查。第十三条日志审计的目标主要是对信息系统访问操作，对访问限制，对敏感

8、数据以及对应用数据的审计，也可以分类为主机系统，平安产品，网络设备，数据库和应用系统的信息平安审计。第十四条平安产品、网络设备的日志审核对平安产品、网络设备的日志的审核工作详细要求如下：（一）责任人应明确审核频率、定义平安事务推断规则、规定平安事务通报流程，用以审核日志，发觉并确定平安事务。（二）重大平安事务必需被记录在案，例如：1.多次失败登录；2.异样时间的接入或者异样地点的接入； 3.信息流量的突然增加； 4.针对系统资源的异样或饱和性尝试； 5.重大网络与信息系统事务（比如配置更新以及系统崩溃等等）； 6.其他平安相关属性改变等。第十五条对审计各系统日志的要求如下：1.应用系统日志产生

9、是否正常，包括日志产生的时间、格式； 2.日志功能是否被关闭过； 3.日志中是否有被人为篡改的痕迹，（包括日志文件被编辑或删除，记录的消息类型被修改等）； 4.日志中是否存在多次登陆失败的状况，假如超过肯定的阀值，应当考虑为攻击事务； 5.日志文件存储媒介是否用完，防止造成无法记录事务或自行覆盖以前的日志文件； 6.是否定期打印重要的操作清单； 7.针对各业务系统维护人员通过系统界面对业务数据进行的增、删、改操作进行日志审查； 8.对清单查询操作进行日志审查； 9.对用户权限变更操作进行日志审查。第十六条主机日志审计。对主机日志的审核内容，至少要包括以下内容：1.审计未经授权的，对数据库的非法

10、连接； 2.系统错误及所实行的订正措施； 3.系统的配置文件被修改； 4.用户帐号变更； 5.根用户或者用户被修改。第十七条数据库日志审计。对主机日志的审核内容，至少要包括以下内容：1.审计未经授权的，干脆连接数据库后的变更（增加，删除，修改）全部操作日志； 2.系统错误及所实行的订正措施； 3.数据库服务的启动和关闭的日志信息； 4.数据库系统核心配置文件被修改； 5.数据库的日志是否定期备份。第五章信息平安审计档案管理 第十八条信息平安内部审计档案是指在各项信息平安审计活动中形成和取得的具有保存价值的各种文字、图表及电子形态的信息等记录资料，以实物形态存在的实物证据。第十九条审计档案一般不

11、对外借阅，必需借阅者，须经信息平安审计部门负责人批准。其次十条在信息平安内部审计活动中形成的文件、记录和反映审计监督、评价、签证等业务活动的取证材料，包括签报、批件、定稿、复印件、审计调查记录、审计工作底稿等重要原始凭证，均应收集齐全，立卷归档，详细立卷归档的范围是：1.年初审计安排和上级领导交办的审计项目、审计调查等。2.上级领导对审计项目的批示、指示。3.审计通知书、委派通知书。4.审计报告及审定该报告的会议记录、纪要等。5.审计证据，审计调查材料，审计工作底稿。6.审计结论和审计处理确定及探讨该审计结论和审计处理确定的会议记录、纪要。7.审计案件移送书。8.与审计有关的其他材料。其次十一

12、条为保证审计档案的完整、系统和便于利用，对立卷的归档文件材料要进行严格的选择，重点是取证及其他有关材料，要以审计报告、审计结论和处理确定所列的问题为中心整理材料，一般不得将审计监督和行政管理两类文件材料混合立卷。其次十二条审计档案应当按项目立卷，一个项目的文件材料立一卷，不得把两个以上项目的文件材料归为一卷。跨年度的审计事项存放于审计结束的年度。其次十三条卷内文件应按正件在前，原文在后；复印件在前，原件在后；批复在前，请示在后；重要文件的定稿在前，修改文件在后的依次排列。其次十四条内部审计档案按国家审计署有关的立卷归档程序，实行逆向归档方法：1、卷内书目：第一部：审计报告、审计结论、审计处理确

13、定。其次部：取证材料。第三部：审计通知书、委派通知书。2、立卷的全部文件材料应逐页在右上角编写阿拉伯数码。其次十五条为保证案卷质量，审计档案管理人员应对立卷的卷宗分别逐卷检查和验收，对破损或褪色的文件材料应进行修补和复制，声、像档案及计算机软件等资料，应在每盘上注明内容、承办单位、复制时间、录制人并逐盘登记，不得有油笔或半页纸张出现。为做到卷内美观、整齐，全部文件材料一般运用 A4 纸张。案卷立好后应定期向本单位档案室移交，以便集中统一管理。第六章嘉奖和罚则 其次十六条对被审计单位、人员的遵纪遵守法律、效益显著行为，审计人员应向公司主管领导提出各类嘉奖建议。其次十七条审计人员对有下列行为的单位

14、和个人，依据情节轻重，向集团公司主管领导提出各类惩罚建议：1.拒绝供应有关信息平安相关的文件、密码、配置文件资料和证明材料的； 2.阻挠信息平安审计人员行使职权，抗拒、破坏监督检查的； 3.弄虚作假、隐瞒事实真相的； 4.拒不执行审计结论和确定的； 5.打击报复审计人员或举报人的。其次十八条对有下列行为的信息平安审计人员，依据情节轻重赐予各类惩罚：1.利用职权谋取私利的； 2.弄虚作假、徇私舞弊的； 3.玩忽职守，给公司造成重大损失的； 4.泄露公司隐私或非公开信息数据的； 5.勾结黑客盗取公司信息数据的。其次十九条对审计过程的以上行为，构成犯罪的，提请司法机关依法追究刑事责任。第七章附则 第三十条本制度自发布之日起正式生效、实施。