信息系统审核规范.docx

信息系统审核规范1.目的和范围确保本公司制定的信息安全策略和规定能够定期评审和正确执行。2.术语和定义ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。3.引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则合规性管理程序补丁管理规定4.职责和权限(1)制定信息系统安全审核策略(2)对信息系统进行定期审核5.活动描述(1)技术部根据公司情况，制定出公司在用户管理、权限管理、漏洞扫描、渗透测试等方面的审核策略，必要时填写 信息系统定期评审策略明细表(2)管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。(3)管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。(4)信息系统应被定期检查是否符合安全实施标准。(5)任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。(6)涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。(7)漏洞扫描管理：1)管理员应定期进行漏洞扫描，客户端和服务器可考虑使用奇虎 360 工具进行漏洞扫描。2)根据漏洞扫描结果，管理员应及时根据补丁管理规定及时修补系统漏洞。3)渗透测试管理：4)技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。5)如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。6.审核注意事项：(1)应与合适的管理者商定审核要求；(2)应商定和控制检查范围；(3)检查应限于对软件和数据的只读访问；(4)非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；(5)应明确地识别和提供执行检查所需的资源；(6)应识别和商定特定的或另外的处理要求；(7)应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；(8)应将所有的程序、要求和职责形成文件；(9)执行审核的人员应独立于审核活动。相关记录表 1-1 信息系统定期评审表序号记录编号报告/记录名称保管场所期限保存形式备注A.1ISMS-3020-01 信息系统定期评审明细表技术部 3 年电子文档