返回
信息安全内部审计管理办法.doc

信息安全内部审计管理办法.doc

ID:53719451

大小:73.50 KB

页数:8页

时间:2020-04-06

信息安全内部审计管理办法.doc_第1页
信息安全内部审计管理办法.doc_第2页
信息安全内部审计管理办法.doc_第3页
信息安全内部审计管理办法.doc_第4页
信息安全内部审计管理办法.doc_第5页
信息安全内部审计管理办法.doc_第6页
信息安全内部审计管理办法.doc_第7页
信息安全内部审计管理办法.doc_第8页
资源描述:

《信息安全内部审计管理办法.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期XXXX信息安全内部审计管理办法创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批准人变化状态:新建,增加,修改,删除文件修订履历目录1目的42适用范围43职责44术语和定义45日常安全审计管理规定55.1法律合规性要求55.2知识产权保护55.3个人信息保护55.4安全审计要求65.4.1防止网络与信息处理设施的不当使用65.4.2加密技术控制65.4.3保护单位记录65.4.4收集证据65.5安全审计实施75.6安全审计管理75.6.1独立审计原则75.6.2控制安全审计过程75.6.3保护审计记录和工具8

2、6附则8XXXX信息安全内部审计管理办法1目的为了加强信息系统安全管理工作,保证单位各类信息系统数据的规范性、安全性、完整性,保障业务系统和日常工作的正常进行;根据国家、行业,以及单位相关政策制度,结合本单位实际情况特制定本管理程序。2适用范围安全审计的范围应包括与信息系统安全有关的所有范畴,包括各类网络与信息资产、组织与人员(管理层、员工、用户、第三方等)和业务流程等。3职责1、信息安全管理委员会:Ø负责对本文档的审批和管理;2、信息安全工作主管领导:Ø负责本文档的审核及组织编写;Ø监督管理安全审计工作的落实。3、信息安全工作小组:Ø负责对本文档的组织编写、修订工作;Ø对安全审计发现的问题

3、采取措施进行控制。4、信息安全审计小组:Ø负责定期对本文档的适用性进行审定;Ø组织各部门准备安全审计资料;Ø编写安全审计报告;Ø对安全审计中提出的纠正与预防措施实施情况进行跟踪和验证,并归档保管安全审计中形成的相关资料。5、各部门:Ø负责本部门安全审计资料的准备;Ø负责安全审计中提出的纠正、预防措施的实施和改进。4术语和定义1、安全策略:有关管理、保护和发布敏感信息的法律、规定和实施细则。2、安全审计:按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。3、安全审计的独立性:审计方与被审计方保持相对独立,包括审计职责和流程,以确保审计结果的公正可靠

4、。5日常安全审计管理规定本程序从管理和技术两个方面检查单位的安全策略和控制措施的执行情况,从而发现安全隐患的过程。5.1法律合规性要求1、网络与信息系统的设计、操作、使用和管理不仅要遵从单位本身的安全方针,而且要符合国家法律法规、管理条例及合同的要求。2、单位应正确识别与各网络与信息系统相关的所有法律法规、管理条例以及合同要求,并明确满足这些要求所应采取的特定控制措施及相关责任。以上内容都应记录在案,并传达给相关人员。5.2知识产权保护1、单位应明确规定有关知识产权的识别、授权、使用和检查等方面的要求,以确保符合相关法律。2、单位应特别重视软件版权的管理,使每个员工都意识到遵守软件许可协议是

5、其必须承担的责任。3、试用或演示软件不得用于生产运营,并应在授权期结束后终止使用;4、除非通过全面测试,并确保能够获取后续支持服务,否则共享或免费软件不得用于关键业务系统,也不得用于单位对外提供的任何产品中。5.3个人信息保护1、单位应制定相关管理办法,保护个人信息,防止泄露、删除、篡改和非法使用。2、单位不得将用户信息用于获取目的以外的其他用途,也不得擅自向他人提供用户信息。3、单位应保护用户的通信自由和通信秘密,除非法律另有规定,否则不得泄露用户的任何通信信息。5.4安全审计要求5.4.1防止网络与信息处理设施的不当使用1、网络与信息处理设施的使用应基于业务目的,未经授权或非业务目的的使

6、用,都应被视为不当使用。2、网络与信息处理设施的不当使用有可能构成违法犯罪,单位应对其进行监控,并对违规者进行惩罚。3、单位应通过恰当途径告之所有用户其确切的合法访问范围,具体途径如下:Ø与用户签署书面授权协议,明确除非经过授权,否则禁止一切访问活动;Ø在用户登录时显示警告消息,表明禁止非法访问;用户只有确认该消息后,才可继续访问过程。4、单位应在法律法规允许的范围内进行监控,并告知用户此类监控的存在。5.4.2加密技术控制加密技术受国家控制,与国家军事、经济安全密切相关。单位在使用加密技术、涉及加密技术进出口活动、或对国家规定必须通过加密以保证内容机密性的信息进行加密/访问时,必须遵守国家

7、的相关法律法规。5.4.3保护单位记录1、单位应制定有关收集、保存、处理和处置重要记录的指导原则,防止重要记录的丢失、破坏或篡改,以便符合相应的法律法规或管理条例要求,支持必要的业务活动。例如:财务记录、交易记录等。2、单位应明确记录的保留时间和具体内容,并符合国家的相应法律法规。单位应安全保存记录,确保其在整个保存期内的可用性,并只发放给授权人员。5.4.4收集证据1、在单位的日常事务处理中,当需要提供证据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。