加入收藏 | 联系我们
首页 > 规章制度 > 正文

安全审核和检查制度

作者: 时间:2021-04-29 点击数:

第一条总则

为保障信息系统工作顺利开展,确保信息系统安全运行,提升信息系统运行管理水平,根据有关规章和制度、结合实际工作,制定本制度。

第二条适用范围

适用于信息系统的检查、测评和审计、审核的工作。

第三条引用文件

GB/T28448-2012信息安全技术信息系统安全等级保护测评要求

GB/T28453-2012信息安全技术信息系统安全管理评估要求

第四条职责与权限

技术部归口管理对信息系统的检查、测评和审计、审核的工作,指定人员负责工作开展时提供协调、跟踪,提供工作开展时必要的条件。

信息系统安全管理员负责组织、实施对信息系统的安全检查、审核,等级测评工作的管理;

信息系统审计员负责组织、实施对信息系统的安全审计及工作管理;

信息系统审核员负责组织、实施对信息系统的安全审核及工作管理。

第五条相关规定

一、根据涉及信息系统的范围和程度可以分为检查、测评和审计、审核的工作;

二、根据执行人或单位的性质,可以分为内部、外部;

三、根据执行的时间规律,可以分为周期性和不定期,周期性可以是月度、季度、年度;

四、归口管理信息系统的检查、测评和审计、审核的记录、报告、相关工作单等。

第六条内容规定

一、信息系统安全检查内容规定;

系统参数配置、系统运行情况、系统运行记录、数据备份情况、办公环境保密措施落实情况。

二、信息系统安全测评内容规定;

根据信息系统安全等级测评的内容要求测评。

三、信息系统安全审计内容规定;

偏重信息系统安全技术、结合安全管理的措施,对信息系统的安全漏洞、安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况进行审计,通过收集、分析和评估发现信息系统安全的弱点,提出整改措施、制定新的信息安全策略等。

四、信息系统安全审核内容规定;

偏重信息系统的安全管理、结合信息系统安全技术,对信息系统的管理措施、实施程序和安全策略等进行收集、整理和分析发现信息系统安全管理的漏洞和弱点,提升信息系统安全运行水平。

第七条检查和审核规定

一、单位内部实施检查时,应出具检查记录和结果报告;实施审计时,应出具审计记录、审计结果报告和整改报告;实施审核时,应出具审核记录、审核结果报告和整改报告。

单位内部不实施测评工作。

二、外部监管、检查单位,对信息系统的检查、测评和审计、审核时,记录或报告由实施单位出具,技术部负责接收与管理。

三、外部的技术合作单位,对信息系统的检查、测评和审计、审核时,应要求其出具结果报告和整改报告。

每年至少一次委托外部单位对信息系统整体测试及评价,出具风险评估报告或系统威胁及脆弱性的评估报告。

四、单位内部和外部技术合作单位对信息系统的每次检查、测评和审计、审核时,优先采取整体实施的策略,条件限制时采取分项实施。

年度内各分项的检查、测评和审计、审核涵盖整体,记录和结果年终汇总管理。

五、每月应由信息安全管理员对信息系统检查1次,每季度应由信息系统安全管理员和信息系统审计员对信息系统审计1次,每年度应由信息系统安全管理员和信息系统审计员、信息系统审核员对信息系统审计1次、审核1次。

第八条检查和审核程序

对信息系统的检查、测评和审计、审核的完整程序应为:制定实施方案、方案审批、通知相关相关部门和人员、执行人召开首次会议、进场实施、执行人召开末次会议、实施完成、记录整理及报告编制、报告审批、报告提交相关部门和人员、相关部门和人员整改、整改查验、修订相关制度和策略等,工作结束。

第九条附则

本制度由江西工业工程职业技术学院制定、单位签批发布,自文件发布之日起实施。

本制度由江西工业工程职业技术学院负责解释。

Copyright 2011-2018 江西工业工程职业技术学院--信息中心 版权所有   备案:赣ICP备11002444号

地址:江西省萍乡市开发区玉湖东路106号   联系电话:0799-7062207