信息系统安全审计管理制度

　信息系统安全审计管理制度

　第一章工作职责安排 第一条安全审计员职责是：

　1.制订信息安全审计范围和日程； 2.管理具体审计过程； 3.分析审计结果并提出对信息安全管理体系改善意见； 4.召开审计开启会议和审计总结会议； 5.向主管领导汇报审计结果及提议； 6.为相关人员提供审计培训。

　第二条评审员由审计责任人指派，帮助主评审员进行评审，其职责是：

　1.准备审计清单； 2.实施审计过程； 3.完成审计汇报； 4.提交纠正和预防方法提议； 5.审查纠正和预防方法实施情况。

　第三条受审员来自相关部门，其职责是：

　1.配合评审员审计工作； 2.落实纠正和预防方法； 3.提交纠正和预防方法实施汇报。

　第二章审计计划制订

　第四条审计计划应包含以下内容：

　1.审计目标； 2.审计范围； 3.审计准则； 4.审计时间； 5.关键参与人员及分工情况。

　第五条制订审计计划应考虑以下原因：

　1.每十二个月应进行最少一次涵盖全部部门审计； 2.当进行重大变更后（如架构、业务方向等），需要进行一次涵盖全部部门审计。

　第三章安全审计实施 第六条审计准备：

　1.评审员需事先了解审计范围相关安全策略、标准和程序； 2.准备审计清单，其内容关键包含：

　1)需要访问人员和调查问题； 2)需要查看文档和统计（包含日志）； 3)需要现场查看安全控制方法。

　第七条在进行实际审计前，召开开启会议，其内容关键包含：

　1.评审员和受审员一起确定审计计划和所采取审计方法，如在审计内容上有异议，受审员应提出申明（比如：限制可访问人员、可调查系统等）； 2.向受审员说明审计经过抽查方法来进行。

　第八条审计方法包含面谈、现场检验、文档审查、统计（包含日志）审查。

　第九条评审员应具体统计审计过程全部相关信息。在审计统计中应包含下列信息：

　1.审计时间； 2.被审计部门和人员； 3.审计专题； 4.观察到违规现象； 5.相关文档和统计，比如操作手册、备份统计、操作员日志、软件许可证、培训统计等；6.审计参考文档，比如策略、标准和程序等； 7.参考所包含标准条款； 8.审计结果初步总结。

　第十条如怀疑和相关安全标准有不符合项情况， 审计员应统计所观察到具体信息(如在何处、何时，所包含人员、事项，和具体情况等)并描述其为何不符合。相关不符合情况应和受审员达成共识。

　第十一条在每项审计结束时应准备审计汇报，审计汇报应包含：

　1.审计范围； 2.审计所覆盖安全领域； 3.审计结果总结；

　4.不符合项，不符合项具体描述和相关证据； 5.纠正和预防方法提议。

　第十二条不符合项是指和等级保护基础要求不一致情况。产生不符合项可能是因为和相关要求不一致，包含：

　1.等级保护基础要求； 2.信息安全策略； 3.相关标准和程序； 4.相关法律条款； 5.本单位相关要求； 6.任何其它在用户协议中要求要求。

　第十三条不符合项能够细分为“关键”或“次要”。假如所发觉不符合项属于下列任何一个情况，此不符合项应被分类为“关键”：

　1.会造成系统、程序或控制方法整体失效； 2.操作过程没有形成标准文档； 3.累计多个同一类型“次要”不符合项； 4.对信息安全管理体系未授权变更。假如所发觉不符合项属于部分事件，此不符合项将被分类为“次要”，比如：

　1.未标识信息安全分类文档； 2.没有被管理层审阅事故汇报； 3.不完整变更统计； 4.不完整机房进出统计。

　第十四条造成不符合项原因能够分为以下多个：

　1.其文档化标准和程序和信息安全策略不一致； 2.实际操作和文档化标准和程序要求不一致； 3.实际操作没有达成预期效果。

　第四章安全审计汇报 第十五条召开审计总结会议。应总结汇报以下内容：

　1.审计目标和范围； 2.审计时间； 3.参与审计人员； 4.审计汇报（包含纠正和预防方法提议）； 5.提交审计汇报副本供受审员参考。

　第十六条在总结会议上，受审员应叙述任何疑问。

　第五章纠正和预防方法 第十七条纠正和预防方法应该包含问题描述、根本原因、应急方法（可选）、纠正方法和预防方法。

　第十八条受审员必需制订纠正和预防方法实施计划。

　第十九条受审员应在要求时间内向评审员提交纠正和预防方法实施汇报。

　第六章审计纠正和预防方法实施情况 第二十条评审员应在受审员提交汇报 3 个月内，审计纠正和预防方法实施情况。

　第二十一条审计纠正和预防方法应包含：面谈、现场检验、

　文档审查和统计（包含日志）审查。

　第二十二条评审员依据受审员提交纠正和预防方法实施汇报，搜集、统计和审查相关证据。

　第七章审计结果审阅 第二十三条安全审计员应审阅和分析全部审计结果。

　第二十四条受审员领导在审阅审计结果时，应分析事件包含审计计划、此次审计结果和上次审计结果比较、纠正和预防方法。

　第八章附则 第二十五条本制度由王府医院信息部负责解释。

　第二十六条本制度自公布之日起生效实施。