信息安全审计控制程序

1 目的

评价信息安全管理和实践的原则和控制，以维持公司期望的信息安全水平。

2 适用范围

适用于公司的所有管理人员和员工，以及所有为本公司工作，同时接触公司的信息资源的外来人员。

3 术语和定义

4 职责和权限

在信息安全领导办公室的统一组织下实施。

5 工作流程

审计包括两种检查方式：

a)自我评估

b)内部/外部审计

5.1 自我评估

为保持各部门内部良好的信息安全管理状态及第一时间发现和处理不符合现象，确定各控制措施的有效性，要求每个部门进行信息安全管理和实践和自我评估并根据需求采取纠正措施。

自我评估通常在信息安全领导办公室的统一安排下，由各部门负责人组织实施。

自我评估通常每年至少进行一次。除此以外，为了提高部门内信息安全管理水平，部门负责人也可以指定其认为必要和合适的时间进行自我评估。

各部门结合本部门的要求和工作实际，制定适合本部门的自我评估的检查表并实施，但必须包括对控制措施符合性和有效性的评估。

自我评估的结果要报告给信息安全领导办公室，由信息安全领导办公室确定纠正措施的计划并指导实施。纠正措施实施计划包括：a)对纠正措施的简单描述，包括当前控制措施与和要达到的目标之间的差距分析；

b)纠正措施的实施时间要求；

c)纠正措施的实施负责人。

5.2 内部/外部审计

信息安全领导办公室根据业务活动的安全需求，确定是否进行内部/外部审计。在一个年度内，若没有进行自我评估，则必须进行一次内部/外部审计。

由信息安全领导办公室确定审计人员。为了实现审计的目的，内部审计人员必须是具有掌握最新信息技术并了解公司信息安全管理计划的人或组织。一般由内审员承担。

在进行内部/外部审计前，审计要求和活动应得到信息安全领导办公室的认可：

a)审计要求、范围和计划、程序；

b)审计人员对审计作业相关的必要的软件和数据（特别是不具有写保护的）访问；

c)提供支持检查的必要IT人员；

d)数据处理和（或）操作的要求。

审计的结果要报告给信息安全领导办公室，由信息安全领导办公室确定纠正措施的计划并指导实施。纠正措施实施计划包括：

a)对纠正措施的简单描述，包括当前控制措施与和要达到的目标之间的差距分析；

b)纠正措施的实施时间要求；

c)纠正措施的实施负责人。

5.3 自我评估和安全审计涉及到的内容

5.3.1 技术脆弱性、符合性管理

为确保对技术脆弱性的控制，减少利用公开的技术弱点导致的风险，从以下特定的领域考虑到实施控制，包括：

a)共用服务器/开发用服务器的管理；

b)测试环境与业务环境分离状况；

c)未经授权的公司以外设备使用的禁止；

d)安全漏洞、弱口令；

e)防病毒软件的有效性；

f)认证/加密措施的有效性。（若必要）5.3.2 符合安全策略和标准

在审计过程中，应考虑到管理状况是否符合公司的安全策略和相关标准，如发现不符合情况，应采取相应措施，包括：

a)不符合的原因；

b)所需要的控制措施的有效性；

c)计划实施的时间要求；

d)实施的负责人。

6相关文件和记录