安全管理制度

2021-06-06 05:30:54 字數 2845 閱讀 7555

資訊系統安全審計管理制度

第一章工作職責安排

第一條安全審計員的職責是:

1. 制定資訊保安審計的範圍和日程;

2. 管理具體的審計過程;

3. 分析審計結果並提出對資訊保安管理體系的改進意見;

4. 召開審計啟動會議和審計總結會議;

5. 向主管領導匯報審計的結果及建議;

6. 為相關人員提供審計培訓。

第二條評審員由審計負責人指派,協助主評審員進行評審,其職責是:

1. 準備審計清單;

2. 實施審計過程;

3. 完成審計報告;

4. 提交糾正和預防措施建議;

5. 審查糾正和預防措施的執**況。

第三條受審員來自相關部門,其職責是:

1. 配合評審員的審計工作;

2. 落實糾正和預防措施;

3. 提交糾正和預防措施的實施報告。

第二章審計計畫的制訂

第四條審計計畫應包括以下內容:

1. 審計的目的;

2. 審計的範圍;

3. 審計的準則;

4. 審計的時間;

5. 主要參與人員及分工情況。

第五條制定審計計畫應考慮以下因素:

1. 每年應進行至少一次涵蓋所有部門的審計;

2. 當進行重大變更後(如架構、業務方向等),需要進行一次涵蓋所有部門的審計。

第三章安全審計實施

第六條審計的準備:

1. 評審員需事先了解審計範圍相關的安全策略、標準和程式;

2. 準備審計清單,其內容主要包括:

1) 需要訪問的人員和調查的問題;

2) 需要檢視的文件和記錄(包括日誌);

3) 需要現場檢視的安全控制措施。

第七條在進行實際審計前,召開啟動會議,其內容主要包括:

1. 評審員與受審員一起確認審計計畫和所採用的審計方式,如在審計的內容上有異議,受審員應提出宣告(例如:限制可訪問的人員、可調查的系統等);

2. 向受審員說明審計通過抽查的方式來進行。

第八條審計方式包括面談、現場檢查、文件的審查、記錄(包括日誌)的審查。

第九條評審員應詳細記錄審計過程的所有相關資訊。在審計記錄中應包含下列資訊:

1. 審計的時間;

2. 被審計的部門和人員;

3. 審計的主題 ;

4. 觀察到的違規現象;

5. 相關的文件和記錄,比如操作手冊、備份記錄、操作員日誌、軟體許可證、培訓記錄等;

6. 審計參考的文件,比如策略、標準和程式等;

7. 參考所涉及的標準條款;

8. 審計結果的初步總結。

第十條如懷疑與相關安全標準有不符合項的情況,審計員應記錄所觀察到的詳細資訊 (如在何處、何時,所涉及的人員、事項,和具體的情況等) 並描述其為什麼不符合。關於不符合的情況應與受審員達成共識。

第十一條在每項審計結束時應準備審計報告,審計報告應包括:

1. 審計的範圍;

2. 審計所覆蓋的安全領域;

3. 審計結果的總結;

4. 不符合項,不符合項的具體描述和相關證據;

5. 糾正和預防措施的建議。

第十二條不符合項是指與等級保護基本要求不一致的情況。產生不符合項可能是由於與相關的規定不一致,包括:

1. 等級保護基本要求;

2. 資訊保安策略;

3. 相關標準和程式;

4. 相關法律條款;

5. 本單位的相關規定;

6. 任何其它在客戶合同中規定的要求。

第十三條不符合項可以細分為「主要」或「次要」。如果所發現的不符合項屬於下列任何一種情況,此不符合項應被分類為 「主要」的:

1. 會導致系統、程式或控制措施整體失效;

2. 操作過程沒有形成標準的文件;

3. 累計多個同一型別的「次要」不符合項;

4. 對資訊保安管理體系的未授權變更。

如果所發現的不符合項屬於個別事件,此不符合項將被分類為 「次要」的,例如:

1. 未標識資訊保安分類的文件;

2. 沒有被管理層審閱的事故報告;

3. 不完整的變更記錄;

4. 不完整的機房進出記錄。

第十四條造成不符合項的原因可以分為以下幾種:

1. 其文件化的標準和程式與資訊保安策略不一致;

2. 實際的操作與文件化的標準和程式要求不一致;

3. 實際的操作沒有達到預期效果。

第四章安全審計匯報

第十五條召開審計總結會議。應總結匯報以下內容:

1. 審計的目標和範圍;

2. 審計的時間;

3. 參與審計的人員;

4. 審計報告(包括糾正和預防措施的建議);

5. 提交審計報告的副本供受審員參考。

第十六條在總結會議上,受審員應闡述任何疑問。

第五章糾正和預防措施

第十七條糾正和預防措施應該包括問題描述、根本原因、應急措施(可選)、糾正措施以及預防措施。

第十八條受審員必須制定糾正和預防措施的實施計畫。

第十九條受審員應在規定時間內向評審員提交糾正和預防措施的實施報告。

第六章審計糾正和預防措施的實施狀況

第二十條評審員應在受審員提交報告的3個月內,審計糾正和預防措施的實施狀況。

第二十一條審計糾正和預防措施應包括:面談、現場檢查、文件的審查以及記錄(包括日誌)的審查。

第二十二條評審員根據受審員提交的糾正和預防措施實施報告,收集、記錄和審查相關證據。

第七章審計結果的審閱

第二十三條安全審計員應審閱和分析所有審計結果。

第二十四條受審員的領導在審閱審計結果時,應分析的事件包括審計計畫、此次審計結果和上次審計結果的比較、糾正和預防措施。

第八章附則

第二十五條本制度由某某單位負責解釋。

第二十六條本制度自發布之日起生效執行。

駕校安全管理制度駕校安全管理制度

一 為貫徹落實 道路交通安全法 堅持 安全第 一 預防為主 方針,增強駕校教練員 駕駛員安全行車的責任意識,確保人身和車輛安全,制訂本制度。二 認真執行 道路交通安全法 嚴格遵守交通法規,自覺謹慎駕駛,做到依法行駛 文明行駛 安全行駛。三 定期組織安全人員每月進行一次道路安全檢查,針對教練員 駕駛員...

安全管理制度

編制審核 批准 年月日實施 目錄第一章安全生產責任制 3 第二章安全生產檢查制度 7 第三章安全教育培訓制度 10 第四章事故統計報告 登記 調查處理制度 13 第五章安全生產考核獎懲制度 15 第六章專項安全及裝置安全管理制度 18 第七章安全建檔制度 21 第八章消防管理制度 23 第九章事故調...

安全管理制度

第一章總則 第一條為保護員工在工作過程中的安全和健康,避免和減少公司安全隱患,提高員工安全意識,實現公司安全管理目標,根據 中華人民共和國安全生產法 中華人民共和國消防法 等有關法律規定,結合公司實際情況,特制定本制度。第二條本制度適用範圍為公司 各部門 全資子公司及控股子公司。第三條本制度所稱的安...