下载后可任意编辑信息系统安全审计管理制度第一章工作职责安排第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。第二条评审员由审计负责人指派, 协助主评审员进行评审, 其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。第三条受审员来自相关部门, 其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。第二章审计计划的制订第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 下载后可任意编辑5.主要参加人员及分工情况。第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后( 如架构、 业务方向等) , 需要进行一次涵盖所有部门的审计。第三章安全审计实施第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、 标准和程序; 2.准备审计清单, 其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录( 包括日志) ; 3)需要现场查看的安全控制措施。第七条在进行实际审计前, 召开启动会议, 其内容主要包括: 1.评审员与受审员一起确认审计计划和所采纳的审计方式, 如在审计的内容上有异议, 受审员应提出声明( 例如: 限制可访问的人员、 可调查的系统等) ; 2.向受审员说明审计经过抽查的方式来进行。第八条审计方式包括面谈、 现场检查、 文档的审查、 记录( 包括日志) 的审查。第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录, 比如操作手册、 备份记录、 操作员日志、 软件许可证、 培训记录等; 6.审计参考的文档, 比如策略、 标下载后可任意编辑准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、 何时, 所涉及的人员、 事项, 和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。第十一条在每项审计结束...
