第一章 总则
第一条 为了加强网络信息安全审计工作,规范安全审计工作,特制定本规定。
第二章 工作职责安排
第二条 安全审计员的职责包括:
1、制度信息安全审计的范围和日程;
2、管理具体的审计过程;
3、分析审计结果并提出对信息安全管理体系的改进意见;
4、召开审计启动会议和审计总结会议;
5、向主管领导汇报审计的结果及建议;
6、为相关人员提供审计培训。
第三章 审计计划的制订
第三条 审计计划应包括以下内容:
7、审计的目的;
8、审计的范围;
9、审计的准则;
10、审计的时间;
11、主要参与人员及分工情况。
第四条 制定审计计划应考虑以下因素:
12、每年应进行至少一次涵盖所有运行团队的审计;
13、当进行重大变更后(如系统架构、网络环境等),需要进行一次涵盖所有运行团队的审计。
第四章 安全审计实施
第五条 审计的准备:
14、审计员事先了解审计范围相关的安全策略、标准和程序;
15、准备审计清单,包括需要访问的人员和调查的问题,需要查看的文档和记录,需要现场查看的安全控制措施。
第六条 审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。
第五章 附则
第七条 本规定自发布之日起执行。