德信诚培训网
信息安全审计管理程序
(ISO27001-2013)
1、目的
评价信息安全管理和实践的原则和控制,以维持公司期望的信息安全水平。 2、适用范围
适用于公司的所有管理人员和员工,以及所有为本公司工作,同时接触公司的信息资源的外来人员。 3、术语和定义 无
4、职责和权限
在信息安全委员会的统一组织下实施。 5、工作流程
审计包括两种检查方式: a)自我评估 b)内部/外部审计 5.1自我评估
为保持各部门内部良好的信息安全管理状态及第一时间发现和处理不符合现
更多免费资料下载请进:http://www.55top.com 好好学习社区
德信诚培训网
象,确定各控制措施的有效性,要求每个部门进行信息安全管理和实践和自我评估并根据需求采取纠正措施。
自我评估通常在信息安全委员会的统一安排下,由各部门负责人组织实施。 自我评估通常每年至少进行一次。除此以外,为了提高部门内信息安全管理水平,部门负责人也可以指定其认为必要和合适的时间进行自我评估。 各部门结合本部门的要求和工作实际,制定适合本部门的自我评估的检查表并实施,但必须包括对控制措施符合性和有效性的评估。
自我评估的结果要报告给信息安全委员会,由信息安全委员会确定纠正措施的计划并指导实施。纠正措施实施计划包括:
a)对纠正措施的简单描述,包括当前控制措施与和要达到的目标之间的差距分析;
b)纠正措施的实施时间要求; c)纠正措施的实施负责人。 5.2内部/外部审计
信息安全委员会根据业务活动的安全需求,确定是否进行内部/外部审计。在一个年度内,若没有进行自我评估,则必须进行一次内部/外部审计。
由信息安全委员会确定审计人员。为了实现审计的目的,内部审计人员必须是具有掌握最新信息技术并了解公司信息安全管理计划的人或组织。一般由内审员承担。
更多免费资料下载请进:http://www.55top.com
好好学习社区
德信诚培训网
在进行内部/外部审计前,审计要求和活动应得到信息安全委员会的认可: a)审计要求、范围和计划、程序;
b)审计人员对审计作业相关的必要的软件和数据(特别是不具有写保护的)访问;
c)提供支持检查的必要IT人员; d)数据处理和(或)操作的要求。
审计的结果要报告给信息安全委员会,由信息安全委员会确定纠正措施的计划并指导实施。纠正措施实施计划包括:
a)对纠正措施的简单描述,包括当前控制措施与和要达到的目标之间的差距分析;
b)纠正措施的实施时间要求; c)纠正措施的实施负责人。
5.3自我评估和安全审计涉及到的内容 5.3.1技术脆弱性、符合性管理
为确保对技术脆弱性的控制,减少利用公开的技术弱点导致的风险,从以下特定的领域考虑到实施控制,包括: a)共用服务器/开发用服务器的管理; b)测试环境与业务环境分离状况;
更多免费资料下载请进:http://www.55top.com
好好学习社区