《分公司信息安全审计管理办法.docx》由会员分享,可在线阅读,更多相关《分公司信息安全审计管理办法.docx(3页珍藏版)》请在三一办公上搜索。
1、分公司信息安全审计管理办法河南石油分公司信息安全审计管理办法 第一章 总则 第一条 为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作 落实总部信息安全工作总体安排; 组织制定信息安全审计细则; 组织制定并实施公司级的信息安全审计计划; 对各市分公司进行指导、审批、检查和备案; 汇总、审阅信息安全审计报告,制定整改方案,解决发现的突出问题,重大问题或者需要对技术、管理流程做出重大调整时,应向河南石油分公司信息化领导小组汇报。 第九条 各市分公司信息部门职责: 配合完成信息安全领导小组、信息管理处安排的信息安全审计任务; 制定本单位内部信息安全审计实施细则; 制定本单
2、位信息安全审计计划和实施方案,并上报信息管理处备案审核; 按照信息安全审计计划实施工作; 提交信息安全审计报告,针对审计发现的问题,形成改进方案。 第四章 信息安全审计重点内容 第十条 信息安全审计原则:对重要系统、核心设备、规章制度和技术要求,进行重点检查。 第十一条 信息安全审计频次: 针对公司范围进行的全面审计,每年一次,不定期开展; 对局部范围进行的安全策略技术审计,根据总部信息安全等级保护文件规定,三级系统每半年审计一次,三级以下系统每年审计一次,并形成分系统的审计报告。 第十二条 信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。 第五章 审计内
3、容和审计方法 第十三条 安全审计主要依据各项安全管理规定和技术检查,检查具体要求的落实情况。 第十四条 审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场访问等。 第十五条 可以采用人工和技术手段进行。 第六章 工作步骤 第十六条 制定计划,确定审计范围、审计重点、时间安排、审计人员和配合人员安排,采用的技术手段、主要风险及规避方案等。 第十七条 细化审计内容。审计的系统范围,检查的重点项,各个系统中增删改等重点操作的指令、关键词等。 第十八条 编写信息安全审计检查表等工作底稿。检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏
4、等。 第十九条 按照信息安全审计检查表,采用人工河技术手段相结合的方式,进行抽样检查、系统检查、现场访问等,并逐一记录结果。 第二十条 提交信息安全审计报告,总结审计情况,分析主要问题,提出改进意见及下次审计重点等建议。 第二十一条 被审计系统责任部门按照审计报告,形成信息安全审计问题整改计划及实施方案,并提交信息安全审计改进情况报告。 第二十二条 各方签字的信息安全审计报告、信息安全审计问题整改计划及实施方案和信息安全审计改进情况报告等相关文档,经过审批后提交信息安全领导小组、信息管理处存档。 第七章 监督执行 第二十三条 各信息部门应督促各级领导对办法执行情况进行有效监督和管理。 第二十四条 本办法自下发之日起执行。
