丽江师范高等专科学校信息安全审计和检查管理办法-丽江师范高等专科学校校园信息化管理中心

丽江师范高等专科学校信息安全审计和检查管理办法

作者: 信息来源: 发布时间: 2019-12-12

一、总则

1、为对丽江师范高等专科学校信息安全管理体系进行全面的安全审计和安全检查，具体验证体系的有效性、完整性和准确性，并对发现的问题采取及时有效的纠正措施，确保整个信息安全管理体系的不断完善和发展，特制订本管理办法。

2、本办法适用于丽江师范高等专科学校及其下级单位。

二、规范性引用文件

本文参考的国际信息安全标准、国家信息安全标准相关规范。

《信息技术安全技术信息安全管理体系要求》（ISO27001:2005）

《业务连续性管理第一部分：实用规则》（BS 25999-1:2006）

《业务连续性管理第二部分：规范》（BS 25999-2:2007）

《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）

三、术语和定义

1、计算机硬件是指计算机终端、PC机、服务器、主机、打印机、磁盘设备、网络连接设备、路由器、交换机、调制解调器、通信传输设备等。

2、计算机软件是指应用软件、测试软件、各类支持软件、操作系统软件、数据库软件、网络管理软件、系统管理软件和监控软件等。

3、计算机系统是指支撑业务的计算机网络系统（局域网、城域网、广域网、内联网、互联网等）、网络安全系统（防火墙系统、防病毒系统、入侵检测系统、备份系统等）、业务系统、系统、办公自动化系统等。

4、计算机数据是指在设备以及系统存储器和缓冲器中的数据、移动存储介质中的数据、在信道上传输的数据、数据库中的数据等。

5、计算机文档是指软件、硬件、系统的数据文档、用户文档和有关的技术文档。

6、人员是指丽江师范高等专科学校的所有人员。

四、职责

1、丽江师范高等专科学校职责

丽江师范高等专科学校是信息安全审计和检查的归口管理部门。

①负责组织制订信息安全审计和检查管理的相关标准、规范和管理制度。

②负责监督、指导和考核信息安全审计和检查的管理工作。

③负责信息安全审计和检查的管理工作。

2、云南永盛会计师事务所职责

云南永盛会计师事务所是丽江师范高等专科学校信息安全审计和检查的管理部门。

①负责贯彻执行丽江师范高等专科学校信息安全审计和检查相关标准、规范和管理制度。

②负责汇总、上报本单位的信息安全审计和检查工作报告。

3、业务部门职责

业务部门是业务信息系统的业务归口管理部门，与云南永盛会计师事务所共同负责信息系统的建设与审计、检查工作。

①负责提出业务信息系统的信息安全审计和检查需求。

五、管理内容和方法

1、信息安全审计工作

（1）丽江师范高等专科学校至少每年进行一次信息安全独立审计工作，可结合单位春季、秋冬季安全检查进行。如发生重大信息安全事件，则须强制执行丽江师范高等专科学校范围内的信息安全审计。

（2）信息安全审计必须通过丽江师范高等专科学校分管领导的审批，并按照正式的程序。

（3）丽江师范高等专科学校信息安全审计主要以丽江师范高等专科学校正式颁发的信息安全管理规范和技术标准、以及有关信息系统安全的法律、法规和标准等为审计依据。信息安全审计相关内容可参考附录A信息安全管理制度安全审计表。

（4）审计报告由信息安全规划管理工作组对收集的资料进行分析整理的基础上，进行安全审计报告的编写。安全审计报告内容要求如下：须明确安全审计的范围；须明确安全审计的标准；须明确安全审计的检查清单；须列举所有安全问题和安全隐患，并按照严重程度进行划分；须列举所有安全问题和安全隐患的有关责任人员或责任部门；须对审计单位有安全审计的整体评估。

（5）审计报告由信息安全监督审计工作组向丽江师范高等专科学校信息安全领导小组汇报。

（6）确认审计中发现的安全问题和后续措施的实行

所有在审计过程中发现的安全问题和安全隐患，一旦经业务部门领导确认后，由业务部门信息专职人员通报给有关责任部门，并要求在规定时间内有关责任部门提出解决方案和处理报告，保证在今后的工作中不再出现类似的问题。

（7）审计工作总结

需对整个审计工作进行总结，并呈报丽江师范高等专科学校信息安全领导小组。

（8）信息安全审计的相关文档均视为丽江师范高等专科学校秘密级信息，须严格按照有关制度进行妥善保管。

（9）所有信息安全审计的工具，包括专用设备、漏洞扫描程序、密码强度测试程序、黑客攻击模拟程序等，须严格其使用控制，并由专人管理。

（10）对系统的审计活动进行规划，尽量减小中断业务流程的风险；系统审计过程控制要求，审计的范围必须经过授权并得到控制，审计所需的资源应明确定义并保证可用性，审计和记录所有的访问，对所有的流程、需求和责任都应文档化。

2、信息安全检查工作

（1）日常安全检查工作内容包括系统日常运行、系统漏洞和数据备份等情况。

（2）丽江师范高等专科学校根据管理要求确定全面信息安全检查工作周期。

（3）全面信息安全检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。可参考信息安全审计工作相关内容、流程和规定进行。

（4）应根据信息安全监督审计工作组制定的信息安全检查表格进行信息安全检查工作。

六、附则

1、本规定由丽江师范高等专科学校负责解释。

2、本规定自发布之日起试行。

3、当制订信息安全审计相关制度的依据发生变化时，例如发生重大安全事故、出现新的安全弱点、丽江师范高等专科学校信息安全管理组织架构发生变化等，需要对信息安全审计制度进行相应的审查和评估。同时，信息安全规划管理工作组还需要对信息安全审计制度进行每年一次的定期评估，以确保其内容的有效性，准确性和完整性。

附录A丽江师范高等专科学校信息安全审计模板

信息安全检查制度	检查项	具体检查方法	检查手段	检查周期	检查部门	检查对象	检查结果
信息安全方针	信息安全方针应每年评审一次	检查信息安全方针的评审和发布的记录	查阅记录	每年一次	信息安全工作小组
信息安全组织	应成立信息安全领导、工作和执行小组，并有明确的职责说明和分工	检查信息安全组织成立发文通知，并有明确的职责说明和分工	查阅记录	每年一次	信息安全领导小组
	应定期召开信息安全工作会议	检查信息安全工作会议纪要	查阅记录	每年一次	信息安全工作小组
	应与公安、以及专业团体等外部组织建立良好的合作关系和沟通渠道	检查信息安全组织与公安、以及专业团体等外部组织的沟通记录	查阅记录	每年一次	信息安全工作小组
网络与信息安全风险评估	应定期开展信息安全风险评估工作，并进行整改	检查信息安全风险评估报告和整改记录	查阅记录	每年一次	丽江师范高等专科学校
信息资产管理	应编制信息资产清单	查看信息资产清单，各要素信息是否完备	查阅记录并系统检查	每年一次	丽江师范高等专科学校
信息资产管理	信息系统应定级	查看信息系统清单，检查其定级情况，是否已向公安部备案	查阅记录并系统检查	每年一次	丽江师范高等专科学校
人员安全管理	所有员工应签订保密协议	检查最新入职人员清单，检查是否都签署了保密协议	查阅记录	每年一次	人事部		符合/不符合/待观察
	新员工入职上岗前应接受信息安全培训	检查新员工入职培训的相关记录，包括签到表、成绩单等，是否所有的新员工都参加了信息安全意识培训	查阅记录		人事部
	应及时删除离职人员的系统账号	检查人员离职的相关记录，并在系统管理员的协助下查看相关账号是否已及时删除。	查阅记录并系统检查		人事部丽江师范高等专科学校
第三方人员安全管理	第三方应签署保密协议	查看外包服务协议，是否所有的第三方服务都签署了保密协议	查阅记录	每年一次	丽江师范高等专科学校
	第三方人员维护时应填写工作单和相关的记录单	抽查有关软件/硬件的维护记录			丽江师范高等专科学校
	第三方人员出入需办理临时证件	查看外来信息服务人员的临时出入证（工作证）的管理记录			办公室
机房安全管理	人员出入应登记相关信息	根据工作单，对比机房人员出入登记表的信息是否相一致	查阅记录及机房勘察	每半年一次	丽江师范高等专科学校
	应配备防火和防水系统，并定期检查和维护	查看防火/防水系统是否正常运行，是否定期检查和维护（查看相关维护文档或记录）
	应配备UPS和备用发电机，并定期检查和维护	检查UPS和备用发电机是否能正常运行，是否定期检查和维护（查看相关维护文档或记录）
	机房温湿度应符合制度要求	检查机房内的温度、湿度是否符合要求
	应配备报警系统，并定期检查和维护	检查报警系统是否能正常工作，是否定期检查和维护（查看相关维护文档或记录）
	机房布线应整齐，并设有出线口保护装置	检查机房布线是否整齐，保护装置是否有破损
	应配备实时监控设备，并定期检查和维护	检查机房内录像监控是否正常运行，是否定期检查和维护（查看相关维护文档或记录）
办公区域安全管理	所有员工必须佩带工作证	检查办公区域员工是否佩戴工作证	现场观察	每半年一次	办公室
	无人使用的电脑应保持锁屏状态	检查办公区域无人使用的电脑是否锁屏	现场观察
	打印/复印机处不应遗留含有敏感信息的纸张	检查打印/复印机处是否有含有敏感信息的纸张	现场观察
网络安全管理	网络配置修改应按照变更流程实施，有正式的审批和授权	检查网络配置变更记录，是否有正式的审批记录	查阅记录	每年一次	丽江师范高等专科学校
网络安全管理	网络配置修改应按照变更流程实施，有正式的审批和授权	对比网络配置变更记录，检查设备实际变更情况，是否存在非授权变更行为	查阅记录并系统检查	每年一次	丽江师范高等专科学校
IT设备基线管理	IT设备基线应按标准要求实施，标准更新应有正式的审批和授权	查看IT设备基线的实施计划和报告，抽样检查设备的实际配置与实施报告是否一致	查阅记录并系统检查	每年一次	丽江师范高等专科学校
IT设备基线管理	IT设备基线应按标准要求实施，标准更新应有正式的审批和授权	检查IT设备基线是否有更新情况，更新是否通过审批	查阅记录并系统检查	每年一次	丽江师范高等专科学校
应用系统运行安全	新系统上线应通过正式的审批，并经过安全检查	检查新系统上线的各种审批记录，以及安全检查记录，是否按照新系统上线流程执行，并经过了安全检查	查阅记录	每年一次	丽江师范高等专科学校
个人桌面安全管理	必须设置登录密码，口令必须8位以上，由字母、数字、字符两种以上组合	依据信息中心的个人桌面检查结果，随机抽样合格个人终端和不合格个人终端进行检查，是否仍有不符合情况	系统检查	每半年一次	全员
	必须安装指定病毒防护系统，并及时更新病毒库
	必须及时安装操作系统关键补丁
	屏幕保护设置时间小于3分钟，长期离开时应锁屏
	关闭文件共享，因工作需要共享文件的要设口令并及时取消共享
用户和口令管理	用户账号和权限分配	抽查用户账号申请的相关书面文档并和计算机用户账号日志文件进行比对，是否相一致	查阅记录并系统检查	每半年一次	丽江师范高等专科学校
	用户账号和权限分配	抽查用户权限分配情况，是否与业务需要相一致（尤其是特权用户）
	密码的安全设置和强度	查看系统密码的安全配置功能是否启用
	密码的安全设置和强度	检查系统是否拒绝创建不符合安全要求的用户账号和密码
	关键服务器、小型机、数据库的管理员和超级管理员账号和密码	查看用户账号登录和注销日志文件
	关键服务器、小型机、数据库的管理员和超级管理员账号和密码	查看用户账号密码变更、禁止和删除的日志文件
数据备份和恢复	重要数据应按照备份策略定期进行备份	抽样检查备份策略和实际备份数据	查阅记录并系统检查	每年一次	丽江师范高等专科学校
	备份数据应定期进行恢复性测试	检查备份数据的恢复性测试记录	查阅记录	每年一次	丽江师范高等专科学校
	备份介质应存放在安全区域，不能存放在生产数据区	检查备份介质的存放位置	现场观察	每年一次	丽江师范高等专科学校
日志管理和审计	应每天对设备产生的日志进行分析，发现异常日志，须及时处理	检查异常日志的分析处理记录	查阅记录并系统检查	每年一次	丽江师范高等专科学校
信息安全事件管理	信息安全事件应分级处理，并对事件进行分析总结和改进，以降低事件再发生的概率	审核《安全事件处理报告》，检查事件级别和实际处理过程是否符合要求	查阅记录	每年一次	丽江师范高等专科学校
信息安全事件管理	信息安全事件应分级处理，并对事件进行分析总结和改进，以降低事件再发生的概率	检查某一种事故出现的频率，如果频率过高说明事件没有能够及时处理和处理方法不得当	查阅记录	每年一次	丽江师范高等专科学校
法律符合性管理	应定期识别和更新法律法规清单	检查法律法规清单的更新记录	查阅记录	每年一次	丽江师范高等专科学校
信息安全培训和教育	应制定年度培训计划并实施，以提高全员安全意识和信息安全管理	检查年度信息安全培训计划，及相关的培训记录	查阅记录	每年一次	丽江师范高等专科学校