一、总则
1、为对丽江师范高等专科学校信息安全管理体系进行全面的安全审计和安全检查,具体验证体系的有效性、完整性和准确性,并对发现的问题采取及时有效的纠正措施,确保整个信息安全管理体系的不断完善和发展,特制订本管理办法。
2、本办法适用于丽江师范高等专科学校及其下级单位。
二、规范性引用文件
本文参考的国际信息安全标准、国家信息安全标准相关规范。
《信息技术 安全技术 信息安全管理体系要求》(ISO27001:2005)
《业务连续性管理 第一部分:实用规则》(BS 25999-1:2006)
《业务连续性管理 第二部分:规范》(BS 25999-2:2007)
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
三、术语和定义
1、计算机硬件是指计算机终端、PC机、服务器、主机、打印机、磁盘设备、网络连接设备、路由器、交换机、调制解调器、通信传输设备等。
2、计算机软件是指应用软件、测试软件、各类支持软件、操作系统软件、数据库软件、网络管理软件、系统管理软件和监控软件等。
3、计算机系统是指支撑业务的计算机网络系统(局域网、城域网、广域网、内联网、互联网等)、网络安全系统(防火墙系统、防病毒系统、入侵检测系统、备份系统等)、业务系统、系统、办公自动化系统等。
4、计算机数据是指在设备以及系统存储器和缓冲器中的数据、移动存储介质中的数据、在信道上传输的数据、数据库中的数据等。
5、计算机文档是指软件、硬件、系统的数据文档、用户文档和有关的技术文档。
6、人员是指丽江师范高等专科学校的所有人员。
四、职责
1、丽江师范高等专科学校职责
丽江师范高等专科学校是信息安全审计和检查的归口管理部门。
①负责组织制订信息安全审计和检查管理的相关标准、规范和管理制度。
②负责监督、指导和考核信息安全审计和检查的管理工作。
③负责信息安全审计和检查的管理工作。
2、云南永盛会计师事务所职责
云南永盛会计师事务所是丽江师范高等专科学校信息安全审计和检查的管理部门。
①负责贯彻执行丽江师范高等专科学校信息安全审计和检查相关标准、规范和管理制度。
②负责汇总、上报本单位的信息安全审计和检查工作报告。
3、业务部门职责
业务部门是业务信息系统的业务归口管理部门,与云南永盛会计师事务所共同负责信息系统的建设与审计、检查工作。
①负责提出业务信息系统的信息安全审计和检查需求。
五、管理内容和方法
1、信息安全审计工作
(1)丽江师范高等专科学校至少每年进行一次信息安全独立审计工作,可结合单位春季、秋冬季安全检查进行。如发生重大信息安全事件,则须强制执行丽江师范高等专科学校范围内的信息安全审计。
(2)信息安全审计必须通过丽江师范高等专科学校分管领导的审批,并按照正式的程序。
(3)丽江师范高等专科学校信息安全审计主要以丽江师范高等专科学校正式颁发的信息安全管理规范和技术标准、以及有关信息系统安全的法律、法规和标准等为审计依据。信息安全审计相关内容可参考附录A信息安全管理制度安全审计表。
(4)审计报告由信息安全规划管理工作组对收集的资料进行分析整理的基础上,进行安全审计报告的编写。安全审计报告内容要求如下:须明确安全审计的范围;须明确安全审计的标准;须明确安全审计的检查清单;须列举所有安全问题和安全隐患,并按照严重程度进行划分;须列举所有安全问题和安全隐患的有关责任人员或责任部门;须对审计单位有安全审计的整体评估。
(5)审计报告由信息安全监督审计工作组向丽江师范高等专科学校信息安全领导小组汇报。
(6)确认审计中发现的安全问题和后续措施的实行
所有在审计过程中发现的安全问题和安全隐患,一旦经业务部门领导确认后,由业务部门信息专职人员通报给有关责任部门,并要求在规定时间内有关责任部门提出解决方案和处理报告,保证在今后的工作中不再出现类似的问题。
(7)审计工作总结
需对整个审计工作进行总结,并呈报丽江师范高等专科学校信息安全领导小组。
(8)信息安全审计的相关文档均视为丽江师范高等专科学校秘密级信息,须严格按照有关制度进行妥善保管。
(9)所有信息安全审计的工具,包括专用设备、漏洞扫描程序、密码强度测试程序、黑客攻击模拟程序等,须严格其使用控制,并由专人管理。
(10)对系统的审计活动进行规划,尽量减小中断业务流程的风险;系统审计过程控制要求,审计的范围必须经过授权并得到控制,审计所需的资源应明确定义并保证可用性,审计和记录所有的访问,对所有的流程、需求和责任都应文档化。
2、信息安全检查工作
(1)日常安全检查工作内容包括系统日常运行、系统漏洞和数据备份等情况。
(2)丽江师范高等专科学校根据管理要求确定全面信息安全检查工作周期。
(3)全面信息安全检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。可参考信息安全审计工作相关内容、流程和规定进行。
(4)应根据信息安全监督审计工作组制定的信息安全检查表格进行信息安全检查工作。
六、附则
1、本规定由丽江师范高等专科学校负责解释。
2、本规定自发布之日起试行。
3、当制订信息安全审计相关制度的依据发生变化时,例如发生重大安全事故、出现新的安全弱点、丽江师范高等专科学校信息安全管理组织架构发生变化等,需要对信息安全审计制度进行相应的审查和评估。同时,信息安全规划管理工作组还需要对信息安全审计制度进行每年一次的定期评估,以确保其内容的有效性,准确性和完整性。