在线黄色毛片,美女视频黄色网址,国产超级乱婬av片,2022年精品国产福利在线,色五月激情五月,激情视频网站,亚洲视频欧美

安全管理網(wǎng)

信息系統(tǒng)審核規(guī)范

  
評論: 更新日期:2021年04月20日

1. 目的和范圍

確保本公司制定的信息安全策略和規(guī)定能夠定期評審和正確執(zhí)行。

2. 術(shù)語和定義

ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》

ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實施細則》規(guī)定的術(shù)語適用于本標準。

3. 引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準,然而,鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標準。

ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求

ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實施細則

合規(guī)性管理程序

補丁管理規(guī)定

4. 職責和權(quán)限

(1) 制定信息系統(tǒng)安全審核策略

(2) 對信息系統(tǒng)進行定期審核

5. 活動描述

(1) 技術(shù)部根據(jù)公司情況,制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測試等方面的審核策略,必要時填寫《信息系統(tǒng)定期評審策略明細表》

(2) 管理人員應(yīng)確保在其職責范圍內(nèi)的所有安全程序被正確地執(zhí)行,以確保符合安全策略及標準。

(3) 管理人員應(yīng)對自己職責范圍內(nèi)的信息處理是否符合合適的安全策略、標準和任何其它安全要求進行定期評審。

(4) 信息系統(tǒng)應(yīng)被定期檢查是否符合安全實施標準。

(5) 任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成,或在他們的監(jiān)督下完成。

(6) 涉及對運行系統(tǒng)檢查的審核要求和活動,應(yīng)謹慎地加以規(guī)劃并取得批準,以便最小化造成業(yè)務(wù)過程中斷的風險。

(7) 漏洞掃描管理:

1) 管理員應(yīng)定期進行漏洞掃描,客戶端和服務(wù)器可考慮使用奇虎360工具進行漏洞掃描。

2) 根據(jù)漏洞掃描結(jié)果,管理員應(yīng)及時根據(jù)《補丁管理規(guī)定》及時修補系統(tǒng)漏洞。

3) 滲透測試管理:

4) 技術(shù)符合性檢查應(yīng)由有經(jīng)驗的系統(tǒng)工程師手動執(zhí)行(如需要,利用合適的軟件工具支持),或者由技術(shù)專家用自動工具來執(zhí)行,此工具可生成供后續(xù)解釋的技術(shù)報告。

5) 如果使用滲透測試或脆弱性評估,則應(yīng)格外小心,因為這些活動可能導致系統(tǒng)安全的損害。這樣的測試應(yīng)預先計劃,形成文件,且重復執(zhí)行。

6. 審核注意事項:

(1) 應(yīng)與合適的管理者商定審核要求;

(2) 應(yīng)商定和控制檢查范圍;

(3) 檢查應(yīng)限于對軟件和數(shù)據(jù)的只讀訪問;

(4) 非只讀的訪問應(yīng)僅用于對系統(tǒng)文件的單獨拷貝,當審核完成時,應(yīng)擦除這些拷貝,或者按照審核文件要求,具有保留這些文件的義務(wù),則要給予適當?shù)谋Wo;

(5) 應(yīng)明確地識別和提供執(zhí)行檢查所需的資源;

(6) 應(yīng)識別和商定特定的或另外的處理要求;

(7) 應(yīng)監(jiān)視和記錄所有訪問,以產(chǎn)生參照蹤跡;對關(guān)鍵數(shù)據(jù)或系統(tǒng),應(yīng)考慮使用時間戳參照蹤跡;

(8) 應(yīng)將所有的程序、要求和職責形成文件;

(9) 執(zhí)行審核的人員應(yīng)獨立于審核活動。

相關(guān)記錄

表1-1 信息系統(tǒng)定期評審表

序號記錄編號報告/記錄名稱保管場所期限保存形式備注
A.1ISMS-3020-01信息系統(tǒng)定期評審明細表技術(shù)部3年電子文檔
網(wǎng)友評論 more
創(chuàng)想安科網(wǎng)站簡介會員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們