还剩2页未读,继续阅读
文本内容:
信息安全审计制度第一章第一条为促进完善公司治理,加强内部控制和风险管理,健全内部审计体系,督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“信息安全审计”),提升内部审计的独立性和有效性,保护出借人与借款人的信息安全,依据国家网络安全相关规定和国家信息安全等级保护制度的要求,特制定本制度第二条本制度所称信息安全审计是公司内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价公司网络和信息安全,促进公司网络稳健安全运行,保护信息安全第三条信息安全审计目标包括促进公司建立并持续完善有效的风险管理、内控管理和公司治理架构;督促相关审计对象有效履职,共同实现本公司战略目标第四条信息安全审计应独立于业务经营、风险管理和内控管理,并对上述职能履行的有效性实施评价信息安全审计活动应遵循独立性、客第二章观性原则,不断提升信息安全审计人员的专业能力和职业操守信息安全审计内容及方法第五条信息安全审计内容分为管理和技术两个方面,管理审计检查安全管理制度的执行情况;技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况第六条信息安全审计通过设立独立的审计岗位或交叉审计等方式开展,可采用人工和技术手段相结合的方式公司为独立、客观开展信息安全审计工作提供必要的保障第七条信息安全审计原则对重要系统、核心设备、规章制度和技术要求,进行重点检查依据各项安全管理规定和技术检查,检查具体要求的落实情况第八条信息安全审计频次和方法
(一)针对公司范围进行的全面审计,每年一次,不定期开展
(二)对局部范围进行的安全策略技术审计,根据公司信息安全等级保护文件规定,三级系统每半年审计一次,三级以下系统每年审计一次,并形成系统的审计报告
(三)信息安全审计方法包括对安全运行维护等记录的抽样检查、系统检查、现场访问等第九条信息安全审计重点应包括重点要求、重点规范,重要系统中的重要设备,以及用户的操作行为等第三章信息安全审计工作流程第十条内部审计部门应根据公司内部审计要求、业务性质、风险状况、管理需求及审计资源的配置情况,确定审计范围、审计重点、审计频率,审计人员和配合人员安排,采用的技术手段、主要风险及规避方案等第十一条信息安全审计人员应根据项目审计方案,综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法,获取审计证据,并将审计过程和结论记录于《信息安全审计检查表》等审计工作底稿中检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等信息安全审计人员进行的信息安全审计采取现场审计与非现场审计相结合的方式,并通过加强非现场审计系统建设,增强信息安全审计的广度与深度在实施必要的审计程序后,按照《信息安全审计检查表》,采用人工和技术手段相结合的方式,进行抽样检查、系统检查、现场等,并逐一记录结果内部审计部门应加强信息科技在审计工作中的运用,不断完善内部审计管理信息系统在审计过程中,信息安全审计人员应做好与审计对象的沟通交流第十二条信息安全审计人员应征求审计对象意见并及时完成《信息安全审计报告》审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、分析主要问题,提出改进意见及下次审计重点等建议内容第十三条被审计系统责任部门按照审计报告,形成《信息安全审计问题整改计划及实施方案》,并提交《信息安全审计改进情况报告》第十四条各方签字的《信息安全审计报告》、《信息安全审计问题整改计划及实施方案》和《信息安全审计改进情况报告》等相关文档,经过审批后提交公司信息安全领导小组存档第四章附则第十五条本制度自发布之日起执行XXXXXXX2017年8月1日。