《信息系统一般控制审计.docx》由会员分享,可在线阅读,更多相关《信息系统一般控制审计.docx(27页珍藏版)》请在课桌文档上搜索。
1、信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计(-)业务概述组织的信息系统开发根据方式不同,通常包括自主开发、外委开发、或者二者兼有的开发方式。组织在进行信息系统开发时,应当根据自身技术力量、资金状况、发展目标等实际情况,选择适合自身的开发方式和合作伙伴。应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。(二)审计目标和内容审计目标:通过规范开发程序,提高信息系统开发的可控性、安全性、可靠性和经济性,揭示信息系统开发环节存在的风险及问题,提出完善信息系统开发控制的审计意见和建议,实现组织目标
2、。审计内容:开发组织机构设置、资源配置情况。开发过程中与业务部门的沟通情况。系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。(三)常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险:1.组织未成立专门的开发建设项目组,可能导致信息系统开发建设责任制未落实的风险。2 .信息系统开发工作缺乏必要支持。组织内部无专业技术人员或是缺乏必要的财务支持,导致开发失败的风险。3 .信息系统开发过程没有业务部门人员参与,未定期与业务部门共同审核信息系统的开发建设情况,未及时发现系统不能满足业务的需
3、要,可能导致与业务需求不相符的风险。4 .组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系,不能有效控制开发质量;开发过程中未进行必要的安全控制,未对源代码进行有效管理和严格审查可能导致的风险。5 .项目需求说明书阐述业务范围及内容不清晰,未能结合需求制定出最优化的技术设计方案的风险。开发环境、测试环境和生产环境未分离,网络未有效隔离,设备未独立于生产系统,开发人员直接接触生产系统,直接使用未经批准并脱敏的生产数据,导致泄密或造成生产系统受损的风险。6 .在开发过程中未根据用户提出的业务需求,制定信息系统变更程序相关制度或变更程序不合理,导致与承建方或第三方产生合同法律纠纷
4、或费用超支、工期延误的风险。7 .信息系统开发工作完成后,未及时进行交付导致系统无法发挥作用的风险,未加强信息系统项目开发设计、源代码、技术使用、运行维护说明书、用户手册等文档管理和文档版本控制导致的开发效率低、不经济的风险。8 .数据继承和迁移:组织在对信息系统升级变更时,未对历史数据的继承和迁移给予足够的重视。未对数据结构进行合理规划,未对数据进行兼容性分析,导致因兼容性不够而造成的历史数据无法使用和继承的风险。除常见风险外,外委开发项目还应关注下列风险与问题:1 .组织的信息管理部门对外委项目开发未进行有效的管理与控制,导致信息系统开发计划与实际运行不符,信息系统项目无法按时完工的风险。
5、2 .组织未及时与外部受托单位沟通项目开发阶段的计划执行情况,导致实施内容与建设目标偏离,造成开发工作无法满足组织需求的开发风险。3 .组织未对外包开发的技术人员加强管理,离职的开发人员未签订保密协议而造成泄密的风险。未对外包开发的开发方进行充分调研分析,不能保证系统可靠性的风险。(四)审计的主要方法和程序自主开发项目的主要审计方法和程序:1.调阅项目相关的制度、流程、指引和开发建设文档,查看是否有专门的项目组织机构,是否分配相应职责。2 .查看项目开发进度报告是否包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况,检查组织是否建立了质量检测和风险评估机制等。3 .检查组织的信息系
6、统需求和技术架构评估文档,查看系统需求与业务目标是否保持一致;检查需求详细说明书,项目进度及详细的软件开发计划。4 .询问系统开发小组负责人,了解组织是否建立了系统开发质量控制体系以及质量控制检查和监督记录。5 .检查系统开发环境、测试环境和运行环境是否分离,网络是否有效隔离,设备是否独立于生产系统,开发人员是否不得接触生产系统,开发过程中是否使用了生产数据,使用的生产数据是否得到管理层的批准并经过脱敏或相关限制。6 .检查系统开发过程中,是否进行了安全控制,是否对源代码进行了有效管理和严格检查,系统所有入口是否都经过安全规则的控制,并在系统开发文档中全部注明。7 .检查是否制定了组织信息系统
7、开发文档管理规范、制度,查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册,风险评估报告等项目文档管理是否符合规范,是否进行了文档的版本控制:检查组织是否有系统开发过程的检查记录,是否对系统完整性、恶意代码和后门程序进行了防范。除常用检查程序外,外委开发项目还应采取以下方法程序:1 .检查外委项目的系统开发中组织信息管理部门与外部受托方的协调与沟通的记录,检蛰组织根据信息系统要求及时调整开发进度与考核的书面资料,是否存在系统开发偏离开发目标的问题,是否存在项目开发计划与进度不匹配的问题。2 .检查外委项目关键技术人员的管理制度及保密协议,是否存在开发人员频繁调整影响开发进度,是否
8、存在离职未签订保密协议造成泄密的情况。3 .获取项目组关于业务需求变更的处理资料,检查是否根据项目需求及时变更项目开发程序,且该变更是否经过适当的授权与审批。B.应用系统测试审计(-)业务概述系统测试是指在规定条件下操作信息系统,以发现程序错误,衡量系统质量,评估其是否能满足设计要求的过程。通过测试避免开发风险,测试结论一般分为同意通过测试、需复议和不同意通过测试三种情况。系统测试主要包括功能测试、界面测试、可靠性测试、易用性测试和性能测试。功能测试主要针对功能可用性、功能实现程度(功能流程和业务流程、数据处理和业务数据处理)等方面,一般包括系统单元测试、集成测试、性能测试、安全测试、用户测试
9、等内容。(二)审计目标和内容审计目标:组织通过对测试方案和测试标准、测试步骤、测试用例和所需的系统设置要求过程开展审计,达到对信息系统项目的功能性、效益性和经济性进行评价。审计内容:包括但不限于各阶段的测试计划与方案、各部分的测试报告,测试数据及对测试结果存在偏差的更正记录等。(三)常见问题和风险1 .测试计划、标准、步骤、用例和所需的系统设置要求不清晰、不明确,特别是缺少最终用户测试,导致无法实现需求功能的风险。2 .测试过程中存在BUG,在执行测试时未发现或发现后未与开发方沟通导致的BUG,未及时修正或对已修正的BUG未进行返测的风险。3 .在系统测试完成后,未提交测试报告;未及时为用户测
10、试准备数据,测试数据脱离生产环境的实际数据或与系统所实现的设计要求不符的风险。4 .测试人员未依据安全技术标准进行安全测试,发生数据安全事故。5 .系统安装部署手册、功能测试报告、集成测试报告、性能测试报告、用户培训教材等测试文档不全或出现缺失的风险。6 .系统实施结果未经充分测试即投入使用,程序功能上的缺陷或系统配置上的错误未能及时发现,导致系统运行不稳定或业务功能失效的风险。(四)审计的主要方法和程序1.获取信息系统的测试计划及标准、各阶段的测试报告,特别是最终用户的测试报告,现场演示系统运行效果,以检查测试结果满足功能需求的真实性和有效性。2 .获取测试中发现问题的解决方案,检查测试发现
11、的问题是否已得到解决;系统变更测试的环境是否与生产环境严格分离,检查是否对变更人员、日期、目的、内容、影响等进行审核,是否按照组织设立的审批流程对系统变更进行审核。3 .组织在进行新旧系统切换时,是否开展业务数据兼容性测试,是否制订了详细的数据迁移计划;检查业务系统上线前,是否进行过数据迁移测试和数据有效性、兼容性验证。4 .调阅信息系统升级文档,是否进行过更新;检查是否制订了相关制度、标准和流程,以保证信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。C.应用系统上线验收审计(一)业务概述系统上线包括应用注册、生产资源申请及运行监控、系统及数据初始化、信息安全评估、技术架构符合性评
12、估等。信息系统初始化工作,包括系统的权限设置、数据准备、流程配置以及提交用户手册、系统维护手册、应急处理办法,对运行人员、业务管理人员和业务操作人员进行培训,开发人员与运行维护人员职责移交等。(二)审计目标和内容审计目标:组织通过对系统上线验收资料、验收程序、验收方式的审计,达到规范和完善组织对信息系统的上线验收工作,保证项目按时上线、发挥应有作用。审计内容:包括但不限于验收资料,验收报告、检查工作报告、技术报告和用户报告、系统上线批复、用户操作手册、系统维护手册及相应的适用规章制度的建立和落实。(三)常见问题和风险1 .未根据项目目标妥善进行验收或验收不规范,损害组织利益的验收风险。2 .系
13、统上线后,由于组织对信息系统的数据缺乏规范化管理的基础,或是没有足够的容量规划,导致项目运行低效。3 .系统上线后,未对运行人员、业务管理人员。业务操作人员进行必要的培训,开发人员与运行维护人员未进行职责移交而引发的责任划分不清,导致运行低效或无效的风险。(四)审计的主要方法和程序1 .获取项目可行性研究报告、总体(基础)设计、经批准的项目变更文件及合同等。审计上述资料与项目验收资料的一致性。2 .获取验收资料交接清单,包括项目启动时间,上线、单轨运行时间,项目实施、培训情况、相关资产、项目应用效益及效果。检查信息系统是否已完成项目规定的任务,对项目技术特点、应用及管理成果是否达到预期目标进行
14、评价。3 .检查文档资料管理,确认与该信息系统有关的各类文档资料已经正式归档保管,已纳入生产系统文档资料管理范围。4 .获取项目培训相关文档,检查组织是否对系统用户开展全面培训,用户使用手册、维护手册、应急处理及培训教材,判断组织是否具备相应的上线能力。5 .获取信息系统上线运行前的信息主管部门或信息主管部门委托的相关测评机构开展的信息安全评估报表,检查报告结论是否符合上线运行要求。6 .与系统使用人员访谈,了解在投产时,运行人员是否已熟悉运行操作,维护人员是否接管维护职责,从而判断是否存在操作风险。7,与相关人员访谈,了解上线的完整过程,判断上线环境是否在启用时已经验证有效、测试环境中的业务
15、数据是否按规定进行了清理。二、信息系统运维与服务管理审计(一)业务概述信息系统运维与服务管理是指组织的信息部门采用相关的方法、手段、技术、制度、流程和文档等,对信息系统的运行环境(软件环境、网络环境等信息系统的运维进行的综合管理。组织应从信息系统运维和服务的日常管理、信息系统及其物理环境的监控和故障管理、日志管理、日常事件和问题管理、信息系统的容量管理和变更管理等方面开展工作。(二)审计目标和内容审计目标:通过对人员管理、职责分离、值班巡检与操作规范等方面的检查,评价组织信息系统的运维与服务的合理性、安全性和规范性。审计内容:审计运维与服务机构人员的配置和职责分离情况,信息运维制度和规范的建立
16、健全情况,系统运行报告、监控和记录的完善情况,出现问题时的应对措施。(三)常见问题和风险1 .未对重要业务岗位或系统的运维管理岗位实施职责分离。2 .未制定详尽的日常信息系统运行操作规范说明,操作任务和步骤不明确、不清晰。3 .未定期生成信息系统运行报告并对其进行分析,特别是重要信息系统,或管理层未审阅有关报告。4 .运维过程中出现问题,无有效应急处理预案,导致系统运行效率低的风险。(四)审计的主要方法和程序1 .人员及职责审计(1)访谈信息系统部门负责人及信息系统风险审计负责人,调取组织岗位职责及人员名单,验证相关不相容岗位是否实现了分离,是否存在岗位分离但人员兼岗的现象。(2)抽取部分应用
17、系统,并从中取得操作系统用户清单、数据库用户清单、应用系统用户清单以及开发测试系统的相应清单,验证是否存在事实上的兼岗现象,是否存在开发人员在生产系统中存在账户的现象。2 .值班巡检(1)访谈信息系统部门负责人,了解组织是否根据信息系统规模和水平建立信息系统运行值班和巡检制度。(2)查阅组织的信息系统巡检记录,验证巡检内容、巡检频率是否与巡检制度相符,发现问题是否完整记录并上报。3 .操作规范访谈信息系统部门负责人,询问是否针对重要信息系统制定操作规范,并实地查看对比值班人员职责,验证其履职情况。4 .运行报告(1)访谈信息系统部门负责人,是否针对日常运维与服务和重要信息系统,定期生成运行报告
18、并提交管理层审阅。(2)审计针对运行报告中的问题,有无有效的应急处理预案,是否存在未及时解决运行问题的情况。A.日志管理审计(-)业务概述日志管理是指组织为满足法律和行业监管的合规要求,日常的交易记录采取必要的程序和技术加以保存,确保存档数据信息的完整性,满足安全保存和可恢复的要求。(二)审计目标和内容审计目标:通过对日志管理的审计,合理地保证组织负责运营的信息系统所涉及的用户活动以及信息安全事件日志被记录,并按照规定的期限进行保留,以支持将来的调查和访问控制检查,确保对存在的问题及时采取措施纠正和防范。审计内容:日志管理制度与策略体系的建立健全规范情况,用于日志信息及其存储介质安全防护的相关
19、程序、技术和措施。(三)常见问题和风险1 .未建立健全规范的日志管理制度与策略体系,或采取必要的技术工具,对组织所负责的信息系统日志进行留存并符合监管要求。2 .未对存储的日志信息及其存储介质采取妥善的物理和逻辑安全防护措施。3 .未定期对日志信息进行分析,可能导致未对存在的管理与技术漏洞采取纠正和防范措施。(四)审计的主要方法和程序1.日志管理制度与策略(1)查阅组织日志管理规范与策略,检查日志存储内容、留存时间、访问控制策略等内容是否完整。(2)对日志信息进行抽样检蛰,检查内容是否与规范要求相符以及日志留存时间是否符合规范要求。其中,存储的内容应至少包括:用户ID、登录和退出的日期、时间和
20、关键事件等细节,终端用户的身份和位置、成功和被拒绝的对系统和数据及其他资源的访问记录、系统配置的变化、特权的使用、系统工具和应用的使用、访问的文件和访问类型、网络地址和协议、访问控制系统引发的报警、防护系统的激活和停用。4 .日志信息的保护审计(1)访谈系统运维负责人,询问是否存在对信息系统的日常运维操作及用户登录操作日志信息的管理,是否有防止非法访问和篡改的保护措施。(2)查验日志存储信息是否存在日志信息被编辑或删除、日志保存介质耗尽、或者不能记录事件以及自身覆盖重写的情况。(3)检查保存日志存储介质周围的物理环境是否存在安全隐患,并采取必要的物理防护措施,如防火、防磁等。3.日志检查审计(
21、1)访谈系统运维负责人,询问是否定期对系统管理员和系统操作者的活动日志进行了评审。(2)抽样调阅系统日志信息,查验日志内容是否包括但不限于以下信息:事件发生的时间、关于事件(例如处理的文件)或故障(发生的差错和采取的纠正措施)的信息、涉及的账号和管理员或操作员、涉及的过程,并调阅日志检查记录,核实相关日志是否被定期评审。(3)调阅系统错误日志,是否完整地记录处理信息、应用系统以及通信系统的问题,并明确记录故障处理的相关措施。主要包括:评审故障日志,了解是否已解决故障;评审纠正措施,评估方法的合理性。B.系统监控与故障管理审计(-)业务概述系统监控,是指组织为确保信息系统的运行安全,针对其所处的
22、基础物理环境、系统性能(如网络、主机等)及其运行状况,明确并建立测评体系和监控机制,通过人工与自动化监控系统相结合的方式加强安全检查,从而及时发现问题并采取适当的措施进行处置。(二)审计目标和内容审计目标:通过对信息系统基础物理环境、系统性能、系统运行等三方面监控的检查。确保组织建立了系统监控的相关管理制度规范与测评体系,并部署了相应的自动化监控系统与工具:确保组织针对信息系统基础环境(如温度湿度、消防、防水、空调、电力)建立了监控机制。审计内容:测评体系和监控机制的建立情况,通过人工与自动化监控系统相结合的方式,加强安全检查的应用情况,发现问题并及时采取适当的措施进行处置的情况。(三)常见问
23、题和风险1.未建立完善的系统监控与测评体系,测评指标无法完整地反映组织对信息系统基础物理环境、系统性能、系统运行的监控要求。2 .未有效部署监控系统,或监控系统没有按照既定的监控指标对基础物理环境、系统性能、系统运行实施监控,监测内容不完整。3 .监控过程中出现的问题不能及时预警或无法得到及时处置。(四)审计的主要方法和程序4 .系统监控与测评的制度规范体系建立(1)访谈组织信息技术负责人,了解是否就信息系统自身及其所处的基础物理环境建立监控相关制度规范、运行和维护测评体系,以及是否有专门部门和人员负责系统测评考核工作。(2)查阅相关文档,检蛰监控相关制度规范是否覆盖基础物理环境、系统性能和系
24、统运行等三方面;查验是否建立了针对系统运行的测评体系,测评指标和内容是否覆盖基本要求。(3)通过访谈及文档蛰阅,验证针对测评指标不达标的方面是否进行了及时处置。5 .基础物理环境监控(1)直阅组织基础物理环境监控相关制度,检查制度内容是否明确规定了基础环境监测相关内容。(2)查阅组织日常巡检登记簿,验证是否按照相关制度严格进行监控、登记簿登记是否完整。(3)查阅组织的故障记录,并对比日常巡查登记簿,验证是否能够及时发现基础环境中出现的问题。3.系统性能监控(1)查阅组织系统性能监控相关制度,检查制度内容是否明确规定了系统性能监测相关内容。(2)调阅组织日常退检登记簿,验证是否按照相关制度进行监
25、控、登记簿登记是否完整。(3)实地查看监控系统,验证其监测内容是否完善,监控指标能否完整反映线路质量、通信设备的处理能力和网络服务质量的参数,如误码率、主机的CPU、内存、端口的使用率、吞吐量、传输和时延、响应时间等指标。(4)查验监控系统是否能够及时监测性能异常并产生、发送警告,且与当前系统的实际情况进行验证。(5)参照事件管理处置流程,验证组织在监测到系统性能异常后能否及时处置。(6)通过查询组织系统故障记录验证监控的有效性。4.系统运行监控(1)查阅组织应用系统监控相关制度,检查制度内容是否明确规定了应用系统监测相关内容。(2)调阅组织日常退检登记簿,验证组织是否按照相关制度严格进行监控
26、、登记簿登记是否完整。(3)实地查看监控系统,验证其监测内容是否完善,监控指标能否完整反映系统运行状态、迸发用户数量、异常交易等。(4)实地查看验证数据中心网管工作站、系统性能监视屏、系统资源监视屏、会话连接监视屏、应用错误监视屏是否有专人负责监控。(5)通过查询组织系统故障记录验证监控的有效性,检查在监测到应用中断等异常时是否可以及时产生警告。(6)参照事件管理处置流程,验证组织在监测到应用异常后能否及时处置。C.变更管理审计(-)业务概述变更管理,是指组织通过对信息系统服务组件的变更实施管理和评审,从而确保变更的有效性,满足业务需求,以及降低变更对服务质量的影响。(二)审计目标和内容审计目
27、标:通过对变更管理制度、变更流程、配置文档的审计,及时识别、控制风险,确保达到信息系统安全策略要求的安全水平。审计内容:变更管理制度的规范完整、重要变更评估方法和结果、重要变更的应急方案和措施。(三)常见问题和风险1 .未建立健全变更管理制度规范,未对变更进行明确分类并据此制定严格的变更流程。2 .未针对生产系统的重要变更进行影响评估。3 .变更前未制定应急回退计划。4 .由于系统更新升级不及时影响目标实现。(四)审计的主要方法和程序1.变更管理制度与流程(1)访谈组织信息技术负责人,了解是否就信息系统的变更制定相应的制度规范和变更流程。(2)查阅变更管理制度,检查其内容是否对变更进行明确分类
28、(一般变更、重大变更和紧急变更),并据此规范变更的管理流程、角色和职责。(3)抽样调阅变更文档,查看是否包括以下部分:变更的标识和记录;变更的策划和测试;变更影响的评估,包括安全影响;对变更的授权批准程序;向变更设计人员传递变更细节;反馈程序,包括从不成功变更、未预料事件中退出及恢复的程序和职责;验证是否包括变更后的测试及评估报告。2 .变更评估与审批审计(1)抽取组织部分变更记录,查验变更记录中是否有影响评估的内容,以及评估内容至少包括技术可行性、业务影响、风险等级等方面;查看评估报告是否经过管理层审阅。(2)查验变更记录中的变更授权过程记录是否清楚,是否符合该机构变更管理规定中有关授权级别
29、的规定;跟踪变更流程,验证是否能严格按照授权进行变更,是否存在超授权、无授权变更的情况。(3)查阅变更记录,验证变更前是否制定了应急回退计划,因特殊情况无法回退的,是否说明了原因。3 .变更执行审计(1)查阅变更记录,验证相关变更是否定期安排进行。验证除紧急变更外,常规变更时间安排是否合理。(2)查阅变更记录,验证组织是否尽量采用常规变更。减少紧急变更。(3)查阅变更记录,验证变更手续是否完备,特殊情况无法书面申请的,是否在变更后及时补办了相关手续。(4)紧急变更审计,查阅变更记录,验证紧急变更后是否经过相关负责人的补签并对紧急变更进行合理性评估。D.事件与问题管理审计(-)业务概述事件管理是
30、指组织为防范任何可察觉和可识别的、对信息系统基础设施管理或者信息系统服务造成影响的现象而采取的管理机制,对信息系统运行事故及时响应,逐级上报,记录、分析和跟踪事故进展,直到对事故进行彻底的改正并完成根本原因分析。问题管理是指组织为从根本上消除问题,定期组织人员对事件进行评估、分析,对有共源性的事件进行升级,通过建立问题管理台账机制,全面地追踪、分析和解决信息系统问题,分析问题发生的根源。(二)审计目标和内容审计目标:通过对组织的事件与问题管理两方面的检查,督促组织建立正常的信息安全事件报告、应答和分类机制,通过建立事件、问题管理台账机制,全面地追踪、分析和解决信息系统问题。审计内容:检蛰信息安
31、全事件、问题的管理机制,信惠安全事件、问题的响应、评估、上报、处置情况。E.容量管理审计(-)业务概述容量管理,是指组织通过对容量的监控、需求的识别、预先的规划和准备,确保及时提供足够的容量,保证资源可用性,最终确保业务系统的可用性和效率。(二)审计目标和内容审计目标:通过对系统容量管理的检查,判断组织是否通过对应用系统的分析,监控并掌握系统容量需求,预测未来所需资源,以此制定容量规划,并在尽量减少对业务影响的前提下,通过规范的容量变更流程合理扩充系统容量。审计内容:系统容量的监控、分析、调整、应急处置情况。三、信息安全管理审计信息安全,是指保护组织信息资产的机密性、完整性和可用性,信息内容符
32、合国家法律、法规及监管要求。信息安全管理审计,是指通过调查取证以发现组织中是否对信息安全治理、信息安全管理及信息安全技术等方面存在充分的控制,评价这些控制的有效性和适宜性。A安全管理审计(-)业务概述安全管理,是指组织通过制定总体信息安全管理方针,明确工作的总体目标、范围、原则和安全框架等内容;通过建立制度规范、操作规程、安全策略,确保安全管理工作的合规性,支持组织业务安全运营;通过风险评估、持续检查和独立审计等促进手段,实现信息安全管理体系的持续改进与完善。(二)审计目标和内容1 .评价信息安全制度规范是否符合所在地国家有关法律法规、技术标准及主管部门安全要求,是否得到切实、有效执行。2 .
33、检查是否根据资产敏感性、重要程度等因素,建立和实施相应的保护措施。3 .检查组织是否持续对信息安全风险进行评估,及时发现并制定整改计划,将整改责任落实到位。B.物理安全审计(-)业务概述物理安全管理,是指组织为确保机房及办公场所的物理安全,特别是机房,从其规划建设到日常维护,采取一整套有效的,包括制度规榻口物理工具的管理措施,确保物理环境的安全和组织的业务连续运行。(二)审计目标和内容通过对组织物理设施,特别是机房所处物理环境的安全检蛰,判断组织是否采取有效的物理安全控制措施,保障机房等物理环境的安全,防范非法访问,确保机房等重要物理设施持续、可靠地提供服务。C网络与通讯安全审计(-)业务概述
34、网络与通讯的安全管理,是指组织为确保和加强自身网络通信安全的管理,从结构规划、传输使用、安全防护与监控等方面加以管理,确保网络的安全稳定和通讯畅通,避免因网络通信故障影响业务正常开展,防范因此在操作、法律和声誉等方面产生的风险并给组织造成损失。(二)审计目标和内容通过对结构安全、传输安全、接入与访问控制、网络入侵防范、恶意代码防范以及安全审计等方面的检查,判断组织是否采取有效的控制措施,确保组织的网络与传输安全。D.主机安全审计(-)业务概述主机安全管理,是指组织为确保主机及其存储信息的安全,采取包括主机访问控制、用户身份鉴别、入侵及恶意代码防范等保护措施以及主机资源监控和安全审计等手段,确保
35、主机资源的可用性并实现对主机重要操作等用户行为的安全监控和审计,同时满足对日志管理的合规要求。(二)审计目标和内容检查组织为确保主机安全,是否制定合理的访问控制策略,并采用身份鉴别手段,对主机操作者身份进行识别和确认的过程,确保合法用户对主机及其资源的合法访问与使用;检查是否采取必要的措施,确保主机操作系统和数据管理系统所在的存储空间在重新分配给其他用户前所存储的信息得到完全清除,以及是否实施主机资源监控、入侵及恶意代码防范和主机安全审计等控制措施确保主机安全。E.应用安全审计(一)业务概述应用安全管理,是指组织为确保应用安全,从应用系统的生命周期以及服务端和客户端等三方面的安全管理为出发点,
36、采取安全管理措施,在确保应用系统安全建设及管理贯穿整个应用系统开发生命周期的同时,保证服务端和客户端具有必要的安全控制手段。(二)审计目标和内容通过对应用系统客户端、服务端及应用系统自身全生命周期的安全审计,确保客户端业务逻辑模块、安全模块、交互功能、接口功能以及服务端认证鉴权、业务逻辑,及其所涉及的通信功能的安全;此外,还从应用系统开发生命周期角度,检查、评价应用软件在需求、设计、开发、测试、部署、运营及废弃各阶段的安全控制措施。F数据安全审计(-)业务概述数据安全管理,是指组织为确保自身数据资产的安全性,以数据全生命周期为线索,从人员、流程和技术三方面,采取安全管控措施,确保组织的数据安全
37、。(二)审计目标和内容通过制度层面以及数据全生命周期管理、完整性和保密性等方面的检查,确保组织对数据均进行安全控制,同时采取必要的技术工具,防范数据完整性遭受破坏、数据泄露并确保数据的可用性,了解组织是否在必要的情况下,为重要系统建立灾备系统。G.访问控制审计(-)业务概述访问控制管理,是指组织为防止信息资源遭受未经授权的访问,确保其在合法的范围内使用,所采取的物理和逻辑的控制手段,并借助有效的用户身份识别和访问控制策略,对身份和权限进行管理,特别当组织存在用户远程接入时,重点对其进行安全管理。(二)审计目标和内容该项目的审计目标旨在通过对组织物理访问控制、逻辑访问控制以及账号权限的检查,判断
38、组织是否对组织及信息系统所处区域实施物理安全防护,避免未授权的访问、损坏或干扰,以及是否根据组织既有的访问控制策略,针对单个用户或组用户对组织资源的访问控制规则和权力进行逻辑控制;此外,通过对远程接入管理的检查,检蛰远程工作活动是否安全、受控,从而确保远程工作地的安全,防止设备和信息被盗、未授权泄露信息、远程访问滥用。H.安全防护审计(-)业务概述安全防护,是指组织为确保主机、终端、网络通讯设备以及应用系统和数据的安全,所采取的补丁及漏洞管理、存储介质安全防护和密码终端与技术等安全防护手段。(二)审计目标和内容通过从制度规演口技术工具层面,重点检查组织是否制定完善的制度管理规范,以及对主机、终
39、端和网络设备采取补丁及漏洞管理,对普通和移动存储介质进行有效识别和管理,对日常通信和业务处理使用密码技术和产品,从而防范漏洞和恶意代码对业务及数据造成危害,存储介质上的信息遭受损失或泄露,确保信息在传输、交换和存储过程中机密性、完整性、可用性和抗抵赖性。1.终端安全(-)业务概述移动终端安全管理,是指以移动存储介质为载体的固定终端和移动终端的安全管理,组织为确保上述终端的安全,一方面从其选取、采购、申领、发放等过程制定一整套完善的安全管理制度,另一方面通过常规的安全防护工具和技术,在对固定终端进行安全管理的基础之上,针对便携式终端采取特殊的管理手段。(二)审计目标和内容通过对制度规范以及固定终
40、端和移动终端安全的检查,检查组织是否制定相应的管理制度,从而对各类设备的选取、采购、申领、发放和运维等流程进行管理,以及对两种终端采取安全保护措施。J安全体系运行与事件管理审计(一)业务概述安全体系运行与事件管理,是指组织以安全管理中心的形式,将制度流程、技术工具和人员统一集中管理应对日常网络安全事件,并通过建立具备安全态势感知和预警的能力,对网络安全事件采取积极、主动的防御措施。(二)审计目标和内容通过检查组织是否对信息安全体系运行进行集中管理,是否对安全事件、恶意代码、安全日志、安全知识等安全相关事项进行集中管理;是否优化安全事件、安全监控、访问控制、防恶意代码、安全审计等方面的日常安全工作。
