ISMS-02-24-V1.0 安全审计与检查管理规定
安全审计与检查管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息安全检查和外部检查审计配合工作,明确信息安全检查方法、工作流程和跟踪改进要求,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心职责范围内的信息安全检查和外部检查审计等活动。
第三条 外部检查审计
指思度安全以外的单位或总行相关部门发起的对思度安全运营中心职责范围内涉及信息科技、管理体系相关的检查或审计,不包含财务审计。
第二章 组织与职责
第四条 风险管理组
思度安全运营中心风险管理组负责信息安全检查的组织、实施和整改情况跟踪;牵头配合外部检查审计工作的开展。
第五条 各部门
负责组织本部门信息安全自查,落实相关整改工作,配合思度安全运营中心内外部检查审计工作。
第六条 各部门信息安全员
负责实施部门信息安全自查,配合思度安全运营中心检查和外部检查审计工作。
第三章 信息安全检查的依据、方式和频率
第七条 检查工作依据
信息安全检查工作的依据为国家相关法律法规、行业规章和监管要求、总行及思度安全运营中心相关制度要求等。
第八条 安全检查分类
信息安全检查分为部门自查和思度安全运营中心检查。各部门每季度开展自查,思度安全运营中心每半年开展全面检查。信息安全工作指挥小组根据需要可适时下达开展信息安全专项检查的要求,思度安全运营中心负责组织和实施。
第九条 检查项目清单
思度安全运营中心风险管理组负责建立并维护思度安全信息安全检查项目库,各部门应根据思度安全检查项目库,针对部门及岗位工作职责、信息安全工作要求和专业特性进行细化,建立并维护本部门信息安全检查项目清单并向思度安全运营中心备案。
第十条 信息安全检查项内容
应包含检查项目名称、检查内容、检查方法、检查频率等内容。信息安全检查项目中应明确标识重点检查项目,每次思度安全运营中心检查或部门自查都应包含重点检查项目,年度内信息安全检查项目应达到检查频率要求。
第十一条 信息安全检查方式
包括访谈、现场检查、现场观察和工具使用等。检查涉及专用工具的使用时,应经过审批,并在检查计划内明确工具使用的目的、范围及可能造成的影响,工具的使用过程必须得到监督和记录。
第四章 信息安全检查的工作流程
第十二条 安全检查流程
各部门按照以下步骤开展部门自查: 各部门在实施部门自查前应由安全员牵头,抽调各职能组相关人员组成部门检查组; 检查组在检查实施前应填写《安全检查计划表》和《安全检查项目表》,经本部门负责人审批后执行,同时向思度安全运营中心备案; 在检查实施期间,检查组应根据检查情况填写《安全检查记录表》并进行汇总整理; 检查组应要求相关责任人对《安全检查记录表》确认,部门自查结束后,检查组应将《安全检查记录表》提交部门负责人审核,经部门负责人确认后向思度安全运营中心备案; 检查结束后检查组应编写检查报告并向思度安全运营中心备案,报告中应包括检查总体情况、检查范围、检查时间、存在问题、改进措施等内容。
第十三条 部门检查
思度安全运营中心按照以下步骤开展思度安全运营中心检查: (一) 思度安全运营中心在实施思度安全运营中心检查前抽调本部门和其他相关部门人员组成检查组; (二) 检查组在检查实施前应填写《安全检查计划表》和《安全检查项目表》,经信息安全工作指挥小组审批通过后执行; (三) 在检查实施期间,检查组根据检查情况填写《安全检查记录表》并进行汇总整理; (四) 检查组应要求相关责任部门对《安全检查记录表》确认。思度安全运营中心检查结束后,检查组应就检查发现的问题开具《不符合项报告》并与责任部门沟通确认,如责任部门有异议则提交信息安全工作指挥小组审定; (五) 检查结束后检查组应编写检查报告并向信息安全工作指挥小组提交,报告中应包括检查总体情况、检查范围、检查时间、存在问题、改进措施等内容。
第五章 外部检查审计配合工作要求
第十四条 工作原则
思度安全运营中心组织成立外部检查审计配合工作组,统一协调配合外部检查审计的各项工作;工作组应由思度安全运营中心负责人担任组长,组员由思度安全运营中心有关人员及其他部门选派的联系人担任。
第十五条 沟通机制
工作组应在检查审计工作开展前,与外部检查组沟通并确认检查审计安排。
第十六条 协调配合
工作组应根据检查审计安排全程协调配合外部检查审计工作。各部门应根据工作组要求落实本部门范围内的资料提供、人员访谈、现场检查取证等各项具体配合工作。
第十七条 影响评估
针对外部检查组所要求使用的专用检查审计工具,工作组应组织有关部门对其进行影响评估,评估通过并经审批后方可使用。
第六章 检查审计过程中的资料管理
第十八条 资料管理
配合外部检查审计时,工作组作为外部检查审计的资料交接归口,按照以下步骤实施资料管理: (一) 各部门准备资料并填写《内部资料交接记录单》与工作组进行交接; (二) 工作组填写《外审资料交接记录单》与外部检查组进行资料交接; (三) 外部检查审计结束后,工作组负责从外部检查组回收资料并填写《外审资料交接记录单》; (四) 工作组填写《内部资料交接记录单》并将资料返还各部门。
第十九条 电子文档管理
所有提供给外部检查组的资料原则上仅提供纸质文档供现场查看,对于电子文档的检查,由工作组提供仅有浏览权限的计算机供外部检查组使用;外部检查组若需带走部分资料留作证据的,工作组应事先提交申请,经信息安全工作指挥小组审批后方可带走,涉密材料仅提供目录清单,必须提供的须进行脱密处理。
第二十条 资料管理步骤
开展思度安全运营中心检查时,检查组按照以下步骤实施资料管理: (一) 各部门应准备资料并填写《内部资料交接记录单》与检查组进行交接; (二) 思度安全运营中心检查结束后,检查组填写《内部资料交接记录单》并将资料返还各部门。
第二十一条 涉密资料管理
检查审计过程中涉及涉密资料使用的,应按照管理规定进行调阅。
第二十二条 审计记录归档
思度安全运营中心风险管理组负责对检查审计过程中所产生的文件和记录进行归档保存。
第七章 检查审计的问题改进
第二十三条 自查问题改进
对于部门自查发现的问题,应按照以下步骤实施改进: (一) 各部门应分析查找原因,落实问题的整改方案、整改责任人和整改完成时间,填写《改进计划表》落实整改工作,并向思度安全运营中心备案; (二) 各部门填写《安全改进情况跟踪表》实施跟踪和验证,并向思度安全运营中心备案。
第二十四条 部门检查问题改进
对于思度安全运营中心检查发现的问题,应按照以下步骤实施改进: (一) 检查组根据检查发现开具《不符合项报告》; (二) 检查组根据信息安全工作指挥小组审定后的《不符合项报告》,开具《整改通知单》; (三) 责任部门按照《整改通知单》要求分析查找原因,落实问题的整改方案、整改责任人和整改完成时间,并制定《改进计划表》反馈至思度安全运营中心; (四) 思度安全运营中心风险管理组汇总各部门的《改进计划表》并列入《安全改进情况跟踪表》; (五) 思度安全运营中心根据《安全改进情况跟踪表》对改进措施的落实情况进行跟踪和验证,验证通过后在《安全改进情况跟踪表》上进行记录并归档保存。
第二十五条 检查审计问题改进
对于外部检查审计,应按照以下步骤实施改进: (一) 思度安全运营中心风险管理组负责根据外部检查组问题反馈开具《整改通知单》; (二) 责任部门按照《整改通知单》要求分析查找原因,落实问题的整改方案、整改责任人和整改完成时间,并制定《改进计划表》反馈至信息风险管理组; (三) 思度安全运营中心风险管理组汇总各部门的《改进计划表》并列入《安全改进情况跟踪表》; (四) 思度安全运营中心风险管理组根据《安全改进情况跟踪表》对改进措施的落实情况进行跟踪和验证,验证通过后在《安全改进情况跟踪表》上进行记录并归档保存。
第二十六条 改进计划调整流程
改进计划因故未能实施、未能按期完成或需要调整时,改进责任部门应以书面方式向检查组说明原因;经审批后,可在原《改进计划表》上进行修改,并将改进责任部门的情况说明作为附件共同保存。
第八章 附则
本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起实施。 记录 《安全检查计划表》 《安全检查项目表》 《安全检查记录表》 《整改通知单》 《安全改进情况跟踪表》 《内部资料交接记录单》 《外审资料交接记录单》