当前位置:文档之家› 17网络信息中心 信息安全审计管理制度

17网络信息中心 信息安全审计管理制度

X网络信息中心信息安全审计管理制度目录第一章总则 (3)第二章人员及职责 (3)第三章日志审计的步骤 (4)第四章日志审计的目标和内容 (5)第五章管理制度和技术规范的检查步骤 (7)第六章管理制度和技术规范的检查内容 (8)第七章检查表 (8)第八章相关记录 (9)第九章相关文件 (9)第十章附则 (9)附件一:体系管理制度和技术规范控制点重点检查的内容及方法 (9)第一章总则第一条为了规范X网络信息中心的内部审计工作,建立并健全网络信息中心内部的审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用和非法行为,并对发生的非法操作行为进行责任追查。

同时根据X的各种与信息安全的相关的制度和技术手段进行检查,确保X的由网络信息中心管理的信息系统设备和应用系统正常、可靠、安全地运行;第二条包括对各系统日志的审计和安全管理制度及技术规范符合性检查。

第二章人员及职责第三条本制度指定X网络信息中心审计组作为X的信息安全审计组织,负责实施X内部审核,在聘请外部审计组织参与的情况下,网络信息中心审计组协助外部第三方进行审核;审计组的工作应该直接向信息安全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;第四条与审计制度相关的人员分为审计人和被审计人。

审计人除了网络信息中心的信息技术审计员外,还需设立信息安全协调员以指导和配合信息技术审计员的工作。

被审计人及系统为X的信息安全执行组人员,包括X市招考热线系统、内部网络管理系统、日志管理系统、机房视频监控系统和其相关的管理、维护和使用人员等;第五条网络信息中心的审计相关人员根据X规划战略、年度工作目标,以及上级的部署,拟订审计工作计划,报经X领导批准后实施审计工作。

除年度审计计划外,也可根据工作需要或X领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项;第六条信息安全审计员的角色和职责本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。

信息安全审计员和本制度相关职责如下:(一)负责X的信息安全审计制度的建设与完善工作;(二)信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对X的相关信息系统的不当使用和非法行为;(三)定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供系统安全状况审计报告和改进措施等。

第七条 X网络信息中心的信息安全领导和本制度相关职责是:(一)负责指导和协助X建立信息安全审计制度并协调相关工作,以确保信息安全审计工作的顺利进行;(二)对发生的非法操作行为进行责任追查;审查信息安全审计员的审计报告并汇报上级部门领导。

第八条信息安全执行组人员,包括各系统(网络设备,安全产品,主机,数据库和应用系统)的管理维护人员负责维护各自系统正常运行的同时必须向审计人员提供审计所需的各种信息(如各系统的日志,系统升级、备份、加固、权限及配置变更等各种操作记录)以配合审计人员完成审计工作;第九条其他与审计相关的人员的职责参见网络信息中心岗位规范。

第三章日志审计的步骤第十条日志收集(一)目的全面收集入侵者,内部恶意用户或合法用户误操作的相关信息,以便进一步的查看和分析。

防止重要的日志信息收集的遗漏。

(二)具体要求需要根据各种系统的安全设置方法设定重要事件的日志审计(详细参见《系统运维和日志管理规定》),如对安全设备的登入事件、用户增减事件、用户权限及属性修改事件、访问规则修改事件、系统开启或关闭事件、系统配置修改事件、安全告警事件,系统版本更新升级等事件的日志审计,包括所有系统特权命令的使用都必须被全面的记录;第十一条对日志查看与分析(一)目的分析存在安全威胁的原因,以便制定相应的对策。

(二)日志查看和分析具体要求日志可以作为证据,提供安全事故调查;(1)信息安全领导需要定期查看各系统的安全管理员是否根据其职责进行安全的维护,包括日常的运维操作记录和日志;(2)信息安全审计员需要在信息安全领导的配合下对所有日志事件进行分类,划分不同的安全事件等级,并分析存在威胁的原因;(3)信息安全审计员整理并编写安全分析报告,定期向上级汇报日志报表中存在的安全威胁其中包括:✓安全威胁的统计;✓新威胁的列表;✓威胁同比增长率;✓安全威胁的防范。

(4)审计人员与使用人员沟通将重点审计对象的访问特点反馈给这些对象的使用者,尤其是各自的管理员;对于发现存在异常信息的审计对象,将这些信息告知相关管理员和操作者,并要求他们给出合理的解释。

第十二条审计月报以审计数据作为基础抽样对象,汇总成为审计月报,经相关领导审核、批准后,向X人员公布。

审计月报的内容:(一)必须明确安全审计的范围;(二)必须明确安全审计的标准或原则;(三)必须明确安全审计的检查清单;(四)必须列举所有安全问题和安全隐患,并按照严重程度进行划分;(五)必须列举所有安全问题和安全隐患的有关责任人员或责任部。

第十三条审计后续追踪所有在日志审计过程中发现的各种违规行为,一旦经X信息安全审计组确认后,由网络信息中心相关负责人通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,信息安全审计组负责监督各违规行为是否纠正,并做好相关的记录。

信息安全审计员,负责检查网络信息中心的相关记录以确保纠正措施都得到了实施。

X信息安全委员会所辖的信息安全审计组将在一个月之内再次对相关的违规行为进行检查。

第四章日志审计的目标和内容第十四条审计的目标、分类日志审计的目标主要是对访问操作的审计,对访问控制的审计,对敏感数据的审计和对应用数据的审计。

按《系统运维和日志管理规定》中的分类方法,日志也可以分类为主机系统,安全产品,网络设备,数据库和应用系统的审计。

第十五条安全产品、网络设备的日志审核对安全产品、网络设备的日志的审核工作具体要求如下:(一)责任人应明确审核频率、定义安全事件判断规则、规定安全事件通报流程,用以审核日志,发现并确定安全事件。

(二)重大安全事件必须被记录在案,例如:✓多次失败登录;✓异常时间的接入或者异常地点的接入;✓信息流量的突然增加;✓针对系统资源的异常和/或饱和性尝试;✓重大网络与信息系统事件(比如配置更新以及系统崩溃等等);✓安全属性变化第十五条应用系统日志审核(一)对各应用系统的日志的要求:由于对应用系统日志的审核工作比较复杂,在实施审计之前先要对各应用系统的生成的日志提出统一的要求(详细的日志要求参见《系统运维和日志管理规定》);(二)对应用系统日志审计至少要包括以下内容:✓应用系统日志产生是否正常,包括日志产生的时间、格式;✓日志功能是否被关闭过;✓日志中是否有被人为篡改的痕迹,(包括日志文件被编辑或删除,记录的消息类型被修改等);✓日志中是否存在多次登陆失败的情况,如果超过一定的阀值,应当考虑为攻击事件;✓日志文件存储媒介是否用尽,防止造成无法记录事件或自行覆盖以前的日志文件;✓是否定期打印重要的操作清单;✓针对各业务系统维护人员通过系统界面对业务数据进行的增、删、改操作进行日志审查;✓对清单查询操作进行日志审查;✓对用户权限变更操作进行日志审查。

第十六条主机日志审计对主机日志的审核内容,至少要包括以下内容:(一)审计未经授权的,对数据库的非法连接;(二)系统错误及所采取的纠正措施;(三)系统的配置文件被修改;(四)用户帐号变更;(五)根用户或者用户被修改。

第十七条数据库日志审计(一)审计未经授权的,直接连接数据库后的变更(增加,删除,修改)所有操作日志;(二)系统错误及所采取的纠正措施;(三)数据库服务的启动和关闭的日志信息;(四)数据库系统核心配置文件被修改;(五)数据库的日志是否定期备份。

第五章管理制度和技术规范的检查步骤第十七条检查信息的收集安全管理制度和技术规范执行情况的抽查,分为初步调查、详细调查和问题询问三个步骤进行:(一)初步调查:初步调查的目的是使安全检查人员了解检查对象的背景情况、基本运作流程、具体管理人员和操作人员的人员配备等大致的情况,以便快速熟悉检查对象,并制定相应的检查策略和工作清单。

(二)详细调查:在初步调查的基础上,安全检查人员对检查对象进行深入了解,同时调整、修改并最终决定检查策略和工作清单。

(三)问题询问:安全检查人员就检查的细节问题向具体管理人员和操作人员提出询问,进行检查报告编写前的最后准备工作。

第十八条检查报告的编写安全检查人员对收集的资料进行分析整理,并完成安全检查报告的编写工作。

安全检查报告内容要求:(一)必须明确安全检查的范围;(二)必须明确安全检查的标准;(三)必须明确安全检查的检查清单;(四) 必须列举所有安全问题和安全隐患,并按照严重程度进行划分;(五)必须列举所有安全问题和安全隐患的有关责任人员或责任部;(六)必须对检查单位有安全检查的整体评估。

第十九条检查报告的汇报由X信息安全管理员对各单位的检查情况汇总整理后,提交给X信息安全委员会进行审阅。

第二十条确认检查中发现的安全问题和后续措施的实行所有在检查过程中发现的安全问题和安全隐患,一旦经X信息安全委员会相关领导确认后,由X网络信息中心通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,同时负责监督各违规行为是否纠正并作相关的记录。

第二十一条检查工作总结X网络信息中心对整个检查工作进行总结,并呈报X上级部门。

第六章管理制度和技术规范的检查内容第二十二条安全检查控制点信息安全的检查可以根据国家信息安全等级保护标准,分五层面进行检查。

本制度所涉及的检查范围和检查内容见附件一;第二十三条检查内容检查信息安全管理系统策略文档是否由各文档负责人按该文档要求或者在业务系统发生重大变化后得到及时变更或更新,保证策略的有效性和可用性。

详细文档及对应负责人见附件二。

第七章检查表第二十四条本制度的执行情况检查表第八章相关记录第二十五条执行本制度产生如下记录:(一)各系统生成的日志记录。

(二)系统操作审计报告(三)各系统管理员日常操作记录。

(四)信息安全管理制度和技术规范控制点检查结果。

第九章相关文件第二十六条本制度参考了如下文件:《系统运维和日志管理规定》《X聘任制试行方案-网络信息中心岗位规范》第十章附则第二十七条本制度自发布之日起开始实施;第二十八条本管理规定的解释和修改权属于X网络信息;第二十九条 X每年统一检查和评估本管理规定,并做出适当更新。

在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。

附件一:体系管理制度和技术规范控制点重点检查的内容及方法。

相关主题