河南石油分公司信息安全审计管理办法(试行)第一章总则第一条为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“信息安全审计”,根据总部信息安全相关文件规定,特制订本办法。第二条安全审计内容分为管理和技术两个方面,管理审计检查安全管理制度的执行情况;技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况。第三条安全审计通过设立独立的审计岗位或交叉审计等方式开展。第二章适用范围第四条本办法适用于河南石油分公司和各市分公司。第五条可依据本办法开展企业网、局域网、互联网出口和各信息系统的安全审计,开展信息安全等其他安全管理方面的审计。第六条用于指导开展定期和不定期,全面和针对特定目的的安全审计。第三章组织与职责第七条发起网络与信息安全审计工作的部门是:省公司信息管理处、各市分公司信息管理部门。第八条信息管理处在总部和河南石油分公司信息安全领导小组的领导下,组织开展全省层面信息安全审计工作:(一)落实总部信息安全工作总体安排;(二)组织制定信息安全审计细则;(三)组织制定并实施公司级的信息安全审计计划;(四)对各市分公司进行指导、审批、检查和备案;(五)汇总、审阅信息安全审计报告,制定整改方案,解决发现的突出问题,重大问题或者需要对技术、管理流程做出重大调整时,应向河南石油分公司信息化领导小组汇报。第九条各市分公司信息部门职责:(一)配合完成信息安全领导小组、信息管理处安排的信息安全审计任务;(二)制定本单位内部信息安全审计实施细则;(三)制定本单位信息安全审计计划和实施方案,并上报信息管理处备案审核;(四)按照信息安全审计计划实施工作;(五)提交信息安全审计报告,针对审计发现的问题,形成改进方案。第四章信息安全审计重点内容第十条信息安全审计原则:对重要系统、核心设备、规章制度和技术要求,进行重点检查。第十一条信息安全审计频次:(一)针对公司范围进行的全面审计,每年一次,不定期开展;(二)对局部范围进行的安全策略技术审计,根据总部信息安全等级保护文件规定,三级系统每半年审计一次,三级以下系统每年审计一次,并形成分系统的审计报告。第十二条信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。第五章审计内容和审计方法第十三条安全审计主要依据各项安全管理规定和技术检查,检查具体要求的落实情况。第十四条审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场访问等。第十五条可以采用人工和技术手段进行。第六章工作步骤第十六条制定计划,确定审计范围、审计重点、时间安排、审计人员和配合人员安排,采用的技术手段、主要风险及规避方案等。第十七条细化审计内容。审计的系统范围,检查的重点项,各个系统中增删改等重点操作的指令、关键词等。第十八条编写《信息安全审计检查表》等工作底稿。检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等。第十九条按照《信息安全审计检查表》,采用人工河技术手段相结合的方式,进行抽样检查、系统检查、现场访问等,并逐一记录结果。第二十条提交《信息安全审计报告》,总结审计情况,分析主要问题,提出改进意见及下次审计重点等建议。第二十一条被审计系统责任部门按照审计报告,形成《信息安全审计问题整改计划及实施方案》,并提交《信息安全审计改进情况报告》。第二十二条各方签字的《信息安全审计报告》、《信息安全审计问题整改计划及实施方案》和《信息安全审计改进情况报告》等相关文档,经过审批后提交信息安全领导小组、信息管理处存档。第七章监督执行第二十三条各信息部门应督促各级领导对办法执行情况进行有效监督和管理。第二十四条本办法自下发之日起执行。