信息安全管理审计—第3205号内部审计实务指南第三章第3节

2021-01-24

内部审计 IT审计 3205号文

信息安全,是指保护组织信息资产的机密性、完整性和可用性,信息内容符合国家法律、法规及监管要求。

信息安全管理审计,是指通过调查取证以发现组织中是否对信息安全治理、信息安全管理及信息安全技术等方面存在充分的控制,评价这些控制的有效性和适宜性。

一、安全管理审计

(一)业务概述

安全管理,是指组织通过制定总体信息安全管理方针,明确工作的总体目标、范围、原则和安全框架等内容;通过建立制度规范、操作规程、安全策略,确保安全管理工作的合规性,支持组织业务安全运营;通过风险评估、持续检查和独立审计等促进手段,实现信息安全管理体系的持续改进与完善。

(二)审计目标和内容

1、评价信息安全制度规范是否符合所在地国家有关法律法规、技术标准及主管部门安全要求,是否得到切实、有效执行。

2、检查是否根据资产敏感性、重要程度等因素,建立和实施相应的保护措施。

3、检查组织是否持续对信息安全风险进行评估,及时发现并制定整改计划,将整改责任落实到位。

(三)常见问题和风险

1、信息安全体系建设不全面,信息安全没有落实到具体的制度和流程中,无法有效落实各项信息安全管控要求。

2、未建立信息安全战略规划,无法明确信息安全的总体目标和建设方向,不利于信息安全工作的长远发展。

3、未对组织信息资产进行有效识别与管理,资产更新不及时,不利于对信息资产的识别、评估与保护。

4、未建立有效的信息安全风险评估方法,不能对已识别出的风险制定有效的处置方案,导致信息安全风险发现与处置不及时。

5、未持续开展信息安全检查与审计工作,无法通过自身或独立第三方对安全体系的控制有效性进行科学评价,不能有效推进安全体系的持续完善。

(四)审计的主要方法和程序

1、规范制度制定与执行

(1)调阅组织信息安全管理规定,了解是否对重要信息系统安全管理岗位制定并明确规章制度、工作职责及信息安全事件报告制度、处理流程和违规处罚,判断其合理性。

(2)调阅组织信息安全体系建设方案、信息安全战略规划等文件,检查信息安全管理体系文件是否围绕着安全目标、安全规划、风险评估、体系设计、体系建设、检查考核等,提出了开展安全体系建设的方法与步骤。

(3)评估安全管理制度和流程是否涵盖了安全组织与人员、安全岗位与职责、信息资产管理、物理安全、网络安全、主机安全、应用安全、数据安全、终端安全、新技术安全等方面。

(4)访谈信息安全管理负责人员,了解信息安全制度的执行、修订、颁布实施及重大事件的上报、违规惩处情况。

(5)调阅安全风险评估、安全检查及内外部审计资料,查看安全风险评估、安全检查及内外部审计是否对评估、检查及审计发现的安全问题进行了整改落实,后续的整改落实情况是否符合安全管控的要求。

2、合规遵守

(1)调阅信息安全制度,检查制度是否遵循国家有关信息技术管理的法律法规要求,以及技术性比较强的信息系统安全制度是否低于国家相关标准规定,且与主管部门相关办法、要求相冲突。

(2)访谈信息安全管理负责人,了解组织是否在境外设立分支机构,以及境外分支机构信息安全制度是否符合所在地区监管机构的要求。

3、信息资产管理

(1)调阅并检查信息资产分类管理制度是否建立、健全,内容是否对信息类别和访问人员的范围、级别做出明确规定。

(2)查阅资产管理制度,查验是否根据信息资产安全级别制订不同的安全防范措施并采取不同的技术防范手段。

4、信息安全风险评估

(1)检查信息安全风险评估的范围与频度,风险可接受水平设定的科学性,以及是否针对评估出来的风险制定风险处置计划。

(2)调阅信息安全风险评估报告,判断风险评估方法的科学性与适宜性,并检查是否得到了所在部门管理层的确认。

(3)检查是否按照计划进行了有效的控制,使风险在计划时间内降到可接受范围内。

5、信息安全检查与持续改进

(1)调阅信息安全管理检查和审计相关计划及报告,了解检查、审计的频度与范围。

(2)对检查、审计报告的不符合项抽样进行审核,评估其整改效果,是否持续对信息安全管理体系进行更新与完善。

二、物理安全审计

(一)业务概述

物理安全管理,是指组织为确保机房及办公场所的物理安全,特别是机房,从其规划建设到日常维护,采取一整套有效的,包括制度规范和物理工具的管理措施,确保物理环境的安全和组织的业务连续运行。

(二)审计目标和内容

通过对组织物理设施,特别是机房所处物理环境的安全检查,判断组织是否采取有效的物理安全控制措施,保障机房等物理环境的安全,防范非法访问,确保机房等重要物理设施持续、可靠地提供服务。

(三)常见问题和风险

1、组织机房和办公场所所处的物理环境不符合安全需求,存在安全风险。

2、组织机房和重要办公场所等未采取有效的物理安全防护措施,防范非法物理访问,存在资产丢失或遭受破坏的风险。

3、未针对机房等重要物理设施建立完善的安全管理制度和操作规范流程,并缺失必要的资源保障或安全控制措施,存在发生电力中断、火灾、水灾等安全隐患。

(四)审计的主要方法和程序

1、物理位置安全

(1)访谈物理安全负责人,询问机房和办公场地的环境条件是否满足信息系统业务和安全管理需求,具有基本的防震、防风和防雨等能力,并查验机房和办公场地所处周边环境是否存在强电场、强磁场、易燃、易爆等安全隐患。

(2)访谈物理安全负责人,询问机房等级并查验设计/验收文档是否符合安全标准。

(3)访谈机房维护人员,询问是否存在因机房和办公场地环境条件引发的安全事件或安全隐患,是否及时采取了补救措施。

2、防盗窃和防破坏

(1)检查主要设备和部件是否存放于机房内,并对其进行加固和设置明显、不易去除的标记。

(2)检查通信线缆铺设在隐蔽处并可架空铺设在地板下或置于管道中,强弱电需隔离铺设并进行统一标识。

(3)检查是否对磁带、光盘等介质进行分类标识,并存储在介质库或档案室的金属防火、防磁柜中保管。

(4)检查是否对机房和重要物理设施设置监控报警系统,外围是否设置光、电等技术设施和防盗报警系统,防范对其进行非法访问、盗窃和破坏。

3、机房安全管理

(1)通过座谈和调阅相关资料,了解是否制定并明确机房安全策略、操作规程、人员职责,并查验是否对机房基于业务和安全管理需要进行功能分区并判断划分的合理性。

(2)访谈相关人员了解其职责履行、教育培训、安全意识和制度执行情况,判断相关安全工作落实情况。

4、机房物理安全防护与电力供应

(1)查阅机房建设设计/验收文档,了解机房的建设级别,了解物理安全设计规范要求。

(2)访谈物理安全负责人,并查验机房是否配备恒温、恒湿,防范、防止雷电、火灾、水灾和电磁与静电的设施。

(3)访谈电力供应保障部门,询问是否设置UPS过电压防护设备及采用双路供电,提供备用和冗余电力供应系统,确保短期电力供应保障。

三、网络与通讯安全审计

(一)业务概述

网络与通讯的安全管理,是指组织为确保和加强自身网络通信安全的管理,从结构规划、传输使用、安全防护与监控等方面加以管理,确保网络的安全稳定和通讯畅通,避免因网络通信故障影响业务正常开展,防范因此在操作、法律和声誉等方面产生的风险并给组织造成损失。

(二)审计目标和内容

通过对结构安全、传输安全、接入与访问控制、网络入侵防范、恶意代码防范以及安全审计等方面的检查,判断组织是否采取有效的控制措施,确保组织的网络与传输安全。

(三)常见问题和风险

未完待续,登录后可查看全部内容。