1. 目的和范圍

確保本公司制定的信息安全策略和規定能夠定期評審和正確執行。

2. 術語和定義

ISO/IEC27001:2005《信息技術-安全技術-信息安全管理體系要求》

ISO/IEC27002:2005《信息技術-安全技術-信息安全管理實施細則》規定的術語適用于本標準。

3. 引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求

ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則

合規性管理程序

補丁管理規定

4. 職責和權限

(1) 制定信息系統安全審核策略

(2) 對信息系統進行定期審核

5. 活動描述

(1) 技術部根據公司情況，制定出公司在用戶管理、權限管理、漏洞掃描、滲透測試等方面的審核策略，必要時填寫《信息系統定期評審策略明細表》

(2) 管理人員應確保在其職責范圍內的所有安全程序被正確地執行，以確保符合安全策略及標準。

(3) 管理人員應對自己職責范圍內的信息處理是否符合合適的安全策略、標準和任何其它安全要求進行定期評審。

(4) 信息系統應被定期檢查是否符合安全實施標準。

(5) 任何技術符合性檢查應僅由有能力的、已授權的人員來完成，或在他們的監督下完成。

(6) 涉及對運行系統檢查的審核要求和活動，應謹慎地加以規劃并取得批準，以便最小化造成業務過程中斷的風險。

(7) 漏洞掃描管理：

1) 管理員應定期進行漏洞掃描，客戶端和服務器可考慮使用奇虎360工具進行漏洞掃描。

2) 根據漏洞掃描結果，管理員應及時根據《補丁管理規定》及時修補系統漏洞。

3) 滲透測試管理：

4) 技術符合性檢查應由有經驗的系統工程師手動執行（如需要，利用合適的軟件工具支持），或者由技術專家用自動工具來執行，此工具可生成供后續解釋的技術報告。

5) 如果使用滲透測試或脆弱性評估，則應格外小心，因為這些活動可能導致系統安全的損害。這樣的測試應預先計劃，形成文件，且重復執行。

6. 審核注意事項：

(1) 應與合適的管理者商定審核要求；

(2) 應商定和控制檢查范圍；

(3) 檢查應限于對軟件和數據的只讀訪問；

(4) 非只讀的訪問應僅用于對系統文件的單獨拷貝，當審核完成時，應擦除這些拷貝，或者按照審核文件要求，具有保留這些文件的義務，則要給予適當的保護；

(5) 應明確地識別和提供執行檢查所需的資源；

(6) 應識別和商定特定的或另外的處理要求；

(7) 應監視和記錄所有訪問，以產生參照蹤跡；對關鍵數據或系統，應考慮使用時間戳參照蹤跡；

(8) 應將所有的程序、要求和職責形成文件；

(9) 執行審核的人員應獨立于審核活動。

相關記錄

表1-1 信息系統定期評審表