收藏
下载资源

《信息技术服务治理安全审计》标准全文及编制说明

上传人:木92****502 文档编号:113377660 上传时间:2019-11-08 格式:PDF 页数:25 大小:938.17KB
返回 下载 相关 举报
《信息技术服务治理安全审计》标准全文及编制说明_第1页
第1页 / 共25页
《信息技术服务治理安全审计》标准全文及编制说明_第2页
第2页 / 共25页
《信息技术服务治理安全审计》标准全文及编制说明_第3页
第3页 / 共25页
《信息技术服务治理安全审计》标准全文及编制说明_第4页
第4页 / 共25页
《信息技术服务治理安全审计》标准全文及编制说明_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《《信息技术服务治理安全审计》标准全文及编制说明》由会员分享,可在线阅读,更多相关《《信息技术服务治理安全审计》标准全文及编制说明(25页珍藏版)》请在金锄头文库上搜索。

1、ICS 35.080 177 团 体 标 准 T/ CESA XXXX2019 信息技术服务 治理 安全审计 Information technology Service - governance- Security Audit 征求意见稿 (在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上) 2019 - - 发布 2019 - XX - 实施 中国电子工业标准化技术协会 发 布 T/CESA XXXX-2019 II 目 次 目次 . II 前 言 . IV 信息技术服务 治理 安全审计 5 1 规范性引用文件 5 2 范围 5 3 术语和定义 5 4 安全审计总则 6 4.1

2、 审计与治理的关系 6 4.2 审计结构及其关系 6 4.3 审计依据 6 4.4 审计方法 6 4.5 审计技术 6 4.6 审计质量控制 7 4.7 审计业务类型 7 5 安全审计组织管理 7 6 安全审计人员要求 7 7 安全内部控制审计 7 7.1 总则 7 7.2 安全组织控制审计 7 7.3 安全一般控制审计 9 7.4 应用安全控制审计 . 10 8 安全专项审计 . 10 8.1 总则 . 10 8.2 网络安全专项审计 . 10 8.3 个人信息保护专项审计 . 10 8.4 信息安全管理专项审计 . 11 8.5 数据安全专项审计 . 11 8.6 供方安全管理专项审计 .

3、 12 8.7 云安全管理专项审计 . 12 8.8 信息系统生命周期安全管理专项审计 . 12 8.9 创新技术安全管理专项审计 . 12 8.10 终端安全专项审计 13 8.11 (移动)互联网应用安全专项审计 13 9 安全审计流程 . 14 10 安全审计报告 14 附录 A(规范性附录)总体风险管理 . 14 参考文献 . 14 T/CESA XXXX-2019 IV 前 言 T/CESA XXXXX 属于GB/T 34960信息技术服务 治理总标题下的一部分: - 第1部分 (即GB/T 34960.1-2017信息技术服务 治理 第1部分:通用要求) - 第2部分 (即GB/T

4、 34960.2-2017信息技术服务 治理 第2部分:实施指南) - 第3部分 (即GB/T 34960.3-2017信息技术服务 治理 第3部分:绩效评价) - 第4部分 (即GB/T 34960.4-2017信息技术服务 治理 第4部分:审计导则) - 第5部分 (即GB/T 34960.5-2018信息技术服务 治理 第5部分:数据治理规范) - 第6部分 (即GB/T 34960.6信息技术服务 治理 第6部分::风险管理) - 第7部分 (即GB/T 34960.7信息技术服务 治理 第7部分:数据审计) - 第8部分 (即GB/T 34960.8信息技术服务 治理 第8部分:安全

5、审计) 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国电子技术标准化研究院提出。 本标准起草单位: 本标准主要起草人: T/CESA XXXX-2019 5 信息技术服务 治理 安全审计 1 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 34960.1 信息技术服务 治理 第1部分:通用要求 GB/T 34960.4 信息技术服务 治理 第4部分:审计

6、导则 2 范围 T/CESA XXXXX 的本部分规定了安全审计总则、安全审计组织管理、安全审计人员、安全审计业 务、安全审计流程、安全审计报告、安全审计适用对象和范围等内容。 本部分适用于: a) 组织治理主体实施安全审计监督职能; b) 建立或完善组织的安全审计体系; c) 明确组织安全审计过程中的相关要求; d) 规范组织安全审计业务的开展; e) 第三方或其他相关机构开展安全审计的指导 f) 建立或未建立内部安全审计机构的组织,均可聘请第三方依据本标准的相关要求开展 IT 安全 审计。 各级各类信息化主管部门、监管机构及审计监督机构,可根据法律法规、部门规章的要求,使用本 标准对所管辖

7、各类组织的安全审计提出要求,并进行监督。 3 术语和定义 3.1 安全审计 security Audit 根据安全审计标准的要求,对网络、信息、数据、云计算、人工智能、区块链等安全系统及相 关的内部控制和流程进行检查、评价,发表审计意见,并提出改进意见和建议。 3.2 安全内部控制 security internal control 是由组织治理主体和全体员工实施的、旨在实现安全控制目标的过程。内部控制要素包括网 络、信息、数据、云计算、人工智能、区块链等安全控制环境、风险评估、控制活动、信息与沟通及 内部监督。 3.3 安全组织控制 security organization control

8、 在安全组织层面建立并实施的相关控制,控制要素包括控制环境、风险评估、控制活动、信息 与沟通及内部监督。 T/CESA XXXX-2019 6 3.4 安全组织控制审计 security organization control audit 对安全组织层面控制开展的审计。 3.5 安全一般控制 security general control 为了保证网络、信息、数据、云计算、人工智能、区块链等安全,对整个网络以及外部各种环 境要素实施的安全控制。 3.6 安全一般控制审计 security general control audit 对安全一般控制开展的审计。 3.7 安全应用控制 secu

9、rity application control 在业务流程层面为合理保证应用系统安全、可靠、有效运行,而设计、执行的安全控制。 3.8 安全应用控制审计 security application control audit 对安全应用控制开展的审计。 4 安全审计总则 4.1 审计与治理的关系 安全治理过程包含统筹和规划、构建和运行、监控和评价以及改进和优化,安全审计是监控和评价 不可或缺的任务。 4.2 审计结构及其关系 安全审计包括审计组织管理体系、审计依据、审计方法、审计技术、审计质量控制、审计工作的执 行、审计人员、审计业务、审计流程及审计报告。组织应建立安全审计组织管理体系,并根据

10、审计规章 制度、依据、方法、技术、质量控制、工作执行、人员、业务、流程及报告等的要求,开展安全审计活 动。 4.3 审计依据 安全审计依据包括但不限于: a) 国家网络安全、信息安全、云安全及数据安全等相关法律、法规及标准; b) 行业网络安全、信息安全、云安全及数据安全等相关规范及标准; c) 地方网络安全、信息安全、云安全及数据安全等相关规范及标准; d) 组织网络安全、信息安全、云安全及数据安全等相关规范及标准; e) 国际网络安全、信息安全、云安全及数据安全等相关标准; f) 国内网络安全、信息安全、云安全及数据安全等最佳实践。 4.4 审计方法 组织的安全审计方法要求见 GB/T 3

11、4960.4信息技术服务 治理 第 4 部分:审计导则。 4.5 审计技术 T/CESA XXXX-2019 7 组织的安全审计技术要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则。 4.6 审计质量控制 组织的安全审计质量控制要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则。 4.7 审计业务类型 安全审计业务类型包括安全内部控制审计和安全专项审计。 安全内部控制审计是为了综合评价组织 安全控制目标实现过程而进行的审计;安全专项审计是组织根据外部要求及内部特殊需要而进行的审 计。安全审计可作为独立的审计项目实施,或作为综合性审计项目的组成部

12、分组织实施。 当安全审计作为综合性审计项目的一部分时, 安全审计人员在进行审计计划时应考虑项目审计目标 及要求, 在审计实施过程中应及时与其他相关审计人员沟通安全审计中的发现, 并考虑依据安全审计结 果调整其他相关审计的范围、时间及性质。 安全审计人员应当以风险导向为基础开展审计,风险评估应当贯穿于审计的全过程。 5 安全审计组织管理 组织的安全审计组织管理通用要求见GB/T 34960.4信息技术服务 治理 第4部分:审计导则同 时还应: a) 为安全审计开展创造必要的环境; b) 明确审计机构的职责和权力; c) 在审计章程中明确安全审计的相关要求; d) 制定安全审计战略规划 e) 制定

13、安全审计相关制度、流程及操作规程等; f) 建立安全审计平台。 6 安全审计人员要求 组织的安全审计人员要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则。 7 安全内部控制审计 7.1 总则 安全内部控制审计是为了综合评价组织安全控制目标实现过程而进行的审计。 安全内部控制审计是 组织常规审计内容的一部分。 7.2 安全组织控制审计 7.2.1 控制环境 审计安全控制环境时,审计范围包括但不限于: a) 组织遵循的安全治理总则; b) 安全战略与业务战略的一致性; c) 决策层的安全风险偏好及风险容忍度; d) 安全治理的职责分工和制衡机制; T/CESA XXXX-

14、2019 8 e) 安全内部控制的监督机制; f) 安全内部控制机构的设置、职责与权限; g) 内部审计机构设置、人员配备和工作独立性; h) 制定和实施的人力资源政策; i) 。 7.2.2 风险评估 审计安全风险评估时,审计范围包括但不限于: a) 安全风险管理目标和策略; b) 安全风险管理原则; c) 安全风险管理组织,包括组织架构、责任人、角色、职责和权限等; d) 安全风险管理制度; e) 安全风险管理流程; f) 安全风险识别、风险分析、风险评价及风险处置的执行情况; g) 。 7.2.3 控制活动 7.2.3.1 通用要求 审计组织层面安全控制活动通用要求时,审计范围包括但不限

15、于: a) 安全控制政策与流程; b) 安全授权与审批控制; c) 安全预算控制; d) 安全信息记录与报告; e) 资产保护; f) 安全绩效考核; g) 安全不相容职责分离。 7.2.3.2 顶层设计 审计安全顶层设计时,审计范围包括但不限于: a) 安全战略规划; b) 安全组织; c) 安全架构 7.2.4 信息与沟通 审计安全信息与沟通时,审计范围包括但不限于: a) 信息系统安全架构及其对财务、业务流程的支持度; b) 决策层有关安全的信息沟通模式; c) 安全战略、政策及制度等方面的传达与沟通的连续性、完整性及有效性; d) 组织对安全风险内部控制所需要信息的明确; e) 。 7

16、.2.5 内部监督 审计安全内部监督时,审计范围包括但不限于: a) 安全风险三道防线建立的合规性; T/CESA XXXX-2019 9 b) 组织的安全监控管理报告系统、监控反馈、跟踪处理程序; c) 安全内部控制的自我评估机制; d) 。 7.3 安全一般控制审计 7.3.1 通用要求 审计安全一般控制通用要求时,审计范围包括但不限于: a) 安全控制政策与流程; b) 安全授权与审批控制; c) 安全预算执行与监控; d) 安全信息记录与报告; e) 资产保护; f) 安全绩效考核; g) 不相容职责分离。 7.3.2 系统安全 a) 系统建设安全 b) 系统运营安全 c) 系统研发运营一体化安全 d) 7.3.3 网络运行安全 审计网络运行安全时,应依据中华人民共和国网络安全法等相关规定,包括但不限于: a) 一般规定中的国家网络安全等级保护制度落实情况; b) 一般规定中的其他事项; c) 关键信息基础

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号