《信息系統審核規范》講解了確保公司信息安全策略和規定能夠定期評審和正確執行的方法。該文件定義了ISO/IEC27001:2005和ISO/IEC27002:2005所規定的術語,并引用這些標準以及其他相關文件作為其條款的一部分。為了保證信息系統的安全性,文件明確了制定信息系統安全審核策略以及對信息系統進行定期審核的職責與權限。技術部需根據公司實際情況制定出在用戶管理、權限管理、漏洞掃描、滲透測試等方面的審核策略,管理人員要確保在其職責范圍內的所有安全程序被正確執行并符合安全策略及標準。信息系統應定期檢查是否符合安全實施標準,任何技術符合性檢查應由有能力且已授權的人員或在其監督下完成。涉及運行系統檢查的審核活動需要謹慎規劃并獲得批準,以減少業務中斷風險。管理員應定期進行漏洞掃描并及時修補系統漏洞,技術符合性檢查可由有經驗的工程師手動執行或通過自動化工具完成。如果使用滲透測試或脆弱性評估,則應預先計劃并形成文件。對于審核注意事項,《信息系統審核規范》強調了從商定審核要求到記錄訪問等一系列具體措施,包括只讀訪問限制、資源識別提供、處理要求商定、參照蹤跡記錄、程序要求和職責文檔化,以及審核人員的獨立性。
《信息系統審核規范》適用于信息技術領域的企業和組織,特別是那些重視信息安全管理和合規性的單位。它為信息安全審核提供了詳細的指導方針,確保信息安全策略的有效實施。此規范不僅適用于內部的安全審核團隊,也適用于外部審核機構,幫助他們了解如何對企業的信息系統進行有效的審核和評估。同時,它也為管理層提供了操作指南,確保他們能夠履行自己的職責,保障企業信息資產的安全性和完整性。
