1. 目的和范围

确保本公司制定的信息安全策略和规定能够定期评审和正确执行。

2. 术语和定义

ISO/IEC27001:2005《信息技术-安全技术-信息安全 要求》

ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

3. 引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

ISO/IEC27001:2005信息技术-安全技术-信息安全 要求

ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则

合规性管理程序

补丁管理规定

4. 职责和权限

(1) 制定信息系统安全审核策略

(2) 对信息系统进行定期审核

5. 活动描述

(1) 技术部根据公司情况，制定出公司在用户管理、权限管理、漏洞扫描、渗透测试等方面的审核策略，必要时填写《信息系统定期评审策略明细表》

(2) 管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。

(3) 管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。

(4) 信息系统应被定期检查是否符合安全实施标准。

(5) 任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。

(6) 涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。

(7) 漏洞扫描管理：

1) 管理员应定期进行漏洞扫描，客户端和服务器可考虑使用奇虎360工具进行漏洞扫描。

2) 根据漏洞扫描结果，管理员应及时根据《补丁管理规定》及时修补系统漏洞。

3) 渗透测试管理：

4) 技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。

5) 如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。

6. 审核注意事项：

(1) 应与合适的管理者商定审核要求；

(2) 应商定和控制检查范围；

(3) 检查应限于对软件和数据的只读访问；

(4) 非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；

(5) 应明确地识别和提供执行检查所需的资源；

(6) 应识别和商定特定的或另外的处理要求；

(7) 应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；

(8) 应将所有的程序、要求和职责形成文件；

(9) 执行审核的人员应独立于审核活动。

相关记录

表1-1 信息系统定期评审表