信息安全内部审计管理办法
XXXX
信息安全内部审计管理办法
文件修订履历
变化状态:新建,增加,修改,删除
目录
1目的 (4)
2适用范围 (4)
3职责 (4)
4术语和定义 (4)
5日常安全审计管理规定 (5)
5.1法律合规性要求 (5)
5.2知识产权保护 (5)
5.3个人信息保护 (5)
5.4安全审计要求 (6)
5.4.1防止网络与信息处理设施的不当使用 (6)
5.4.2加密技术控制 (6)
5.4.3保护单位记录 (6)
5.4.4收集证据 (6)
5.5安全审计实施 (7)
5.6安全审计管理 (7)
5.6.1独立审计原则 (7)
5.6.2控制安全审计过程 (7)
5.6.3保护审计记录和工具 (8)
6附则 (8)
XXXX
信息安全内部审计管理办法
1目的
为了加强信息系统安全管理工作,保证单位各类信息系统数据的规范性、安全性、完整性,保障业务系统和日常工作的正常进行;根据国家、行业,以及单位相关政策制度,结合本单位实际情况特制定本管理程序。
2适用范围
安全审计的范围应包括与信息系统安全有关的所有范畴,包括各类网络与信息资产、组织与人员(管理层、员工、用户、第三方等)和业务流程等。
3职责
1、信息安全管理委员会:
负责对本文档的审批和管理;
2、信息安全工作主管领导:
负责本文档的审核及组织编写;
监督管理安全审计工作的落实。
3、信息安全工作小组:
负责对本文档的组织编写、修订工作;
对安全审计发现的问题采取措施进行控制。
4、信息安全审计小组:
负责定期对本文档的适用性进行审定;
组织各部门准备安全审计资料;
编写安全审计报告;
对安全审计中提出的纠正与预防措施实施情况进行跟踪和验证,并归档保管安全审计中形成的相关资料。
5、各部门:
负责本部门安全审计资料的准备;
负责安全审计中提出的纠正、预防措施的实施和改进。
4术语和定义
1、安全策略:有关管理、保护和发布敏感信息的法律、规定和实施细则。
2、安全审计:按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。
3、安全审计的独立性:审计方与被审计方保持相对独立,包括审计职责和流程,以确保审计结果的公正可靠。
5日常安全审计管理规定
本程序从管理和技术两个方面检查单位的安全策略和控制措施的执行情况,从而发现安全隐患的过程。
5.1法律合规性要求
1、网络与信息系统的设计、操作、使用和管理不仅要遵从单位本身的安全方针,而且要符合国家法律法规、管理条例及合同的要求。
2、单位应正确识别与各网络与信息系统相关的所有法律法规、管理条例以及合同要求,并明确满足这些要求所应采取的特定控制措施及相关责任。以上内容都应记录在案,并传达给相关人员。
5.2知识产权保护
1、单位应明确规定有关知识产权的识别、授权、使用和检查等方面的要求,以确保符合相关法律。
2、单位应特别重视软件版权的管理,使每个员工都意识到遵守软件许可协议是其必须承担的责任。
3、试用或演示软件不得用于生产运营,并应在授权期结束后终止使用;
4、除非通过全面测试,并确保能够获取后续支持服务,否则共享或免费软件不得用于关键业务系统,也不得用于单位对外提供的任何产品中。
5.3个人信息保护
1、单位应制定相关管理办法,保护个人信息,防止泄露、删除、篡改和非法使用。
2、单位不得将用户信息用于获取目的以外的其他用途,也不得擅自向他人
提供用户信息。
3、单位应保护用户的通信自由和通信秘密,除非法律另有规定,否则不得泄
露用户的任何通信信息。
5.4安全审计要求
5.4.1防止网络与信息处理设施的不当使用
1、网络与信息处理设施的使用应基于业务目的,未经授权或非业务目的的使用,都应被视为不当使用。
2、网络与信息处理设施的不当使用有可能构成违法犯罪,单位应对其进行监控,并对违规者进行惩罚。
3、单位应通过恰当途径告之所有用户其确切的合法访问范围,具体途径如下:
与用户签署书面授权协议,明确除非经过授权,否则禁止一切访问活动;
在用户登录时显示警告消息,表明禁止非法访问;用户只有确认该消息后,才可继续访问过程。
4、单位应在法律法规允许的范围内进行监控,并告知用户此类监控的存在。
5.4.2加密技术控制
加密技术受国家控制,与国家军事、经济安全密切相关。单位在使用加密技术、涉及加密技术进出口活动、或对国家规定必须通过加密以保证内容机密性的信息进行加密/访问时,必须遵守国家的相关法律法规。
5.4.3保护单位记录
1、单位应制定有关收集、保存、处理和处置重要记录的指导原则,防止重要记录的丢失、破坏或篡改,以便符合相应的法律法规或管理条例要求,支持必要的业务活动。例如:财务记录、交易记录等。
2、单位应明确记录的保留时间和具体内容,并符合国家的相应法律法规。单位应安全保存记录,确保其在整个保存期内的可用性,并只发放给授权人员。
5.4.4收集证据
1、在单位的日常事务处理中,当需要提供证据证明某一事实时,应站在法律规范的高度,提供符合法律要求的充分证据。例如:惩戒员工、应对法律诉讼等。
2、证据的具体法律要求如下:
确保证据的被采纳和信任的程度(采信度);
确保证据的质量和完整性;
提供充分的流程控制证据,以证明在证据收集过程中采取了正确而连贯的控制措施。
3、单位应建立合理流程,在日常经营活动中注意收集并妥善保管证据,避免证据在形成正式法律诉讼前被破坏。
5.5安全审计实施
1、安全审计可以分为管理和技术两个方面。
2、所有人员(包括第三方)都应履行其在单位业务流程中承担的职责,管理人员应在其职责范围内确保单位的安全策略和控制措施得到有效落实。管理审计应侧重管理层面检查以上内容的执行结果和执行过程。
3、技术审计应检查安全策略和控制措施中技术层面的落实情况。技术审计应由经验丰富的授权人员利用专业技术手段和适当的审计工具进行,如漏洞扫描、渗透测试等。
4、资产责任人应为安全审计提供支持,对安全审计中发现的问题进行分析,确定并采取必要的整改措施。管理层应跟踪督促责任人按期完成整改。
5、单位应制定基于审计结果的奖惩措施,纳入被审计方的考核内容。
6、安全审计应定期进行,安全审计活动和后续整改工作应被正式记录并保存。
5.6安全审计管理
为确保安全审计的有效性和真实性,最大限度地降低对正常运营带来的影响和潜在风险,单位应加强对安全审计的管理工作。
5.6.1独立审计原则
1、独立的信息安全审计必须每年至少进行一次。
2、安全审计可由单位内部的独立审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。
3、为加强安全策略和控制措施的有效落实,系统责任人和维护人还应开展自查工作,并将之作为日常工作的一部分。
5.6.2控制安全审计过程
为最大限度降低安全审计对正常运营造成的影响,单位应采用以下措施控制
安全审计过程:
1、审计时间、内容和范围应得到管理部门的批准,并得到有效控制。
2、有可能对单位关键业务系统造成负面影响的安全审计活动必须经过单位
安全领导机构的批准。
3、明确审计所需的资源,并得到保障;做好工作计划和安排。
4、检查应仅限于对系统的“只读”访问;非“只读”访问仅限于被隔离的
数据拷贝,并在检查结束后全部删除。
5、特殊或者额外的处理要求应与相关业务部门确认,并得到管理部门批准。
6、审计所涉及的所有访问过程都应被监控并记录,以便跟踪调查。
7、审计过程的所有程序、要求和职责都应被记录在案。
5.6.3保护审计记录和工具
单位应严密保护审计记录,防止审计记录用于不良目的,避免泄露被审计对象的安全属性遭到破坏。同时应严密保护审计工具,防止任何不当使用行为对系统的安全性造成威胁,具体保护措施如下:
1、审计记录应与被审计对象设定相同的密级,采取同等的保护措施。
2、审计记录的调阅、引用、处置必须经过授权,并记录在案。
3、审计工具的使用必须经过授权,并记录使用情况。
4、审计工具应与运营系统分离,单独并安全地保存于非公共区域,以免被
轻易获得。单位应严格限定可用的审计工具,并禁止使用破坏性的功能。
6附则
1.本制度由 IT 中心、信息安全部负责制定、修订和解释。
2.本制度自发布之日起实施。
信息安全管理办法93613
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障 建设、信息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信 息安全指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助 IT中心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。 3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高 人员的信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包
内部审计管理制度
内部审计管理制度
4?对集团及成员企业的年度经营指标的完成情况进行确认。 5?根据国家有关法律法规,拟定集团内部审计制度并在审批通过后组织实施。 6 ?总结、交流内部审计工作经验,组织内部审计理论研讨,培训内部审计人员。 7?拟定审计档案管理制度,报审计委员会和董事会审核、审批后执行。 8向审计委员会提交审计计划和审计报告,按时完成交办的审计任务。 第8条审计部的主要权限。 1 ?有权要求集团及成员企业按时报送财务收支计划、资金计划、财务预算和决算等有关文件和资料。 2?有权检查、审核集团及成员企业的会计账目、凭证、账薄、业务记录、报表和其他有关文件资料,检查资金、资产管理情况,检测财务会计电算化软件。 3?有权参加集团及成员企业重大的经营管理等有关方面的会议。 4.有权参与集团及其成员企业重大经济合同的签订、重大投资项目及重大资金使用的可行性和效益性调研过程。 5.就审计中的有关事项及审查中发现的问题有权召开调查会,向有关单位和人员进行调查并索取证明材料。 6.有权提岀制止、纠正违反集团制度规定的财务收支等事项的意见。对被审计单位严重损失浪费的现象,有权提岀限期采取措施,改进工作,改善经营管理,提高经济效益的建议。 7?对阻挠、拒绝审计和弄虚作假、破坏审计工作的被审计单位及有关人员,按有关规定,提请集团有关领导批准后,有权采取查封有关账册、冻结资财等临时措施,并有权提岀追究被审计单位和有关人员责任的建议。 8有权对违反国家法律法规和集团有关财经制度的行为提岀处理意见。 9.对审计中发现的、须查处的重大或紧急事项,有权直接向董事会报告。 第3章内部审计人员队伍建设 第9条审计部应根据企业发展的规模、审计的范围和审计工作的经常化、专业化的要求及需要配备适当数量的专职或兼职会计师、经济师、工程师等业务骨干组成集团内部审计队伍。 第10条审计人员应依法审计、忠于职守、客观公正、廉洁奉公、保守秘密;审计人员不得滥用职权、玩忽职守、徇私舞弊、泄露秘密。审计人员在审计工作中取得的财务收支资料不得用于与审计工作无关的目的。 第11条当遇有重大、复杂审计项目任务时,要求计划、财务、技术等部门的有关人员与审计人员共同参与并组成专项审计组。必要时,经有关领导批准可聘请外部人员或借助社会审计机构进行专题审计或专案审计。 第12条审计人员按本制度规定行使审计职权,被审计单位和个人不得进行刁难或打击报复。对审计
公司内部审计管理实施细则
XXXX公司内部审计管理实施细则 第一章总则 第一条为了加强和规范公司内部审计工作,明确内部审计职责,建立健全有效的内部监督体系,提高企业抗风险能力,根据《集团公司内部审计管理暂行规定》,结合公司实际,制定本细则。 第二条本细则是公司开展内部审计工作应遵循的基本规范。 第三条本细则所称内部审计,是指公司内部审计机构依照国家有关法律、法规、政策以及企业内部规章制度,运用系统化和规范化的方法,对企业经营活动进行确认和咨询工作,以独立、客观的评价和改善企业风险管理、内部控制以及治理程序和效果,增加企业价值,促进企业经营目标的实现。 第二章内部审计机构和内部审计人员 第四条公司根据企业的规模、内部治理结构的需要及国家的有关规定,设置法律审计监察部,下设审计科,设审计科长1名,内部审计员2名,造价审计员2名。 第五条法律审计监察部依据国家有关规定及企业内部规章制度开展内部审计工作,行使内部审计职能,直接对董事会(或主要负责人)负责,向董事会报告工作,并接受集团公司审计部门对内部审计工作的指导和监督。 第六条内部审计人员应具备的条件
一、熟悉相关的法律、法规、政策和公司制定的内部控制制度; 二、熟悉公司生产经营活动和有关生产、经营方面的工作程序; 三、掌握企业会计、内部审计、经营管理、工程造价、法律及其他相关专业知识,并有一定的工作经验,能熟练运用内部审计标准、工作程序和技术方法; 四、具有较强的组织协调、调查研究、综合分析、专业判断、计算机操作及文字表达能力; 五、内部审计负责人应具备上述条件外,还应具备大学本科以上文化程度或中级专业技术任职资格,具有从事内部审计、企业会计、工程技术、法律、经营管理等工作5年以上经历,并具备一定的领导能力和管理能力。 第三章内部审计的主要职责 第七条法律审计监察部根据国家有关规定和公司内部管理需要,履行以下主要职责: 一、参与研究、审阅公司有关规章制度和工作流程;制定和修订内部审计工作制度,编制内部审计工作计划,检查内部审计工作质量,总结内部审计工作情况。 二、参与组织公司内部控制体系建设工作,对公司内部控制体系的健全性、合理性和有效性进行检查,对公司有关业务的经营风险进行评估。 三、参与公司对主要存货的定期盘点和工程项目、设备安装关键
信息安全管理体系审核员注册准则
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.360docs.net/doc/a314301101.html, email:pcc@https://www.360docs.net/doc/a314301101.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
会员信息安全管理办法
会员信息安全管理办法 第一条为规范会员信息的采集、传递和使用,确保会员信息的安全,避免与控制会员信息的外泄及不正当使用可能给公司带来的风险,结合本公司实际情况,特制定本办法。 第二条本办法所称会员是指在认可《会员规约》或《积分卡会员规约》(以下简称“两规约”)的前提下,按照相关手续,持有联名卡或会员 卡,并享有一定服务优先权的顾客。 第三条根据两规约,会员自愿同意向本公司及本公司所属商场内的经营业主提供或交换会员信息,并同意本公司向会员寄送各种宣传制品。相关责任人不得将会员信息作除此之外的其他用途。 第四条本部(店铺)营销各部及广告企划部门设定会员信息管理专员(必须为主任以上人员),当部门有会员信息需求时,由部门会员信息管 理专员负责执行申请程序。 第五条本部(店铺)营销各部的《会员消费特征信息采集申请表》应先提交本部广告企划部(店铺POP)进行审核,由本部广告企划部(店铺POP)提交IT信息部(店铺财务资产科-IT)实施信息采集。 第六条IT信息部(店铺财务资产科-IT)担当在收到申请部门负责人、广告企划部(店铺POP)、会员管理部门负责人签字完整的《会员消费特 征信息采集申请表》后才能在会员系统中进行会员信息采集,根据会员系统功能权限的设置实施操作。 第七条《会员消费特征信息采集申请表》中申请的会员信息仅限于会员手机号码;需要寄送DM的,仅限于会员地址、邮编、姓名。
第八条IT信息部(店铺财务资产科-IT)担当将采集的会员信息文件加密后通过社内网发送给广告企划部(店铺POP)会员信息管理专员,由本部广告企划部(店铺POP)统一安排短信或DM的发送。 第九条本部广告企划部(店铺POP)会员信息管理专员只能将获取的会员信息提供给短信及邮件发送、DM寄送的外包公司,用于各类促销活动信息的会员告知。 第十条所有有权限查询会员相关信息的工作人员及在会员信息的申请、采集、传递和使用的过程中相关责任人必须遵守、保护会员个人信息的隐秘,有稳妥的安全保密措施。不能以职务之便泄漏会员相关信息,一旦出现有泄漏秘密或违反本办法相关规定的情况,将视情节轻重追究责任人的相关责任。 第十一条本管理办法从2011年7月12日开始施行。 第十二条本管理办法最终解释权归公司所有。 I T信息部 2011年7月11日
公司内部审计管理办法
内部审计管理办法 第一章总则 第一条为了加强公司内部审计监督,使审计工作制度化、法制化,根据国家审计法规结合实际情况,特制定本办法。 第二章审计机构和人员 第二条内部审计机构和人员方案有: 1.设立审计部,配置若干专职人员; 2.附属财务部,设专职审计人员; 3.不设机构、专职人员,聘请外部兼职审计人员。 公司根据发展规划,逐步形成多层次、多功能的审计监督体系。 第三条内审人员应具有一定的政治素质、审计专业职称、专业知识和审计经验。 第四条内审人员必须依法审计、忠于职守、坚持原则、客观公正、廉洁奉公,不得滥用职权、徇私舞弊、玩忽职守。公司应对审计人员工作进行奖励和处罚。 第五条内审人员按审计程序开展工作,对审计事项应予保密,未经批准不得公开。 第六条内审人员依法行使职权,受法律保护,任何部门、个人不得阻挠和打击报复。
第三章审计对象、范围和依据 第七条内部审计的对象: 1.公司各职能部门、员工; 2.公司全资子公司、分公司、控股公司; 3.公司参股企业的派驻人员; 4.总经理认为需要检查的其他事项和人员。第八条内部审计范围: 1.与财务收支有关的经济活动; 2.财务计划的执行和决算; 3.公司资产的使用、管理及保值增值情况; 4.基建工程预、决算的真实合法性; 5.国家财经法律、法规执行情况; 6.公司领导离任的经济责任; 7.管理活动、行政活动; 8.其他认定事项。 第九条内部审计依据: 1.国家法律、法规、政策; 2.公司规章制度; 3.公司经营方针、计划、目标; 4.其他有关标准。
第四章审计种类和方式 第十条公司内部审计包括: 1.财务收支审计。对被审单位财务收入的合法性、真实性进行监督检查。 2.专案审计。对被审单位及人员违反公司经济纪律问题进行审计查处。 3.专项审计。包括: (1)管理审计。对被审单位管理活动的效率性进行审计。(2)效益审计。在财务收支审主计基础上,对其经济活动效益性、合理性进行审计。 (3)任期审计。对被审单位负责人在任职期间履行职责情况进行审计。 (4)审计调查。对公司普遍存在的问题进行专题调查。 第十一条公司内部审计方式有: 1.报送(送达)审计。 被审单位接到审计通知书,应在指定时间将有关材料送审计机构接受审计检查。 2.就地审计。 审计人员到被审单位进行审计,后者提供必要的工作、生活条件。 第五章内部审计和内容
信息安全管理办法
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
信息安全管理办法(完整资料).doc
【最新整理,下载后即可编辑】 信息安全管理办法 1.概述 1.1目的 为指导安全等级保护相关工作,做好的信息安全保障工作。1.2范围 为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富,为等级保护工作的开展提供指导。 1.3术语 1.敏感数据 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于: 1.用户敏感数据,如用户口令、密钥; 2.系统敏感数据,如系统的密钥、关键的系统管理数据; 3.其它需要保密的敏感业务数据; 4.关键性的操作指令; 5.系统主要配置文件; 6.其他需要保密的数据。 2.风险 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失
或破坏的可能性。 3.安全策略 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 4.安全需求 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 5.完整性 包括数据完整性和系统完整性。数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。 6.可用性 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 7.弱口令 指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。 2.信息安全保障框架
2.1 信息安全保障总体框架 2.2 信息安全管理体系框架
2.3 安全管理内容 3.信息安全管理规范 3.1 物理安全 3.1.1.物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
化工企业内部审计管理办法
编号:SM-ZD-88276 化工企业内部审计管理办 法 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
化工企业内部审计管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不 同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作 有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条为加强集团公司内部审计工作,保障内部审计机构和内部审计人员充分行使职权,发挥内部审计在改善经营管理、纠错防弊、提高经济效益、加强廉政建设、维护自身合法权益、防范风险方面的作用,根据《中华人民共和国审计法》和审计署、安徽省关于内部审计工作的规定,结合集团公司实际,制定本管理办法。 第二条集团公司的内部审计,是独立监督和评价本单位及所属单位、部门财务收支、经济活动的真实、合法和效益的行为,其目的是促进企业加强经营管理和实现经营目标。 第三条集团公司审计法务部在集团公司主要负责人或授权副职的领导下具体依法独立开展内部审计工作。 第四条公司内部审计部门接受母公司内审部门及上级审计机关的业务指导和监督。 第二章审计机构和人员
信息安全管理体系审核检查表
信息安全管理体系审核指南标准要求的强制性ISMS文件
审核重点 第二阶段审核: a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何: ●定义风险评估方法(参见4.2.1 c) ●识别安全风险(参见4.2.1 d)) ●分析和评价安全风险(参见4.2.1 e) ●识别和评价风险处理选择措施(参见的4.2.1 f) ●选择风险处理所需的控制目标和控制措施(参见4.2.1 g)) ●确保管理者正式批准所有残余风险(参见4.2.1 h) ●确保在ISMS实施和运行之前,获得管理者授权(参见的4.2.1 i)) ●准备适用性声明(参见4.2.1 j) b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括: ●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) ●控制措施有效性的测量(依照 4.3.1 g) ●内部ISMS审核(依照第6章“内部ISMS审核”) ●管理评审(依照第7章“ISMS的管理评审”) ●ISMS改进(依照第8章“ISMS改进”)。 c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条款包括: ●4.2.3监视与评审ISMS ●第7章“ISMS的管理评审”。 d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括: ●4.2.3监视与评审ISMS ●5 管理职责 ●7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系 (也参见本文第8章“过程要求的符合性审核”)。 监督审核: a) 上次审核发现的纠正/预防措施分析与执行情况; b) 内审与管理评审的实施情况; c) 管理体系的变更情况; d) 信息资产的变更与相应的风险评估和处理情况; e) 信息安全事故的处理和记录等。 再认证审核: a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。 b) 评审在这个认证周期中ISMS的实施与继续维护的情况,包括: ●检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进; ●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果; ●检查ISMS如何应对组织的业务与运行的变化; ●检验管理者对维护ISMS有效性的承诺情况。
公司IT信息安全管理制度.doc
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
内部审计管理办法(修订)
内部审计管理办法(修订) 一、目的 为了满足公司发展的需要,充分发挥内部审计监督职能,为生产经营服务,制定本管理办法。 二、总则 (一)、为了进一步完善企业内部控制制度,提升企业管理水平,依据国家有关审计政策、法规,同时结合公司实际情况,制定本管理办法,作为公司审计工作的基本依据。 (二)、根据国家颁发的有关方针、政策、财务法规、《企业会计制度》、国际会计准则及公司内部规章制度,审计部代表公司,对公司(包括投资的公司、承包租赁的企业)及各部门的财务收支及其经济活动的真实性、合法性、合理性和有效性进行独立审计,对公司安排的工作落实情况进行审计监察,以达到堵塞漏洞、完善制度、改善管理、提高经济效益的目的。 三、工作任务和职能 (一)、任务 确保公司形成的重大方针、政策、决议以及公司内部管理制度和财经纪律在公司的正确贯彻执行;保护公司资产完整,完善企业管理制度,从而为提高公司经济效益服务。 (二)、职能 1、根据公司的决议和安排,对公司及所属单位的资金、财产的完整
安全进行监督审计。 2、对公司的财务收支、投资和经费的情况,经济合同的执行以及经济效益进行审计监督。 3、对各事业部核算情况进行审计,对核算的真实性、有效性、准确性、合法性进行审计监督。 4、对公司各部门的经营责任的审计评议,对公司管理人员(部长级以上,含部长级)的离任经济责任进行审计。 5、对公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。 6、对公司的内部控制制度的健全、有效及执行情况进行监督检查。 7、对严重违反公司规定,侵占公司资产,严重损失浪费等损害公司利益的行为进行专案审计。 8、贯彻执行公司的管理制度;参与公司有关的规章制度制定。 9、接受公司内外举报,并对举报事宜进行审计。 10、接受公司委托,对专项事宜进行审计。 11、配合外部审计机构对公司进行审计。 12、办理总裁交办的其他事项。 (三)、督察职能 1、对公司既定政策及重大战略贯彻执行情况进行督察。 2、对经营管理、成本控制等有关制度遵守情况及绩效进行督察。 3、公司交办的其他督察事项。 四、机构
公司内部审计规定
××公司内部审计规定 ××年××月××日()财字第号 第1条为了更好地贯彻执行《国务院关于审计工作的暂行规定》,加强内部审计监督和财务控制工作,结合我公司具体情况,特制定本规定。 第2条内部审计工作必须同经济改革相结合,为经济改革服务。公司设立的审计机构,实行内部审计监督制度。通知审计监督,以严肃财经纪律,监督履行财务责任性,改善公司经营管理,提高经济效益,促进公司改革健康发展。 第3条遵照审计法规,审计机构在董事长的直接领导下,对公司的财务收支及其经济活动的真实性、合法性和效益性进行系统的审计监督,独立行使内部审计职权。 第4条公司审计机构和人员本着首先维护国家利益,同时维护公司合法经济权益的原则,公允地证实公司财务责任履行情况。 第5条公司的审计业务受总公司审计室领导,同时受地方国家审计机关的指导,向公司领导负责并报告工作。 第6条监督检查公司财务、运销、物资、劳资、计划等经营管理部门及各单位贯彻执行国家方针、政策、法令和财经制度的情况,以促进各部门、单位严格遵守财经法纪,依法经营。 第7条监督、检查和评价公司内部控制制度(包括内部管理控制制度和内部会计控制制度)的严密程度和执行情况,着重监督检查公司内所属部门和单位是否遵守下列基本原则: 1、明确划分权责,建立岗位责任制,实行购、产、销、账、钱、物分管的原则; 2、每笔业务(产、销、购、验收、储运),不能由一个人(部门)单独包办到底,必须由两个部门以上的人员处理的原则; 3、所有原始凭证必须连续编号,顺序控制使用,领用空白凭证必须办签证手续并予核对; 4、所有实物财产,要有专人负责保管、保养、维修,以提高使用效率,保证财物安全; 5、所有业务处理必须程序化、制度化; 6、实行公司内部稽核制度; 7、建立一套适合于公司生产特点的成本会计制度; 8、任用人员必须经过慎重挑选、训练,任用品德不良人员容易发生舞弊,任用业务不熟练人员容易发生错误;
内部审计责任追究管理办法
QB 北京市烟草专卖局(公司)标准 QG/BY.SJ007(A)-2011 内部审计责任追究管理办法
前言 为规范北京市烟草专卖局(公司)内部审计的审计责任追究管理工作,建立健全企业内部审计项目管理的标准体系,制订本标准。 本标准根据《审计署关于内部审计工作的规定》、国家局《烟草行业加强内部财务管理和审计监督的实施意见》和《烟草行业内部审计工作规定》等有关文件,结合市局(公司)内部审计集中化管理的实际制订。 本标准规定了审计过错责任的处理原则、审计过错责任的划分、审计过错责任的内容和审计过错责任的免除等的具体内容和要求,用于规范内部审计的审计过错责任管理工作。 本标准由北京市烟草专卖局(公司)标准化委员会提出。 本标准由审计处(审计中心)归口。 本标准起草部门:审计处(审计中心)。 本标准主要起草人:王笑伟、张龙飞、宋薇。 本标准2011年5月4日首次发布。 本标准2011年5月5日实施。 本标准于2014年12月首次修订,主要是根据《关于进一步加强烟草行业内部审计监督的意见》(国烟审[2014]133号)、《烟草行业内部审计工作规定》(国烟审[2014]93号)、《烟草行业工程审计操作指南》(国烟审[2013]473号)等有关文件,结合市局(公司)内部审计管理的实际修订,进一步强化审计责任追究的管理,提升审计工作水平。 本次修订人为刘玉双、许云智。
内部审计责任追究管理办法 1 范围 本标准规定了北京市烟草专卖局(公司)(以下简称“本局(公司)”)内部审计的审计责任追究管理程序的工作要求。 本标准适用于本局(公司)内部审计项目管理工作,是内部审计人员独立实施的审计项目工作标准。 2 规范性引用文件 下列文件中条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 2.1 《审计署关于内部审计工作的规定》(审计署4号令) 2.2 《烟草行业加强内部财务管理和审计监督的实施意见》(国烟财[2005]533号) 2.3 《关于进一步加强烟草行业内部审计监督的意见》(国烟审[2014]133号) 2.4 《烟草行业内部审计工作规定》(国烟审[2014]93号) 2.5 《烟草行业工程投资项目内部审计管理办法》(国烟审[2009]485号) 2.6 《烟草行业工程审计操作指南》(国烟审[2013]473号) 3 术语和定义 下列术语和定义适用于本标准。 审计责任:对一个合格的审计人员应该发现的问题或风险没有发现或者没有报告的要追究审计责任;如果审计人员因报告不及时或者隐瞒不报,要承担审计责任;对不顾客观事实,进行曲解或者歪曲的,要承担审计责任。 4 管理职责 北京市烟草专卖局(公司)审计过错管理实行分级负责制,按照《内部审计项目管理程序》及三级文件规定的职责和权限范围,由有关人员分别承担。对于出现的审计过错,主管领导承担领导责任;审计处(审计中心)负责人承担管理责任;具体责任人员按照责任划分承担直接责任。 5 管理内容和要求 5.1 审计责任追究原则 审计责任追究应当坚持实事求是、权责统一、有错必究、处罚与过错相适应、教育与惩处相结合、依法有序的原则。 5.2 审计过错责任的内容 5.2.1 具体审计人员应承担的责任 5.2.1.1 审前调查有关记录、审计日记、审计工作底稿或审计证据严重失实或故意隐匿、篡改、毁弃审计证据的; 5.2.1.2 重要审计事项未收集审计证据,或者审计证据不足以支持审计结论造成严重后果的; 5.2.1.3 未按照规定职权或规定程序实施审计导致重大问题未发现造成损害严重后果的或发 现违法违纪问题不如实反映的; 5.2.1.4 泄露审计过程中知悉的行业秘密、被审计单位的商业秘密和审计工作秘密,造成严重影响或重大经济损失的。 5.2.2 审计组长应承担的责任 5.2.2.1 审计实施方案编制、调整或执行不当,造成重大违规问题应查出而未能查出的; 5.2.2.2 审计组长在复核过程中未能发现审计日记、审计工作底稿的严重失实问题的、或对违法违纪等重大问题不如实反映的;
银行信息安全管理办法
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员
第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)负责组织开展本行信息安全检查工作。 第二节技术支持人员 第十五条本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄漏或引用工作中触及的任何敏感信息。 (二)严格权限访问,未经业务主管部室授权不得擅自改变系统设臵或修改系统生成的任何数据。 —4— (三)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处臵。 (四)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制
【管理制度】内部审计管理办法
内部审计管理办法 目次 前言...................................................................... I I 1 范围 (1) 2 规范性引用文件 (1) 3 术语、定义 (1) 4 职责 (1) 5 管理活动的内容与方法 (2) 6 检查与考核 (7) 附录A(规范性附录)审计工作底稿 (8) 附录B(规范性附录)审计通知单 (8)
前言 本办法是根据燃气热电有限公司(以下简称“热电”)标准体系工作的需要而编制,是企业标准体系建立和实施的个性管理标准,目的是为了加强内部审计工作的管理,从而规范并加快企业标准体系的完善,适应国家标准和国际先进标准的需要。 本标准替代了ML-207.03-01-2013《内部审计管理办法》。 本标准的附录A、B为规范性附录 本标准由企业管理部提出并归口管理 本标准起草部门:企业管理部
内部审计管理办法 1 范围 本标准规定了内部审计管理工作的职责、管理内容与要求、方法、检查、考核。 本标准适用于热电及其所属各独立核算法人实体的(以下简称“所属企业”)内部审计机构、内部审计人员及其从事的内部审计活动。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 主席令第32号[1994] 《审计法》 国家国资委令第8号[2004] 《中央企业内部审计管理暂行办法》 京国资监督字[2007]12号《市国有及国有控股企业内部审计管理暂行办法》 中国内部审计协会[2003] 《内部审计基本准则》 ML-224.14-01-2013 《内部审计管理流程》 ML-224.14-02-2013 《内部审计工作管理办法》 ML-224.14.03-2013 《任期经济责任审计管理办法》 ML-224.14.04-2013 《建设项目审计管理办法》 ML-224.14.06-2013 《审计档案管理办法》 3 术语、定义 下列术语、定义和缩略语适用于本标准。 3.1 内部审计 是指企业内部审计机构独立客观地开展监督、评价和咨询活动,通过审查和评价企业的经营活动、风险管理及内部控制的适当性、合法性和有效性,促进企业提高经营管理水平,促进国有资本保值增值和企业持续健康发展。 3.2 审计档案 是指内部审计机构在项目审计或者专项审计调查活动中直接形成或取得的具有保存价值的各种记录,包括纸质资料、电子文档、照片、光盘等载体。 4 职责 4.1 董事会 4.1.1 批准年度审计计划。 4.1.2 批准年度财务决算审计报告。 4.1.3 批准其任免的公司主要负责人经济责任审计等事项。 4.2 总经理办公会
化工企业内部审计管理办法通用版
管理制度编号:YTO-FS-PD893 化工企业内部审计管理办法通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
化工企业内部审计管理办法通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 第一章总则 第一条为加强集团公司内部审计工作,保障内部审计机构和内部审计人员充分行使职权,发挥内部审计在改善经营管理、纠错防弊、提高经济效益、加强廉政建设、维护自身合法权益、防范风险方面的作用,根据《中华人民共和国审计法》和审计署、安徽省关于内部审计工作的规定,结合集团公司实际,制定本管理办法。 第二条集团公司的内部审计,是独立监督和评价本单位及所属单位、部门财务收支、经济活动的真实、合法和效益的行为,其目的是促进企业加强经营管理和实现经营目标。 第三条集团公司审计法务部在集团公司主要负责人或授权副职的领导下具体依法独立开展内部审计工作。 第四条公司内部审计部门接受母公司内审部门及上级审计机关的业务指导和监督。 第二章审计机构和人员 第五条实行内部审计专业技术资格制度。内部审计专
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
企业内部审计工作管理办法规定
企业内部审计工作管理办法规定 □总则 (一)根据有关于内部审计工作规定,结合公司的实际情况制定本规定。 (二)内部审计的目的是加强公司及所属公司的管理和监督,维护财经法纪,改善经营管理,提高经济效益。 (三)内部审计是在公司总经理的直接领导下,对公司各部门以及公司所属单位的财务收支和经济效益等进行监督,独立行使审计职权,对总经理负责并报告工作,在业务上同时受上级审计计机构的领导和地方审计机关的监督。 □内部审计的任务 1.主要任务有: (1)对公司及所属公司的资金、财产的完整安全进行监督审计。 (2)对公司及所属公司的财务收支计划、投资和经费的预算,信贷计划,外汇收支计划和经济合同的执行以及经济效益进行审计监督。 (3)对公司及所属公司的会计报表进行审计。 (4)对公司及所属公司的承包经营责任的审计评议,配合上级审计机构对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计。 (5)对公司及其他所属各公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。 (6)对公司及所属公司的内部控制制度的健全、有效及执行情况进行监督检查。 (7)对严重违反财经纪律,侵占国家、公司资产,严重损失浪费等损害国家、公司利益的行为进行专案审计。 (8)贯彻执行有关审计法规,制定或参与研究本公司及所属公司有关的规章制度。 2.办理公司领导、上级审计机构交办的其他审计事项,以及配合上级审计部门和会计师事务所对公司及所属公司进行审计。 3.对公司的下列项目审计部必须会签(不包括子公司): (1)基建项目; (2)经济合同,包括采购合同; (3)公司的年度会计报表。 4.审计部不定时对上述项目的执行情况进行抽查。 □职权 1.主要职权 (1)根据内部审计工作的需要,被审计单位应按时向审计部报送有关计划、预算、决算报表和文件资料等。 (2)检查实物、凭证、帐册、有关文件和资料。