陈圣-合规视角下的信息安全审计（23页）.pdf

《陈圣-合规视角下的信息安全审计（23页）.pdf》由会员分享，可在线阅读，更多相关《陈圣-合规视角下的信息安全审计（23页）.pdf（23页珍藏版）》请在三个皮匠报告上搜索。

1、合规视角下的信息安全审计陈 圣 陈 圣 分享者资料01 信息安全审计概况目录02 外部合规监管动态及审计实施03 合规视角下信息安全审计的风险应对信息安全审计概况合规视角下的信息安全审计01 揭示信息安全风险的最佳手段信息安全现状的有效途径满足信息安全合规要求的有力武器信息安全审计 什么是信息安全审计成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段企业自身内控制的需要中央网信办、国家发改委、工信部、公安部、国家密码管理局、国家保密局、国家国防科工局、国家版权局、全国信息安全标准化技术委员会、全国信息技术标准化技术委员会、国家市场监督管理总局直属的中国网络安全审查技术与认证中心、国

2、家质检总局授权的中国信息安全产品测评认证中心、公安部计算机信息系统安全产品质量监督检验中心及安全标准和产品测评认证、银保监、证监会、保监会、人行、清结算、银联行业监管部门的要求用户、衣食父母、友商、竞争对手用户等相关方的期望为什么要做信息安全审计？目标可靠性合规性安全性经济性信息安全审计的目标一般性控制审计信息安全审计的内容IT治理IT组织模式、架构、岗位职责组织IT供应商管理、版权与知识产权非核心业务服务水平保障供应商机房环境与防灾主机、通讯网络、存储、访问控制基础设施资产、风险、威胁、策略和保障措施业务连续性对IT连续性的要求、备份与恢复业务连续性开发与获取过程的质量、安全变更管理IT项目

3、管控网络配置、日志检查漏洞扫描、渗透测试网络安全l实体安全控制l访问控制l应用软件开发和变更控制l系统软件控制l职责分离控制l服务连续性控制信息安全审计的内容应用性控制审计l授权控制l完整性控制l准确性控制l数据文件和处理的完整性控制用户问题跟踪功能测试、代码分析、场景模拟或者跟踪业务输入控制输出控制IO可用性可靠性性能业务数据、日志真实性、一致性、准确性数据安全性、规范性流程逻辑性、后门代码业务流程与线下活动接口与数据业务系统外部合规监管动态及审计实施合规视角下的信息安全审计02欧盟加拿大巴西010203外部合规监管动态（国外）美国04南非 05英国06德国07日本0820172018201

4、92020202105.01 06.27 08.27 民法典各编草案提请审议，确立保护隐私和个人信息基本原则09.07 个人信息保护法列入十三届人大立法规划09.17 信息安全技术 金融信息服务安全规范01.20 移动互联网应用收集个人信息基本规范个人信息告知同意指南公开征求意见02.13 03.19 移动互联网APP收集使用个人信息自评估指南公开征求意见05.28 07.03 数据安全法（草案）公开征求意见10.01 10.24 个人信息保护法（草案）正式发布11.11 06.01 06.01 高法、高检关于办理侵犯公民信息刑事案件适用法律若干问题的解释10.01 01.25 四部门联合开展

5、“APP违法违规收集使用个人信息专项治理行动”03.01 APP违法违规收集使用个人信息自评估指南发布05.28 数据安全管理办法公开征求意见06.01移动互联网应用基本业务功能必要信息规范发布06.13个人信息出境安全评估办法（征求意见稿）09.10 10.01 儿童个人信息网络保护规定施行12.30 06.01 外部合规监管动态（国内）外部监管与信息安全审计的关系p 部门p 应用系统p 单位制度p 行业规范p 标准法规p 审计组长p 审计人员p 审计计划p 审计发现p 审计结论p 审计报告p 风险提醒p 风险建议p 不合格项跟踪p 不符合项整改确定目的范围明确审计依据组建审计小组实施现场审

6、计报告审计发现后续审计活动DATADATA信息系统安全等级保护是以 GB 178591999（强制标准）为基础的一系列标准族，关于信息安全等级保护工作的实施意见公通字 200466 描述其应用范围主要为国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统。信息系统安全等级保护标准ISMS 包括了 ISO/IEC 27000 至 ISO/IEC 27059 的60 个标准，不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险（的）方法”，而且还给出了要求、实用规则、第三方认证审核指南以及相关安全域的具体指南等，第三方认证机构的存在为信息安全管理有效性