审计计划
审计类型
| 类型 | 描述 | 频率 | 执行人 |
|---|---|---|---|
| 内部审计 | 检查ISMS合规性和措施实施情况 | 每年 | ISB |
| 技术审计 | 配置检查、加固审查、漏洞评估 | 每半年 | IT + ISB |
| 渗透测试 | 对基础设施和应用的模拟攻击 | 每年 | 外部服务商 |
| 权限审计 | 检查所有访问权限的时效性和必要性 | 每半年 | ISB |
| 备份审计 | 恢复测试和备份完整性检查 | 每季度 | IT运维 |
| 供应商审计 | 检查关键供应商的合同合规性 | 每年 | ISB + 采购 |
审计范围
内部ISMS审计
| 检查领域 | 检查要点 |
|---|---|
| 信息安全政策 | 时效性、管理层批准、公布情况 |
| 风险分析 | 完整性、时效性、风险处置计划 |
| 事件管理 | 流程文档、演练、报告期限 |
| 访问控制 | MFA执行情况、权限、入职/离职流程 |
| 培训 | 完成率、内容时效性 |
| 业务连续性 | 备份测试、DR计划、危机演练 |
渗透测试范围
| 范围 | 描述 |
|---|---|
| 外部攻击面 | 公开可达的服务、Web应用、API |
| 内部基础设施 | 网络分段、横向移动、权限提升 |
| 社会工程 | 钓鱼模拟(可选,需协商) |
| 排除项 | 针对生产系统的拒绝服务测试 |
审计文档
每次审计须记录:
- 审计范围和时间段
- 审查方法
- 发现及严重程度(关键 / 高 / 中 / 低 / 信息性)
- 建议措施
- 负责人和修复期限
- 跟踪日期
发现管理
| 严重程度 | 修复期限 | 升级 |
|---|---|---|
| 关键 | 48小时 | 立即报告管理层 |
| 高 | 30天 | 在下次常规报告中报告ISB |
| 中 | 90天 | 季度报告 |
| 低 | 下一审计周期 | 无 |