安全审核检查管理实施细则试行

第一条为督促落实各项网络与信息安全管理办法、技术规范，规范各项网络与信息安全检查工作（以下简称“安全审计”），根据《安全审计管理办法》，特制定本实施细则。

第二条安全审计内容可分为管理和技术两个方面，管理方面的审计侧重检查安全流程、管理要求的执**况；技术方面的审计侧重检查通信网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以及其它技术规范的情况。

第三条安全审计应遵循“审计独立性”的原则，通过设立独立的审计岗位或采取交叉审计等方式开展。

第四条本细则适用于省公司及下属各分公司、直属单位。各单位可依据本细则开展通信网、业务网和各支撑系统的安全审计，开展信息安全等其它安全管理方面的审计。本细则可用于指导开展定期和不定期，全面和针对特定目的的安全审计。

第五条各市分公司及相关单位应按照本实施细则要求结合本单位的具体情况，制定安全审计的各项具体管理制度。

第六条发起网络与信息安全审计工作的主体包括：网络部、业务支撑中心、发展计划部it中心等。

第七条各审计工作主体的主要职责：

一) 应配合完成网络与信息安全工作领导小组、其它上级主管及《安全审计管理办法》安排的安全审计任务；

二) 组织制定部门内部安全审计实施细则；

三) 在本部门管辖范围内，制定安全审计工作年度计划、明确审计要点及实施方案，并报上级部门批准。每年定期完成当年审计计划制定工作，内容应满足本部门或上级部门各类网络与信息安全检查需求；

四) 按照审计计划，实施项目；

五) 提交审计报告；

六) 及时上报审计中发现的重大问题；

七) 针对审计发现的问题，形成改进方案并启动改进工作。

第八条被审计对象应参与制定审计计划、明确审计重点，配合审计工作。

第九条在审计过程中，审计人员应按照公司信息保密规定对接触到的敏感信息进行严格保密，尤其在安全漏洞修补之前，严禁泄露给第三方。

第一十条总体原则。

一) 在确定审计频次、工作重点时，应坚持“对重要系统、重要设备、重要信息、重要规章制度和技术要求，进行重点审计”的原则，综合考虑审计对象主要安全需求、人力资源、技术手段等因素，发挥审计工作的最大效益；

安全审核检查管理实施细则 试行