1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”。
为配合我国信息系统安全等级保护制度的实施,基于对等级保护的深入研究,以及与国家相关部门的合作基础,协会为客户提供等级保护合规性审计服务。
等级保护合规性审计服务指基于国家信息系统安全等级保护等相关标准的要求,结合被审计单位自身组织架构、管理运作模式、业务要求等特点,确定被审计单位为不同等级信息系统所采取的控制措施是否符合要求,或进行差距分析以作为等级保护安全规划设计的依据。
等级保护合规性审计服务包括如下内容:
1) 依据信息系统等级保护基本要求,针对被审计对象创建审计方案;
2) 通过文档审阅、人员访谈、审计检查、审计测试等方式,获得被审计对象的各项审计结果;
3) 对系统整体安全进行审计,确定信息系统整体结构安全性、不同信息系统之间整体安全性等;
4) 对所获得的信息进行综合分析,确定现有控制措施与基本要求之间的差距;
5) 基于以上分析的结果,形成相应的等级保护合规性审计报告。
通过所提供的等级保护合规性审计服务,被审计单位可以:
-
清晰了解当前信息系统与等级保护要求的差距
-
清晰了解已实施等级保护措施的系统的符合性
-
在信息系统等级保护工作上的投资决策更加科学
-
提高内部人员对信息安全的认识
1) 清晰了解当前信息系统与等级保护要求的差距
在信息系统定级之后而尚未实施相应等级的保护措施时,通过等级保护合规性审计,可确定当前系统与相应保护等级要求之间的差距,为等级保护规划设计提供可靠依据。
2) 清晰了解已实施等级保护措施的系统的符合性
当信息系统进行等级保护安全实施之后,通过等级保护合规性审计,可以使被审计单位了解已实施的等级保护措施是否符合相应等级的要求。
3) 在信息系统等级保护工作上的投资决策更加科学
通过等级保护合规性审计,被审计单位可以清晰地了解与相应等级基本要求之间的差距,从而更有的放矢地进行信息安全建设,使得投资决策更加科学有效。
4) 提高内部人员对信息安全的认识
审计过程中审计人员将与被审计单位人员密切合作。通过回答审计人员提出的有针对性的问题、填写精心设计的调查问卷等,被审计单位的管理、业务、技术等人员将逐步提高对信息安全的认识。
等级保护合规性审计分为计划准备、现场审计、分析报告、项目验收4个阶段,每个阶段由不同的任务组成,如下图所示:
等级保护合规性审计服务成果为等级保护合规性审计报告,主要内容包括:
-
审计方案概述
-
安全技术审计结果
-
安全管理审计结果
-
系统整体审计结果
-
系统等级保护差距分析