信息技術(shù)安全審計(jì)表使用指南一、適用范圍與應(yīng)用場(chǎng)景信息技術(shù)安全審計(jì)表是組織信息安全管理體系的重要工具，適用于以下場(chǎng)景：常規(guī)安全檢查：定期對(duì)信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器等資產(chǎn)進(jìn)行安全狀態(tài)評(píng)估，識(shí)別潛在風(fēng)險(xiǎn)；合規(guī)性審計(jì)：滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)及行業(yè)標(biāo)準(zhǔn)（如ISO27001、等級(jí)保護(hù)2.0）的合規(guī)要求；專項(xiàng)風(fēng)險(xiǎn)評(píng)估：在系統(tǒng)上線、重大變更、安全事件發(fā)生后，針對(duì)性開展安全審計(jì)；第三方合作審計(jì)：對(duì)供應(yīng)商、外包服務(wù)商的系統(tǒng)安全管理能力進(jìn)行評(píng)估，保證供應(yīng)鏈安全。二、審計(jì)工作實(shí)施步驟（一）審計(jì)準(zhǔn)備階段明確審計(jì)目標(biāo)：根據(jù)業(yè)務(wù)需求（如年度審計(jì)、專項(xiàng)檢查）確定審計(jì)范圍（如特定業(yè)務(wù)系統(tǒng)、全網(wǎng)絡(luò)環(huán)境）和重點(diǎn)（如數(shù)據(jù)安全、訪問控制）。組建審計(jì)團(tuán)隊(duì)：指定審計(jì)組長(zhǎng)（如*經(jīng)理），成員包括信息安全專員、系統(tǒng)管理員、網(wǎng)絡(luò)工程師及相關(guān)業(yè)務(wù)部門代表，明確分工（如資料收集、現(xiàn)場(chǎng)檢查、問題記錄）。收集審計(jì)依據(jù)：整理相關(guān)法律法規(guī)、組織內(nèi)部安全管理制度（如《信息安全管理辦法》《數(shù)據(jù)分類分級(jí)規(guī)范》）、系統(tǒng)配置文檔、歷史審計(jì)報(bào)告等。制定審計(jì)計(jì)劃：包括審計(jì)時(shí)間、范圍、方法（如訪談、文檔審查、技術(shù)檢測(cè)）、人員安排及輸出物要求，提交管理層審批。（二）審計(jì)執(zhí)行階段資料審查：調(diào)取系統(tǒng)架構(gòu)圖、網(wǎng)絡(luò)拓?fù)鋱D、安全設(shè)備配置策略（如防火墻、WAF）、用戶權(quán)限清單、日志審計(jì)記錄等文檔；檢查管理制度是否完善（如是否有《賬號(hào)管理規(guī)范》《應(yīng)急響應(yīng)預(yù)案》），是否定期更新。現(xiàn)場(chǎng)檢查：物理安全：檢查機(jī)房門禁系統(tǒng)監(jiān)控錄像、消防設(shè)施、溫濕度控制記錄、設(shè)備標(biāo)識(shí)是否清晰；網(wǎng)絡(luò)安全：通過漏洞掃描工具檢測(cè)服務(wù)器、終端系統(tǒng)漏洞，檢查防火墻規(guī)則是否按最小權(quán)限原則配置，入侵檢測(cè)系統(tǒng)（IDS）告警日志是否定期分析；系統(tǒng)安全：核查服務(wù)器操作系統(tǒng)補(bǔ)丁更新情況，檢查默認(rèn)賬號(hào)（如root、admin）是否修改密碼并禁用，日志審計(jì)功能是否開啟（如Linux的auditd、Windows的事件查看器）；數(shù)據(jù)安全：驗(yàn)證數(shù)據(jù)加密存儲(chǔ)（如數(shù)據(jù)庫敏感字段加密）、備份恢復(fù)機(jī)制（是否定期測(cè)試備份有效性）、訪問控制（如數(shù)據(jù)操作權(quán)限是否與崗位匹配）。人員訪談：與系統(tǒng)管理員、安全負(fù)責(zé)人、業(yè)務(wù)用戶進(jìn)行訪談，知曉安全措施執(zhí)行情況（如密碼更換頻率、安全事件上報(bào)流程），并記錄訪談要點(diǎn)。問題記錄：對(duì)審計(jì)中發(fā)覺的問題（如“未定期修改服務(wù)器密碼”“日志保留時(shí)間不足30天”），詳細(xì)描述問題描述、涉及系統(tǒng)、風(fēng)險(xiǎn)等級(jí)（高/中/低），并附相關(guān)證據(jù)（如截圖、日志片段）。（三）審計(jì)報(bào)告與整改階段編制審計(jì)報(bào)告：匯總審計(jì)發(fā)覺，按風(fēng)險(xiǎn)等級(jí)分類整理，分析問題根源（如制度缺失、執(zhí)行不到位），提出整改建議（如“立即修改默認(rèn)賬號(hào)密碼”“延長(zhǎng)日志保留時(shí)間至90天”）；報(bào)告需包含審計(jì)概況、發(fā)覺的問題、整改建議、責(zé)任部門及時(shí)限要求，經(jīng)審計(jì)組長(zhǎng)審核后提交管理層。整改跟蹤：責(zé)任部門根據(jù)整改建議制定整改計(jì)劃，明確整改措施、完成時(shí)限及負(fù)責(zé)人（如*工程師）；審計(jì)組對(duì)整改情況進(jìn)行驗(yàn)證，保證問題關(guān)閉，對(duì)未按期整改的部門進(jìn)行督辦。歸檔總結(jié)：將審計(jì)計(jì)劃、記錄、報(bào)告、整改驗(yàn)證資料等整理歸檔，作為后續(xù)審計(jì)和追溯的依據(jù)；總結(jié)審計(jì)經(jīng)驗(yàn)，優(yōu)化審計(jì)流程及模板。三、信息技術(shù)安全審計(jì)表模板信息技術(shù)安全審計(jì)表審計(jì)項(xiàng)目：__________審計(jì)日期：____年__月__日審計(jì)組長(zhǎng)：*序號(hào)審計(jì)領(lǐng)域?qū)徲?jì)內(nèi)容審計(jì)標(biāo)準(zhǔn)/依據(jù)審計(jì)方法審計(jì)發(fā)覺（問題描述+風(fēng)險(xiǎn)等級(jí)）整改建議責(zé)任部門整改期限整改狀態(tài)（未整改/整改中/已關(guān)閉）1物理安全機(jī)房門禁系統(tǒng)是否啟用，監(jiān)控錄像保存時(shí)間是否≥30天《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22239-2019文檔審查+現(xiàn)場(chǎng)檢查監(jiān)控錄像保存時(shí)間為15天（低風(fēng)險(xiǎn)）將錄像保存時(shí)間延長(zhǎng)至30天以上運(yùn)維部2023-12-31整改中2網(wǎng)絡(luò)安全防火墻是否配置禁止高危端口（如3389、22）訪問，默認(rèn)策略是否為“拒絕”組織《網(wǎng)絡(luò)安全設(shè)備配置規(guī)范》配置核查+漏洞掃描防火墻默認(rèn)策略為“允許”（高風(fēng)險(xiǎn)）修改默認(rèn)策略為“拒絕”，僅開放必要端口網(wǎng)絡(luò)部2023-12-15已關(guān)閉3系統(tǒng)安全服務(wù)器操作系統(tǒng)補(bǔ)丁更新情況，近3個(gè)月是否存在高危未修復(fù)漏洞微軟安全公告/廠商補(bǔ)丁說明漏洞掃描+系統(tǒng)檢查2臺(tái)服務(wù)器存在1個(gè)高危漏洞（中風(fēng)險(xiǎn)）3個(gè)工作日內(nèi)完成補(bǔ)丁更新并驗(yàn)證系統(tǒng)部2023-12-10已關(guān)閉4訪問控制是否存在共享賬號(hào)，特權(quán)賬號(hào)（如root）是否定期審計(jì)（每季度）《賬號(hào)與權(quán)限管理制度》V2.0賬號(hào)清單審查+日志分析發(fā)覺3個(gè)業(yè)務(wù)系統(tǒng)使用共享賬號(hào)登錄（高風(fēng)險(xiǎn)）立即取消共享賬號(hào)，分配獨(dú)立賬號(hào)并記錄業(yè)務(wù)部2023-12-05已關(guān)閉5數(shù)據(jù)安全敏感數(shù)據(jù)（如用戶身份證號(hào)）是否加密存儲(chǔ)，數(shù)據(jù)備份是否每周執(zhí)行并驗(yàn)證《數(shù)據(jù)安全管理規(guī)范》數(shù)據(jù)庫檢查+備份記錄核查用戶表身份證號(hào)未加密存儲(chǔ)（高風(fēng)險(xiǎn)）立即對(duì)敏感字段加密，更新備份驗(yàn)證流程數(shù)據(jù)部2023-12-20整改中6日志審計(jì)關(guān)鍵設(shè)備（防火墻、數(shù)據(jù)庫、服務(wù)器）日志是否保留≥90天，是否定期分析異常登錄《日志審計(jì)管理辦法》日志容量檢查+審計(jì)報(bào)告服務(wù)器日志保留時(shí)間為60天（中風(fēng)險(xiǎn)）調(diào)整日志保留策略至90天，每周審計(jì)報(bào)告安全部2024-01-10未整改…………四、使用過程中的關(guān)鍵要點(diǎn)客觀性與獨(dú)立性：審計(jì)人員需獨(dú)立于被審計(jì)部門，避免主觀臆斷，所有審計(jì)發(fā)覺需有證據(jù)支撐（如日志、截圖、記錄）。風(fēng)險(xiǎn)分級(jí)管理：根據(jù)問題影響范圍和發(fā)生可能性劃分風(fēng)險(xiǎn)等級(jí)（高/中/低），高風(fēng)險(xiǎn)問題需立即整改并上報(bào)管理層。保密要求：審計(jì)過程中接觸的敏感信息（如系統(tǒng)配置、業(yè)務(wù)數(shù)據(jù)）需嚴(yán)格