ISO27001检查表Windows_ChecklistISO27001,信息审计

ISO27001-2013信息安全管理体系内部审核检查表`被审核部门：审核时间：2020.01.06 编写人：被审核部门代表确认：内审员：管理者代表：审核依据：ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。

ISO27001-2013信息安全管理体系内部审核检查表`被审核部门：审核时间：2020.01.06 编写人：被审核部门代表确认：内审员：管理者代表：审核依据：ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。

信息安全加固手册WINDOWS系统二零零五年四月1 补丁类 (5)1.1 最新的Service Pack (5)1.2 最新的Hotfixs (5)2 端口服务类 (6)2.1 禁止Messenger服务 (6)2.2 禁止Telnet服务 (7)3系统参数类 (7)3.1禁止自动登录 (7)3.2禁止在蓝屏后自动启动机器 (8)3.4删除服务器上的管理员共享 (9)3.5防止计算机浏览器欺骗攻击 (9)4网络参数类 (10)4.1防止碎片包攻击 (10)4.2 keep-alive时间 (11)5用户管理、访问控制、审计功能类 (12)5.1验证Passwd强度 (12)5.2密码长度 (12)5.3密码使用时间 (14)5.4账号登录事件审计 (15)5.5账号管理审计 (16)5.6目录服务访问审计 (18)5.7登录事件审计 (19)5.8对象访问审计 (21)5.9策略更改审计 (22)5.10特权使用审计 (24)5.11进程跟踪审计 (25)5.12系统事件审计 (27)5.13失败登录账号锁定 (28)5.14失败登录账号锁定时间 (29)5.15登录时间到期时自动退出登录 (30)5.16不显示上次登录的用户名 (31)5.17 防止系统保持计算机账号和口令 (32)5.18防止用户安装打印机驱动程序 (34)5.19恢复控制台禁止管理员自动登录 (35)6防病毒 (36)6.1安装防病毒软件及其更新 (37)7 Windows主机上WWW服务的安全增强 (37)7.1启用日志记录 (37)7.2删除未使用的脚本映射 (38)7.3删除IIS默认文件和目录 (39)8修改系统默认日志保存路径 (40)9 SQLSERVER加固 (40)9.1 SP补丁 (40)9.2删除不用的外部存储过程 (41)10替换CMD命令 (41)11 tunnel封装terminal服务 (42)1补丁类1.1 最新的Service Pack风险描述是否已经安装了最新的Service Pack风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险需要重启系统加固风险规避方法加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WindowsSP补丁（如WIN2000的SP3）包可以用介质升级；最好选择可以恢复系统的安装方式意见管理员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的原因）●签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的原因）●签名（签字确认）1.2 最新的Hotfixs风险描述是否已经安装了最新的Hotfixs风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险可能需要重新启动系统加固风险规避方法加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WIN2000的HOTFIX可以直接点击开始菜单的Windows Update，直接到/zhcn/default.asp升级，最好选择可以恢复系统的安装方式意见管理员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的原因）●签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的原因）●签名（签字确认）2端口服务类2.1 禁止Messenger服务风险描述用于把Alerter服务器的消息发送给网络上的其它机器风险等级风险低加固建议将Messenger服务停止或者禁用加固存在的风险加固成果不会把Alerter服务器的消息发送给网络上的其它机器加固具体方法1、打开控制面板->管理工具->服务窗口2、查看Messenger服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。

备注序号IS0/IEC27001信息安全管理体系要求4 组织是否对所有的与信息处理设施有关的信息和资产指定"所有者”？A.7.1.2Y5是否识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实施？A.7.1.3Y物流中心 管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安Y物流中心9 是否对新的信息处理设施规定并实施管理授权过程？A.6.1.4Y 物流中心 W 反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审？ Λ.6.1.5 Y 物流中心 11 与相关的权威机构的适当联系是否被保持？ A.6.1.6 Y 物流中心 12与专业的相关团体或其他安全专家论坛或专业协会的适当联系是否被保持？ A.6.1.7Y 物流中心 13组织管理信息安全的方法及其实施情况（如控制目标和控制措施、策略、过程和信息安全的程序）是否根据策划的时间间隔，或者是当安全实施发生重大变化时进行了独立评审？ A.6.1.8 Y物流中心 14 是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险？并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制？ Λ.6.2.1 Y 物流中心15在批准顾客访问组织信息或资产前，是否处理所有己识别的安全要求？ A.6.22 Y 物流中心 16 与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议，是否包含或涉及所有已识别的安全要求？A.6.2.3Y物流中心17对每一个信息系统和组织而言，法律条文、行政法规及合同内容所规定的所有相关要求，以及满足这些要求的组织方法，是否加以明白地界定、文件化并保持更新？ Λ.15.1.1 Y物流中心18是否实行适当的程序，以确保在具有知识产权的产品和私有软件产品时，能符合法律、法规和合同条款的要求？ A151.2Y 物流中心20 数据保护和隐私是否确保符合相是否的法律法规要求，适用时也是否满足合同条款的要求？ Λ.15.1.4 Y物流中心21 是否阻止用户把信息处理设备用于未经授权的目的？ A.15J15 Y 物流中心密码控制措施的使用要与所有的相关协定、法律Y 物流中心是否定期检查信息系统是否符合安全运行标Y 物流中心 26 是否保护对信息系统审核工具的访问，防止任何可能的误用或者危害？ A.15.3.2 Y 物流中心27 是否明确识别所有资产，并建立和保持《重要资产清单》？ Λ.7.11 Y 营销中心 组织是否对所有的与信息处理设施有关的信息Y 营销中心 30 是否明确识别所有资产，并建立和保持《重要资产清单》？ A.7.1.1 Y 行政中心 31 组织是否对所有的与信息处理设施有关的信息和资产指定〃所有者“？ A.7.1.2 Y 行政中心 32 是否识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实施？ A.7.1.3 Y 行政中心 33 是否根据其价值、法律要求、敏感度以及对组织的关键程度，对信息进行分类？ A.7.2.1 Y 行政中心 34是否依据组织采纳的分类方案制定并实施一系列适当的信息标识和处理程序？ Λ.7.2.2 Y 行政中心 35是否依据组织的信息安全方针规定员工、合作方以及第三方用户的安全任务和责任，并将其文件Y行政中心363738管理者是否要求员工、合作方以及第三方用户依据建立的方针和程序来应用安全？ Aa21Y 行政中心39组织的所有员工，适当时还包括合作方和第三方用户，是否接受适当的意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新情况？ A.8.2.2Y行政中心40对造成安全破坏的员工是否有一个正式的惩戒过程？ A.8.2.3Y行政中心41执行工作终止或工作变化的职责是否清晰的定义和分配？ A.8.3.1Y行政中心42所有员工、合作方以及第三方用户是否在他们的聘用期限、合同或协议终止时归还他们负责的所有组织资产？ A.8.3.2Y行政中心43所有员工、合作方以及第三方用户对信息和信息处理设施的访问权是否在其聘用期限、合同或协议终止时删除，或根据变化作相是否的调整？ A.8.3.3Y行政中心44是否使用安全周界（墙、刷卡出入的大门或者人工接待前台）保护包含信息及信息处理设施的区域？ A.9.1.1Y营销中心45是否通过适当进入管理措施保护安全区域，确保只有得到授权的用户才能访问？ A.9.1.2Y营销中心46办公室、房间和设施的物理安全措施是否被设计并应用？ A.9.1.3Y营销中心47防范火灾、水灾、地震、爆炸、社会动荡，以及其它形式的自然或人为灾害的物理安全控制是否被设计并应用？ A.9.1.4Y营销中心48安全区的物理保护和原则是否被设计并应用？ A.9.1.5Y营销中心49是否对交付和存储设施的访问地点以及其它未经授权的人员可能访问到的地点进行控制，可能的话，是否与信息处理设施隔离，以避免未经授权的访问？ A.9.1.6Y营销中心50设备是否被定位或保护，以降低来自环境威胁和危害的风险，以及未经授权的访问机会？ A.9.2.1Y营销中心51是否对设备加以保护使其免于电力中断或者其它电力异常的影响？ A.9.2.2Y营销中心52是否保护传输数据和辅助信息服务的电缆和通讯线路，使其免于截取或者破坏？ A.9.2.3Y营销中心53设备是否得到正确的维护，以确保其持续有效性和完整性？ A.9.2.4Y营销中心54考虑到在组织场所外工作的风险，安全是否应用到场所外设备？Λ.9.2.5Y营销中心55包含储存媒体的设备的所有项目是否进行检查，以确保在处置之前将所有敏感数据和许可软件都被清除或者覆盖掉？ A.9.2.6Y营销中心56在未经授权的情况下，设备、信息或软件是否带到场所外？Λ,9.27Y营销中心57操作程序是否被文件化、保持，并且在用户需要时可用？Λ.10.1.1Y营销中心58是否控制对信息处理设备和系统的变更？ A.10.1.2Y营销中心符合符合符合符合符合蒋符合符合符合符合符合俞符合符合。