SANS信息安全管理审计检查清单.15.8.25

进入控制 7.1 9.1 7.1.1 9.1.1
对商业需求的进入控制 进入控制政策
7.2 7.2.1 7.2.2 7.2.3 7.2.4 7.3
9.2 9.2.1 9.2.2 9.2.3 9.2.4 9.3
用户进入管理 用户注册 权限管理 用户密码管理 用户进入权限的复核 用户的职责
7.3.1 7.3.2 7.4 7.4.1
9.5.4 9.5.5 9.5.6 9.5.7 9.5.8 9.6 9.6.1 9.6.2 9.7 9.7.1 9.7.2 9.7.3 9.8 9.8.1 9.8.2
密码管理系统 系统设定的应用 目标用户的强制警报 终端设备的终止 连接时间的限制 应用程序进入控制 信息进入的限制 敏感信息的隔离 监控系统的进入和使用 事件日志 监控系统的应用 时钟同步 可移动电脑和电子设备 可移动电脑和电子设备 电子设备
9.3.1 9.3.2 9.4 9.4.1
密码使用 无人看管的用户设备 网络进入控制 应用网络服务的政策
7.4.2 7.4.3 7.4.4 7.4.5 7.4.6 7.4.7 7.4.8 7.4.9 7.5 7.5.1 7.5.2 7.5.3
9.4.2 9.4.3 9.4.4 9.4.5 9.4.6 9.4.7 9.4.8 9.4.9 9.5 9.5.1 9.5.2 9.5.3
媒介处理和保护 可移动存储介质管理 存储介质的销毁 系统处理程序 系统文件的安全 信息和软件的交换 信息和软件的交换协议 传输媒介的安全 电子商务的安全
6.7.4 6.7.5 6.7.6
8.7.4 8.7.5 8.7.6
电子邮件的安全 电子办公系统的安全 公共应用系统
6.7.7
8.7.7
信息交换的其他方式
7.2.2 7.2.3 7.2.4
电力供应 电力保护 设备维护
5.2.5 5.2.6 5.3 5.3.1 5.3.2
7.2.5 7.2.6 7.3 7.3.1 7.3.2
办公区域外设备的安全 设备处置或再利用的安全 一般控制 屏幕的自动保护政策 财产的转移
通信及业务管理 6.1 8.1 6.1.1 8.1.1 6.1.2 6.1.3 8.1.2 8.1.3
是否对每项与信息系统有关的重要资产都进行等级或注册。是否每项资产都有所有者、安全等级 定义和所处位置的明确说明。 是否已制定信息等级的指南，以帮助确定存放和保护信息资产。 是否已根据本企业认可的分级标准制定了适当的信息标签和处理程序。
是否已将安全职责和作用定义在企业的信息安全政策中。其中既应该包括实施和维护安全政策的 一般职责，也包括保护特定资产安全的特殊职责。 是否在员工申请正式职位是进行资质检查。此检查应该包括性格调查、技术和专业资质的确认和 独立身份调查。 是否要求员工在入职时签订保密协议。此协议中是否涵盖了信息处理程序和企业资质的安全。 是否在雇佣期限和条件中包含了员工对信息安全的职责。适当情况下，这些职责可能延续到员工 离职后的一段期间。 是否对员工和第三方用户进行信息安全培训、定期对他们进行政策和程序的更新。 是否建立正式的安全报告程序或指南，以适当的管理渠道尽快报告安全事件。 是否建立正式的报告程序或指南，保证用户报告系统或服务的缺陷/威胁。 是否建立报告软件故障的程序。 是否建立机制对事故种类、数量和成本进行统计和监控。 是否建立违反安全政策和程序的违规处理制度。此程序能对漠视安全政策的员工起到威慑作用。
系统开发和维护 8.1 10.1
系统的安全需求
8.1.1 8.2 8.2.1 8.2.2
10.1.1 10.2 10.2.1 10.2.2
安全需求分析和规范 应用程序的安全 录入资料的验证 内部处理程序的控制
8.2.3 8.3.3 8.3.4 8.3.5 8.4 8.4.1 8.4.2 8.4.3 8.5 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5
设定了哪些物理安全防护区域以保护信息处理服务。 设定了控制程序以保证只有经过授权的人员才能进入相关区域。这些安全设备包括门禁卡或人员 接待等。 是否对负责处理信息数据的房间上锁或安置加锁的柜子和保险柜。信息数据处理服务是否已受到 保护，以防止自然或人为破坏。是否存在来自临近建筑物的潜在威胁？ 信息处理是否基于“应该知道”的基础。是否对第三方或个人在安全区域的工作制定了安全控制 是否将传递和处理信息的区域实施武力隔离以防止未经授权的进入。是否实施风险评估程序确定 此类领域的安全状况。 是否将设备放置在适当领域，将不必要的接触减至最低。 是否已将需要特殊保护的设备放在特殊的地点，以减少频繁的接触。 是否已制定了防止下列潜在风险的控制程序：偷盗、失火、爆炸、烟、水、垃圾、振动、化学物 质影响、电力供应中断、电磁干扰、洪水。 是否已制定禁止在信息处理服务地点吃饭、饮水和吸烟的政策。 是否对周边环境进行监控以防止对信息处理设备的不良影响。 是否应用UPS等设备保证电力供应。 是否采取措施防止电力线路或通讯线路的中断和损坏。 是否附加安全控制措施保护敏感或关键信息。 是否按照供应商推荐的频率对设备进行维护。是否只用经过授权的人员才能实施维护工作。 是否对所有可疑或真实的错误、采取的预防和纠正措施进行记录。 是否在运输设备时采取了适当的控制措施。 是否任何在办公区域外使用设备都已经过管理层的授权。 是否对办公区域外使用的设备提供了更安全的保护措施。 是否对存储机密信息的设备进行了物理形式的销毁或确保安全的数据删除。 是否应用了电脑屏幕的自动锁定程序。当电脑在一段时间无人使用时，电脑将自动锁定。 是否要求员工对所有机密材料必须以加密的方式存储。 是否建立程序防止设备、信息或软件未经授权带出公司。 是否实施突击检查或定期审计，是否存在未经授权转移财产的情况。是否要求员工了解这些检查
是否建立管理论坛确保企业内部对信息安全有明确的指导和来自管理层的支持。 是否建立由各相关部门代表组成的只能委员会，负责协调信息安全控制程序的实施。 是否明确没人应保护自己所使用财产的职责，并明确定义了安全程序。 是否任何新的信息处理工具（包括软件和硬件）应用都必须经过管理层授权 是否在适当地方设定了专门信息安全警告。指定具有相关知识和经验的人员对指定安全决策给予 一贯支持 法律专家、合规测试部门、信息服务供应商和电信提供商是否能够相互协调，确保在出现安全时 间是快速采取必要行动 是否已相关规定为基础对信息安全政策进行独立检查。检查目的是否了保证政策的适用性和有效 是否评估第三方进入的风险并实施了必要的安全控制 是否评估第三方签约商的在线工作安全风险并实施适当控制 是否签订正式的、反映全部安全需求的合同条款，并确保其符合本企业的安全政策和标准 在签订信息系统、网络或桌面环境的外包合同时，是否在合同中增加了安全条款。合同中应包含 如何满足法律要求、如何维护和测试资产安全、审计权利、物理安全问题及发生灾难时如何保证
强制路径 从报告外部连接的用户的授权 节点身份确认 远程接入端口保护 网络隔离 网络连接协议 网络通信控制 网络服务的安全 操作系统进入控制 终端自动识别机制 终端登录程序 用户识别和批准
7.5.4 7.5.5 7.5.6 7.5.7 7.5.8 7.6 7.6.1 7.6.2 7.7 7.7.1 7.7.2 7.7.3 7.8 7.8.1 7.8.2
wenku.baidu.com
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.2 5.2.1
7.1.1 7.1.2 7.1.3 7.1.4 7.1.5 7.2 7.2.1
物理安全界限 物理进入控制 受保护的办公室、房间和设备 在安全区域工作 对信息传递和安装区域的隔离 设备安全 设备放置的安全
5.2.2 5.2.3 5.2.4
商业永续管理 9.1 11.1 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 11.1.1 11.1.2 11.1.3 11.1.4 11.1.5
合规 10.1 10.1.1 10.1.2
12.1 12.1.1 12.1.2
法律法规 适用法规的识别 知识产权
10.1.3 10.1.4 10.1.5 10.1.6 10.1.7 10.2 10.2.1 10.2.2 10.3 10.3.1 10.3.2
信息安全架构 管理信息安全论坛 信息安全的协调 信息安全职责的分配 信息处理设备的工具程序 专门的信息安全警告 部门间的协作 信息安全的独立检查 第三方进入的安全 识别来自第三方的风险 第三方合同的安全条款 外包 外包合同的安全需求 资产的账簿记录 资产清单 信息等级 分类指引 信息标签和处理 工作定义和资源安全 工作职责中包含安全内容 个人筛选和政策 保密协议 员工雇佣的期限和条件 对用户的培训 信息安全的教育和培训 安全事件或故障报告 报告安全事件 报告安全缺陷 报告软件故障 从事故中获取经验 违规处理政策 安全区域
12.1.3 12.1.4 12.1.5 12.1.6 12.1.7 12.2 12.2.1 12.2.2 12.3 12.3.1 12.3.2
企业记录的保护 数据保护和私人信息的保密 防止误用信息处理设备 加密控制的规则 证据收集 安全政策和技术合规检查 安全政策的合规 技术合规检查 系统审计的考虑 系统审计控制 系统审计工具的保护
6.4 6.4.1
8.4 8.4.1
常规失误 信息备份
6.4.2 6.4.3 6.5 6.5.1
8.4.2 8.4.3 8.5 8.5.1
操作日志 故障日志 网络管理 网络控制
6.6 6.6.1 6.6.2 6.6.3 6.6.4 6.7 6.7.1 6.7.2 6.7.3
8.6 8.6.1 8.6.2 8.6.3 8.6.4 8.7 8.7.1 8.7.2 8.7.3
10.2.3 10.3.3 10.3.4 10.3.5 10.4 10.4.1 10.4.2 10.4.3 10.5 10.5.1 10.5.2 10.5.3 10.5.4 10.5.5
信息验证 数字签名 不可否认服务 钥匙管理 系统文件的安全 操作软件的控制 系统测试数据的保护 程序源代码的进入控制 开发和支持性程序的安全 变更程序控制 操作系统变更的技术性复核 1 操作系统变更的技术性复核 2 隐蔽通道和特洛伊代码 软件开发外包 商业永续管理的基本情况 永续经营的管理程序 永续经营和影响分析 编制和实施永续计划 商业永续计划的构架 对商业永续的测试、维护和再 评估。
2.3 2.3.1
4.3 4.3.1
资产分类和控制 3.1 5.1 3.1.1 3.2 3.2.1 3.2.2 人员安全 4.1 4.1.1 4.1.2 4.1.3 4.1.4 5.1.1 5.2 5.2.1 5.2.2 6.1 6.1.1 6.1.2 6.1.3 6.1.4
4.2 6.2 4.2.1 6.2.1 4.3 6.3 4.3.1 6.3.1 4.3.2 6.3.2 4.3.3 6.3.3 4.3.4 6.3.4 4.3.5 6.3.5 物理和环境安全 5.1 7.1
审计领域、目标和问题 审计问题
是否已制定信息安全政策，并经管理层批准后以适当的方式向所有员工公布 此信息安全政策中是否明确了管理层的责任，并说明了确保企业管理信息安全的方法 是否已指定安全政策的负责人，负责按照既定的程序对其进行维护 上述程序是否能够确保在最初评估基础上发生变化，例如:重大的安全时间、发现新的漏洞或企业 结构和技术构架变化时采取必要的复核程序
操作程序和责任 操作程序的归档 变更控制 突发事件管理程序
6.1.4 6.1.5 6.1.6 6.2 6.2.1 6.2.2 6.3 6.3.1
8.1.4 8.1.5 8.1.6 8.2 8.2.1 8.2.2 8.3 8.3.1
职责分工 开发和操作设备的分离 外部设备管理 系统计划与承诺 资源计划 系统兼容 防止恶意软件 防止恶意破坏软件
索引 检查程序 标准 安全政策 1.1 3.1 1.1.1 3.1.1 1.1.2 3.1.2
审计领域、目标和问题 章节 信息系统安全政策 信息系统安全政策文件 复核与评估
机构安全 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.2 2.2.1
4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.1.7 4.2 4.2.1