信息安全内部审核检查表
信息安全管理体系内部审核检查表
d) 组织要定义如何测量所选控制 l 组织是否有一个“测量所选控制措施有效性”的过程? 措施的有效性
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
划
f) 组织要管理ISMS的运行
l 组织是否有“管理ISMS的运行”的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核
l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案
l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频 次和方法 (4) 审核员的选择,审核的实施 要确保审核过程的客观公正 (5) 审核员不准审核自己的工作
e) 组织要执行定期的ISMS内部 l 是否有到位的定期的“ISMS内部审核”过程或程序?
审核
f) 组织要执行定期的ISMS管理评 l 是否有到位的定期的“ISMS管理评审”过程或程序?
审
g) 组织要更新信息安全计划
l 组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
h) 组织要维护ISMS事件和行动 措施的纪录 条款:4.2.4 保持和改进ISMS
a) 管理评审的输入要包括审核和 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程? 评审结果
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方 的反馈 c)管理评审的输入要包括可用于 改进ISMS的技术、产品或程序 d)管理评审的输入要包括预防和 纠正措施的状况 e)管理评审的输入要包括以往风 险评估没有充分解决的脆弱点或 威f)管胁理评审的输入要包括有效性 测量的结果 g)管理评审的输入要包括以往管 理评审的跟踪措施 h)管理评审的输入要包括可能影 响ISMS的任何变更 i) 管理评审的输入要包括改进的 建议 条款 7.3 评审输出
ISO27001:2013信息安全管理体系内部审核检查表
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO27001-2022内审检查表
支持
7. 1资 源
1、组织是否为建立、实施、保持和持续改进信息 安全管理体系提供了
所需的资源?
7. 2能 力
L组织在关键的信息安全岗位说明书中是否明确了信息安全方面 的能力要求?
2、组织是否定 期对信息安全岗位人员进行培训? 并对其能力进行考
核?
7. 3意 识
1、员工是否了解组织 的信息安全方针?
5.24
信息安全突发事件管理的规划与准备
控制
组织应通过定义、建立和沟通信息安全事件管理流程、角色和职责,计划和准备信息安全事件的管理。
5.25
对信息安全事件的评估和决策
控制
该组织应评估信息安全事件,并决定它们是否要被归类为信息安全事件。
5.26
响应信息安全事件
控制
信息安全事件应按照文件化的程序进行响应。
风险评估
时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估?
是否保留信息安全风险评估结果的文件化信息?
8. 3信息安全
风险处置
是否实施信息安全风险处理计划?
是否保留信息安全风险处理结果的文件化信息?
9
绩效评价
9. 1监视、测
量、分析和评价
1、组织是否建立了有效性测量管理程序?
么组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录?
3、金融机构总部科技部门制定的安全管理制度是否适用千全机构范
围?分支行科技部门制定的安全管理制度是否仅适用千辖内?
7. 5. 2创建和更新
1、组织对创新和更新的文件和记录是否进行了标识?
2、组织对创新和更新的文件和记录在格式、存储介质方面是否有要求?
控制
信息安全管理体系内部审核检查表总
被审核部门: 领导层
审核员签字:第二组
序号
附录编号及名称
审核内容和方法
审核记录
合格性判断
1
A.5安全方针
1.1
A。5.1
信息安全方针
A.5。1.1信息安全方针文件
1。2
A。5.1.2评审和评价
A.6信息安全组织
A.6。1
内部组织
A.6.1。1信息安全的管理承诺
A.6。1。2信息安全协调
A。13。2。3收集证据
业务持续性管理
A。14。1
业务持续性管理的信息安全方面
A。14。1.1在业务连续性管理过程中包含信息安全
A。14。1。2业务持续性和风险评估
A。14.1。3开发并实施包括信息安全的持续性计划
A。14.1.4业务持续性计划框架
A。14.1。5业务持续性计划的测试、保持和再评估
A.15符合性
A.7资产分类和控制
A.7.1
资产责任
A。7.1。1资产清单
A。7.1.2资产所有者关系
A。7.1。3可接受的资产使用准则
A。7。2
信息分类
A.7。2。1分类指南
A.7。2.2信息的标识和处理
A。8人力资源安全
A。8。1
雇用前
A。8。1。1任务和职责
A。8。1.2人员考察
A.8。1.3雇用条款和条件
A.11.3.2无人值守的用户设备
A.11。3.3清理桌面及清除屏幕策略
A。11。4
网络访问控制
A.11.4。1网络服务使用策略
A.11.4.2外部连接的用户鉴别
A.11。4。3网络设备的识别
A。11.4。4远程诊断和配置端口保护
信息安全内审检查表
信息安全内审检查表
以下是一份信息安全内审检查表的范例,供参考:
一、审计目标
1.确保公司信息安全策略和标准的合规性
2.评估信息资产的安全性
3.发现潜在的安全风险和漏洞
4.提高公司信息安全水平
二、审计范围
1.公司所有信息系统
2.物理和逻辑访问控制
3.网络安全
4.加密和身份验证
5.备份和恢复
6.人员安全和培训
7.政策和程序
三、审计方法
1.文档审查:审查公司信息安全政策和程序、系统配置、日志文件等。
2.访谈:与关键人员、系统管理员、安全管理员等进行访谈,了解信息安全实
践和程序。
3.测试:对防火墙、入侵检测系统、加密技术等进行测试,评估其有效性。
4.实地考察:检查物理安全措施,如门禁系统、监控摄像头等。
四、审计步骤
1.审计准备:制定审计计划、确定审计范围和资源、收集相关信息。
2.审计实施:进行文档审查、访谈、测试和实地考察。
3.问题识别:识别存在的安全风险和漏洞。
4.风险评估:评估问题的严重性和影响范围。
5.报告编制:编制审计报告,总结审计结果和建议。
6.跟踪与监控:对审计结果进行跟踪和监控,确保问题得到解决。
五、审计结果和建议
1.对发现的问题进行分类,如高、中、低风险。
2.对每个问题提出具体的建议和解决方案。
3.对建议的解决方案进行成本效益分析,以确定优先级。
4.对已解决的问题进行跟踪和监控,确保其有效性。
2022版27001内审检查表
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括:定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;
1)规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);
据此,管理者和员工就可以确定所选控制措施是否实现原计划的控制目标,或实现的程度。
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
进行ISMS管理评审。
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员:***
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件?
公司的ISMS方针文件是否满足以下要求:
1)包括信息安全的目标框架、信息安全工作的总方向和原则;
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
符合
7.5.3文件记录信息的控制
文件化信息内容是否完整?版本是否有效?
符合
A.5.2信息安全的角色和责任
信息安全内部审核检查表
控制
根据Info-Riskmanager风 险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风 险评估的结果。
对于属于企业秘密、 企业机密与国家秘密的 文件,密级确定部门是否按要求进行适当的 标注?
学习参考
A.8人力资源安全
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风 险评估的结果。
违背组织安全方针和程序的员工公司是否 将根据违反程度及造成的影响进行处罚, 处 罚在安全破坏经过证实地情况下进行?
学习参考
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。
A.6.2.2
处理与顾客相关的 安全问题
控制
根据Info-Riskmanager风 险评估的结果。
外包责任部门是否是否识别外包活动的风 险,明确外包活动的信息安全要求, 在外包 合同中明确规定信息安全要求。 在批准顾客 访问组织信息或资产前, 是否该处理所有已 识别的安全要求?
学习参考
A.7资产管理
标准条款号
标题
目标/控制
控制理由
控制要求
审核发现
A.7.1
资产责任
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效 保护。
A.7.1.1
资产清单
控制
根据Info-Riskmanager风 险评估的结果。
软件部是否组织各部门识别资产, 并根据重 要资产判断准则确定公司的重要资产, 通过 风险管理软件,建立《重要资产清单》?
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO20000-2018信息安全管理体系内部审核检查表
——查人事行政部管理人力资源管理系统,有特殊权限。
各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令,口令必须至少要含有6位以上字母+数字。
查:普通用户只能访问被授权的服务,对计算机系统的访问权都被限制。
ISO20000-2018信息安全管理体系内部审核检查表
被审核部门
管理层
审核成员:黄**、梁**
陪同人员:黄**
审核日期
2020年6月30日
审核主题
4.1、4.2、5.1、5.2、5.3、7.1、9.3、A.5.1
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
4.1
4.2
总要求
-详细介绍了公司总体情况,具体见手册企业概况。
有《信息安全资产清单》和《重要信息资产清单》,信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。
——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人
——提供《用户授权申请表》内容填写符合要求。
——提供了资产归还的记录表。
√
A.8.3.1
A.8.3.2
A.8.3.3
可移动介质的管理
√
9.3
ISMS管理评审
——有制定体系实施以来的第一次管理评审计划。
√
A5.1
信息安全方针文件
信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。
√
被审核部门
研发中心
审核成员:罗**、李**
陪同人员:梁**
ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料
√
6 计划
6.1 处置风险和机遇
6.1.1总则
当进行ISMS策划时,组织是否考虑4.1提到的因素和4.2提到的要求?并确定需要应对的风险和机会以:
a) 确保信息安全管理体系能够达到预期结果;
b) 防止或减少不良影响;
c) 实现持续改进;
组织是否策划:
d) 应对风险和机会的措施?
2.审核依据:
ISO/IEC27001:2013;公司ISMS体系手册、文件
3.审核范围:信息安全管理体系所涉及的部门和过程
4.审核时间:2020.5.208:00-17:00
5.审核组成员:
*
6.现场审核期间被审核方有关人员参加下列活动:
首、末次会议:最高管理者及管理者代表和审核有关的管理人员参加。
是否制定和实施信息保护加密控制策略?
√
A.10.1.2密钥管理:
是否制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期?
√
A.17.1信息安全的连续性
目标:信息安全的连续性应嵌入组织的业务连续性管理体系(BCMS)
A.17.1.1信息安全连续性策划
组织是否确定其在不利情况下的信息安全和信息安全管理的连续性要求,如在危机或灾难时?
√
A.8.2.2信息的标记
根据组织采用的信息分类方案,是否制定并实施一套信息标记流程?
√
A.8.2.3资产处置
根据组织采用的信息分类方法,是否制定并实施一套资产处理流程?
√
A.10加密技术
A.10.1加密控制
目标:使用加密控制适当有效的保护信息的机密性、真实性和完整性。
A.10.1.1加密使用控制政策:
ISMS内审检查表-管理层
A12.1.1
A12.2.2
A12.2.3
A12.2.4
文件化的操作规程
变更管理
容量管理
开发、测试和运行环境ห้องสมุดไป่ตู้分离
制定“信息处理设施管理程序”,规定对信息处理设施的采购、测试、验收、安装调试等过程的制度,从而对信息处理设施的管理进行控制。
“信息处理设施管理程序”中有对信息处理设施变更的过程控制方法。
资产识别情况;
有对公司内现有资产做了识别
——提供,重要信息资产清单
序号、名称、位置、用途、部门、责任人、"保密性赋值C"、"完整性赋值I"、"可用性赋值A"、资产价值、"重要程度"、备注。
——重要度选择:综合分值在7分以上的为重要资产。
——资产的允许使用,综合管理中心制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。
(6)负责信息系统接收测试。
(7)项目的组织协调工作,确定项目人员并对所承担项目的质量负责。
(8)负责软硬件开发过程,包括制定项目进度、组织需求分析、概要设计、测试以及验收。
(9)负责开发人员的管理与保密工作。
(10)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。
√
A6.1.5
项目管理中的信息安全
√
A16.1.1
A16.1.2
报告信息安全事态
报告信息安全弱点
公司建立“信息安全事件管理程序”,规定了员工发现信息安全事件和信息安全弱点的上报流程。
通过对技术部员工的访谈,该部门员工对此程序熟悉。
√
√
A.6.2.2
远程工作
ISOIEC27002013信息安全管理体系内部审核检查表
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责?以及对 自己信息安全职责的明确程度?信息安全职责的分配是否 与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或 负责人
现场观察
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评 价
检查组织是否有体系有效性测量流程
现场观察
9.2内部审核
检查组织是否建立了内审流程
现场观察
检查最新的内审活动,是否包含检查清单、检查过程是否有 效,对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目 标与公司的业务是否相关。
现场Байду номын сангаас察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对 信息安全方针的达成情况进行了评审。
A.6
5.2方针
是否有文件化的管理方针
现场观察
5.3
5.3组织角色、职责和权限
是否建立了的信息安全管理组织,并明确其职责及权限
访谈
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
检查组织是否建立正式的风险评估流程
ISOIEC27001信息安全管理体系要求内审检查表
备注序号IS0/IEC27001信息安全管理体系要求4 组织是否对所有的与信息处理设施有关的信息和资产指定"所有者”?A.7.1.2Y5是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施?A.7.1.3Y物流中心 管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安Y物流中心9 是否对新的信息处理设施规定并实施管理授权过程?A.6.1.4Y 物流中心 W 反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审? Λ.6.1.5 Y 物流中心 11 与相关的权威机构的适当联系是否被保持? A.6.1.6 Y 物流中心 12与专业的相关团体或其他安全专家论坛或专业协会的适当联系是否被保持? A.6.1.7Y 物流中心 13组织管理信息安全的方法及其实施情况(如控制目标和控制措施、策略、过程和信息安全的程序)是否根据策划的时间间隔,或者是当安全实施发生重大变化时进行了独立评审? A.6.1.8 Y物流中心 14 是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险?并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制? Λ.6.2.1 Y 物流中心15在批准顾客访问组织信息或资产前,是否处理所有己识别的安全要求? A.6.22 Y 物流中心 16 与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议,是否包含或涉及所有已识别的安全要求?A.6.2.3Y物流中心17对每一个信息系统和组织而言,法律条文、行政法规及合同内容所规定的所有相关要求,以及满足这些要求的组织方法,是否加以明白地界定、文件化并保持更新? Λ.15.1.1 Y物流中心18是否实行适当的程序,以确保在具有知识产权的产品和私有软件产品时,能符合法律、法规和合同条款的要求? A151.2Y 物流中心20 数据保护和隐私是否确保符合相是否的法律法规要求,适用时也是否满足合同条款的要求? Λ.15.1.4 Y物流中心21 是否阻止用户把信息处理设备用于未经授权的目的? A.15J15 Y 物流中心密码控制措施的使用要与所有的相关协定、法律Y 物流中心是否定期检查信息系统是否符合安全运行标Y 物流中心 26 是否保护对信息系统审核工具的访问,防止任何可能的误用或者危害? A.15.3.2 Y 物流中心27 是否明确识别所有资产,并建立和保持《重要资产清单》? Λ.7.11 Y 营销中心 组织是否对所有的与信息处理设施有关的信息Y 营销中心 30 是否明确识别所有资产,并建立和保持《重要资产清单》? A.7.1.1 Y 行政中心 31 组织是否对所有的与信息处理设施有关的信息和资产指定〃所有者“? A.7.1.2 Y 行政中心 32 是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施? A.7.1.3 Y 行政中心 33 是否根据其价值、法律要求、敏感度以及对组织的关键程度,对信息进行分类? A.7.2.1 Y 行政中心 34是否依据组织采纳的分类方案制定并实施一系列适当的信息标识和处理程序? Λ.7.2.2 Y 行政中心 35是否依据组织的信息安全方针规定员工、合作方以及第三方用户的安全任务和责任,并将其文件Y行政中心363738管理者是否要求员工、合作方以及第三方用户依据建立的方针和程序来应用安全? Aa21Y 行政中心39组织的所有员工,适当时还包括合作方和第三方用户,是否接受适当的意识培训并定期向它们传达组织更新的方针和程序,以及工作任务方面的新情况? A.8.2.2Y行政中心40对造成安全破坏的员工是否有一个正式的惩戒过程? A.8.2.3Y行政中心41执行工作终止或工作变化的职责是否清晰的定义和分配? A.8.3.1Y行政中心42所有员工、合作方以及第三方用户是否在他们的聘用期限、合同或协议终止时归还他们负责的所有组织资产? A.8.3.2Y行政中心43所有员工、合作方以及第三方用户对信息和信息处理设施的访问权是否在其聘用期限、合同或协议终止时删除,或根据变化作相是否的调整? A.8.3.3Y行政中心44是否使用安全周界(墙、刷卡出入的大门或者人工接待前台)保护包含信息及信息处理设施的区域? A.9.1.1Y营销中心45是否通过适当进入管理措施保护安全区域,确保只有得到授权的用户才能访问? A.9.1.2Y营销中心46办公室、房间和设施的物理安全措施是否被设计并应用? A.9.1.3Y营销中心47防范火灾、水灾、地震、爆炸、社会动荡,以及其它形式的自然或人为灾害的物理安全控制是否被设计并应用? A.9.1.4Y营销中心48安全区的物理保护和原则是否被设计并应用? A.9.1.5Y营销中心49是否对交付和存储设施的访问地点以及其它未经授权的人员可能访问到的地点进行控制,可能的话,是否与信息处理设施隔离,以避免未经授权的访问? A.9.1.6Y营销中心50设备是否被定位或保护,以降低来自环境威胁和危害的风险,以及未经授权的访问机会? A.9.2.1Y营销中心51是否对设备加以保护使其免于电力中断或者其它电力异常的影响? A.9.2.2Y营销中心52是否保护传输数据和辅助信息服务的电缆和通讯线路,使其免于截取或者破坏? A.9.2.3Y营销中心53设备是否得到正确的维护,以确保其持续有效性和完整性? A.9.2.4Y营销中心54考虑到在组织场所外工作的风险,安全是否应用到场所外设备?Λ.9.2.5Y营销中心55包含储存媒体的设备的所有项目是否进行检查,以确保在处置之前将所有敏感数据和许可软件都被清除或者覆盖掉? A.9.2.6Y营销中心56在未经授权的情况下,设备、信息或软件是否带到场所外?Λ,9.27Y营销中心57操作程序是否被文件化、保持,并且在用户需要时可用?Λ.10.1.1Y营销中心58是否控制对信息处理设备和系统的变更? A.10.1.2Y营销中心符合符合符合符合符合蒋符合符合符合符合符合俞符合符合。
ISO27001信息安全管理体系内部审核检查表
23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查)
25 备份策略制订
是否有备份策略的制订?
26 备份实施
是否有备份的实施?
27 备份验证
是否有备份的验证
28 备份保护
是否有备份保护
29 是否实施了网络控制
是否有网络访问方面的限制
30 是否对网络服务的安全进行了控制 31 是否有移动介质清单的管理
11 是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
12 是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被 执行
13 是否制订安全区域出入规则?
1.在公司内部,员工是否佩带可以识别身份的门
卡
2.机房,实验室是否有出入管制规则
14
是否执行了安全区域出入规则(前台接待,机 房,实验室访问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识 别装置进入,离开的管理),实验室进出是否有 管理记录
15 是否定义了公共访问/交接区域?
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
符合性 □符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合
□符合 合
□符合 合 □符合 合
□不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符
□不符 □不符 □不符
ISO27001信息安全管理体系内部审核检查表
序 号
审核内容
最新完整版27001信息安全管理体系内部审核检查表
物理介质传输
含有信息的介质是否加以保护,防止未经授权的访问、滥用或在运输过程中的损坏?
A.9访问控制
A.9.1访问控制的业务需求
目标:限制对信息和信息处理设施的访问。
A.9.1.1
访问控制策略
公司是否建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审?
A.9.1.2
对网络和网络服务的访问
A.13.2信息传输
目标:应确保信息在组织内部或与外部组织之间传输的安全。
A.13.2.1
信息传输策略和程序
是否建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全?
A.13.2.2
信息传输协议
是否建立组织和外部各方之间的业务信息的安全传输协议?
A.13.2.3
电子消息
是否适当保护电子消息的信息?
A.7人力资源安全
A.7.1任用前
目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。
A.7.1.1
人员筛选
公司是否根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查是否符合业务需求、访问的信息类别及已知风险?
A.7.1.2
任用条款和条件
公司与员工和承包商的合同协议是否当规定他们对组织的信息安全责任?
A.12.1.2
变更管理
是否控制组织、业务流程、信息处理设施和影响信息安全的系统的变更?
A.12.1.3
容量管理
是否监控、调整资源的使用,并反映将来容量的需求以确保系统性能?
A.12.1.4
开发、测试与运行环境的分离
是否分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险?
信息安全管理体系审核检查表
信息安全管理体系审核检查表一、组织运营情况1.组织机构概况:–组织名称:–组织性质:–成立时间:–主要业务范围:2.信息安全管理部门设置情况:–部门名称:–职责描述:–人员配备情况:二、信息资产管理1.信息资产清单:–是否建立信息资产清单?–清单更新频率:2.信息分类管理:–是否明确信息分类标准?–是否按照信息分类标准进行管理?三、风险管理1.风险评估:–是否定期进行风险评估?–是否建立风险评估报告?2.风险处理:–是否建立风险处理方案?–风险处理效果评估情况:四、安全访问控制1.用户权限管理:–是否进行用户权限管理?–是否建立权限分配流程?2.访问控制:–是否建立访问控制策略?–是否监控访问控制的执行情况?五、信息安全培训与意识1.培训计划:–是否建立信息安全培训计划?–培训内容涵盖范围:2.意识提升:–是否定期进行信息安全意识培训?–员工信息安全意识检查情况:六、内部安全检查与审计1.内部审计:–是否定期进行内部安全检查与审计?–审计报告执行情况:2.审计结果整改:–是否建立审计结果整改机制?–整改情况跟踪及反馈情况:七、应急响应和恢复1.应急响应预案:–是否建立应急响应预案?–是否进行应急演练?2.灾难恢复:–是否建立灾难恢复预案?–是否定期测试恢复预案有效性?八、外部服务提供商管理1.外部服务提供商审查:–是否对外部服务提供商进行审查?–外部服务提供商安全性考虑情况:2.外部服务提供商监管:–是否对外部服务提供商进行监管?–监管合规性检查情况:九、通信安全1.网络安全管理:–是否建立网络安全管理制度?–网络安全事件处理情况:2.通信加密:–是否对重要通信进行加密?–加密算法及密钥管理情况:十、环境安全1.信息系统物理安全:–是否建立信息系统物理安全措施?–安全设备检查维护情况:2.环境监控:–是否进行环境监控?–监控数据记录和分析情况:十一、文件与记录管理1.信息安全文件管理:–是否建立信息安全文件管理制度?–文件管理规范执行情况:2.记录管理:–是否建立信息安全记录管理制度?–记录存储及备份情况:十二、信息安全体系监测与改进1.安全监测:–是否建立信息安全监测机制?–安全监测数据分析情况:2.改进措施:–是否持续改进信息安全体系?–改进措施实施效果评估情况:以上为信息安全管理体系审核检查表,相关部门及人员应认真填写审核情况,及时整改存在的问题,确保信息安全管理体系的持续健康发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A.9物理与环境安全
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.9.1
安全区域
目标
防止对组织办公场所和信息的未授权访问、损坏和干扰。
是
A.9.1.1
实物安全周界
控制
根据Info-Riskmanager风险评估的结果。
A.6.1.6
与权威机构的联系
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否制定规定,详细说明由谁何时与权威机构联系,以及怎样识别是否该及时报告的可能会违背法律的信息安全事件?
A.6.1.7
与专业小组的联系
控制
根据Info-Riskmanager风险评估的结果。
软件部是否就计算机信息及通信网络安全问题与服务提供部门保持联系,以确保和在出现安全事故时尽快采取适当的行动和取得建议?
是
A.9.1.5
在安全区域工作
控制
根据Info-Riskmanager风险评估的结果。
公司是否建立相关制度,明确规定员工、第三方人员在有关安全区域工作的基本安全要求,并要求员工、第三方人员严格遵守?
是
A.9.1.6
公共访问、交付和装载区
控制
根据Info-Riskmanager风险评估的结果。
公司是否设立设置前台接待处接待外来人员,前台与特别安全区域予以隔离?
A.7.2信息ຫໍສະໝຸດ 类目标本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以确保对资产采取适当的保护。
A.7.2.1
分类指南
控制
根据Info-Riskmanager风险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风险评估的结果。
本公司安全区域是否分为一般安全区域与特别安全区域,特别安全区域包括机房和监控机房、机要室?
。
是
A.9.1.2
物理进入控制
控制
根据Info-Riskmanager风险评估的结果。
进出公司大院是否有门卫保安控制?
员工是否凭工作牌进入办公区。是否经过授权的长期访问第三方《出入证》进入被授权的工作区域?
是
A.9.1.3
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?
管理手册中有信息安全方针
A.5.1.2
信息安全方针评审
控制
根据Info-Riskmanager风险评估的结果。
控制
根据Info-Riskmanager风险评估的结果。
在员工离职前和第三方用户完成合同时,是否进行明确终止责任的沟通?
A.8.3.2
资产归还
控制
根据Info-Riskmanager风险评估的结果。
员工离职或工作变动前,是否办理资产归还手续,然后方能办理移交手续?
A.8.3.3
解除访问权限
控制
根据Info-Riskmanager风险评估的结果。
上海联众网络信息有限公司
ISO27001:2005信息安全目标与控制检查表
编制:
审核:
批准:
二〇一三年三月十二日
A.5安全方针
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.5.1
信息安全方针
目标
依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1
信息安全方针文件
控制
根据Info-Riskmanager风险评估的结果。
每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?
管理评审报告
A.6信息安全组织
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.6.1
信息安全组织
目标
管理组织内部信息安全。
A.6.1.1
信息安全管理承诺
控制
根据Info-Riskmanager风险评估的结果。
审核发现
A.8.2.1
管理职责
控制
根据Info-Riskmanager风险评估的结果。
公司管理者是否要求员工、合作方以及第三方用户,加强信息安全意识,依据建立的方针和程序来应用安全?
A.8.2.2
信息安全教育和培训
控制
根据Info-Riskmanager风险评估的结果。
与ISMS有关的所有员工,有关的第三方访问者,是否接受安全意识、方针、程序的培训。方针、程序变更后是否及时传达到全体员工。人力资源部通过组织实施培训,确保员工安全意识的提高与有能力胜任所承担的信息安全工作?
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
A.7.1.1
资产清单
控制
根据Info-Riskmanager风险评估的结果。
软件部是否组织各部门识别资产,并根据重要资产判断准则确定公司的重要资产,通过风险管理软件,建立《重要资产清单》?
A.7.1.2
资产所有权
控制
根据Info-Riskmanager风险评估的结果。
为防止非授权的更改或误用信息或服务的机会,是否按要求进行职责分配?
是
A.10.1.4
开发和运作设备的分离
控制
根据Info-Riskmanager风险评估的结果。
开发部门在进行软件和测试程序的开发时,是否有一个独立开发与测试环境,与作业设施分离?
是
A.10.2
第三方服务交付管理
目标
执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。检查协议的执行情况,监控其符合性并控制相是否的变化,以确保交付的服务满足第三方协议中的所有要求。
是
A.9.2.6
设备的安全处置及再利用
控制
根据Info-Riskmanager风险评估的结果。
含有敏感信息的设备在报废或改做他用时,是否由使用部门是否利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录?
是
A.9.2.7
资产转移
控制
根据Info-Riskmanager风险评估的结果。
未经授权之前,是否不将设备、信息或软件带到工作场所外?
A.6.2.1
与外部相关方有关的风险识别
控制
根据Info-Riskmanager风险评估的结果。
公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制,并签署规定访问和工作安排条款和条件的《保密协议》?
A.6.2.2
处理与顾客相关的安全问题
办公室、房间和设施的安全
控制
根据Info-Riskmanager风险评估的结果。
特别安全区域内的办公室、房间和设施是否进行必要的控制,以防止火灾、盗窃或其它形式的危害?
是
A.9.1.4
防范外部和环境威胁
控制
根据Info-Riskmanager风险评估的结果。
机房设备是否安装在距墙、门窗有一定距离的地方。并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施?
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风险评估的结果。
违背组织安全方针和程序的员工公司是否将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行?
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
A.8.3.1
终止责任
软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?
A.6.1.5
保密协议
控制
根据Info-Riskmanager风险评估的结果。
本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。员工聘用期满离开公司之前,是否提醒其对保密所作的承诺?
A.6.1.8
信息安全的独立评审
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否负责组织、策划内部审核,根据策划的时间间隔,或者当安全设施发生重大变化时,对组织管理信息安全的方法及其实施情况进行独立评审?
A.6.2
外部相关方
目标
识别外部相关方访问的风险,明确对外部相关方访问控制的要求,并控制外部相关方带来的风险,保持被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全。
总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。该承诺《信息安全管理手册》中进行相是否描述?
A.6.1.2
信息安全的协作
控制
根据Info-Riskmanager风险评估的结果。
公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。会议由人事行政部负责组织安排并做好会议记录?
A.6.1.3
信息安全职责分配
控制
根据Info-Riskmanager风险评估的结果。
公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?
对每一项重要资产指定信息安全责任人。
A.6.1.4