信息安全管理体系ISO27001-2013内审检查表

5.2c) 5.2d) 5.2e) 5.2f) 5.2g) 5.3a) 5.3b) 6.1.1a) 6.1.1b) 6.1.1c) 6.1.1d) 6.1.1e) 6.1.1e) 6.1.2a) 6.1.2a) 6.1.2b) 6.1.2c) 6.1.2c) 6.1.2d) 6.1.2d) 6.1.2d) 6.1.2e) 6.1.2e) 6.1.3a) 6.1.3a)
标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 第1页共9页
审核组长：
XXXX公司信息安全内审检查表
6.1.3b) 6.1.3c) 6.1.3d) 6.1.3e) 6.1.3f) 6.2a) 6.2c) 6.2d) 6.2e)
标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款 标准条款
50
6.2f)
部门：信息部 ISO/IEC27001：2013信息安全管理体系要求 序号 核查问题 条款号 要求来源 符合 性 检查 结果
受审核部门陪同人员： 核查结果 备注 核查说明
41 42 43 44 45 46 47 48 49
有无确定必须的控制措施？ 是否有遗漏必要的控制措施？ 是否有编制适用性声明？有无合理性说明？ 是否制定信息安全风险处置计划？ 有无获得风险处置负责人对信息安全处置计划以及接受 信息安全残余风险的批准？ 信息安全目标是否与信息安全方针一致？ 信息安全目标是否考虑适用的信息安全要求以及风险评 估和风险处置结果？ 信息安全目标是否有传达给各相关人员？ 信息安全目标适当时是否有进行调整? 当规划如何实现其信息安全目标时，组织是否确定应做 什么？ 当规划如何实现其信息安全目标时,组织需要的资源有 无确定？ 当规划如何实现其信息安全目标时,组织有无配备需要 的人员？ 当规划如何实现其信息安全目标时,是否确定具体完成 的时间？ 当规划如何实现其信息安全目标时,有无评价结果？ 组织是否确定并提供建立、实施、保持和持续改进信息 安全管理体系所需的资源？ 组织有无确定从事影响信息安全执行工作人员具备必要 的能力？ 评估人员胜任是否考虑经过教育、培训、和经验？ 是否采取适当的措施让员工来获得必要的能力，并有无 评价措施的有效性？ 能力评估、培训、考核的记录都有无保存？ 人员是否知道信息安全方针并理解方针的意思？ 人员是否对有效实施信息安全管理体系的贡献，包括信 息安全绩效改进后的益处？ 是否知道不遵守信息安全管理体系要求可能产生的影 响？ 组织是否确定与信息安全管理体系相关的内外部沟通需 求？是否明确沟通的内容？ 是否确定与信息安全管理体系相关的内外部沟通需求？ 是否明确沟通的时机？ 是否确定与信息安全管理体系相关的内外部沟通需求？ 是否明确沟通的对象？ 是否确定与信息安全管理体系相关的内外部沟通需求？ 是否明确有谁进行沟通？

6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标？ 2、信息安全目标与管理方针是否存在关联？ 3、信息安全目标是否可测量？ 4、组织建立信息安全目标时，是否考虑了信息安全要求、风险评估和 风险处置结果？ 5、信息安全目标是否在组织内被传达？ 6、信息安全目标是否定期更新？
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员，询问其是否明确自己的安全角色 和职责？
信息安全意识，教育和培训
1、组织是否编制有员工培训管理程序？ 2、组织是否编制年度的培训计划？ 3、组织是否按照不同的岗位制定不同的培训计划？ 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训？ 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等，查看当年的信息安全意识培训覆盖率是否达到100%？并 且在必要时，是否将承包方人员加入到其中？
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致？ 2、组织制定的信息安全方针是否与信息安全目标相一致？ 3、组织制定的信息安全方针是否可以体现领导的承诺？ 4、组织制定的方针是否在信息安全管理手册中体现？ 5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求？（对象 、时间、频率等方面） 2、组织对于定期和不定期召开的协调会议，是否会形成会议纪要？
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录？ 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录？ 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围？分支行科技部门制定的安全管理制度是否仅适用于辖内？

2.确定以上内容时，是否考虑了内外部因素、相关方要求？
3.检查适用性声明，是否针对实际情况做了合理
章节
条款
GB/T22080-2016（条文内容）
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减？
4.4信息安全管理体系
组织应按照本标准的要求，建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布？
2.信息安全方针是否符合标准要求？
3.信息安全方针是否形成文件？
4.信息安全方针是否在组织内得到沟通？
5.3组织的角色，责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限，以：
a）确保信息安全管理体系符合本标准的要求；
2）评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》？
2,是否制定应对风险和机遇的措施？
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程，以：
a）建立并维护信息安全风险准则，包括：
1.公司是否建立信息风险评估程序？
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016（条文内容）
审核内容
审核记录
检查方式
审核结论
存在）确保反复的信息安全风险评估产生一致的、有效的和可比较的结果；
c）识别信息安全风险：
1）应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险；
2）识别风险责任人；
d）分析信息安全风险：

b) 抽查：
- 抽查被审核对象岗位职责涉及到的日常信息安全记录的输出情况？
- 现场调阅信息安全相应管理文件，查看具体要求的符合性情况？
访谈和体系文件、记录文件
良好
3
A.6.1.1 信息安全的角色和职责
A.6.1.2 责任分割
a) 访谈：
- 是否了解公司的信息安全管理组织？
- 了解日常工作中哪些操作需要进行（信息安全）授权、审批？初步判定其合理性？
A.8.1.4 资产的归还
A.8.2.1 信息的分类
A.8.2.2 信息的标记
A.8.2.3 资产的处理
a) 访谈：
- 是否有梳理部门/个人职责范围内的各类信息资产？
- 调研对信息资产分类、重要性评价的理解情况？
b) 抽查
- 查看部门信息资产清单及重要信息资产分布情况？
- 根据重要信息资产找到对应的责任人，查看重要信息资产保护力度是否足？是否安全使用？
a) 访谈：近 3-6 个月内的新员工
- 是否有签订保密协议？（可结合通过人力资源管理岗位调取的清单）
- 是否有参加信息安全相关的培训？培训了哪些内容？
访谈和体系文件、记录文件
良好
A.7.3.1 任用终止或变化的责任
a) 访谈：（人力资源管理）
- 员工转岗过程中是否有做资产、权限交割控制？
- 员工离职是否有进行资产、权限回收控制？
b) 抽查
- 调取近一年内的转岗员工清单？
- 抽查转岗员工的转岗流转记录？特别关注：岗位权限变更时，产生的权限变更记录。
- 调取近一年内的离职员工清单？
- 抽查离职员工的离职记录？特别关注：资产、权限的回收记录。
访谈和体系文件、记录文件
良好

纪律处理过程 任用的终止或变化 任用终止或变化的责任 资产管理 对资产负责 资产清单 资产责任人 资产的允许使用 信息分类 信息的分类 信息的标记 资产的处理 资产的归还 介质处理 可移动介质的管理 介质的处置 物理介质传输 访问控制 访问控制的业务要求 访问控制策略 网络服务的使用政策 用户访问管理 用户注册和注销
检查组织是否制定了奖惩规则； 获取当年奖惩记录 获取当年离职离岗或转岗人员清单； 随机抽样四份离职或转岗记录，检查所有控制环节是否都被有效实施；
抽样
抽样Leabharlann 获取组织的信息资产清单； 检查信息资产清单是否每年都进行更新； 检查资产清单中各类信息资产是否都指定了责任人； 抽样5份重要的信息资产，验证已定义的信息资产责任人是否与实际相符； 了解组织重要系统或数据是否定义了访问规则；检查系统及数据访问的审批或授权 记录。 检查信息资产相关制度，组织是否已定义了资产分类分级的标准； 检查信息资产清单，各类信息资产是否依照规则进行了分类和分级； 随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级 检查信息资产相关制度，制度中是否已明确制定了资产的处理措施； 随机抽取本年度4份离职单，查看物品归还情况 现场观察移动存储使用和管控与制度是否相符 ； 检查是否建立介质消磁管理办法，并按要求定期进行回顾与更新； 抽查4份介质报废的审批及处置记录 存有重要信息的介质传送时有哪些策略 抽样策略的实施情况
现场观察 现场观察
随机抽样4名新入职员工的入职材料，检查员工入职前，背景调查的相关记录. 检查这4名新入职员工的劳动合同及是否签署了保密协议。 随机抽样5名员工，检查是否了解其工作职责。 获取组织年度的培训计划； 检查年度培训计划中是否包含了信息安全意识培训； 获取当年度信息安全培训的签到表、培训记录

信息安全组织
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责？以及对 自己信息安全职责的明确程度？信息安全职责的分配是否 与信息安全方针文件相一致？
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中，是否明确指定了与监管机构联系的部门或 负责人
现场观察
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评 价
检查组织是否有体系有效性测量流程
现场观察
9.2内部审核
检查组织是否建立了内审流程
现场观察
检查最新的内审活动，是否包含检查清单、检查过程是否有 效，对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标，这些方针和目 标与公司的业务是否相关。
现场Байду номын сангаас察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录，检查管理评审会议中，是否对 信息安全方针的达成情况进行了评审。
A.6
5.2方针
是否有文件化的管理方针
现场观察
5.3
5.3组织角色、职责和权限
是否建立了的信息安全管理组织，并明确其职责及权限
访谈
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
检查组织是否建立正式的风险评估流程

23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查）
25 备份策略制订
是否有备份策略的制订？
26 备份实施
是否有备份的实施？
27 备份验证
是否有备份的验证
28 备份保护
是否有备份保护
29 是否实施了网络控制
是否有网络访问方面的限制
30 是否对网络服务的安全进行了控制 31 是否有移动介质清单的管理
11 是否制订规则划分了安全区域？
确认风险评估时是否划分了安全区域等级
12 是否执行了安全区域划分规则？
对不同等级的区域是否有相应措施，措施是否被 执行
13 是否制订安全区域出入规则？
1.在公司内部，员工是否佩带可以识别身份的门
卡
2.机房，实验室是否有出入管制规则
14
是否执行了安全区域出入规则（前台接待，机 房，实验室访问控制）？
安装了防盗设施。（机房大门的上锁，ID卡的识 别装置进入，离开的管理），实验室进出是否有 管理记录
15 是否定义了公共访问/交接区域？
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
符合性 □符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合
□符合 合
□符合 合 □符合 合
□不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符
□不符 □不符 □不符
ISO27001信息安全管理体系内部审核检查表
序 号
审核内容

陪同人员
核查记录 有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数 量、优先级等。 有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险 数量、优先级等。 公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管 理者代表，全面负责ISMS的建立、实施与保持工作。 有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件 、硬件、服务、文档、设施、人员、相关方。 有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人。 有用户访问权审查记录。 所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保 护，所有系统初始默认口令必须更改,用户定期变更口令等。 公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。 公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待 接待，若需进入公司办公区域，由接待人员陪同方可进入。
文件编号：CDTY-RPZ-17
被审核部 门 市场部 审核成员
版本号：A
审核日期 2015/12/2
8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1 审核主题 .1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1 .2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 核查 核查事项 要素/条款 8.2 信息安全风险评估 8.3 信息安全风险处置 A.6.1.1 信息安全角色和职责
符合项 √ √ √
观察项
不符合项
A.8.1.1
资产清单
√
A.8.1.2 A.9.2.5 A.9.4.3
资产责任主体 用户访问权限的复查 口令管理系统

√
9.2
内部审核
审核员参与制订了审核计划，风险评估人员识别了资产、脆弱性、威胁和影响，评估了风险，针对高风险制定了风险处置计划。
提供：内审计划。
√
10.1
不符合和纠正措施
有《预防措施实施记录》。
√
10.2
持续改进
组织建立了持续改进机制。定期识别需改进的地方。
√
A.6.1.1
信息安全角色和职责
公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作
√
4.3
确定信息安全管理体系范围
在手册的4.3章确定了信息安全的组织、业务、物理范围。
√
4.4
信息安全管理体系
按ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定，建立、实施、保持和持续改进信息安全管理体系。包含了4级文件：手册、程序文件、管理制度、记录。
√
5.1
目前尚无变更发生。
√
A.12.1.3
容量管理
有《容量管理规划》，对服务器存储容量和网络带宽进行了容量规划。
√
A.12.1.4
开发、测试和运行设施的分离
开发方案测试报告及相应设施齐备
√
A.12.2.1
控制恶意软件
公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。
√
A.12.3.1
信息备份
资产责任人
有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人
√
A.8.1.3
资产的允许使用
提供《用户授权申请表》，满足要求。
√
A.8.1.4

√
A.8.1.1
A.8.1.2
A清单
资产所有权
资产的可接受使用
资产的归还
公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。
对每一项信息资产，根据《信息安全风险管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。
√
A.12.7.1
信息系统审计控制措施
——漏洞扫描工具使用JP1，只有信息系统课系统管理员有权限使用。
——内部使用360杀毒软件对个人计算机进行病毒查杀
√
A.13.1.1
A.13.1.2
A.13.1.3
网络控制
网络服务安全
网络隔离
——提供《网络拓扑图》，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。公司内部的计算机，只有授权的可以上外网，其他的都不能访问外网，现场查连网情况未发现异常。
——没有安装实用工具。
——公司没有软件开发，只有网站服务采用托管形式，由第三方公司负责运营。
——提供《网站维护协议》，合同有效日期从2014年4月30日至2015年4月29日，条款一，规定服务方所应承担的业务与遵守的规定；条款五，规定了双方的法律责任与处理办法
√
A.10.1.1
A.10.1.2
使用密码控制的策略
各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令，口令必须至少要含有6位以上字母+数字。
查：普通用户只能访问被授权的服务，对计算机系统的访问权都被限制。
√
A.9.3.1
使用秘密鉴别信息
公司范围的计算机登录口令要求6位以上。抽查了4台PC机，口令符合要求

9 40 41
42 43 44 45 46
47 48
49 50 51 52 53 54 55
56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72
是否确定了风险的等级？ 是否评价信息安全风险？ 是否根据已建立的准则，判断风险是否可接 受或需要处理？ 是否为实施风险处置确定己分析风险的优先 级？ 组织是否定义并应用信息安全风险处置过 程？ 在考虑风险评估结果的前提下是否选择了适 当的信息安全风险处置选项？ 是否为实施所选择的信息安全风险处置选 项，确定所有必需的控制措施？ 是否将所确定的控制措施与附录A的控制措 施进行比较，以核实没有遗漏必要的控制措 施？ 适用性声明包含必要的控制措施是否有合理 性说明？ 是 否 对 附 录 A 中控 制 目 标 和 控 制 措施 的删 减，以及删减的理由？ 是否制定信息安全风险处置计划？ 是否获得风险负责人对信息安全风险处置计 划以及接受信息安全残余风险的批准？ 组织是否在相关职能和层次上建立信息安全 目标？ 组织是否保留关于信息安全目标的文件化信 息？ 信息安全目标是否与信息安全方针一致？ 信息安全目标是否可测量（如可行）？ 信息安全目标是否考虑适用的信息安全要求 以及风险评估和风险处置结果？ 信息安全目标是否被传达？ 信息安全目标是否适当时进行更新？ 组织在规划如何实现其信息安全目标时是否 确定了要做什么？ 组织在规划如何实现其信息安全目标时是否 确定了需要的资源？ 组织在规划如何实现其信息安全目标时是否 确定了相关负责人？ 组织在规划如何实现其信息安全目标时是否 确定了完成时间？ 组织在规划如何实现其信息安全目标时是否 确定了评价结果的方法？
序号
ISO/IEC27001信息安全管理体系要求 核查问题 条款号 符合性 检查结果

有资产清单
符合
A.8.1.2资产所有权
清单中所维护的资产应分配所有权。
清单有所属的资产负责人。
符合
A.8.1.3资产的可接受使用
信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。
对资产的管理进行了规定，见信息安全风险管理程序
符合
A.8.1.4. 资产的归还
所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。
通过授权
符合
A.6.2.2远程工作
应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。
符合要求，通过与集团的VPN实现
符合
被审核部门： 总经办
审核员签字： 李海清 时间:2018.7.11
附录编号及名称
审核内容和方法
审核记录
判断
5.3 角色、职任和承诺
如何在本职范围内明确责任，特别信息安全管理方面的职务？
A.8.1.3资产的可接受使用
信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。
对资产的管理进行了规定，见信息安全风险管理程序
符合
A.8.1.4. 资产的归还
所有的雇员和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。
有规定，查员工离职交接记录
符合
A.8.2
有规定5个级别。
符合
A.8.3
介质处置
A.8.3.1可移动介质的管理
应按照组织所采纳的分类机制实施可移动介质的管理规程。
有规定
符合
A.8.3.2介质的处置
不再需要的介质，应使用正式的规程可靠并安全地处置。
项目部U盘不能使用。

信息安全管理体系内审检查表
受审核部门：管理层
审核准则：GB/T 22080-2016/ISO/IEC 27001:2013，体系文件、适用法律法规
审核日期：
审核员：
审核条款
检查内容
检查结果
4.1理解组织及其环境
公司是否有部门简介，并能充分反应公司内部情况，如：背景、经营范围、财务表现、规模及设施、人力资源能力、技术优势、知识等（内部因素）及涉及法律法规和专利技术、市场占有率、主要合作伙伴及同行的影响、物理边界、信息渠道（外部因素）？
进行ISMS管理评审。
符合
受审核部门：管理层
审核准则：GB/T 22080-2016/ISO/IEC 27001:2013，体系文件、适用法律法规
审核日期：
审核员：
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件？
公司的ISMS方针文件是否满足以下要求：
1)包括信息安全的目标框架、信息安全工作的总方向和原则；
符合
受审核部门：管理层
审核准则：GB/T 22080-2016/ISO/IEC 27001:2013，体系文件、适用法律法规
审核日期：
审核员：
审核条款检查内容检查果10.2 持续改进公司是否通过多种途径，持续改进ISMS的有效性持，包括：
1)使用信息安全方针；
2)使用安全目标；
3)使用审核结果；
4)使用监视事件的分析；
7.1 资源
公司是否有对为满足信息安全管理体系要求的人力资源、材料、能力、信息、设施等进行评估？
2、公司是否识别各种现有制约，即为减少不良影响或达成目标需要什么，以及需要什么措施？
符合
9.1监视、测量、分析和评价