信息安全管理体系内部审核检查表总

信息安全管理体系内部审核检查表

被审核部门：领导层

审核员签字：第二组

序号附录编号及

名称

审核内容和方法审核记录合格性判断

1 A.5安全方针

1.1

A.5.1

信息安全方针

A.5.1.1 信息安全方针文件

1.2 A.5.1.2评审和评价

A.6信息安全组织

A.6.1

内部组织

A.6.1.1 信息安全的管理承诺

A.6.1.2 信息安全协调

A.6.1.3 信息安全职责分配

A.6.1.4 信息处理设备的授权过程

A.6.1.5 保密协议

A.6.1.6 与权威机构的联系

A.6.1.7 与专业的利益团体保持联系

A.6.1.8信息安全的独立评审

A.6.2.1 关于外部组织风险的识别A.6.2

外部组织

A.6.2.2 与顾客接触时强调安全

A.6.2.3 第三方合同中的安全要求

A.7资产分类和控制

A.7.1.1 资产清单

A.7.1

资产责任

A.7.1.2资产所有者关系

A.7.1.3 可接受的资产使用准则

A.7.2.1 分类指南

A.7.2

信息分类

A.7.2.2 信息的标识和处理

A.8人力资源安全

A.8.1.1 任务和职责

A.8.1

雇用前

A.8.1.2 人员考察

A.8.1.3 雇用条款和条件

A.8.2

A.8.2.1 管理职责

雇用期间

A.8.2.2 信息安全意识、教育与培训

A.8.2.3 惩戒

A.8.3

A.8.3.1 终止职责

雇佣的终止或

变更

A.8.3.2 资产归还

A.8.3.3 撤销访问权限

A.9物理和环境安全

A.9.1

A.9.1.1 物理安全周边

安全区域

A.9.1.2 物理入口控制

A.9.1.3 办公室、房间和设施安全保护

A.9.1.4外部和环境的威胁的安全防护

A.9.1.5 在安全区域工作

A.9.1.6 公共访问、交接区

A.9.2.1 设备的安置和保护

A.9.2

设备安全

A.9.2.2 支持性设施（如供电）

A.9.2.3 电缆安全

A.9.2.4 设备维护

A.9.2.5 场外的设备的安全

A.9.2.6 设备的安全处置或重复使用

A.9.2.7 资产迁移

A.10通信和操作管理

A.10.1.1 文件化操作程序

A.10.1

操作程序和职

责

A.10.1.2 变更管理

A.10.1.3 职责分离

A.10.1.4 开发、测试和运营设施的分离

A.10.2

A.10.2.1 服务交付

第三方服务交

付管理

A.10.2.2 监控和评审第三方服务

A.10.2.3 管理第三方服务的变更

A.10.3

A.10.3.1 容量管理

系统规划与验

收

A.10.3.2 系统

A.10.4

A.10.4.1 防范恶意代码

防范恶意代码

和移动代码

A.10.4.2 防范移动代码

A.10.5

A.10.5.1 信息备份

备份

A.10.6.1 网络控制

A.10.6

网络安全管理

A.10.6.2 网络服务的安全

A.10.7.1 可移动计算媒体的管理A.10.7

媒体处置

A.10.7.2 媒体的处置

A.10.7.3信息处理程序

A.10.7.4 系统文档安全

A.10.8

A.10.8.1 信息交换策略和程序信息交换

A.10.8.2 交换协议

A.10.8.3物理媒体传输

A.10.8.4 电子信息

A.10.8.5 业务信息系统

A.10.9.1 电子商务

A.10.9

电子商务服务

A.10.9.2 在线交易

A.10.9.3 公共可用信息

A.10.10 监视 NO

A.11访问控制

A.11.1.1 访问控制策略

A.11.1

访问控制的业

务要求

A.11.2.1 用户注册、

A.11.2

用户访问管理

A.11.2.2 特权管理

A.11.2.3 用户口令管理

A.11.2.4 用户访问权的评审

A.11.3.1 口令的使用

A.11.3

用户责任

A.11.3.2 无人值守的用户设备

A.11.3.3 清理桌面及清除屏幕策略

A.11.4.1 网络服务使用策略

A.11.4

网络访问控制

A.11.4.2 外部连接的用户鉴别

A.11.4.3 网络设备的识别

A.11.4.4 远程诊断和配置端口保护

A.11.4.5 网内隔离

A.11.4.6网络连接控制

A.11.4.7 网络路由控制

A.11.5 A.11.5.1 安全登陆程序