ISO27001信息安全管理体系内部审核检查表
ISO27001内审检查表(ISO27001 2013 )
6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标? 2、信息安全目标与管理方针是否存在关联? 3、信息安全目标是否可测量? 4、组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和 风险处置结果? 5、信息安全目标是否在组织内被传达? 6、信息安全目标是否定期更新?
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员,询问其是否明确自己的安全角色 和职责?
信息安全意识,教育和培训
1、组织是否编制有员工培训管理程序? 2、组织是否编制年度的培训计划? 3、组织是否按照不同的岗位制定不同的培训计划? 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训? 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等,查看当年的信息安全意识培训覆盖率是否达到100%?并 且在必要时,是否将承包方人员加入到其中?
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致? 2、组织制定的信息安全方针是否与信息安全目标相一致? 3、组织制定的信息安全方针是否可以体现领导的承诺? 4、组织制定的方针是否在信息安全管理手册中体现? 5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求?(对象 、时间、频率等方面) 2、组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录? 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录? 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围?分支行科技部门制定的安全管理制度是否仅适用于辖内?
ISO27001:2013信息安全管理体系内部审核检查表
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO27001:2022内审检查表
标准号
标题
IS/IT/Q 4组织环境
被审核人:
质量&信息安全&信息技术服务管理体系内部审核检查表
审核员:
审核内容或方法
审核记录
IS:4.1 IT:4.1 Q:4.1
理解组织及其环境
组织的活动所处的外部环境如何?内部环境 如何?
IS:4.2 IT:4.2 Q:4.2
理解相关方的需求 和期望
安全、信息技术服务体系进行管理?有无对
措施的有效性进行评价管理?
IS:6.1.2 信息安全风险评估 1、是否定义了信息安全风险评估流程?
1、是否定义了信息安全风险处理流程? 2、有无确定必须的控制措施?是否遗漏必 要的控制措施? IS:6.1.3 信息安全风险处理 3、是否有编制适用性声明,有无合理性说 明? 4、是否制定了信息安全处置计划以及接受 信息安全风险的批准?
是否与员工进行了沟通?
组织角色、职责和 是否建立了质量、信息安全、信息技术服务
权限
组织?明确组织的职责和人员分配?
IS/IT/Q 6策划
1、是否确保质量、信息安全、信息技术服
务管理体系能实现其预期结果?
IS:6.1.1 IT:6.1 Q:6.1
应对风险和机遇的 措施
2、是否能防止或减少意外的影响?并进行 持续改进? 3、有无风险控制措施,并纳入质量、信息
信息安全角色和职 责
应根据组织需求定义和分配信息安全角色和 职责
职责分离
相互冲突的职责和相互冲突的责任领域应分 开
管理职责
管理层应要求所有人员按照既定的信息安全 政策、组织的特定政策和程序应用信息安全
与职能机构的联系 组织应与相关部门建立并保持联系
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
2022版27001内审检查表
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括:定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;
1)规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);
据此,管理者和员工就可以确定所选控制措施是否实现原计划的控制目标,或实现的程度。
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
进行ISMS管理评审。
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员:***
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件?
公司的ISMS方针文件是否满足以下要求:
1)包括信息安全的目标框架、信息安全工作的总方向和原则;
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
符合
7.5.3文件记录信息的控制
文件化信息内容是否完整?版本是否有效?
符合
A.5.2信息安全的角色和责任
ISO27001信息安全检查表
5
是否使所有员工和信息安全相关人员签署了保密 协议/合同?
6 是否有信息安全意识、教育和培训计划?
确认培训计划
7 是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员
8 是否制定了信息安全惩戒规程?
9 邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
10 门禁权限是否清除了?
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
审核结果
审查时间:
判定/处置
序 号
审核内容
17 服务器是否得到了妥善的安置和防护?
18 是否制订服务器维护计划?
19
设备处置是否经过了申请?(设备维修,销毁 等)
20 设备处置是否经过了管理
21
服务器,网络和应用系统的变更是否经过了管 理?
审核结果
审查时间:
判定/处置
序 号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点 定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
46 是否执行了口令策略
22 是否进行了防病毒软件的部署
23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查)
25 备份策略制订
26 备份实施
27 备份验证
28 备份保护
29 是否实施了网络控制
30 是否对网络服务的安全进行了控制
31 是否有移动介质清单的管理
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO IEC27001-2013信息安全管理体系内部审核检查表
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的处理措施;
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或负责人
现场观察
A.6.1.3
抽样
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施,检查其是否符合制度要求
抽样
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略,包括加密的对象、加密的方法、解密的方法等。
抽样
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。
现场观察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评审。
ISOIEC27001信息安全管理体系要求内审检查表
备注序号IS0/IEC27001信息安全管理体系要求4 组织是否对所有的与信息处理设施有关的信息和资产指定"所有者”?A.7.1.2Y5是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施?A.7.1.3Y物流中心 管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安Y物流中心9 是否对新的信息处理设施规定并实施管理授权过程?A.6.1.4Y 物流中心 W 反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审? Λ.6.1.5 Y 物流中心 11 与相关的权威机构的适当联系是否被保持? A.6.1.6 Y 物流中心 12与专业的相关团体或其他安全专家论坛或专业协会的适当联系是否被保持? A.6.1.7Y 物流中心 13组织管理信息安全的方法及其实施情况(如控制目标和控制措施、策略、过程和信息安全的程序)是否根据策划的时间间隔,或者是当安全实施发生重大变化时进行了独立评审? A.6.1.8 Y物流中心 14 是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险?并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制? Λ.6.2.1 Y 物流中心15在批准顾客访问组织信息或资产前,是否处理所有己识别的安全要求? A.6.22 Y 物流中心 16 与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议,是否包含或涉及所有已识别的安全要求?A.6.2.3Y物流中心17对每一个信息系统和组织而言,法律条文、行政法规及合同内容所规定的所有相关要求,以及满足这些要求的组织方法,是否加以明白地界定、文件化并保持更新? Λ.15.1.1 Y物流中心18是否实行适当的程序,以确保在具有知识产权的产品和私有软件产品时,能符合法律、法规和合同条款的要求? A151.2Y 物流中心20 数据保护和隐私是否确保符合相是否的法律法规要求,适用时也是否满足合同条款的要求? Λ.15.1.4 Y物流中心21 是否阻止用户把信息处理设备用于未经授权的目的? A.15J15 Y 物流中心密码控制措施的使用要与所有的相关协定、法律Y 物流中心是否定期检查信息系统是否符合安全运行标Y 物流中心 26 是否保护对信息系统审核工具的访问,防止任何可能的误用或者危害? A.15.3.2 Y 物流中心27 是否明确识别所有资产,并建立和保持《重要资产清单》? Λ.7.11 Y 营销中心 组织是否对所有的与信息处理设施有关的信息Y 营销中心 30 是否明确识别所有资产,并建立和保持《重要资产清单》? A.7.1.1 Y 行政中心 31 组织是否对所有的与信息处理设施有关的信息和资产指定〃所有者“? A.7.1.2 Y 行政中心 32 是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施? A.7.1.3 Y 行政中心 33 是否根据其价值、法律要求、敏感度以及对组织的关键程度,对信息进行分类? A.7.2.1 Y 行政中心 34是否依据组织采纳的分类方案制定并实施一系列适当的信息标识和处理程序? Λ.7.2.2 Y 行政中心 35是否依据组织的信息安全方针规定员工、合作方以及第三方用户的安全任务和责任,并将其文件Y行政中心363738管理者是否要求员工、合作方以及第三方用户依据建立的方针和程序来应用安全? Aa21Y 行政中心39组织的所有员工,适当时还包括合作方和第三方用户,是否接受适当的意识培训并定期向它们传达组织更新的方针和程序,以及工作任务方面的新情况? A.8.2.2Y行政中心40对造成安全破坏的员工是否有一个正式的惩戒过程? A.8.2.3Y行政中心41执行工作终止或工作变化的职责是否清晰的定义和分配? A.8.3.1Y行政中心42所有员工、合作方以及第三方用户是否在他们的聘用期限、合同或协议终止时归还他们负责的所有组织资产? A.8.3.2Y行政中心43所有员工、合作方以及第三方用户对信息和信息处理设施的访问权是否在其聘用期限、合同或协议终止时删除,或根据变化作相是否的调整? A.8.3.3Y行政中心44是否使用安全周界(墙、刷卡出入的大门或者人工接待前台)保护包含信息及信息处理设施的区域? A.9.1.1Y营销中心45是否通过适当进入管理措施保护安全区域,确保只有得到授权的用户才能访问? A.9.1.2Y营销中心46办公室、房间和设施的物理安全措施是否被设计并应用? A.9.1.3Y营销中心47防范火灾、水灾、地震、爆炸、社会动荡,以及其它形式的自然或人为灾害的物理安全控制是否被设计并应用? A.9.1.4Y营销中心48安全区的物理保护和原则是否被设计并应用? A.9.1.5Y营销中心49是否对交付和存储设施的访问地点以及其它未经授权的人员可能访问到的地点进行控制,可能的话,是否与信息处理设施隔离,以避免未经授权的访问? A.9.1.6Y营销中心50设备是否被定位或保护,以降低来自环境威胁和危害的风险,以及未经授权的访问机会? A.9.2.1Y营销中心51是否对设备加以保护使其免于电力中断或者其它电力异常的影响? A.9.2.2Y营销中心52是否保护传输数据和辅助信息服务的电缆和通讯线路,使其免于截取或者破坏? A.9.2.3Y营销中心53设备是否得到正确的维护,以确保其持续有效性和完整性? A.9.2.4Y营销中心54考虑到在组织场所外工作的风险,安全是否应用到场所外设备?Λ.9.2.5Y营销中心55包含储存媒体的设备的所有项目是否进行检查,以确保在处置之前将所有敏感数据和许可软件都被清除或者覆盖掉? A.9.2.6Y营销中心56在未经授权的情况下,设备、信息或软件是否带到场所外?Λ,9.27Y营销中心57操作程序是否被文件化、保持,并且在用户需要时可用?Λ.10.1.1Y营销中心58是否控制对信息处理设备和系统的变更? A.10.1.2Y营销中心符合符合符合符合符合蒋符合符合符合符合符合俞符合符合。
ISO27001:2013内审检查表
42 43 44 45 46
47 48
49 50 51 52 53 54 55
56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72
是否确定了风险的等级? 是否评价信息安全风险? 是否根据已建立的准则,判断风险是否可接 受或需要处理? 是否为实施风险处置确定己分析风险的优先 级? 组织是否定义并应用信息安全风险处置过 程? 在考虑风险评估结果的前提下是否选择了适 当的信息安全风险处置选项? 是否为实施所选择的信息安全风险处置选 项,确定所有必需的控制措施? 是否将所确定的控制措施与附录A的控制措 施进行比较,以核实没有遗漏必要的控制措 施? 适用性声明包含必要的控制措施是否有合理 性说明? 是 否 对 附 录 A 中控 制 目 标 和 控 制 措施 的删 减,以及删减的理由? 是否制定信息安全风险处置计划? 是否获得风险负责人对信息安全风险处置计 划以及接受信息安全残余风险的批准? 组织是否在相关职能和层次上建立信息安全 目标? 组织是否保留关于信息安全目标的文件化信 息? 信息安全目标是否与信息安全方针一致? 信息安全目标是否可测量(如可行)? 信息安全目标是否考虑适用的信息安全要求 以及风险评估和风险处置结果? 信息安全目标是否被传达? 信息安全目标是否适当时进行更新? 组织在规划如何实现其信息安全目标时是否 确定了要做什么? 组织在规划如何实现其信息安全目标时是否 确定了需要的资源? 组织在规划如何实现其信息安全目标时是否 确定了相关负责人? 组织在规划如何实现其信息安全目标时是否 确定了完成时间? 组织在规划如何实现其信息安全目标时是否 确定了评价结果的方法?
序号
ISO/IEC27001信息安全管理体系要求 核查问题 条款号 符合性 检查结果
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查)
25 备份策略制订
是否有备份策略的制订?
26 备份实施
是否有备份的实施?
27 备份验证
是否有备份的验证
28 备份保护
是否有备份保护
29 是否实施了网络控制
是否有网络访问方面的限制
30 是否对网络服务的安全进行了控制 31 是否有移动介质清单的管理
11 是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
12 是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被 执行
13 是否制订安全区域出入规则?
1.在公司内部,员工是否佩带可以识别身份的门
卡
2.机房,实验室是否有出入管制规则
14
是否执行了安全区域出入规则(前台接待,机 房,实验室访问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识 别装置进入,离开的管理),实验室进出是否有 管理记录
15 是否定义了公共访问/交接区域?
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
符合性 □符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合
□符合 合
□符合 合 □符合 合
□不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符
□不符 □不符 □不符
ISO27001信息安全管理体系内部审核检查表
序 号
审核内容
17 服务器是否得到了妥善的安置和防护?
审查要点
1. 重要的服务器放在安全的区域(如机房) 2. 是否有UPS 3. 温度和湿度合适
审核记录
18 是否制订服务器维护计划?
确认计划内容
19
设备处置是否经过了申请?(设备维修,销毁 等)
确认修理及报废时的HDD的对应方法。
20 设备处置是否经过了管理
审批记录
21
服务器,网络和应用系统的变更是否经过了管 理?
变更申请记录
22 是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态 正常。
44 是否定期对权限进行了审核
定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
□符合 合
□符合 合
□符合 合 □符合 合 □符合 合 □符合 合
□不符 □不符 □不符 □不符 □不符 □不符
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
序 号
审核内容
43 是否有口令的管理
ISO27001信息安全管理体系内部审核检查表
审查要点
审核记录
有没有将口令写在便条上,或者告知他人
42 是否有特权管理的管理
1. 检查包装合理性 2. 搬运方法合理性 确认是否有电子邮件使用规则,和实施情况(如 发送重要文件时是否有文件加密等) 1.互联网使用的检查。 2.互联是否有访问控制,权限分配规则 如果有文件共享请确认: 1.确认是否设置了全员都可以访问的权限。 2.确认对于长时间不使用的人员是否暂停其帐号 。
□不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符
□不符
□符合 □不符 合
序 号
审核内容
32 是否有移动介质报废管理
33 系统文件是否得到了保护 34 是否有信息交换策略制订
ISO27001信息安全管理体系内部审核检查表
审查要点
审核记录
1.报废的申请和审批记录 2.确认文本文件的废弃方法。 3.确认是否将含有重要信息的文本文件就此扔在 垃圾箱中或扔在可回收资源的箱子中。 4.确认是否将垃圾箱和可回收资源的箱子放在安 全的场所。 5.打印机上是否留有文件没有被取走
ISO27001信息安全管理体系内部审核检查表
序 号
审核内容
1 是否开展了信息安全的检查活动?
审查要点 有安全检查记录或者报告,和改善记有的客户 信息资产,包括服务器,个人电脑,网络设 备,支持设备,人员,数据? 2,对这些资产清单是否有定期的更新?
1.确认资产清单正确 2.确认更新记录 3.客户的资产的保护
5
是否使所有员工和信息安全相关人员签署了保 密协议/合同?
6 是否有信息安全意识、教育和培训计划?
确认培训计划
7 是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员
8 是否制定了信息安全惩戒规程?
9 邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
10 门禁权限是否清除了?
3
上面的资产清单上是否标识了所有人和保管 人?
(要点:确认资产的所有人和保管人被清楚的标 识,并且和实际情况相符)
确认对于机密信息(电子文档,打印文档),限定
4
是否按客户文档的密级规则进行了适当的保护
范围的信息(电子文档,打印文档)是否有‘明确 标识’。根据需要,确认‘限定范围’,‘附带
标识’,‘制定日期’,‘制定者’。
是否有定期的检查
1.确认用户账号是否有申请书。 2.确认用户ID及主要访问的清单,要求删除的用 户或访问权限是否及时修改。 3.确认处理申请的记录。 1.如果访问控制清单等是以纸张形式打印出来 的,确认是否保管在上锁的地方。 2.电子文档是否保管在只有管理者才能打开的场 所。
符合性
□符合 □不符 合
1.Web访问服务的安全 2.Mail 服务的安全
1.是否有管理清单 2.记录重要信息的外部存贮介质(例如:外置 硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储 备份资料用的备份设备等),是否被保管在带锁 的文件柜中?
符合性
□符合 □不符 合
□符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合
1.检查其访问权限设定。 2.是否有备份
确认项目或其他敏感信息是否在发送前经过授 权者确认,是否经过信息所有人的授权。
35 和信息交换方是否签订了协议
和交换涉及方签订NDA(保密协议)
36 物理介质传输是否得到了保护 37 是否按照公司规程实施了电子信息交换 38 是否按照公司规程实施业务信息互联 39 是否有访问控制方针制订 40 是否对访问控制方针进行了评审 41 是否有用户注册的管理