ISO27001检查表Windows_ChecklistISO27001,信息审计

合集下载

ISO27001内审检查表(ISO27001 2013 )

6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标？ 2、信息安全目标与管理方针是否存在关联？ 3、信息安全目标是否可测量？ 4、组织建立信息安全目标时，是否考虑了信息安全要求、风险评估和风险处置结果？ 5、信息安全目标是否在组织内被传达？ 6、信息安全目标是否定期更新？
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员，询问其是否明确自己的安全角色和职责？
信息安全意识，教育和培训
1、组织是否编制有员工培训管理程序？ 2、组织是否编制年度的培训计划？ 3、组织是否按照不同的岗位制定不同的培训计划？ 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训、相关安全技术培训和组织策略及规程的更新培训？ 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、培训记录等，查看当年的信息安全意识培训覆盖率是否达到100%？并且在必要时，是否将承包方人员加入到其中？
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致？ 2、组织制定的信息安全方针是否与信息安全目标相一致？ 3、组织制定的信息安全方针是否可以体现领导的承诺？ 4、组织制定的方针是否在信息安全管理手册中体现？ 5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求？（对象、时间、频率等方面） 2、组织对于定期和不定期召开的协调会议，是否会形成会议纪要？
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件和记录？ 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录？ 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范围？分支行科技部门制定的安全管理制度是否仅适用于辖内？

ISO27001：2013信息安全管理体系内部审核检查表

2.确定以上内容时，是否考虑了内外部因素、相关方要求？
3.检查适用性声明，是否针对实际情况做了合理
章节
条款
GB/T22080-2016（条文内容）
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减？
4.4信息安全管理体系
组织应按照本标准的要求，建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布？
2.信息安全方针是否符合标准要求？
3.信息安全方针是否形成文件？
4.信息安全方针是否在组织内得到沟通？
5.3组织的角色，责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限，以：
a）确保信息安全管理体系符合本标准的要求；
2）评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》？
2,是否制定应对风险和机遇的措施？
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程，以：
a）建立并维护信息安全风险准则，包括：
1.公司是否建立信息风险评估程序？
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016（条文内容）
审核内容
审核记录
检查方式
审核结论
存在）确保反复的信息安全风险评估产生一致的、有效的和可比较的结果；
c）识别信息安全风险：
1）应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险；
2）识别风险责任人；
d）分析信息安全风险：

信息安全管理体系ISO27001-2013内审检查表

被审核部门
市场部
审核成员李子叶审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查要素/条款
核查事项
核查记录
符合项
8.2
信息安全有信息安全风险评估报告，记录了风险评估的时间、人员 √
风险评估、资产数量、风险数量、优先级等。
8.3
信息安全有信息安全风险评处置计划，记录了风险评估的时间、人 √
决安全
A.15.1.3 信息与通查《相关方服务保密协议》，包括信息与通信技术服务以 √ 信技术供及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供应商服有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务的监视情况。
和评审
A.15.2.2 供应商服目前供应商服务无变更。务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置员、资产数量、风险数量、优先级等。
A.15.1.1
供应商关有《相关方信息安全管理程序》，规定相关部门应协同行 √ 系的信息政部识别供应商对信息资产和信息处理设施造成的风险，安全策略并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在供应商的查控有制《。相关方服务保密协议》，所有与外部相关方合作而 √ 协议中解引起的安全需求或内部控制都应在协议中反映。

ISO27001：2013网络与信息安全检查表

能对本单位全部IP地址进行授权管理，作到接入可控
是否有IP地址分配记录
有IP地址分配记录
数据备份与恢复
是否建立了明确、合理的备份策略；是否严格按照备份策略对系统数据进行备份
建立了明确、合理的备份策略；严格按照备份策略对系统数据进行备份（查看备份策略文件、查看备份记录，或查看备份工具配置）
是否建立了明确的数据恢复预案
防病毒管理
是否有使用通过公安部及有关测评机构认证的防病毒系统
有使用通过公安部及有关测评机构认证的防病毒系统
是否有对病毒库及时升级，定期对全网进行病毒查杀
定期对全网进行病毒查杀，有对病毒库及时升级（最新病毒库）
所有服务器和客户端是否都安装防病毒软件
所有服务器和客户端都安装防病毒软件
是否有专责人员负责维护防病毒系统，并及时发布病毒通告
机房温度是否控制在摄氏18-25度以内
机房温度控制在摄氏18-25度以内
安全技术防范措施
安全技术防范措施
安全技术防范措施
核心网络设备、系统安全配置
交换机、路由器、防火墙等网络设备的安全设置情况；操作系统的安全配置、版本及补丁升级情况
交换机、路由器、防火墙等均根据安全要求进行了正确设置；操作系统的安全配置、版本及补丁升级情况。
1、单位的信息安全组织领导情况及职责划分情况；
2、保密制度；
3、信息安全教育与培训计划。
1、有信息安全管理的组织领导机构，具有明确的职责划分；
2、制定保密制度，与相关人员签订保密协议；
3、不定期对相关人员进行信息安全知识培训及保密教育。
1、信息安全规章制度；
2、信息安全应急制度；
3、网络安全事件记录情况；
网络设备配置是否进行了备份（电子、物理介质）

ISO27001-2013信息安全管理体系内部审核检查表`

ISO27001-2013信息安全管理体系内部审核检查表`被审核部门：审核时间：2020.01.06 编写人：被审核部门代表确认：内审员：管理者代表：审核依据：ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。

ISO27001信息安全检查表

5
是否使所有员工和信息安全相关人员签署了保密协议/合同？
6 是否有信息安全意识、教育和培训计划？
确认培训计划
7 是否执行了信息安全意识、教育和培训？
培训记录（实施日期，培训内容/教材,参加人员
8 是否制定了信息安全惩戒规程？
9 邮件用户是否清除了？
抽查是否有离职人员的用户权限没有被清除
10 门禁权限是否清除了？
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
审核结果
审查时间:
判定/处置
序号
审核内容
17 服务器是否得到了妥善的安置和防护？
18 是否制订服务器维护计划？
19
设备处置是否经过了申请？（设备维修，销毁等）
20 设备处置是否经过了管理
21
服务器，网络和应用系统的变更是否经过了管理？
审核结果
审查时间:
判定/处置
序号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点定期审核记录
45 是否制定了口令策略
管理人员的密码设定。是否有员工号等容易推断的密码。 1个帐号是否有多个用户。密码是否记录在便条上。密码为6位英文数字以上
46 是否执行了口令策略
22 是否进行了防病毒软件的部署
23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检查）
25 备份策略制订
26 备份实施
27 备份验证
28 备份保护
29 是否实施了网络控制
30 是否对网络服务的安全进行了控制
31 是否有移动介质清单的管理

ISO27001-2013信息安全管理体系内部审核检查表`

ISO27001文件-信息安全检查表

合格
22.
是否对公司违规处罚规定了解
在员工书册中规定的奖罚措施在例会上培训和学习
合格
23.
如何避免违规操作？
培训和日常检查
建议对日常安全检查留有记录
服务中心经理
检查员
检查时间ቤተ መጻሕፍቲ ባይዱ
17.
我们接触到的有那些客户资产，对于客户重要的票据信息我们是怎样保障其不被泄密
除了人员和微波炉其它的全是客户的资产。对于重要票据的安全保护主要是从人员培训、制度规定，以及技术保障等手段保障泄密
合格
18.
工作用计算机怎么管理，有没有笔记本电脑，查核计算机保密情况
计算机的日常管理由行方管理
合格
19.
对日常的信息安全事件如何处理？请出示处理记录
10.
怎样在日常工作中观察员工的情况，对于什么样表现的员工我们不予采用？
通过日常工作和生活中接人待物观察员工的情况，在工作技能和品行有一方面达不到要求的情况下不予采用
合格
11.
怎样补充离职的岗位
向公司提出招聘需求，公司实施招聘人员补充空缺
合格
12.
怎样管理离职员工信息安全
和员工签保密协议
合格
14.
我们的工作区域和休息区域是否分开，
信息安全检查表
BPO服务中心名称
驻北京建行BPO服务中心
业务名称
档案数字化加工
服务中心经理
检查员
序号
审核内容
客观记录
结论
备注
1.
谈谈对信息安全的认识、重要性以及在业务中的具体工作
信息安全在工作中是重中之重，公司要求，行方要求，在工作中具体就是保障重要客户的信息不泄露，工作中不出现错误和凭证丢失。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

ISO27001检查表Windows_ChecklistISO27001,信息审计信息安全加固手册WINDOWS系统二零零五年四月文档修改记录1 补丁类51.1 最新的Service Pack 51.2 最新的Hotfixs 52 端口服务类62.1 禁止Messenger服务 63系统参数类 73.1禁止自动登录73.2禁止在蓝屏后自动启动机器83.4删除服务器上的治理员共享83.5防止运算机扫瞄器欺诈攻击94网络参数类 94.1防止碎片包攻击94.2 keep-alive时刻105用户治理、访咨询操纵、审计功能类11 5.1验证Passwd强度115.2密码长度115.3密码使用时刻135.4账号登录事件审计145.5账号治理审计155.6名目服务访咨询审计175.7登录事件审计185.8对象访咨询审计205.9策略更换审计215.10特权使用审计235.11进程跟踪审计245.12系统事件审计265.13失败登录账号锁定275.14失败登录账号锁定时刻285.15登录时刻到期时自动退出登录295.16不显示上次登录的用户名305.17 防止系统保持运算机账号和口令 315.18防止用户安装打印机驱动程序325.19复原操纵台禁止治理员自动登录336防病毒356.1安装防病毒软件及其更新357 Windows主机上WWW服务的安全增强35 7.1启用日志记录357.2删除未使用的脚本映射367.3删除IIS默认文件和名目378修改系统默认日志储存路径389 SQLSERVER加固389.1 SP补丁389.2删除不用的外部储备过程3810替换CMD命令3911 tunnel封装terminal服务39补丁类最新的Service Pack风险描述是否差不多安装了最新的Service Pack风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险需要重启系统加固风险规避方法加固成果升级后能幸免攻击者利用微软已公布的漏洞进行攻击加固具体方法WindowsSP补丁（如WIN2000的SP3）包能够用介质升级；最好选择能够复原系统的安装方式意见治理员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）最新的Hotfixs风险描述是否差不多安装了最新的Hotfixs风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险可能需要重新启动系统加固风险规避方法加固成果升级后能幸免攻击者利用微软已公布的漏洞进行攻击加固具体方法意见治理员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）端口服务类禁止Messenger服务风险描述用于把Alerter服务器的消息发送给网络上的其它机器风险等级风险低加固建议将Messenger服务停止或者禁用加固存在的风险加固成果可不能把Alerter服务器的消息发送给网络上的其它机器加固具体方法1、打开操纵面板->治理工具->服务窗口2、查看Messenger服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。

意见治理员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）风险描述该服务在缺省时被安装.用于基于命令行方式的远程治理, 然而该协议在网络上一明文传输数据.风险等级风险高加固建议加固存在的风险加固成果加固具体方法1、打开操纵面板->治理工具->服务窗口3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。

意见治理员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：●同意●需要修改（描述修改的意见）●不同意（描述不同意的缘故）●签名（签字确认）3系统参数类3.1禁止自动登录风险描述自动登录会把用户名和口令以明文的形式储存在注册表中，因此需要禁止自动登录风险等级风险高加固建议修改注册表有关键值来禁止自动登录加固存在的风险加固风险规避方法加固成果禁止了系统自动登录，幸免其它用户从注册表中获得其它用户及其口令加固具体方法1、运行中输入regedit2、修改键值HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\AutoAdminLogon 为(REG_DWORD) 0意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）3.2禁止在蓝屏后自动启动机器风险描述防止有恶意用户有意制造程序错误来重起机器以进行某些操作风险等级风险低加固建议修改注册表有关键值来禁止在蓝屏后自动启动机器加固存在的风险加固风险规避方法加固成果用户在输入口令时都会用星号遮挡加固具体方法1、运行中输入regedit2、修改键值HKLM\System\ CurrentControlSet\Control\CrashControl\AutoReboot 为(REG_DWORD) 0意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）3.3删除服务器上的治理员共享风险描述每个Windows NT/2000机器在安装后都缺省存在”治理员共享”,它们被限制只承诺治理员使用,然而它们会在网络上以Admin$,c$等来暴露每个卷的根名目和%systemroot%名目风险等级风险高加固建议修改注册表有关键值来删除服务器上的治理员共享加固存在的风险如果在网络上使用治理员共享来进行远程备份,防病毒支持,或其它远程治理,将会使你的应用程序不工作.加固风险规避方法加固成果无法利用admin$,c$等来访咨询网络windows nt/2000 机器的共享加固具体方法1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\AutoShareServer 为(REG_DWORD) 0意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）3.4防止运算机扫瞄器欺诈攻击风险描述风险等级风险中加固建议修改注册表有关键值来防止运算机扫瞄器欺诈攻击加固存在的风险加固风险规避方法加固成果防止运算机扫瞄器欺诈攻击加固具体方法1、运行中输入regedit2、修改键值HKLM\System\ CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset 为(REG_DWORD) 1意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）4网络参数类4.1防止碎片包攻击风险描述关心防止碎片包攻击风险等级风险中加固建议修改注册表有关键值来关心防止碎片包攻击加固存在的风险加固风险规避方法加固成果能关心防止碎片包攻击加固具体方法1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\EnablePMTUDiscovery 为(REG_DWORD) 1意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）4.2 keep-alive时刻风险描述Keep-alive时刻被网络子系统用来判定一个TCP会话是否仍旧有效. 风险等级风险低加固建议修改注册表有关键值来设定keep-alive数值加固存在的风险加固风险规避方法加固成果能限定一个TCP会话的最大保持时刻加固具体方法1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime 为(REG_DWORD) 300000（300000表示5分钟）意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）5用户治理、访咨询操纵、审计功能类5.1验证Passwd强度风险描述验证系统差不多存在的Passwd强度风险等级风险高加固建议核查具有空口令的用户和弱密码的用户，passwd强度来增强系统安全性加固存在的风险可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效加固风险规避方法加固成果增强用户密码的强度，大大降低用户密码被猜解的可能性加固具体方法验证系统口令强度，对弱口令的用户重新做口令加固。

意见治理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）厂商意见厂商爱护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的缘故）签名（签字确认）5.2密码长度风险描述密码长度太短会造成专门容易被猜解风险等级风险中加固建议设定密码最低长度将能专门好增强系统密码安全性加固存在的风险加固风险规避方法加固成果加固后能增强用户口令爱护强度加固具体方法●WIN2000系统，1.运行secpol.msc命令2.打开“本地安全设置”对话框，依次展开“帐户策略－密码策略”3.查看是否具有设置4.密码策略，密码长度大于8位、必须启用密码复杂性要求；●WINNT系统没有密码策略，提升安全意识，设置合理口令。