信息安全内审checklist
信息安全内部审核检查表
上海联众网络信息有限公司ISO27001:2005信息安全目标与控制检查表编制:审核:批准:二〇一三年三月十二日1安全方针标准条款号标题目标/控制控制理由控制要求审核发现信息安全方针目标依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
信息安全方针文件控制根据Info-Riskmanager风险评估的结果。
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。
信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?管理手册中有信息安全方针信息安全方针评审控制根据Info-Riskmanager风险评估的结果。
每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?管理评审报告信息安全组织2标准条款号标题目标/控制控制理由控制要求审核发现信息安全组织目标管理组织内部信息安全。
信息安全管理承诺控制根据Info-Riskmanager风险评估的结果。
总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。
该承诺《信息安全管理手册》中进行相是否描述?信息安全的协作控制根据Info-Riskmanager风险评估的结果。
公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。
会议由人事行政部负责组织安排并做好会议记录?信息安全职责分配控制根据Info-Riskmanager风险评估的结果。
公司是否清楚的确定所有的信息安全职责。
最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?对每一项重要资产指定信息安全责任人。
3信息处理设备的授权过程控制根据Info-Riskmanager风险评估的结果。
软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?保密协议控制根据Info-Riskmanager风险评估的结果。
ISMS-4032-内审检查表-Checklist-管理层
息安全管理,加强员工保密意识,公司决定在内部营造一种针对影响业务运行的
核心信息的控制氛围,因此经过管理层商议,在公司内部建立 ISO/IEC 27001 的
标准。总经理主要职责:
1 请总经理谈谈对体系建立的看法?
4.1
1) 在现有公司经营环境下制定和审批本公司的信息安全方针和目标
符合
2) 提供支撑体系运行所需要的资源,包括:资金,硬件、软件、人员、时间、
该方针的制定体现了风险管理的成本和效益的平衡原则,考虑到法律、合同中对
信息安全的要求以及公司现有面临的信息安全风险,给出公司建立信息安全工作
符合
的总方向,方针在每年的管理评审中讨论是否需要修订。
按照方针的总原则,总经理制定了本公司 2010 年度的信息安全目标:可用性目
标, 完整性目标, 保密性目标在手册中有详细的描述,对目标的实现程度的度量为
A5 如何表现持续改进?
请总经理谈谈对管理评审的理解,包括评审的时机,
3
7
周期,方式,参与人主持人以及输入输出内容?
公司为了建立信息安全管理体系,成立了专门的工作小组,任命魏良成为管理者
代表全面负责体系建设;根据标准要求,总经理为公司制定并批准了信息安全方
针,方针内容为:
信息安全,人人有责;遵守法规,持续改进。
每年统计以确定是否达成,根据此目标制定有关规程,在日常工作中对发现的违
规、不符合操作予以纠正,确保完善体系,持续改进;
方针、目标发布在公司对内 WEB 公告上或者张贴于公司宣传栏;
为了保证信息安全管理的适宜性、充分性、有效性和持续改进,要求公司每年召
开一次管理评审会议,管理者代表编制 ISMS-4043《管理评审计划方案》,要求
ISO27001:2013信息安全管理体系内部审核检查表
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO27001:2013信息安全管理体系内审检查表英文版
Compliance - Organisation of Information Security
ISO 27001-2013 Auditor Checklist
01/02/2018
The ISO 27001 Auditor Checklist gives you a high-level overview of how well the organisation complies with ISO 27001:2013. The checklist details specific compliance items, their status, and helpful references. Use the checklist to quickly identify potential issues to be re-mediated in order to achieve compliance.
ISO 27001-2013 Auditor Checklist
01/02/2018
The ISO 27001 Auditor Checklist gives you a high-level overview of how well the organisation complies with ISO 27001:2013. The checklist details specific compliance items, their status, and helpful references. Use the checklist to quickly identify potential issues to be re-mediated in order to achieve compliance.
通用安全管理checklist
通用安全管理checklist通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾。
内容包含安全策略与计划、组织和人员安全、安全工程管理、安全产品管理与符合性五部分。
安全策略与安全计划▼▼安全策略•是否建立组织的安全策略体系?包括总体安全策略、问题相关安全策略。
•安全策略是否经过管理高层的批准?•是否在策略中指定了安全管理组织、职责、安全管理方法等?•员工是否了解组织的安全策略?•是否指定了专门机构维护策略?包括策略内容,文档管理。
•是否定义策略审查或维护时机?如:出现安全事故、组织及系统变更等。
•是否具有策略维护流程?▼▼安全计划•是否建立组织的安全计划或规划?•安全计划是否符合安全策略?•安全计划或规划是否得到执行?•是否对实施结果与计划的一致性进行审查?组织和人员安全▼▼安全组织•是否建立信息安全管理机构,统一负责组织的信息安全管理工作?•机构成员是否来自相关各方?如:业务部门、IT部门。
•安全管理机构是否包括安全专业人士?•是否聘请外部专业人士?•管理机构内是否有明确的分工?•是否有相应的管理授权流程来处理安全规划、安全规划实施。
•是否有相应的安全事件上报流程?•是否具有安全弱点上报流程?•是否与相关行业或组织机构,如:CNCERT、电信、公安等有联系?定期获取相关信息。
•安全管理工作是否设置不同角色?▼▼个人安全•是否具有员工安全手册?•个人对安全管理的责任是否明确?如:个人不能在PC上散播病毒?•是否对员工的资格进行限定与审核?如:品德、学历、工作经历?•是否与员工签署保密协议?•是否对员工进行内部或外部安全培训?•是否在一定范围内进行岗位轮转?•是否建立安全事故奖惩机制?安全工程管理▼▼项目保障•是否对开展安全工程服务的组织有资质要求?•是否对开展安全工程服务的人员有资质要求?•是否对开展安全工程的项目人员组成有要求?•是否有安全工程方法论?•是否有专门的项目管理人员?•是否有项目培训?▼▼实施过程•是否执行了风险评估?•是否执行了安全需求分析?•是否制定了安全设计方案?•是否制定项目实施方案与计划?•在实施过程中是否有监理?•是否执行了项目的验收?安全产品管理▼▼安全产品采购•是否具有安全产品采购流程?•采购产品是否具有公安部、测评中心相关资质?•采购产品是否具有密码管理局、保密局相关资质?▼▼安全产品使用•是否进行敏感信息消除处理?符合性▼▼法律、法规符合性•是否了解国家/行业/地方信息安全相关的法律法规及制度?•是否将信息系统必须遵循的法律法规、合约文档化?•是否具有控制涉及知识产权的软件或系统传播的措施与流程?•是否保存符合法律法规合约的记录?如:安全产品或服务资格证书?•是否进行相关法律教育?•是否进行信息保密教育?▼▼安全策略与标准的符合性•是否定期或不定期审查信息系统与安全策略的符合性?•是否定期或不定期审查信息系统与安全标准、指南的符合性?·运行管理checklist·灾备与业务连续性管理checklist·网络设计安全评估checklist·开发测试安全管理checklist·系统安全管理checklist·网络安全管理checklist。
信息安全内审检查表
信息安全内审检查表
以下是一份信息安全内审检查表的范例,供参考:
一、审计目标
1.确保公司信息安全策略和标准的合规性
2.评估信息资产的安全性
3.发现潜在的安全风险和漏洞
4.提高公司信息安全水平
二、审计范围
1.公司所有信息系统
2.物理和逻辑访问控制
3.网络安全
4.加密和身份验证
5.备份和恢复
6.人员安全和培训
7.政策和程序
三、审计方法
1.文档审查:审查公司信息安全政策和程序、系统配置、日志文件等。
2.访谈:与关键人员、系统管理员、安全管理员等进行访谈,了解信息安全实
践和程序。
3.测试:对防火墙、入侵检测系统、加密技术等进行测试,评估其有效性。
4.实地考察:检查物理安全措施,如门禁系统、监控摄像头等。
四、审计步骤
1.审计准备:制定审计计划、确定审计范围和资源、收集相关信息。
2.审计实施:进行文档审查、访谈、测试和实地考察。
3.问题识别:识别存在的安全风险和漏洞。
4.风险评估:评估问题的严重性和影响范围。
5.报告编制:编制审计报告,总结审计结果和建议。
6.跟踪与监控:对审计结果进行跟踪和监控,确保问题得到解决。
五、审计结果和建议
1.对发现的问题进行分类,如高、中、低风险。
2.对每个问题提出具体的建议和解决方案。
3.对建议的解决方案进行成本效益分析,以确定优先级。
4.对已解决的问题进行跟踪和监控,确保其有效性。
信息安全内审checklist
审查内容审察重点检查时间审察结果发现能否展开了信息安全的检查活动?有安全检查记录或许报告,和改良记录1,能否拟订了财产清单,包含了全部的客户信息财产,包含 1.确认财产清单正确服务器,个人电脑,网络设备,支持设备,人员,数据? 2.确认更新记录2,对这些财产清单能否有按期的更新? 3.客户的财产的保护上边的财产清单上能否表记了全部人和保存人?(重点:确认财产的全部人和保存人被清楚的表记,而且和实质状况符合)确认关于机密信息 ( 电子文档,打印文档 ), 限制范围能否按客户文档的密级规则进行了适合的保护的信息 ( 电子文档,打印文档 ) 能否有‘明确表记’。
依据需要,确认‘限制范围’,‘附加表记’,‘制定日期’,‘拟订者’。
能否使全部职工和信息安全有关人员签订了保密协议/合同?能否有信息安全意识、教育和培训计划?确认培训计划能否履行了信息安全意识、教育和培训?培训记录(实行日期,培训内容/ 教材 , 参加人员)能否拟订了信息安全惩戒规程?能否履行了信息安全惩戒?邮件用户能否消除了?抽查能否有辞职人员的用户权限没有被消除门禁权限能否消除了?内部 OA 权限能否消除了?抽查能否有辞职人员的用户权限没有被消除SVN/CC/VSS 权限能否消除了?部门服务器的权限能否消除(重点:实地检查能否有辞职职工/转出职工的接见了?权限没有被消除)能否制定规则区分了安全地区?确认风险评估时能否区分了安全地区等级能否履行了安全地区区分规则?对不一样样级的地区能否有相应举措,举措能否被执行1.在企业内部,职工能否佩戴能够辨别身份的门能否制定安全地区进出规则?卡。
2.机房,实验室能否有进出管束规则审查内容审察重点检查时间审察结果发现能否履行了安全地区进出规则(前台招待,机房,实验室访安装了防盗设备。
(机房大门的上锁,ID 卡的辨别装置进入,走开的管理),实验室进出能否有管理问控制)?记录能否认期履行门 / 窗等进口安全检查?检查记录能否认义了公共接见/交接地区?确认定义文件能否监控了公共接见和交接地区?实地查察能否有监控举措1.重要的服务器放在安全的地区(如机房)服务器能否获得了妥当的布置和防备? 2.能否有UPS3.温度和湿度适合1.笔录本安装 PoinSec, 配有物理锁个人电脑能否获得了布置和防备? 2.全部电脑使用密码屏幕保护3.不用的笔录本能否放入带锁的柜中。
ISMS-4032-内审检查表-Checklist-研发部
是否了解公司的信息安全方针和目标?
符合
详细描述一下公司的风险评估方法和风险处置过 程. 对识别的信息和资产是否都有指定的责任人维
A.1.1 A.1.2 .2.1 .2.2a-d A.2
面临的威胁和脆弱性并予以赋值。根据风险评估模型查表得知安全事件的损失 =F(资产重要程度,脆弱性赋值)、安全事件发生的可能性=L(脆弱性,威胁赋值) 和风险值=R(安全事件的损失,安全事件发生的可能性),编制《信息安全风险 评估报告》 , 《信息安全不可接受风险处理计划》作为其附件是对不可风险接受 资产的处置办法,当信息资产增添或报废时,软件实施部组织资产使用部门应 对《信息资产识别评价表》和《重要信息资产清单》进行修订。 识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要 求,并采取措施控制外部各方带来的风险。
好文档
你我分享
有限公司——20 年度内审检查
受审部门 审核依据 序号 研发部
IS0/IEC 2001:200 ISO/IEC 2002:200审核员 覆盖条 Nhomakorabea 标准条款
受审代表回答
印峰
.2,.2.1,.2.2,,.2,.王五,;
审核日期
2012 年 12 月 20 日
信息安全管理体系文件、适用性声明
符合
知识创造价值
好文档
你我分享
公司设立信息安全管理者代表,全面负责公司 ISMS 的建立、实施与保持工作。 本部门哪些人负有信息处理设备有关的信息和资产 的安全职责? 各自是否了解自身的责任? A.1. 与 ISMS 有关各部门的信息安全职责在《信息安全管理手册》附录中予以描述, 关于具体岗位的信息安全活动的职责在 《计算机应用管理及相关岗位工作标准》 附录中予以明确。 软件实施部参与对信息处理设施的供方技术评价与跟踪。软件实施部分别对各 对于新购买的设备有没有授权过程?有没有信息设 备领用登记表?是否存在使用个人计算机等处理公 司业务,对其如何控制? 理,软件实施部人员需要讲解新设施的正确使用方法。 公司规定软件实施部不允许使用私人计算机用于办公。 本公司的信息是否有分类? (外来文件、电子文档、 人事记录等),分类依据是什么? 根据公司要求的分类要求如何对信息进行标识? 是否识别了哪些信息为本部门需要保密的信息和软 件系统?使用这些保密信息时怎么保证信息安全? 公司员工、第三方等在正式任用前是否进行背景验 证清楚自己的安全角色和职责,将双方的信息安全 职责写进劳动合同或承包合同? 日常工作中是否有人考核本部门的信息安全规定执 行情况? 本部门是否接受过适当的信息安全意识培训和公司 信息安全规定更新的培训? 是否了解违反公司信息安全的处罚制度? A 本公司的信息按照敏感性划分为:公开信息、受控信息、企业秘密三级。对于 A.1. A.2.1 A.2.2 A. A..2 属于企业秘密与国家秘密的文件(无论任何媒体) ,密级确定部门按《密级控制 程序》的要求进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。 信息的使用、传输、存储等处理活动按《信息资产密级管理程序》等进行控制。 本部门需要保护的秘密和受控信息有:标书、已完成项目资料、正在实施项目 资料,图纸等; 对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜 任其任务,以降低设施被盗窃、欺诈或误用的风险。 综合管理部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面 应履行的职责。 所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾 客秘密)与国家秘密。 综合管理部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗 位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。 规格,进行技术选型,并组织验收,确保与原系统的兼容。 A.1. 明确信息处理设施的使用部门接受新设施的信息安全负责人为软件实施部经 自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术 对每一项重要信息资产指定信息安全责任人( 《信息资产识别评价表》 。 )
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 在公司内部,员工是否佩带可以识别身份的门卡。
2. 机房,实验室是否有出入管制规则
是否执行了安全区域出入规则(前台接待,机房,实验室访问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进出是否有管理记录
是否定期执行门/窗等入口安全检查?
是否有口令的管理
有没有将口令写在便条上,或者告知他人
是否定期对权限进行了审核
定期审核记录
是否制定了口令策略
管理人员的密码设定。
是否有员工号等容易推断的密码。
1个帐号是否有多个用户。
密码是否记录在便条上。
密码为6位英文数字以上。
是否执行了口令策略
是否实施了网络隔离(不同功能和密级网络的隔离,物理或逻辑)?
检查记录
是否定义了公共访问/交接区域?
确认定义文件
是否监控了公共访问和交接区域?
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护?
1. 重要的服务器放在安全的区域(如机房)
2. 是否有UPS
3. 温度和湿度合适
个人电脑是否得到了安置和防护?
1. 笔记本安装PoinSec,配有物理锁
2. 所有电脑使用密码屏幕保护
是否有信息交换策略制订
确认项目或其他敏感信息是否在发送前经过授权者确认,是否经过信息所有人(如PM)的授权?
和信息交换方是否签订了协议
和交换涉及方签订NDA
物理介质传输是否得到了保护
1. 检查包装合理性
2. 搬运方法合理性
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
是否实施了网络控制
是否有网络访问方面的限制
是否对网络服务的安全进行了控制
1.Web访问服务的安全
2.Mail 服务的安全
是否有移动介质清单的管理
1. 是否有管理清单
2. 记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?
是否对敏感系统进行了网络隔离
实地查看
是否对敏感系统进行了物理隔离
实地查看
是否有客户软件的lisence管理
确认合法内容
缺少客户 lisence管理
Done
Partial Done
Not Done
3. 不用的笔记本是否放入带锁的柜中。
是否制订服务器维护计划?
确认计划内容
SecureID是否被管理
确认是否掌握远距离访问用户及SecureID的信息。
设备处置是否经过了申请?(设备维修,销毁等)
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录
服务器,网络和应用系统的变更是否经过了管理?
上面的资产清单上是否标识了所有人和保管人?
(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
内部OA权限是否清除了?
抽查是否有离职人员的用户权限没有被清除
SVN/CC/VSS权限是否清除了?部门服务器的权限是否清除了?
(要点:实地检查是否有离职员工/转出员工的访问权限没有被清除)
是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被执行
是否有移动介质报废管理
1. 报废的申请和审批记录
1. 确认文本文件的废弃方法。
2. 确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。
3. 确认是否将垃圾箱和可回收资源的箱子放在安全的场所。
4. 打印机上是否留有文件没有被取走
系统文件是否得到了保护
1. 检查其访问权限设定。
2. 是否有备份
是否对访问控制方针进行了评审
是否有定期的Review
是否有用户注册的管理
1. 确认用户账号是否有申请书。
确认用户ID及主要访问的清单,要求删除的用户或访问权限是否及时修改。
确认处理申请的记录。
是否有特权管理的管理
如果访问控制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。
电子文档是否保管在只有管理者才能打开的场所。
是否使所有员工和信息安全相关人员签署了保密协议/合同?
是否有信息安全意识、教育和培训计划?
确认培训计划
是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员)
是否制定了信息安全惩戒规程?
是否执行了信息安全惩戒?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了?
审查内容
审查要点
检查时间
审核结果
发现
是否开展了信息安全的检查活动?
有安全检查记录或者报告,和改善记录
1,是否制定了资产清单,包含了所有的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?
2,对这些资产清单是否有定期的更新?
1. 确认资产清单正确
2. 确认更新记录
3. 客户的资产的保护
变更申请记录
是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态正常。
是否有及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
备份策略Байду номын сангаас订
是否有备份策略的制订?
部门中的重要系统,确认定期备份的流程及记录。
备份实施
是否有备份的实施?
备份验证
是否有备份的验证
备份保护
是否有备份保护
是否按照公司规程实施业务信息互联
1. 互联网使用的检查。
2. 户(FX/XC)之间的互联是否有访问控制,权限分配规则
是否有访问控制方针制订
如果有文件共享请确认:
1. 确认是否设置了全员都可以访问的权限。
2. 确认对于长时间不使用的人员是否暂停其帐号。
3. 确认共享文件的访问权限范围。
3. 所有对PC的访问都有密码保护
1. 是否有隔离区
2. 从隔离区外是否可以访问区内网络资源
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是否制订了信息访问限制策略
访问策略定义文件
是否执行了信息访问限制策略
对照文件实地观察实施情况
是否对访问策略进行了审核
审核记录
是否定义了敏感系统
敏感系统列表