ISO27001信息安全管理体系内部审核检查表
ISO27001内审检查表(ISO27001 2013 )
6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标? 2、信息安全目标与管理方针是否存在关联? 3、信息安全目标是否可测量? 4、组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和 风险处置结果? 5、信息安全目标是否在组织内被传达? 6、信息安全目标是否定期更新?
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员,询问其是否明确自己的安全角色 和职责?
信息安全意识,教育和培训
1、组织是否编制有员工培训管理程序? 2、组织是否编制年度的培训计划? 3、组织是否按照不同的岗位制定不同的培训计划? 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训? 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等,查看当年的信息安全意识培训覆盖率是否达到100%?并 且在必要时,是否将承包方人员加入到其中?
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致? 2、组织制定的信息安全方针是否与信息安全目标相一致? 3、组织制定的信息安全方针是否可以体现领导的承诺? 4、组织制定的方针是否在信息安全管理手册中体现? 5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求?(对象 、时间、频率等方面) 2、组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录? 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录? 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围?分支行科技部门制定的安全管理制度是否仅适用于辖内?
ISO27001:2013信息安全管理体系内部审核检查表
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO27001:2022内审检查表
标准号
标题
IS/IT/Q 4组织环境
被审核人:
质量&信息安全&信息技术服务管理体系内部审核检查表
审核员:
审核内容或方法
审核记录
IS:4.1 IT:4.1 Q:4.1
理解组织及其环境
组织的活动所处的外部环境如何?内部环境 如何?
IS:4.2 IT:4.2 Q:4.2
理解相关方的需求 和期望
安全、信息技术服务体系进行管理?有无对
措施的有效性进行评价管理?
IS:6.1.2 信息安全风险评估 1、是否定义了信息安全风险评估流程?
1、是否定义了信息安全风险处理流程? 2、有无确定必须的控制措施?是否遗漏必 要的控制措施? IS:6.1.3 信息安全风险处理 3、是否有编制适用性声明,有无合理性说 明? 4、是否制定了信息安全处置计划以及接受 信息安全风险的批准?
是否与员工进行了沟通?
组织角色、职责和 是否建立了质量、信息安全、信息技术服务
权限
组织?明确组织的职责和人员分配?
IS/IT/Q 6策划
1、是否确保质量、信息安全、信息技术服
务管理体系能实现其预期结果?
IS:6.1.1 IT:6.1 Q:6.1
应对风险和机遇的 措施
2、是否能防止或减少意外的影响?并进行 持续改进? 3、有无风险控制措施,并纳入质量、信息
信息安全角色和职 责
应根据组织需求定义和分配信息安全角色和 职责
职责分离
相互冲突的职责和相互冲突的责任领域应分 开
管理职责
管理层应要求所有人员按照既定的信息安全 政策、组织的特定政策和程序应用信息安全
与职能机构的联系 组织应与相关部门建立并保持联系
ISO 27001内审检查表
- 抽查被审核对象岗位职责涉及到的日常信息安全记录的输出情况?
- 现场调阅信息安全相应管理文件,查看具体要求的符合性情况?
访谈和体系文件、记录文件
良好
3
A.6.1.1 信息安全的角色和职责
A.6.1.2 责任分割
a) 访谈:
- 是否了解公司的信息安全管理组织?
- 了解日常工作中哪些操作需要进行(信息安全)授权、审批?初步判定其合理性?
A.8.1.4 资产的归还
A.8.2.1 信息的分类
A.8.2.2 信息的标记
A.8.2.3 资产的处理
a) 访谈:
- 是否有梳理部门/个人职责范围内的各类信息资产?
- 调研对信息资产分类、重要性评价的理解情况?
b) 抽查
- 查看部门信息资产清单及重要信息资产分布情况?
- 根据重要信息资产找到对应的责任人,查看重要信息资产保护力度是否足?是否安全使用?
a) 访谈:近 3-6 个月内的新员工
- 是否有签订保密协议?(可结合通过人力资源管理岗位调取的清单)
- 是否有参加信息安全相关的培训?培训了哪些内容?
访谈和体系文件、记录文件
良好
A.7.3.1 任用终止或变化的责任
a) 访谈:(人力资源管理)
- 员工转岗过程中是否有做资产、权限交割控制?
- 员工离职是否有进行资产、权限回收控制?
b) 抽查
- 调取近一年内的转岗员工清单?
- 抽查转岗员工的转岗流转记录?特别关注:岗位权限变更时,产生的权限变更记录。
- 调取近一年内的离职员工清单?
- 抽查离职员工的离职记录?特别关注:资产、权限的回收记录。
访谈和体系文件、记录文件
良好
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
ISO27001信息安全体系全套精品内审核查表
信息安全管理体系文件内审核查表审核日期:2017/5/7-8被审核部门总经理审核成员审核日期2017-5-7 审核主题 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2核查要素/条款核查事项核查记录符合项观察项不符合项4.1 理解组织及其环境现在客户越来越重视本单位的信息安全,要求服务提供商具备一定的信息安全管理水平;目前信息安全威胁不断增加,本组织的核心资产也要进行安全防护,保证核心资产的安全性、保密性、可用性。
√4.2 理解相关方的需求和期望公司客户对服务提供商的信息安全提出了更高的要求,在公司给客户提供服务的过程中,客户要求保证公司接触到的客户的信息资产的安全。
在服务合同中都有相关安全条款。
√4.3 确定信息安全管理体系范围在手册的4.3章确定了信息安全的组织、业务、物理范围。
√4.4 信息安全管理体系按ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定,建立、实施、保持和持续改进信息安全管理体系。
包含了4级文件:手册、程序文件、管理制度、记录。
√5.1 领导力和承诺-领导层制定了信息安全方针、目标和计划;建立信息安全的角色和职责;向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;提供充分的资源,以建立、实施、运作、监视、评审、保持并改进, 决定接受风险的准则和风险的可接受等级;√5.2 方针信息安全管理方针为:数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满意。
√5.3 组织的角色,职责和权限组织制定了《信息安全职责划分与标准条款对照表》,明确了每个部门角色的职责√6.1 应对风险和机会的措施进行了信息安全风险评估,并针对高优先级的风险制定了处置计划。
√6.2 信息安全目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标,并在全公司发布,参见信息安全方针目标文件√9.3 ISMS管理评审--有《管理评审控制程序》,管理评审计划、管理评审报告等记录√被审核部门总经理审核成员审核日期2017-5-7 审核主题 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2A5.1.1 信息安全方针文件信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO IEC27001-2013信息安全管理体系内部审核检查表
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的处理措施;
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或负责人
现场观察
A.6.1.3
抽样
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施,检查其是否符合制度要求
抽样
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略,包括加密的对象、加密的方法、解密的方法等。
抽样
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。
现场观察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评审。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
——提供《信息安全管理手册》
体系推进部门综合管理部,
职责划分基本能够满足要求。
向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改
——主持管理评审,授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。
——设备资源能满足要求,未来设备相应的增加时,未来有人员增加计划。
有《信息安全资产清单》和《重要信息资产清单》,信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。
——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人
——提供《用户授权申请表》内容填写符合要求。
——提供了资产归还的记录表。
√
A.8.3.1
A.8.3.2
A.8.3.3
可移动介质的管理
特权分配仅以它们的功能角色的最低要求为据,有些特权在完成特定的任务后应被收回,确保特权拥有者的特权是工作需要的且不存在富裕的特权。
——查人事行政部管理人力资源管理系统,有特殊权限。
各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令,口令必须至少要含有6位以上字母+数字。
查:普通用户只能访问被授权的服务,对计算机系统的访问权都被限制。
资产的归还
公司于2014年11月开始实施信息安全管理体系文件,全员均经过相关培训。公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。
对每一项信息资产,根据《信息安全风险识别与评价管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告,以及验证。
介质的处置
物理介质传输
提供可移动介质授权使用清单1份。
——有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、行政批示、经办人。
——目前无介质处置。
√
A.9.1.1
A.9.1.2
访问控制策略
网络和网络服务的访问
网络划分为三个网段,内网使用固定IP,入网需要申请,并绑定MAC地址。
ISO27001信息安全管理体系内部审核检查表
被审核部门
管理层
审核成员:黄**、梁**
陪同人员:黄**
审核日期
2020年6月30日
审核主题
4.1、4.2、5.1、5.2、5.3、7.1、9.3、A.5.1
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
4.1
4.2
总要求
-详细介绍了公司总体情况,具体见手册企业概况。
支持性设施
布缆安全
√
A.9.3.1
使用秘密鉴别信息
公司范围的计算机登录口令要求6位以上字母+数字。抽查了5台PC机,口令符合要求。
√
A.9.4.1
A.9.4.2
A.9.4.3
A.9.4.4
A.9.4.5
信息访问控制
安全登录规程
口令管理系统
特殊权限实用工具软件的使用
对程序源代码的访问控制
——用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
√
5.1
5.2
领导和承诺
方针
--信息安全方针,信息安全目标和计划得以实施;
信息安全的角色和职责均已明确;
向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
提供充分的资源,以建立、实施、运作、监视、评审、保持并改进,决定接受风险的准则和风险的可接受等级;
√
5.3
组织角色、职责和权限
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
A.6.1.3
信息安全职责的分配
《信息安全管理手册》,公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作。
√
A.8.1.1
A.8.1.2
A.8.1.3
A.8.1.4
资产清单
资产所有权
资产的可接受使用
√
9.3
ISMS管理评审
——有制定体系实施以来的第一次管理评审计划。
√
A5.1
信息安全方针文件
信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。
√
被审核部门
研发中心
审核成员:罗**、李**
陪同人员:梁**
审核日期
2020年6月30日
审核主题
A.6.1、A.8.1、A.8.3、A.9 - A.18
现场查《网络安全配置表》,符合要求。
提供了《开通外网申请表》 符合
√
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
用户注册及注销
用户访问开通
特殊访问权限管理
用户秘密鉴别信息管理
用户访问权限的复查
撤销或调整访问权限
对于任何权限的改变(包括权限的创建、变更以及注销),须由管理员操作。
——现场查《车辆进出登记表》,登记信息包含:日期、车牌、用车人、司机、出车时间、返回时间、当值保安等
——制卡车间为无尘车间,进入人员需换防尘服。
×
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
设备安置和保护
交接区安全
——现场查公司大门设有接待处,
——公司大门处,入口有监控摄像,其他各关键区域均安装有监控摄像,服务器放置在机房,系统可以保留最多1-2个月的监控录像,可以调出指定时间的监控录像。(现场检查时监控硬盘损坏,只能调出20天内的监控录像)
——现场查《外来人员来访登记表》,登记信息包含:来访人员姓名,时间,单位,身份证,事由,被访人
√
A.10.1.1
A.10.1.2
使用密码控制的策略
密钥管理
公司的密码控制是由银行提供的加密机。
由银行专员到公司内导入密钥。
√
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
物理安全周边
物理入口控制
办公室、房间和设施的安全保护
外部环境威胁的安全防护
在安全区域工作
——现场测试,审核员通过访问网络上的PC机,有用户名,密码,试图随意输入密码3次,均无法登陆。
——所有计算机用户在使用口令时应遵循以下原则:所有活动帐号都必须有口令保护,所有系统初始默认口令必须更改等。
——没有安装实用工具。
——公司没有软件开发,只有网站服务采用托管形式,由第三方公司负责运营。
——提供《网站维护协议》,合同有效日期从2014年4月30日至2015年4月29日,条款一,规定服务方所应承担的业务与遵守的规定;条款五,规定了双方的法律责任与处理办法