SANS信息安全管理审计检查清单.15.8.25
信息安全内审checklist完整版
是否有定期的Review
是否有用户注册的管理
1. 确认用户账号是否有申请书。确认用户ID及主要访问的清单,要求删除的用户或访问权限是否及时修改。确认处理申请的记录。
是否有特权管理的管理
如果访问控制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。电子文档是否保管在只有管理者才能打开的场所。
检查记录
是否定义了公共访问/交接区域?
确认定义文件
是否监控了公共访问和交接区域
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护?
1. 重要的服务器放在安全的区域(如机房)2. 是否有UPS3. 温度和湿度合适
个人电脑是否得到了安置和防护?
1. 笔记本安装PoinSec,配有物理锁 2. 所有电脑使用密码屏幕保护3. 不用的笔记本是否放入带锁的柜中。
是否对网络服务的安全进行了控制
访问服务的安全
服务的安全
是否有移动介质清单的管理
1. 是否有管理清单2. 记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?
是否有移动介质报废管理
1. 报废的申请和审批记录1. 确认文本文件的废弃方法。2. 确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。3. 确认是否将垃圾箱和可回收资源的箱子放在安全的场所。4. 打印机上是否留有文件没有被取走
1. 是否有隔离区2. 从隔离区外是否可以访问区内网络资源
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是了信息访问限制策略
对照文件实地观察实施情况
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
信息安全内审checklist
确认项目或其他敏感信息是否在发送前经过授权者 确认,是否经过信息所有人(如PM的授权?
和信息交换方是否签订了协议
和交换涉及方签订NDA
审查内容
审查要点
检查时间
审核结果
发现
物理介质传输是否得到了保护
1.检查包装合理性
2.搬运方法合理性
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发 送重要文件时是否有文件加密等)
发现
是否制订安全区域出入规则?
1.在公司内部,员工是否佩带可以识别身份的门 卡。
2.机房,实验室是否有出入管制规则
是否执行了安全区域出入规则(前台接待,机房,实验室访 问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识别
装置进入,离开的管理),实验室进出是否有管理
记录
是否定期执行门/窗等入口安全检查?
备份验证
是否有备份的验证
备份保护
是否有备份保护
是否实施了网络控制
是否有网络访问方面的限制
是否对网络服务的安全进行了控制
1.Web访问服务的安全
2.Mail服务的安全
是否有移动介质清单的管理
1.是否有管理清单
2.记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用 的备份设备等),是否被保管在带锁的文件柜中?
变更申请记录
是否进行了防病毒软件的部署
确认部门系统及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
审查内容
审查要点
检查时间
审核结果
发现
备份策略制订
是否有备份策略的制订?
wison内审检查表(管理部HSE)
wison内审检查表(管理部HSE)编号:WNT-MS/QHSE-681—A-2007内审检查表受审核部门:管理部(HSE)部门负责人: 陪同人员:不对应认证标准符条款号/ 合时间检查内容检查记录对应手册或程标序条款号记 1。
日常工作中有没有使用有关国家标4.2.3文件控准,行业标准等标准,如有,有没有受制控,对于此类标准,相关人员是否清楚,(询问相关人员),如不清楚,则检查有没有组织部门内部培训,提供有4.2.4记录控关记录。
制2。
其他部门发来的文件如管理规定如何管理,有没有对部门内的员工进行宣贯如何宣贯,如有,提供有关记录。
3。
有没有公司以外来的文件资料,如有,对外来文件是如何进行控制的,提供有关记录.4。
有没有分发至供方及其他相关方的文件,如有,是如何控制的,提供有关记录.审核员:审核组长: 第 1 页,共 7 页编号:WNT—MS/QHSE-681-A—2007内审检查表受审核部门:管理部(HSE) 部门负责人: 陪同人员:不对应认证标准符条款号/ 合时间检查内容检查记录对应手册或程标序条款号记 1。
日常工作中的顾客有哪些(提供服务5。
2关注的焦的对象),是如何确保顾客(如公司其点他部门)的要求得到确定、满足的,2。
有没有对顾客(如公司其他部门)不满意反馈意见的处理流程,如有,是如何处理的,查相关记录。
1、部门人员是否了解QHSE方针,询5。
3方针制定问。
2、有没有关于HSE管理的方针、政策和法规,是否制定并发行了公司HSE管理办法和有关规章制度,1。
公司QHSE目标和指标是否涵盖了5。
4. 策划 HSE方面的要求,如有,具体内容是什5。
4.1目标、指么,询问. 标制定2。
QHSE目标和指标分解到HSE管理部门的内容是什么,询问.3。
对本部门QHSE目标和指标实现程度是否有检查、有评价,如有,查有关记录审核员:审核组长:第 2 页,共 7 页编号:WNT-MS/QHSE-681-A—2007内审检查表受审核部门: 管理部(HSE) 部门负责人: 陪同人员:不对应认证标准符条款号/ 合时间检查内容检查记录对应手册或程标序条款号记 1。
信息安全管理制度检查报告
信息安全管理制度检查报告
概述
本报告主要是根据企业信息安全管理制度的要求,对其进行检查,并提出发现
的问题、改进意见和建议。
检查的内容包括企业的授权管理、网络安全、数据备份和恢复、安全防护和应急响应等方面。
现状分析
在本次检查中,我们发现企业信息安全管理方面存在以下问题:
1.授权管理: 没有对员工进行有效的授权管理,部分员工使用的账号权
限过高,没有进行足够的授权限制。
2.网络安全: 没有对网络设备进行有效的防护,没有及时更新补丁,存
在漏洞和风险隐患。
3.数据备份和恢复: 缺乏有效的数据备份和恢复机制,一旦数据丢失或
损坏,将会给企业带来损失。
4.安全防护和应急响应: 没有健全的安全防护和应急响应机制,一旦发
生安全事件,公司不具备迅速应对和处理的能力。
改进意见和建议
针对存在的问题,我们提出以下改进意见和建议:
1.对员工账号进行规范的授权管理,并及时进行权限调整和限制,并实
施定期审核和检查。
2.对网络设备实施最新的防护措施,及时进行安全补丁更新,定期进行
安全检测和漏洞扫描。
3.建立有效的数据备份和恢复机制,包括定期备份数据和恢复测试,并
建立专门的数据备份和恢复团队。
4.建立健全的安全防护和应急响应机制,包括应急响应预案、定期演练、
建立专门的安全响应团队等措施。
总结
企业信息安全是企业长期发展的重要保障,为了确保企业信息安全,我们必须
合理利用各种信息安全管理制度和技术手段,定期进行检查和监督,及时发现和处理所有信息安全隐患,保障企业信息的安全稳定。
信息安全内审checklist
审查内容审察重点检查时间审察结果发现能否展开了信息安全的检查活动?有安全检查记录或许报告,和改良记录1,能否拟订了财产清单,包含了全部的客户信息财产,包含 1.确认财产清单正确服务器,个人电脑,网络设备,支持设备,人员,数据? 2.确认更新记录2,对这些财产清单能否有按期的更新? 3.客户的财产的保护上边的财产清单上能否表记了全部人和保存人?(重点:确认财产的全部人和保存人被清楚的表记,而且和实质状况符合)确认关于机密信息 ( 电子文档,打印文档 ), 限制范围能否按客户文档的密级规则进行了适合的保护的信息 ( 电子文档,打印文档 ) 能否有‘明确表记’。
依据需要,确认‘限制范围’,‘附加表记’,‘制定日期’,‘拟订者’。
能否使全部职工和信息安全有关人员签订了保密协议/合同?能否有信息安全意识、教育和培训计划?确认培训计划能否履行了信息安全意识、教育和培训?培训记录(实行日期,培训内容/ 教材 , 参加人员)能否拟订了信息安全惩戒规程?能否履行了信息安全惩戒?邮件用户能否消除了?抽查能否有辞职人员的用户权限没有被消除门禁权限能否消除了?内部 OA 权限能否消除了?抽查能否有辞职人员的用户权限没有被消除SVN/CC/VSS 权限能否消除了?部门服务器的权限能否消除(重点:实地检查能否有辞职职工/转出职工的接见了?权限没有被消除)能否制定规则区分了安全地区?确认风险评估时能否区分了安全地区等级能否履行了安全地区区分规则?对不一样样级的地区能否有相应举措,举措能否被执行1.在企业内部,职工能否佩戴能够辨别身份的门能否制定安全地区进出规则?卡。
2.机房,实验室能否有进出管束规则审查内容审察重点检查时间审察结果发现能否履行了安全地区进出规则(前台招待,机房,实验室访安装了防盗设备。
(机房大门的上锁,ID 卡的辨别装置进入,走开的管理),实验室进出能否有管理问控制)?记录能否认期履行门 / 窗等进口安全检查?检查记录能否认义了公共接见/交接地区?确认定义文件能否监控了公共接见和交接地区?实地查察能否有监控举措1.重要的服务器放在安全的地区(如机房)服务器能否获得了妥当的布置和防备? 2.能否有UPS3.温度和湿度适合1.笔录本安装 PoinSec, 配有物理锁个人电脑能否获得了布置和防备? 2.全部电脑使用密码屏幕保护3.不用的笔录本能否放入带锁的柜中。
信息安全内审checklist
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录
服务器,网络和应用系统的变更是否经过了管理?
变更申请记录
是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态正常。
是否有及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
是否有信息安全意识、教育和培训计划?
确认培训计划
是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员)
是否制定了信息安全惩戒规程?
是否执行了信息安全惩戒?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了?
内部OA权限是否清除了?
抽查是否有离职人员的用户权限没有被清除
(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
是否使所有员工和信息安全相关人员签署了保密协议/合同?
1.是否有隔离区2.从隔离区外是否可以访问区内网络资源
是否对网络连Leabharlann 实施了控制接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是否制订了信息访问限制策略
访问策略定义文件
是否执行了信息访问限制策略
对照文件实地观察实施情况
是否对访问策略进行了审核
审核记录
是否定义了敏感系统
敏感系统列表
信息安全审计表
信息安全审计表一、背景介绍信息安全审计是一个评估和检查组织信息系统安全性的过程,目的是发现和解决可能存在的缺陷和安全风险。
本文通过信息安全审计表的形式,对组织的信息安全情况进行全面评估和总结,以便更好地保护组织的信息资产和维护业务运营的稳定性。
二、审计项目1. 信息资产管理a. 是否建立了信息资产清单,并明确了信息资产的责任人和归属部门?b. 是否对信息资产进行了分类和分级,制定了相应的管理措施?c. 是否建立了信息资产的访问控制策略,限制了未授权用户的访问?d. 是否进行了信息资产的备份和恢复测试,并对备份数据进行了安全存储?2. 访问控制a. 是否定义了用户的权限管理流程,包括新增、变更、撤销权限的审核和记录?b. 是否启用了多因素身份验证机制,加强对用户身份的确认和防范攻击?c. 是否对不同角色的用户进行了权限分离,避免权限滥用和信息泄露风险?d. 是否对系统的登录日志进行监控和审计,及时发现异常行为并采取应对措施?3. 网络安全a. 是否建立了网络安全策略,定义了网络设备的配置要求和访问控制规则?b. 是否对网络设备进行了定期的漏洞扫描和安全评估,及时修复发现的漏洞?c. 是否对网络传输的敏感信息进行了加密保护,防止信息在传输过程中被窃取?d. 是否建立了防火墙和入侵检测系统,主动监控和阻止潜在的攻击行为?4. 应用系统安全a. 是否定期对应用系统进行安全评估,发现并修复系统漏洞和安全隐患?b. 是否建立了应用系统的认证与授权机制,确保只有合法用户可以访问系统?c. 是否对应用系统的日志进行了收集和分析,及时发现异常操作和安全事件?d. 是否对应用系统进行了灾备规划,确保业务连续性和数据可恢复性?5. 物理安全a. 是否设置了门禁系统和监控设备,限制未授权人员进入重要区域?b. 是否建立了机房环境监控和报警机制,防止设备故障和安全事件对业务的影响?c. 是否针对服务器和存储设备实施了合理的防护措施,防止物理攻击和数据泄露?d. 是否对不再使用的磁盘和设备进行了安全销毁,防止信息泄露风险?三、审计结果总结经过对组织信息安全情况的审计评估,得出以下结论和建议:1. 组织在信息资产管理方面做得较为规范,但需要加强备份措施的可行性测试和安全存储措施的改进。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业永续管理 9.1 11.1 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 11.1.1 11.1.2 11.1.3 11.1.4 11.1.5
合规 10.1 10.1.1 10.1.2
12.1 12.1.1 12.1.2
法律法规 适用法规的识别 知识产权
10.1.3 10.1.4 10.1.5 10.1.6 10.1.7 10.2 10.2.1 10.2.2 10.3 10.3.1 10.3.2
是否建立管理论坛确保企业内部对信息安全有明确的指导和来自管理层的支持。 是否建立由各相关部门代表组成的只能委员会,负责协调信息安全控制程序的实施。 是否明确没人应保护自己所使用财产的职责,并明确定义了安全程序。 是否任何新的信息处理工具(包括软件和硬件)应用都必须经过管理层授权 是否在适当地方设定了专门信息安全警告。指定具有相关知识和经验的人员对指定安全决策给予 一贯支持 法律专家、合规测试部门、信息服务供应商和电信提供商是否能够相互协调,确保在出现安全时 间是快速采取必要行动 是否已相关规定为基础对信息安全政策进行独立检查。检查目的是否了保证政策的适用性和有效 是否评估第三方进入的风险并实施了必要的安全控制 是否评估第三方签约商的在线工作安全风险并实施适当控制 是否签订正式的、反映全部安全需求的合同条款,并确保其符合本企业的安全政策和标准 在签订信息系统、网络或桌面环境的外包合同时,是否在合同中增加了安全条款。合同中应包含 如何满足法律要求、如何维护和测试资产安全、审计权利、物理安全问题及发生灾难时如何保证
7.2.2 7.2.3 7.2.4
电力供应 电力保护 设备维护
5.2.5 5.2.6 5.3 5.3.1 5.3.2
7.2.5 7.2.6 7.3 7.3.1 7.3.2
办公区域外设备的安全 设备处置或再利用的安全 一般控制 屏幕的自动保护政策 财产的转移
通信及业务管理 6.1 8.1 6.1.1 8.1.1 6.1.2 6.1.3 8.1.2 8.1.3
10.2.3 10.3.3 10.3.4 10.3.5 10.4 10.4.1 10.4.2 10.4.3 10.5 10.5.1 10.5.2 10.5.3 10.5.4 10.5.5
信息验证 数字签名 不可否认服务 钥匙管理 系统文件的安全 操作软件的控制 系统测试数据的保护 程序源代码的进入控制 开发和支持性程序的安全 变更程序控制 操作系统变更的技术性复核 1 操作系统变更的技术性复核 2 隐蔽通道和特洛伊代码 软件开发外包 商业永续管理的基本情况 永续经营的管理程序 永续经营和影响分析 编制和实施永续计划 商业永续计划的构架 对商业永续的测试、维护和再 评估。
系统开发和维护 8.1 10.1
系统的安全需求
8.1.1 8.2 8.2.1 8.2.2
10.1.1 10.2 10.2.1 10.2.2
安全需求分析和规范 应用程序的安全 录入资料的验证 内部处理程序的控制
8.2.3 8.3.3 8.3.4 8.3.5 8.4 8.4.1 8.4.2 8.4.3 8.5 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5
信息安全架构 管理信息安全论坛 信息安全的协调 信息安全职责的分配 信息处理设备的工具程序 专门的信息安全警告 部门间的协作 信息安全的独立检查 第三方进入的安全 识别来自第三方的风险 第三方合同的安全条款 外包 外包合同的安全需求 资产的账簿记录 资产清单 信息等级 分类指引 信息标签和处理 工作定义和资源安全 工作职责中包含安全内容 个人筛选和政策 保密协议 员工雇佣的期限和条件 对用户的培训 信息安全的教育和培训 安全事件或故障报告 报告安全事件 报告安全缺陷 报告软件故障 从事故中获取经验 违规处理政策 安全区域
12.1.3 12.1.4 12.1.5 12.1.6 12.1.7 12.2 12.2.1 12.2.2 12.3 12.3.1 12.3.2
企业记录的保护 数据保护和私人信息的保密 防止误用信息处理设备 加密控制的规则 证据收集 安全政策和技术合规检查 安全政策的合规 技术合规检查 系统审计的考虑 系统审计控制 系统审计工具的保护
6.4 6.4.1
8.4 8.4.1
常规失误 信息备份
6.4.2 6.4.3 6.5 6.5.1
8.4.2 8.4.3 8.5 8.5.1
操作日志 故障日志 网络管理 网络控制
6.6 6.6.1 6.6.2 6.6.3 6.6.4 6.7 6.7.1 6.7.2 6.7.3
8.6 8.6.1 8.6.2 8.6.3 8.6.4 8.7 8.7.1 8.7.2 8.7.3
2.3 2.3.1
4.3 4.3.1
资产分类和控制 3.1 5.1 3.1.1 3.2 3.2.1 3.2.2 人员安全 4.1 4.1.1 4.1.2 4.1.3 4.1.4 5.1.1 5.2 5.2.1 5.2.2 6.1 6.1.1 6.1.2 6.1.3 6.1.4
4.2 6.2 4.2.1 6.2.1 4.3 6.3 4.3.1 6.3.1 4.3.2 6.3.2 4.3.3 6.3.3 4.3.4 6.3.4 4.3.5 6.3.5 物理和环境安全 5.1 7.1
9.3.1 9.3.2 9.4 9.4.1
密码使用 无人看管的用户设备 网络进入控制 应用网络服务的政策
7.4.2 7.4.3 7.4.4 7.4.5 7.4.6 7.4.7 7.4.8 7.4.9 7.5 7.5.1 7.5.2 7.5.3
9.4.2 9.4.3 9.4.4 9.4.5 9.4.6 9.4.7 9.4.8 9.4.9 9.5 9.5.1 9.5.2 9.5.3
审计领域、目标和问题 审计问题
是否已制定信息安全政策,并经管理层批准后以适当的方式向所有员工公布 此信息安全政策中是否明确了管理层的责任,并说明了确保企业管理信息安全的方法 是否已指定安全政策的负责人,负责按照既定的程序对其进行维护 上述程序是否能够确保在最初评估基础上发生变化,例如:重大的安全时间、发现新的漏洞或企业 结构和技术构架变化时采取必要的复核程序
9.5.4 9.5.5 9.5.6 9.5.7 9.5.8 9.6 9.6.1 9.6.2 9.7 9.7.1 9.7.2 9.7.3 9.8 9.8.1 9.8.2
密码管理系统 系统设定的应用 目标用户的强制警报 终端设备的终止 连接时间的限制 应用程序进入控制 信息进入的限制 敏感信息的隔离 监控系统的进入和使用 事件日志 监控系统的应用 时钟同步 可移动电脑和电子设备 可移动电脑和电子设备 电子设备
强制路径 从报告外部连接的用户的授权 节点身份确认 远程接入端口保护 网络隔离 网络连接协议 网络通信控制 网络服务的安全 操作系统进入控制 终端自动识别机制 终端登录程序 用户识别和批准
7.5.4 7.5.5 7.5.6 7.5.7 7.5.8 7.6 7.6.1 7.6.2 7.7 7.7.1 7.7.2 7.7.3 7.8 7.8.1 7.8.2
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.2 5.2.1
7.1.1 7.1.2 7.1.3 7.1.4 7.1.5 7.2 7.2.1
物理安全界限 物理进入控制 受保护的办公室、房间和设备 在安全区域工作 对信息传递和安装区域的隔离 设备安全 设备放置的安全
5.2.2 5.2.3 5.2.4
操作程序和责任 操作程序的归档 变更控制 突发事件管理程序
6.1.4 6.1.5 6.1.6 6.2 6.2.1 6.2.2 6.3 6.3.1
8.1.4 8.1.5 8.1.6 8.2 8.2.1 8.2.2 8.3 8.3.1
职责分工 开发和操作设备的分离 外部设备管理 系统计划与承诺 资源计划 系统兼容 防止恶意软件 防止恶意破坏软件
设定了哪些物理安全防护区域以保护信息处理服务。 设定了控制程序以保证只有经过授权的人员才能进入相关区域。这些安全设备包括门禁卡或人员 接待等。 是否对负责处理信息数据的房间上锁或安置加锁的柜子和保险柜。信息数据处理服务是否已受到 保护,以防止自然或人为破坏。是否存在来自临近建筑物的潜在威胁? 信息处理是否基于“应该知道”的基础。是否对第三方或个人在安全区域的工作制定了安全控制 是否将传递和处理信息的区域实施武力隔离以防止未经授权的进入。是否实施风险评估程序确定 此类领域的安全状况。 是否将设备放置在适当领域,将不必要的接触减至最低。 是否已将需要特殊保护的设备放在特殊的地点,以减少频繁的接触。 是否已制定了防止下列潜在风险的控制程序:偷盗、失火、爆炸、烟、水、垃圾、振动、化学物 质影响、电力供应中断、电磁干扰、洪水。 是否已制定禁止在信息处理服务地点吃饭、饮水和吸烟的政策。 是否对周边环境进行监控以防止对信息处理设备的不良影响。 是否应用UPS等设备保证电力供应。 是否采取措施防止电力线路或通讯线路的中断和损坏。 是否附加安全控制措施保护敏感或关键信息。 是否按照供应商推荐的频率对设备进行维护。是否只用经过授权的人员才能实施维护工作。 是否对所有可疑或真实的错误、采取的预防和纠正措施进行记录。 是否在运输设备时采取了适当的控制措施。 是否任何在办公区域外使用设备都已经过管理层的授权。 是否对办公区域外使用的设备提供了更安全的保护措施。 是否对存储机密信息的设备进行了物理形式的销毁或确保安全的数据删除。 是否应用了电脑屏幕的自动锁定程序。当电脑在一段时间无人使用时,电脑将自动锁定。 是否要求员工对所有机密材料必须以加密的方式存储。 是否建立程序防止设备、信息或软件未经授权带出公司。 是否实施突击检查或定期审计,是否存在未经授权转移财产的情况。是否要求员工了解这些检查
索引 检查程序 标准 安全政策 1.1 3.1 1.1.1 3.1.1 1.1.2 3.1.2
审计领域、目标和问题 章节 信息系统安全政策 信息系统安全政策文件 复核与评估
机构安全 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.2 2.2.1