信息安全内部审核检查表
合集下载
信息安全管理体系内部审核检查表
d) 组织要定义如何测量所选控制 l 组织是否有一个“测量所选控制措施有效性”的过程? 措施的有效性
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
划
f) 组织要管理ISMS的运行
l 组织是否有“管理ISMS的运行”的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核
l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案
l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频 次和方法 (4) 审核员的选择,审核的实施 要确保审核过程的客观公正 (5) 审核员不准审核自己的工作
e) 组织要执行定期的ISMS内部 l 是否有到位的定期的“ISMS内部审核”过程或程序?
审核
f) 组织要执行定期的ISMS管理评 l 是否有到位的定期的“ISMS管理评审”过程或程序?
审
g) 组织要更新信息安全计划
l 组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
h) 组织要维护ISMS事件和行动 措施的纪录 条款:4.2.4 保持和改进ISMS
a) 管理评审的输入要包括审核和 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程? 评审结果
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方 的反馈 c)管理评审的输入要包括可用于 改进ISMS的技术、产品或程序 d)管理评审的输入要包括预防和 纠正措施的状况 e)管理评审的输入要包括以往风 险评估没有充分解决的脆弱点或 威f)管胁理评审的输入要包括有效性 测量的结果 g)管理评审的输入要包括以往管 理评审的跟踪措施 h)管理评审的输入要包括可能影 响ISMS的任何变更 i) 管理评审的输入要包括改进的 建议 条款 7.3 评审输出
ISO27001:2013信息安全管理体系内部审核检查表
2.确定以上内容时,是否考虑了内外部因素、相关方要求?
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO27001-2022内审检查表
7
支持
7. 1资 源
1、组织是否为建立、实施、保持和持续改进信息 安全管理体系提供了
所需的资源?
7. 2能 力
L组织在关键的信息安全岗位说明书中是否明确了信息安全方面 的能力要求?
2、组织是否定 期对信息安全岗位人员进行培训? 并对其能力进行考
核?
7. 3意 识
1、员工是否了解组织 的信息安全方针?
5.24
信息安全突发事件管理的规划与准备
控制
组织应通过定义、建立和沟通信息安全事件管理流程、角色和职责,计划和准备信息安全事件的管理。
5.25
对信息安全事件的评估和决策
控制
该组织应评估信息安全事件,并决定它们是否要被归类为信息安全事件。
5.26
响应信息安全事件
控制
信息安全事件应按照文件化的程序进行响应。
风险评估
时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估?
是否保留信息安全风险评估结果的文件化信息?
8. 3信息安全
风险处置
是否实施信息安全风险处理计划?
是否保留信息安全风险处理结果的文件化信息?
9
绩效评价
9. 1监视、测
量、分析和评价
1、组织是否建立了有效性测量管理程序?
么组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录?
3、金融机构总部科技部门制定的安全管理制度是否适用千全机构范
围?分支行科技部门制定的安全管理制度是否仅适用千辖内?
7. 5. 2创建和更新
1、组织对创新和更新的文件和记录是否进行了标识?
2、组织对创新和更新的文件和记录在格式、存储介质方面是否有要求?
控制
支持
7. 1资 源
1、组织是否为建立、实施、保持和持续改进信息 安全管理体系提供了
所需的资源?
7. 2能 力
L组织在关键的信息安全岗位说明书中是否明确了信息安全方面 的能力要求?
2、组织是否定 期对信息安全岗位人员进行培训? 并对其能力进行考
核?
7. 3意 识
1、员工是否了解组织 的信息安全方针?
5.24
信息安全突发事件管理的规划与准备
控制
组织应通过定义、建立和沟通信息安全事件管理流程、角色和职责,计划和准备信息安全事件的管理。
5.25
对信息安全事件的评估和决策
控制
该组织应评估信息安全事件,并决定它们是否要被归类为信息安全事件。
5.26
响应信息安全事件
控制
信息安全事件应按照文件化的程序进行响应。
风险评估
时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估?
是否保留信息安全风险评估结果的文件化信息?
8. 3信息安全
风险处置
是否实施信息安全风险处理计划?
是否保留信息安全风险处理结果的文件化信息?
9
绩效评价
9. 1监视、测
量、分析和评价
1、组织是否建立了有效性测量管理程序?
么组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录?
3、金融机构总部科技部门制定的安全管理制度是否适用千全机构范
围?分支行科技部门制定的安全管理制度是否仅适用千辖内?
7. 5. 2创建和更新
1、组织对创新和更新的文件和记录是否进行了标识?
2、组织对创新和更新的文件和记录在格式、存储介质方面是否有要求?
控制
信息安全管理体系内部审核检查表总
信息安全管理体系内部审核检查表
被审核部门: 领导层
审核员签字:第二组
序号
附录编号及名称
审核内容和方法
审核记录
合格性判断
1
A.5安全方针
1.1
A。5.1
信息安全方针
A.5。1.1信息安全方针文件
1。2
A。5.1.2评审和评价
A.6信息安全组织
A.6。1
内部组织
A.6.1。1信息安全的管理承诺
A.6。1。2信息安全协调
A。13。2。3收集证据
业务持续性管理
A。14。1
业务持续性管理的信息安全方面
A。14。1.1在业务连续性管理过程中包含信息安全
A。14。1。2业务持续性和风险评估
A。14.1。3开发并实施包括信息安全的持续性计划
A。14.1.4业务持续性计划框架
A。14.1。5业务持续性计划的测试、保持和再评估
A.15符合性
A.7资产分类和控制
A.7.1
资产责任
A。7.1。1资产清单
A。7.1.2资产所有者关系
A。7.1。3可接受的资产使用准则
A。7。2
信息分类
A.7。2。1分类指南
A.7。2.2信息的标识和处理
A。8人力资源安全
A。8。1
雇用前
A。8。1。1任务和职责
A。8。1.2人员考察
A.8。1.3雇用条款和条件
A.11.3.2无人值守的用户设备
A.11。3.3清理桌面及清除屏幕策略
A。11。4
网络访问控制
A.11.4。1网络服务使用策略
A.11.4.2外部连接的用户鉴别
A.11。4。3网络设备的识别
A。11.4。4远程诊断和配置端口保护
被审核部门: 领导层
审核员签字:第二组
序号
附录编号及名称
审核内容和方法
审核记录
合格性判断
1
A.5安全方针
1.1
A。5.1
信息安全方针
A.5。1.1信息安全方针文件
1。2
A。5.1.2评审和评价
A.6信息安全组织
A.6。1
内部组织
A.6.1。1信息安全的管理承诺
A.6。1。2信息安全协调
A。13。2。3收集证据
业务持续性管理
A。14。1
业务持续性管理的信息安全方面
A。14。1.1在业务连续性管理过程中包含信息安全
A。14。1。2业务持续性和风险评估
A。14.1。3开发并实施包括信息安全的持续性计划
A。14.1.4业务持续性计划框架
A。14.1。5业务持续性计划的测试、保持和再评估
A.15符合性
A.7资产分类和控制
A.7.1
资产责任
A。7.1。1资产清单
A。7.1.2资产所有者关系
A。7.1。3可接受的资产使用准则
A。7。2
信息分类
A.7。2。1分类指南
A.7。2.2信息的标识和处理
A。8人力资源安全
A。8。1
雇用前
A。8。1。1任务和职责
A。8。1.2人员考察
A.8。1.3雇用条款和条件
A.11.3.2无人值守的用户设备
A.11。3.3清理桌面及清除屏幕策略
A。11。4
网络访问控制
A.11.4。1网络服务使用策略
A.11.4.2外部连接的用户鉴别
A.11。4。3网络设备的识别
A。11.4。4远程诊断和配置端口保护
信息安全内审检查表
信息安全内审检查表
以下是一份信息安全内审检查表的范例,供参考:
一、审计目标
1.确保公司信息安全策略和标准的合规性
2.评估信息资产的安全性
3.发现潜在的安全风险和漏洞
4.提高公司信息安全水平
二、审计范围
1.公司所有信息系统
2.物理和逻辑访问控制
3.网络安全
4.加密和身份验证
5.备份和恢复
6.人员安全和培训
7.政策和程序
三、审计方法
1.文档审查:审查公司信息安全政策和程序、系统配置、日志文件等。
2.访谈:与关键人员、系统管理员、安全管理员等进行访谈,了解信息安全实
践和程序。
3.测试:对防火墙、入侵检测系统、加密技术等进行测试,评估其有效性。
4.实地考察:检查物理安全措施,如门禁系统、监控摄像头等。
四、审计步骤
1.审计准备:制定审计计划、确定审计范围和资源、收集相关信息。
2.审计实施:进行文档审查、访谈、测试和实地考察。
3.问题识别:识别存在的安全风险和漏洞。
4.风险评估:评估问题的严重性和影响范围。
5.报告编制:编制审计报告,总结审计结果和建议。
6.跟踪与监控:对审计结果进行跟踪和监控,确保问题得到解决。
五、审计结果和建议
1.对发现的问题进行分类,如高、中、低风险。
2.对每个问题提出具体的建议和解决方案。
3.对建议的解决方案进行成本效益分析,以确定优先级。
4.对已解决的问题进行跟踪和监控,确保其有效性。
2022版27001内审检查表
实施风险处置计划并按计划实施?
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括:定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;
1)规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);
据此,管理者和员工就可以确定所选控制措施是否实现原计划的控制目标,或实现的程度。
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
进行ISMS管理评审。
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员:***
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件?
公司的ISMS方针文件是否满足以下要求:
1)包括信息安全的目标框架、信息安全工作的总方向和原则;
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
符合
7.5.3文件记录信息的控制
文件化信息内容是否完整?版本是否有效?
符合
A.5.2信息安全的角色和责任
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括:定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;
1)规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);
据此,管理者和员工就可以确定所选控制措施是否实现原计划的控制目标,或实现的程度。
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
进行ISMS管理评审。
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员:***
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件?
公司的ISMS方针文件是否满足以下要求:
1)包括信息安全的目标框架、信息安全工作的总方向和原则;
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
符合
7.5.3文件记录信息的控制
文件化信息内容是否完整?版本是否有效?
符合
A.5.2信息安全的角色和责任
信息安全内部审核检查表
分类指南
控制
根据Info-Riskmanager风 险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风 险评估的结果。
对于属于企业秘密、 企业机密与国家秘密的 文件,密级确定部门是否按要求进行适当的 标注?
学习参考
A.8人力资源安全
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风 险评估的结果。
违背组织安全方针和程序的员工公司是否 将根据违反程度及造成的影响进行处罚, 处 罚在安全破坏经过证实地情况下进行?
学习参考
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。
A.6.2.2
处理与顾客相关的 安全问题
控制
根据Info-Riskmanager风 险评估的结果。
外包责任部门是否是否识别外包活动的风 险,明确外包活动的信息安全要求, 在外包 合同中明确规定信息安全要求。 在批准顾客 访问组织信息或资产前, 是否该处理所有已 识别的安全要求?
学习参考
A.7资产管理
标准条款号
标题
目标/控制
控制理由
控制要求
审核发现
A.7.1
资产责任
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效 保护。
A.7.1.1
资产清单
控制
根据Info-Riskmanager风 险评估的结果。
软件部是否组织各部门识别资产, 并根据重 要资产判断准则确定公司的重要资产, 通过 风险管理软件,建立《重要资产清单》?
控制
根据Info-Riskmanager风 险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风 险评估的结果。
对于属于企业秘密、 企业机密与国家秘密的 文件,密级确定部门是否按要求进行适当的 标注?
学习参考
A.8人力资源安全
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风 险评估的结果。
违背组织安全方针和程序的员工公司是否 将根据违反程度及造成的影响进行处罚, 处 罚在安全破坏经过证实地情况下进行?
学习参考
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。
A.6.2.2
处理与顾客相关的 安全问题
控制
根据Info-Riskmanager风 险评估的结果。
外包责任部门是否是否识别外包活动的风 险,明确外包活动的信息安全要求, 在外包 合同中明确规定信息安全要求。 在批准顾客 访问组织信息或资产前, 是否该处理所有已 识别的安全要求?
学习参考
A.7资产管理
标准条款号
标题
目标/控制
控制理由
控制要求
审核发现
A.7.1
资产责任
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效 保护。
A.7.1.1
资产清单
控制
根据Info-Riskmanager风 险评估的结果。
软件部是否组织各部门识别资产, 并根据重 要资产判断准则确定公司的重要资产, 通过 风险管理软件,建立《重要资产清单》?
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
员工离职或工作变动前,是否解除对信息和信息处理设施访问权限,或根据变化作相是否的调整?
A.9物理与环境安全
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.9.1
安全区域
目标
防止对组织办公场所和信息的未授权访问、损坏和干扰。
是
A.9.1.1
实物安全周界
控制
根据Info-Riskmanager风险评估的结果。
A.6.1.6
与权威机构的联系
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否制定规定,详细说明由谁何时与权威机构联系,以及怎样识别是否该及时报告的可能会违背法律的信息安全事件?
A.6.1.7
与专业小组的联系
控制
根据Info-Riskmanager风险评估的结果。
软件部是否就计算机信息及通信网络安全问题与服务提供部门保持联系,以确保和在出现安全事故时尽快采取适当的行动和取得建议?
是
A.9.1.5
在安全区域工作
控制
根据Info-Riskmanager风险评估的结果。
公司是否建立相关制度,明确规定员工、第三方人员在有关安全区域工作的基本安全要求,并要求员工、第三方人员严格遵守?
是
A.9.1.6
公共访问、交付和装载区
控制
根据Info-Riskmanager风险评估的结果。
公司是否设立设置前台接待处接待外来人员,前台与特别安全区域予以隔离?
A.7.2信息ຫໍສະໝຸດ 类目标本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以确保对资产采取适当的保护。
A.7.2.1
分类指南
控制
根据Info-Riskmanager风险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风险评估的结果。
本公司安全区域是否分为一般安全区域与特别安全区域,特别安全区域包括机房和监控机房、机要室?
。
是
A.9.1.2
物理进入控制
控制
根据Info-Riskmanager风险评估的结果。
进出公司大院是否有门卫保安控制?
员工是否凭工作牌进入办公区。是否经过授权的长期访问第三方《出入证》进入被授权的工作区域?
是
A.9.1.3
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?
管理手册中有信息安全方针
A.5.1.2
信息安全方针评审
控制
根据Info-Riskmanager风险评估的结果。
控制
根据Info-Riskmanager风险评估的结果。
在员工离职前和第三方用户完成合同时,是否进行明确终止责任的沟通?
A.8.3.2
资产归还
控制
根据Info-Riskmanager风险评估的结果。
员工离职或工作变动前,是否办理资产归还手续,然后方能办理移交手续?
A.8.3.3
解除访问权限
控制
根据Info-Riskmanager风险评估的结果。
上海联众网络信息有限公司
ISO27001:2005信息安全目标与控制检查表
编制:
审核:
批准:
二〇一三年三月十二日
A.5安全方针
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.5.1
信息安全方针
目标
依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1
信息安全方针文件
控制
根据Info-Riskmanager风险评估的结果。
每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?
管理评审报告
A.6信息安全组织
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.6.1
信息安全组织
目标
管理组织内部信息安全。
A.6.1.1
信息安全管理承诺
控制
根据Info-Riskmanager风险评估的结果。
审核发现
A.8.2.1
管理职责
控制
根据Info-Riskmanager风险评估的结果。
公司管理者是否要求员工、合作方以及第三方用户,加强信息安全意识,依据建立的方针和程序来应用安全?
A.8.2.2
信息安全教育和培训
控制
根据Info-Riskmanager风险评估的结果。
与ISMS有关的所有员工,有关的第三方访问者,是否接受安全意识、方针、程序的培训。方针、程序变更后是否及时传达到全体员工。人力资源部通过组织实施培训,确保员工安全意识的提高与有能力胜任所承担的信息安全工作?
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
A.7.1.1
资产清单
控制
根据Info-Riskmanager风险评估的结果。
软件部是否组织各部门识别资产,并根据重要资产判断准则确定公司的重要资产,通过风险管理软件,建立《重要资产清单》?
A.7.1.2
资产所有权
控制
根据Info-Riskmanager风险评估的结果。
为防止非授权的更改或误用信息或服务的机会,是否按要求进行职责分配?
是
A.10.1.4
开发和运作设备的分离
控制
根据Info-Riskmanager风险评估的结果。
开发部门在进行软件和测试程序的开发时,是否有一个独立开发与测试环境,与作业设施分离?
是
A.10.2
第三方服务交付管理
目标
执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。检查协议的执行情况,监控其符合性并控制相是否的变化,以确保交付的服务满足第三方协议中的所有要求。
是
A.9.2.6
设备的安全处置及再利用
控制
根据Info-Riskmanager风险评估的结果。
含有敏感信息的设备在报废或改做他用时,是否由使用部门是否利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录?
是
A.9.2.7
资产转移
控制
根据Info-Riskmanager风险评估的结果。
未经授权之前,是否不将设备、信息或软件带到工作场所外?
A.6.2.1
与外部相关方有关的风险识别
控制
根据Info-Riskmanager风险评估的结果。
公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制,并签署规定访问和工作安排条款和条件的《保密协议》?
A.6.2.2
处理与顾客相关的安全问题
办公室、房间和设施的安全
控制
根据Info-Riskmanager风险评估的结果。
特别安全区域内的办公室、房间和设施是否进行必要的控制,以防止火灾、盗窃或其它形式的危害?
是
A.9.1.4
防范外部和环境威胁
控制
根据Info-Riskmanager风险评估的结果。
机房设备是否安装在距墙、门窗有一定距离的地方。并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施?
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风险评估的结果。
违背组织安全方针和程序的员工公司是否将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行?
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
A.8.3.1
终止责任
软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?
A.6.1.5
保密协议
控制
根据Info-Riskmanager风险评估的结果。
本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。员工聘用期满离开公司之前,是否提醒其对保密所作的承诺?
A.6.1.8
信息安全的独立评审
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否负责组织、策划内部审核,根据策划的时间间隔,或者当安全设施发生重大变化时,对组织管理信息安全的方法及其实施情况进行独立评审?
A.6.2
外部相关方
目标
识别外部相关方访问的风险,明确对外部相关方访问控制的要求,并控制外部相关方带来的风险,保持被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全。
总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。该承诺《信息安全管理手册》中进行相是否描述?
A.6.1.2
信息安全的协作
控制
根据Info-Riskmanager风险评估的结果。
公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。会议由人事行政部负责组织安排并做好会议记录?
A.6.1.3
信息安全职责分配
控制
根据Info-Riskmanager风险评估的结果。
公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?
对每一项重要资产指定信息安全责任人。
A.6.1.4
A.9物理与环境安全
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.9.1
安全区域
目标
防止对组织办公场所和信息的未授权访问、损坏和干扰。
是
A.9.1.1
实物安全周界
控制
根据Info-Riskmanager风险评估的结果。
A.6.1.6
与权威机构的联系
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否制定规定,详细说明由谁何时与权威机构联系,以及怎样识别是否该及时报告的可能会违背法律的信息安全事件?
A.6.1.7
与专业小组的联系
控制
根据Info-Riskmanager风险评估的结果。
软件部是否就计算机信息及通信网络安全问题与服务提供部门保持联系,以确保和在出现安全事故时尽快采取适当的行动和取得建议?
是
A.9.1.5
在安全区域工作
控制
根据Info-Riskmanager风险评估的结果。
公司是否建立相关制度,明确规定员工、第三方人员在有关安全区域工作的基本安全要求,并要求员工、第三方人员严格遵守?
是
A.9.1.6
公共访问、交付和装载区
控制
根据Info-Riskmanager风险评估的结果。
公司是否设立设置前台接待处接待外来人员,前台与特别安全区域予以隔离?
A.7.2信息ຫໍສະໝຸດ 类目标本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以确保对资产采取适当的保护。
A.7.2.1
分类指南
控制
根据Info-Riskmanager风险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风险评估的结果。
本公司安全区域是否分为一般安全区域与特别安全区域,特别安全区域包括机房和监控机房、机要室?
。
是
A.9.1.2
物理进入控制
控制
根据Info-Riskmanager风险评估的结果。
进出公司大院是否有门卫保安控制?
员工是否凭工作牌进入办公区。是否经过授权的长期访问第三方《出入证》进入被授权的工作区域?
是
A.9.1.3
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?
管理手册中有信息安全方针
A.5.1.2
信息安全方针评审
控制
根据Info-Riskmanager风险评估的结果。
控制
根据Info-Riskmanager风险评估的结果。
在员工离职前和第三方用户完成合同时,是否进行明确终止责任的沟通?
A.8.3.2
资产归还
控制
根据Info-Riskmanager风险评估的结果。
员工离职或工作变动前,是否办理资产归还手续,然后方能办理移交手续?
A.8.3.3
解除访问权限
控制
根据Info-Riskmanager风险评估的结果。
上海联众网络信息有限公司
ISO27001:2005信息安全目标与控制检查表
编制:
审核:
批准:
二〇一三年三月十二日
A.5安全方针
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.5.1
信息安全方针
目标
依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1
信息安全方针文件
控制
根据Info-Riskmanager风险评估的结果。
每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?
管理评审报告
A.6信息安全组织
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.6.1
信息安全组织
目标
管理组织内部信息安全。
A.6.1.1
信息安全管理承诺
控制
根据Info-Riskmanager风险评估的结果。
审核发现
A.8.2.1
管理职责
控制
根据Info-Riskmanager风险评估的结果。
公司管理者是否要求员工、合作方以及第三方用户,加强信息安全意识,依据建立的方针和程序来应用安全?
A.8.2.2
信息安全教育和培训
控制
根据Info-Riskmanager风险评估的结果。
与ISMS有关的所有员工,有关的第三方访问者,是否接受安全意识、方针、程序的培训。方针、程序变更后是否及时传达到全体员工。人力资源部通过组织实施培训,确保员工安全意识的提高与有能力胜任所承担的信息安全工作?
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
A.7.1.1
资产清单
控制
根据Info-Riskmanager风险评估的结果。
软件部是否组织各部门识别资产,并根据重要资产判断准则确定公司的重要资产,通过风险管理软件,建立《重要资产清单》?
A.7.1.2
资产所有权
控制
根据Info-Riskmanager风险评估的结果。
为防止非授权的更改或误用信息或服务的机会,是否按要求进行职责分配?
是
A.10.1.4
开发和运作设备的分离
控制
根据Info-Riskmanager风险评估的结果。
开发部门在进行软件和测试程序的开发时,是否有一个独立开发与测试环境,与作业设施分离?
是
A.10.2
第三方服务交付管理
目标
执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。检查协议的执行情况,监控其符合性并控制相是否的变化,以确保交付的服务满足第三方协议中的所有要求。
是
A.9.2.6
设备的安全处置及再利用
控制
根据Info-Riskmanager风险评估的结果。
含有敏感信息的设备在报废或改做他用时,是否由使用部门是否利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录?
是
A.9.2.7
资产转移
控制
根据Info-Riskmanager风险评估的结果。
未经授权之前,是否不将设备、信息或软件带到工作场所外?
A.6.2.1
与外部相关方有关的风险识别
控制
根据Info-Riskmanager风险评估的结果。
公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制,并签署规定访问和工作安排条款和条件的《保密协议》?
A.6.2.2
处理与顾客相关的安全问题
办公室、房间和设施的安全
控制
根据Info-Riskmanager风险评估的结果。
特别安全区域内的办公室、房间和设施是否进行必要的控制,以防止火灾、盗窃或其它形式的危害?
是
A.9.1.4
防范外部和环境威胁
控制
根据Info-Riskmanager风险评估的结果。
机房设备是否安装在距墙、门窗有一定距离的地方。并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施?
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风险评估的结果。
违背组织安全方针和程序的员工公司是否将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行?
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
A.8.3.1
终止责任
软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?
A.6.1.5
保密协议
控制
根据Info-Riskmanager风险评估的结果。
本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。员工聘用期满离开公司之前,是否提醒其对保密所作的承诺?
A.6.1.8
信息安全的独立评审
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否负责组织、策划内部审核,根据策划的时间间隔,或者当安全设施发生重大变化时,对组织管理信息安全的方法及其实施情况进行独立评审?
A.6.2
外部相关方
目标
识别外部相关方访问的风险,明确对外部相关方访问控制的要求,并控制外部相关方带来的风险,保持被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全。
总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。该承诺《信息安全管理手册》中进行相是否描述?
A.6.1.2
信息安全的协作
控制
根据Info-Riskmanager风险评估的结果。
公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。会议由人事行政部负责组织安排并做好会议记录?
A.6.1.3
信息安全职责分配
控制
根据Info-Riskmanager风险评估的结果。
公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?
对每一项重要资产指定信息安全责任人。
A.6.1.4