ISOIEC27001信息安全管理体系要求内审检查表
信息安全管理体系内部审核检查表
d) 组织要定义如何测量所选控制 l 组织是否有一个“测量所选控制措施有效性”的过程? 措施的有效性
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
划
f) 组织要管理ISMS的运行
l 组织是否有“管理ISMS的运行”的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核
l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案
l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频 次和方法 (4) 审核员的选择,审核的实施 要确保审核过程的客观公正 (5) 审核员不准审核自己的工作
e) 组织要执行定期的ISMS内部 l 是否有到位的定期的“ISMS内部审核”过程或程序?
审核
f) 组织要执行定期的ISMS管理评 l 是否有到位的定期的“ISMS管理评审”过程或程序?
审
g) 组织要更新信息安全计划
l 组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
h) 组织要维护ISMS事件和行动 措施的纪录 条款:4.2.4 保持和改进ISMS
a) 管理评审的输入要包括审核和 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程? 评审结果
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方 的反馈 c)管理评审的输入要包括可用于 改进ISMS的技术、产品或程序 d)管理评审的输入要包括预防和 纠正措施的状况 e)管理评审的输入要包括以往风 险评估没有充分解决的脆弱点或 威f)管胁理评审的输入要包括有效性 测量的结果 g)管理评审的输入要包括以往管 理评审的跟踪措施 h)管理评审的输入要包括可能影 响ISMS的任何变更 i) 管理评审的输入要包括改进的 建议 条款 7.3 评审输出
ISO27001内审检查表(ISO27001 2013 )
6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标? 2、信息安全目标与管理方针是否存在关联? 3、信息安全目标是否可测量? 4、组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和 风险处置结果? 5、信息安全目标是否在组织内被传达? 6、信息安全目标是否定期更新?
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员,询问其是否明确自己的安全角色 和职责?
信息安全意识,教育和培训
1、组织是否编制有员工培训管理程序? 2、组织是否编制年度的培训计划? 3、组织是否按照不同的岗位制定不同的培训计划? 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训? 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等,查看当年的信息安全意识培训覆盖率是否达到100%?并 且在必要时,是否将承包方人员加入到其中?
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致? 2、组织制定的信息安全方针是否与信息安全目标相一致? 3、组织制定的信息安全方针是否可以体现领导的承诺? 4、组织制定的方针是否在信息安全管理手册中体现? 5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求?(对象 、时间、频率等方面) 2、组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录? 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录? 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围?分支行科技部门制定的安全管理制度是否仅适用于辖内?
ISO27001信息安全检 查表
序号审核内容审查要点审核结果判定/处置1是否开展了信息安全的检查活动?有安全检查记录或者报告,和改善记录21,是否制定了资产清单,包含了所有的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?2,对这些资产清单是否有定期的更新?1.确认资产清单正确2.确认更新记录3.客户的资产的保护3上面的资产清单上是否标识了所有人和保管人?(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)4是否按客户文档的密级规则进行了适当的保护确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。
根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
5是否使所有员工和信息安全相关人员签署了保密协议/合同?6是否有信息安全意识、教育和培训计划?确认培训计划7是否执行了信息安全意识、教育和培训?培训记录(实施日期,培训内容/教材,参加人员8是否制定了信息安全惩戒规程?9邮件用户是否清除了?抽查是否有离职人员的用户权限没有被清除10门禁权限是否清除了?11是否制订规则划分了安全区域?确认风险评估时是否划分了安全区域等级12是否执行了安全区域划分规则?对不同等级的区域是否有相应措施,措施是否被执行13是否制订安全区域出入规则?1.在公司内部,员工是否佩带可以识别身份的门卡2.机房,实验室是否有出入管制规则14是否执行了安全区域出入规则(前台接待,机房,实验室访问控制)?安装了防盗设施。
(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进出是否有管理记录15是否定义了公共访问/交接区域?确认定义文件16是否监控了公共访问和交接区域?实地查看是否有监控措施序号审核内容审查要点审核结果判定/处置17服务器是否得到了妥善的安置和防护?1. 重要的服务器放在安全的区域(如机房)2. 是否有UPS3. 温度和湿度合适18是否制订服务器维护计划?确认计划内容19设备处置是否经过了申请?(设备维修,销毁等)确认修理及报废时的HDD的对应方法。
ISO27001:2013信息安全管理体系内审检查表英文版
Compliance - Organisation of Information Security
ISO 27001-2013 Auditor Checklist
01/02/2018
The ISO 27001 Auditor Checklist gives you a high-level overview of how well the organisation complies with ISO 27001:2013. The checklist details specific compliance items, their status, and helpful references. Use the checklist to quickly identify potential issues to be re-mediated in order to achieve compliance.
ISO 27001-2013 Auditor Checklist
01/02/2018
The ISO 27001 Auditor Checklist gives you a high-level overview of how well the organisation complies with ISO 27001:2013. The checklist details specific compliance items, their status, and helpful references. Use the checklist to quickly identify potential issues to be re-mediated in order to achieve compliance.
ISO 27001内审检查表
- 抽查被审核对象岗位职责涉及到的日常信息安全记录的输出情况?
- 现场调阅信息安全相应管理文件,查看具体要求的符合性情况?
访谈和体系文件、记录文件
良好
3
A.6.1.1 信息安全的角色和职责
A.6.1.2 责任分割
a) 访谈:
- 是否了解公司的信息安全管理组织?
- 了解日常工作中哪些操作需要进行(信息安全)授权、审批?初步判定其合理性?
A.8.1.4 资产的归还
A.8.2.1 信息的分类
A.8.2.2 信息的标记
A.8.2.3 资产的处理
a) 访谈:
- 是否有梳理部门/个人职责范围内的各类信息资产?
- 调研对信息资产分类、重要性评价的理解情况?
b) 抽查
- 查看部门信息资产清单及重要信息资产分布情况?
- 根据重要信息资产找到对应的责任人,查看重要信息资产保护力度是否足?是否安全使用?
a) 访谈:近 3-6 个月内的新员工
- 是否有签订保密协议?(可结合通过人力资源管理岗位调取的清单)
- 是否有参加信息安全相关的培训?培训了哪些内容?
访谈和体系文件、记录文件
良好
A.7.3.1 任用终止或变化的责任
a) 访谈:(人力资源管理)
- 员工转岗过程中是否有做资产、权限交割控制?
- 员工离职是否有进行资产、权限回收控制?
b) 抽查
- 调取近一年内的转岗员工清单?
- 抽查转岗员工的转岗流转记录?特别关注:岗位权限变更时,产生的权限变更记录。
- 调取近一年内的离职员工清单?
- 抽查离职员工的离职记录?特别关注:资产、权限的回收记录。
访谈和体系文件、记录文件
良好
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
信息安全管理体系审核检查表
信息安全管理体系审核检查表标准要求的强制性ISMS文件审核重点检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:定义风险评估方法(参见4.2.1 c)识不安全风险(参见4.2.1 d))分析和评判安全风险(参见4.2.1 e)识不和评判风险处理选择措施(参见的4.2.1 f)选择风险处理所需的操纵目标和操纵措施(参见4.2.1 g))确保治理者正式批准所有残余风险(参见4.2.1 h)确保在ISMS实施和运行之前,获得治理者授权(参见的4.2.1 i))预备适用性声明(参见4.2.1 j)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:ISMS监视与评审(按照4.2.3监视与评审ISMS”条款)操纵措施有效性的测量(按照4.3.1 g)内部ISMS审核(按照第6章“内部ISMS审核”)治理评审(按照第7章“ISMS的治理评审”)ISMS改进(按照第8章“ISMS改进”)。
检查治理者如何执行治理评审(包括抽样检查关键的过程是否到位),按照条款包括:4.2.3监视与评审ISMS第7章“ISMS的治理评审”。
检查治理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),按照条款包括:4.2.3监视与评审ISMS5 治理职责7 ISMS的治理评审检查安全方针、风险评估结果、操纵目标与操纵措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。
上次审核发觉的纠正/预防措施分析与执行情形;内审与治理评审的实施情形;治理体系的变更情形;信息资产的变更与相应的风险评估和处理情形;信息安全事故的处理和记录等。
检验组织的ISMS是否连续地全面地符合ISO/IEC 27001:2005的要求。
评审在那个认证周期中ISMS的实施与连续爱护的情形,包括:检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、爱护和改进;评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;检查ISMS如何应对组织的业务与运行的变化;检验治理者对爱护ISMS有效性的承诺情形。
ISO27001信息安全检查表
审核结果
审查时间:
判定/处置
序 号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点 定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
46 是否执行了口令策略
1.检查其访问权限设定。 2.是否有备份
确认项目或其他敏感信息是否在发送前经过授 权者确认,是否经过信息所有人的授权。
和交换涉及方签订NDA(保密协议)
1. 检查包装合理性 2. 搬运方法合理性 确认是否有电子邮件使用规则,和实施情况(如发送 重要文件时是否有文件加密等) 1.互联网使用的检查。 2.互联是否有访问控制,权限分配规则 如果有文件共享请确认: 1.确认是否设置了全员都可以访问的权限。 2.确认对于长时间不使用的人员是否暂停其帐号。 3.确认共享文件的访问权限范围。
确认修理及报废时的HDD的对应方法。
审批记录
变更申请记录 确认部门系统和个人PC的手都已经部署并且状态正常 。
是否有备份策略的制订?
是否有备份的实施?
是否有备份的验证
是否有备份保护
是否有网络访问方面的限制 1.Web访问服务的安全 2.Mail 服务的安全 1.是否有管理清单 2.记录重要信息的外部存贮介质(例如:外置 硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储 备份资料用的备份设备等),是否被保管在带锁 的文件柜中?
审核结果
审查时间:
判定/处置
序 号
审核内容
32 是否有移动介质报废管理
33 系统文件是否得到了保护 34 是否有信息交换策略制订 35 和信息交换方是否签订了协议 36 物理介质传输是否得到了保护 37 是否按照公司规程实施了电子信息交换 38 是否按照公司规程实施业务信息互联
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
备注
序号
IS0/IEC27001信息安全管理体系要求
4 组织是否对所有的与信息处理设施有关的信息和资产指定"所有者”?
A.7.1.2
Y
5
是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施?
A.7.1.3
Y
物流中心 管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安Y
物流中心
9 是否对新的信息处理设施规定并实施管理授权过程?
A.6.1.4
Y 物流中心 W 反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审? Λ.6.1.5 Y 物流中心 11 与相关的权威机构的适当联系是否被保持? A.6.1.6 Y 物流中心 12
与专业的相关团体或其他安全专家论坛或专业协会的适当联系是否被保持? A.6.1.7
Y 物流中心 13
组织管理信息安全的方法及其实施情况(如控制目标和控制措施、策略、过程和信息安全的程序)是否根据策划的时间间隔,或者是当安全实施发生重大变化时进行了独立评审? A.6.1.8 Y
物流中心 14 是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险?并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制? Λ.6.2.1 Y 物流中心
15
在批准顾客访问组织信息或资产前,是否处理所有己识别的安全要求? A.6.22 Y 物流中心 16 与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议,是否包含或涉及所有已识别的安全要求?
A.6.2.3
Y
物流中心
17
对每一个信息系统和组织而言,法律条文、行政法规及合同内容所规定的所有相关要求,以及满足这些要求的组织方法,是否加以明白地界定、文件化并保持更新? Λ.15.1.1 Y
物流中心
18
是否实行适当的程序,以确保在具有知识产权的产品和私有软件产品时,能符合法律、法规和合同条款的要求? A151.2
Y 物流中心
20 数据保护和隐私是否确保符合相是否的法律法
规要求,适用时也是否满足合同条款的要求? Λ.15.1.4 Y
物流中心
21 是否阻止用户把信息处理设备用于未经授权的目的? A.15J15 Y 物流中心
密码控制措施的使用要与所有的相关协定、法律Y 物流中心
是否定期检查信息系统是否符合安全运行标Y 物流中心 26 是否保护对信息系统审核工具的访问,防止任何可能的误用或者危害? A.15.3.2 Y 物流中心
27 是否明确识别所有资产,并建立和保持《重要资产清单》? Λ.7.11 Y 营销中心 组织是否对所有的与信息处理设施有关的信息Y 营销中心 30 是否明确识别所有资产,并建立和保持《重要资产清单》? A.7.1.1 Y 行政中心 31 组织是否对所有的与信息处理设施有关的信息和资产指定〃所有者“? A.7.1.2 Y 行政中心 32 是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施? A.7.1.3 Y 行政中心 33 是否根据其价值、法律要求、敏感度以及对组织的关键程度,对信息进行分类? A.7.2.1 Y 行政中心 34
是否依据组织采纳的分类方案制定并实施一系列适当的信息标识和处理程序? Λ.7.2.2 Y 行政中心 35
是否依据组织的信息安全方针规定员工、合作方以及第三方用户的安全任务和责任,并将其文件
Y
行政中心
36
37
38
管理者是否要求员工、合作方以及第三方用户依据建立的方针和程序来应用安全? Aa21
Y 行政中心
39组织的所有员工,适当时还包括合作方和第三方
用户,是否接受适当的意识培训并定期向它们传
达组织更新的方针和程序,以及工作任务方面的
新情况? A.8.2.2
Y行政中心
40对造成安全破坏的员工是否有一个正式的惩戒
过程? A.8.2.3
Y行政中心
41执行工作终止或工作变化的职责是否清晰的定
义和分配? A.8.3.1
Y行政中心
42所有员工、合作方以及第三方用户是否在他们的
聘用期限、合同或协议终止时归还他们负责的所
有组织资产? A.8.3.2
Y行政中心
43所有员工、合作方以及第三方用户对信息和信息
处理设施的访问权是否在其聘用期限、合同或协
议终止时删除,或根据变化作相是否的调整? A.8.3.3
Y行政中心
44是否使用安全周界(墙、刷卡出入的大门或者人
工接待前台)保护包含信息及信息处理设施的区
域? A.9.1.1
Y营销中心
45是否通过适当进入管理措施保护安全区域,确保
只有得到授权的用户才能访问? A.9.1.2
Y营销中心
46办公室、房间和设施的物理安全措施是否被设计
并应用? A.9.1.3
Y营销中心
47防范火灾、水灾、地震、爆炸、社会动荡,以及
其它形式的自然或人为灾害的物理安全控制是
否被设计并应用? A.9.1.4
Y营销中心
48安全区的物理保护和原则是否被设计并应用? A.9.1.5
Y营销中心
49是否对交付和存储设施的访问地点以及其它未
经授权的人员可能访问到的地点进行控制,可能
的话,是否与信息处理设施隔离,以避免未经授
权的访问? A.9.1.6
Y营销中心
50设备是否被定位或保护,以降低来自环境威胁和
危害的风险,以及未经授权的访问机会? A.9.2.1
Y营销中心
51是否对设备加以保护使其免于电力中断或者其
它电力异常的影响? A.9.2.2
Y营销中心
52是否保护传输数据和辅助信息服务的电缆和通
讯线路,使其免于截取或者破坏? A.9.2.3
Y营销中心
53设备是否得到正确的维护,以确保其持续有效性
和完整性? A.9.2.4
Y营销中心
54考虑到在组织场所外工作的风险,安全是否应用
到场所外设备?Λ.9.2.5
Y营销中心
55包含储存媒体的设备的所有项目是否进行检查,
以确保在处置之前将所有敏感数据和许可软件
都被清除或者覆盖掉? A.9.2.6
Y营销中心
56在未经授权的情况下,设备、信息或软件是否带
到场所外?Λ,9.27
Y营销中心
57操作程序是否被文件化、保持,并且在用户需要
时可用?Λ.10.1.1
Y营销中心
58是否控制对信息处理设备和系统的变更? A.10.1.2Y营销中心
符合符合符合
符合符合蒋符合符合符合
符合
符合俞
符合符合。