ISO27001版全套内审检查表.docx
《ISO27001版全套内审检查表.docx》由会员分享,可在线阅读,更多相关《ISO27001版全套内审检查表.docx(32页珍藏版)》请在冰豆网上搜索。
ISO27001版全套内审检查表
信息安全管理体系文件
内审核查表
审核日期:
2018年8月8日
被审核部门
总经理
审核成员
张三
审核日期
2018-8-8
审核主题
4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
4.1
理解组织及其环境
现在客户越来越重视本单位的信息安全,要求服务提供商具备一定的信息安全管理水平;目前信息安全威胁不断增加,本组织的核心资产也要进行安全防护,保证核心资产的安全性、保密性、可用性。
√
4.2
理解相关方的需求和期望
公司客户对服务提供商的信息安全提出了更高的要求,在公司给客户提供服务的过程中,客户要求保证公司接触到的客户的信息资产的安全。
在服务合同中都有相关安全条款。
√
4.3
确定信息安全管理体系范围
在手册的4.3章确定了信息安全的组织、业务、物理范围。
√
4.4
信息安全管理体系
按ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》规定,建立、实施、保持和持续改进信息安全管理体系。
包含了4级文件:
手册、程序文件、管理制度、记录。
√
5.1
领导力和承诺
-领导层制定了信息安全方针、目标和计划;建立信息安全的角色和职责;向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;提供充分的资源,以建立、实施、运作、监视、评审、保持并改进,决定接受风险的准则和风险的可接受等级;
√
5.2
方针
信息安全管理方针为:
数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满意。
√
5.3
组织的角色,职责和权限
组织制定了《信息安全职责划分与标准条款对照表》,明确了每个部门角色的职责
√
6.1
应对风险和机会的措施
进行了信息安全风险评估,并针对高优先级的风险制定了处置计划。
√
6.2
信息安全目标和实现规划
公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标,并在全公司发布,参见信息安全方针目标文件
√
9.3
ISMS管理评审
--有《管理评审控制程序》,管理评审计划、管理评审报告等记录
√
A5.1.1
信息安全方针文件
信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。
√
A5.1.2
信息安全方针评审
已计划了在管理评审时评审信息安全方针,以确保其持续适宜性、充分性和有效性。
√
被审核部门
行政财务部
审核成员
张三
审核日期
2017-5-7
审核主题
A6.1.5/A6.2.1/A6.2.2/A9/A10/A12/A13/A14/A17
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
A6.1.5
项目管理中的信息安全
所有类型的项目,在项目的策划和执行过程中都考虑了信息安全因素。
抽查了一个项目,满足要求。
√
A.6.2.1
移动设备策略
公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。
√
A.6.2.2
远程工作
远程服务记录齐全,符合文件要求。
√
A.6.1.3
信息安全职责的分配
公司在《信息安全管理手册》附录:
信息安全管理职责明细表里明确了信息安全职责。
公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作。
√
A.12.1.1
文件化的操作规程
公司按照信息安全方针的要求,建立并实施文件化的作业程序,见《信息安全管理体系文件一览表》(《信息安全管理手册》附件)文件化的作业程序的控制执行《文件管理程序》。
√
A.12.1.2
变更管理
在变更实施前,由研发部填写《变更申请表》,明确变更的原因、变更范围、变更影响的分析及对策(包括不成功变更的恢复措施),研发部负责人批准后予以实施。
目前尚无变更发生。
√
A.12.1.3
容量管理
有《容量管理规划》,对服务器存储容量和网络带宽进行了容量规划。
√
A.12.1.4
开发、测试和运行设施的分离
开发方案测试报告及相应设施齐备
√
A.12.2.1
控制恶意软件
公司各部门员工都安装杀毒软件,并及时升级病毒库。
网管定期进行监督检查。
√
A.12.3.1
信息备份
公司对重要数据进行了备份。
包括源代码等
√
A.12.4.1
事件日志
公司建立并保存例外事件或其它安全相关事件的审核日志,以便对将来的调查和访问控制监测提供帮助。
审核日志一般通过使用系统检测工具按照事先的设置自动生成。
√
A.12.4.2
日志信息的保护
按照《信息系统监控管理程序》,对日志信息进行了保护。
√
A.12.4.3
管理员和操作员日志
系统管理员和操作员的活动也记入了日志,并规定系统管理员不允许删除或关闭其自身活动的日志。
√
A.12.4.4
时钟同步
经过检查:
公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。
√
A.12.5.1
运行系统中软件的安全
《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的升级、控制措施。
√
A.12.6.1
技术脆弱性管理
《技术脆弱性管理程序》规定了对技术脆弱性的管理,目前尚未发现技术脆弱性。
√
A.12.6.2
软件安装限制
《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的控制,制定了允许安装的软件清单。
√
A.14.1.1
安全要求分析和说明
《信息系统开发建设管理程序》中规定了安全要求分析及说明《信息安全风险评价程序》评估风险
√
A.14.2.1
安全开发策略
《信息系统开发建设管理程序》中规定了软件开发生命周期的安全开发策略。
√
A.14.2.2
系统变更控制程序
《信息系统开发建设管理程序》中规定了系统变更的控制程序,当前无变更。
√
A.14.2.3
操作系统变更后应用的技术评审
《信息系统开发建设管理程序》中规定了当操作系统发生更改时,操作系统更改对应用系统的影响应由系统主管部门进行评审,确保对作业或安全措施无不利影响。
目前无操作系统变更。
√
A.14.2.4
软件包变更的限制
《信息系统开发建设管理程序》中规定了软件包的变更限制策略:
公司不鼓励修改软件包,如果有必要确需进行更改,更改提出部门应在实施前进行风险评估,确定必须的控制措施,保留原始软件,并在完全一样的复制软件上进行更改,更改实施前应得到公司领导的授权。
√
A.14.2.5
安全系统工程原则
《信息系统开发建设管理程序》中规定了安全系统工程原则:
在平衡信息安全需求和访问需求的基础上,组织所有架构层(业务、数据、应用和技术)宜考虑安全设计。
宜分析新技术的安全风险,并根据已知的攻击模式评审其设计。
√
A.14.2.6
安全开发环境
路由器都兼备防火墙功能,具备杀毒软件和口令设置、访问权限
√
A.14.2.8
系统安全测试
有系统安全测试报告,满足要求
√
A.14.2.9
系统验收测试
有系统验收测试报告,满足要求。
√
A.14.3.1
保护测试数据
测试数据均统一备份测试服务器,有口令权限设置。
√
A.17.1.1
策划信息安全连续性
有《业务连续性影响分析报告》、《业务连续性管理战略计划》:
为达到公司业务的持续性目标,研发部组织有关部门在适当的风险评估的基础上,进行灾难及系统中断影响分析,识别出造成关键业务中断的主要事件及其影响。
√
A.17.1.2
实施信息安全连续性
公司建立并实施《信息业务连续性管理程序》,在发生灾难或安全故障时,实施持续性管理计划,确保关键业务及时得到恢复。
有《业务连续性计划实施方案》和《业务连续性计划实施方案测试报告》。
√
A.17.1.3
验证、评审和评价信息安全连续性
有《业务连续性实施评价报告》,每年公司组织有关部门采取适宜的测试方法对《业务连续性管理计划》进行测试。
√
A.17.2.1
信息处理设施的可用性
研发部负责识别信息系统可用性的业务要求。
当使用现有系统架构不能保证可用性时,则考虑冗余组件或架构。
目前可用性情况满足要求。
√
被审核部门
行政财务部
审核成员
张三
审核日期
2017-5-7
审核主题
7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/9.1/9.2/10.1/10.2/A6.1/A7/A8/A9/A10/A13/A11/A12.7.1/A13.2.4/A15/A16/A18
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
7.1
资源
公司确定并提供了建立、实施、保持和持续改进信息安全管理体系所需资源,包括人、财、工具设备等
√
7.2
能力
公司相关部门组织制定并实施《人力资源管理程序》文件。
规定了各岗位角色的能力要求。
√
7.3
意识
公司内部作了信息安全意识的培训,有培训记录。
√
7.4
沟通
在内审、管理评审等时机、公司内部人员及外部相关方进行了沟通,有沟通记录。
√
7.5
文件化信息
有手册、有30个程序、1个SOA声明、一份信息安全方针目标。
提供了记录清单,内有序号,记录编号、记录名称、保存期限。
√
8.1
运行规划和控制
有各种信息安全运行记录。
详见记录清单。
√
8.2
信息安全风险评估
有信息安全风险评估报告,记录了风险评估的时间、人员、资产数量、风险数量、优先级等。
√
8.3
信息安全风险处置
有信息安全风险评处置计划,记录了风险评估的时间、人员、资产数量、风险数量、优先级等。
√
9.1
监视、测量、分析和评价
通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果。
√
9.2
内部审核
审核员参与制订了审核计划,风险评估人员识别了资产、脆弱性、威胁和影响,评估了风险,针对高风险制定了风险处置计划。
提供:
内审计划。
√
10.1
不符合和纠正措施
有《预防措施实施记录》。
√
10.2
持续改进
组织建立了持续改进机制。
定期识别需改进的地方。
√
A.6.1.1
信息安全角色和职责
公司在信息安全管理职责明细表里明确了信息安全职责。
公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作
√
A.6.1.2
责任分割
在职责分配时,分割了冲突的责任和职责范围,以降低未授权或无意的修改或者不当使用组织资产的机会。
√
A.6.1.3
与政府部门的联系
与相关部门保持联系。
√
A.6.1.4
与特定相关方的联系
公司建立信息安全顾问,必要时聘请了外部专家。
√
A.7.1.1
审查
规定录用前查人员的个人相关背景、资历和相关检查,对于不符合安全要求的不得录用。
√
A.7.1.2
任用条款和条件
查聘用人选由综合部上报公司相关人员审批,由最后的审批结果向聘用人员发放聘用通知书,并签订了劳动合同和保密协议
√
A.7.2.1
管理职责
根据公司业务要求,明确关键工作岗位及任职要求并依据建立的方针和程序来应用安全。
√
A.7.2.2
信息安全意识、教育和培训
综合部负责制定的公司《员工年度培训计划》,公司的所有员工,适当时还包括合作方和第三方用户,发现已接受适当的意识培训并定期向它们传达组织更新的方针和程序,以及工作任务方面的新情况。
√
A.7.2.3
纪律处理过程
公司未有安全违规的雇员。
√
A.7.3.1
任用终止或职责变更
查看相关文件,发现第三方用户完成服务时,进行明确终止责任的沟通。
√
A.8.1.1
资产清单
保存有《信息安全资产清单》和《重要信息资产清单》,信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。
√
A.8.1.2
资产责任人
有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人
√
A.8.1.3
资产的允许使用
提供《用户授权申请表》,满足要求。
√
A.8.1.4
资产的归还
有程序文件规定:
在员工离职前应收回保密文件,退还身份证件和使用组织的所有资产,并执行财务清款,法律事务清查。
第三方用户完成合同时,应按《相关方信息安全管理程序》办理完所负责的所有资产归还手续。
√
A.8.2.1
信息分类
信息资产分为:
数据、软件、服务、硬件、文档、设施、相关方、人员
信息的密级分为3类:
企业秘密事项(秘密)、内部信息事项(受控)和公开事项。
√
A.8.2.2
信息标识
现场查:
信息都按程序要求进行了识别和标记;
√
A.8.2.3
资产处理
有《商业秘密管理程序》,规定了建立处理和储存信息的程序来保护这些信息免于XX的泄露、误用、盗用或丢失。
√
A.8.3.1
可移动介质的管理
有移动介质授权使用记录,对U盘、移动硬盘等移动介质的使用情况进行了记录。
√
A.8.3.2
介质的处置
有《介质管理程序》,规定含有敏感信息或重要信息的介质在不需要或再使用时,处置部门应按照要求采取安全可靠处置的方法将其信息清除。
√
A.8.3.3
物理介质传输
为避免被传送的介质在传送(运输)过程中发生丢失、XX的访问或毁坏,造成信息的泄露、不完整或不可用,公司规定在将信息资产带出公司时,应对包含信息的介质进行保护。
√
A.9.1.1
访问控制策略
公司在《用户访问管理程序》中建立了访问控制策略。
本公司内部可公开的信息,允许所有服务用户访问。
本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问。
用户不得访问或尝试访问XX的网络、系统、文件和服务。
各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。
√
A.9.1.2
使用网络服务的策略
公司在《用户访问管理程序》中建立了网络服务安全策略,以确保网络服务安全与服务质量。
√
A.9.2.1
用户注册
有《用户授权申请表》,符合要求。
√
A.9.2.2
用户访问提供
访问系统的用户具设置了用户名和口令。
√
A.9.2.3
特殊权限管理
对各系统的系统管理员均进行了授权,有授权申请和批准的记录。
√
A.9.2.4
用户安全鉴别信息的管理
系统管理员按照《用户访问管理程序》对被授权访问该系统的用户口令进行分配。
√
A.9.2.5
用户访问权的复查
有用户访问权审查记录,每个月审查一次。
√
A.9.2.6
撤销或调整访问权限
《相关方信息安全管理程序》、《用户访问管理程序》规定了解除、变化调整访问权限的内容。
当前无员工离职。
√
A.9.3.1
安全鉴别信息的使用
公司在《用户访问管理程序》和相应的应用管理中明确规定了口令安全选择与使用要求,所有用户应严格遵守。
实施口令定期变更策略(一般用户每半年,特权用户口令每季度)。
√
A.9.4.1
信息访问限制
《用户访问管理程序》规定本公司内部可公开的信息不作特别限定,允许所有用户访问。
本公司内部部分公开信息,经访问授权部门认可,访问授权实施部门实施后用户方可访问。
√
A.9.4.2
安全登录规程
《用户访问管理程序》规定用户不得访问或尝试访问XX的网络、系统、文件和服务。
√
A.9.4.3
口令管理系统
所有计算机用户在使用口令时应遵循以下原则:
所有活动帐号都必须有口令保护,所有系统初始默认口令必须更改,用户定期变更口令等,查员工刘军敏电脑口令只有5位。
√
A.9.4.4
特权使用程序的使用
《用户访问管理程序》规定了对实用系统的访问控制,有系统实用工具清单。
√
A.9.4.5
对程序源代码的访问控制
《用户访问管理程序》规定不允许任何人以任何方式访问程序源代码。
√
A.10.1.1
使用密码控制的策略
使用密码控制措施来保护信息,使用密码时,应基于风险评估,确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,并符合《信息安全合规性管理程序》的要求。
各电子数据文件的形成部门应识别重要数据的加密要求,对需要加密的信息,制定加密方案,经公司总经理批准后严格执行。
√
A.10.1.2
密钥管理
目前尚未发生使用密钥管理的情况
√
A.11.1.1
物理安全边界
公司安全区域分类:
特别安全区域、一般区域,本部门为特别安全区域。
√
A.11.1.2
物理入口控制
公司规定:
公司人员上下班出入刷卡,外来人员必须进行外来人员登记后等待接待,若需进入公司办公区域,由接待人员陪同方可进入。
有外来人员登记表。
√
A.11.1.3
办公室、房间和设施的安全保护
查办公室、房间和设备,都进行了安全防护。
√
A.11.1.4
外部和环境威胁的安全防护
公司规定:
外来人员来本公司参观或对大楼进行拍摄,须报请综合部批准,安全周界的大门下班后应关紧,综合部负责管理。
应将备用设备、备品备件和备份存储介质放置在一定安全距离以外,以免主场所发生的灾难性事故对其造成破坏。
√
A.11.1.5
在安全区域工作
公司明确规定员工、第三方人员在有关安全区域工作的基本安全要求(如避免在第三方人员未被监督的情况下在安全区域内进行工作,未经同意不允许使用摄影、录像、录音或其它音像记录设备等),并要求员工、第三方人员严格遵守。
√
A.11.1.6
交接区
公司设有接待前台,供接待临时访问人员。
√
A.11.2.1
设备安置和保护
按文件规定执行,由研发部负责笔记本电脑、台式机、服务器、打印机的安置和保护。
——提供《个人计算机配备一览表》、《计算机配置说明书》。
√
A.11.2.2
支持性设施
——有空调等保护设备,设置了自动喷淋头,规定不允许在办公环境吸烟。
大厦配备有双回路变电备用线路,确保不间断供电。
√
A.11.2.3
布缆安全
——现场查看网线和电源线情况,符合要求。
√
A.11.2.4
设备维护
——自体系文件实施以来,设备未出现故障,但备有《设备维护记录》表格。
√
A.11.2.5
资产的移动
——笔记本均有《笔记本电脑授权表》
√
A.11.2.6
组织场所外的设备安全
使用笔记本电脑离开办公场所应经授权,见《个人计算机管理程序》。
离开办公场所的设备应考虑损坏、盗窃和截取的风险并加以保护。
——提供笔记本使用授权书。
√
A.11.2.7
设备的安全处置或再利用
《信息处理设施管理程序》规定:
信息处理设施实施大修、升级、停用或报废前由使用部门和个人对包含储存媒体的设备的所有项目进行检查,并填写《敏感信息清除记录》报市场部存档,确保在处置之前所有敏感数据和许可软件都被清除或者覆盖掉。
——公司目前无设备停用和再利用的情况。
√
A.11.2.8
无人值守的用户设备
现场查编号:
YJ-028的PC机时,有设置屏保。
√
A.11.2.9
清空桌面和屏幕策略
现场查编号:
YJ-028的PC机时,桌面保持干净
√
A12.7.1
信息系统审计的控制
正式审核之前,审核组明了确技术性审核的项目与要求,防止审核活动本身造成不必要的安全风险。
√
A.13.1.1
网络控制
对防火墙、路由器等进行了安全配置,并定期检查网络设备。
√
A.13.1.2
网络服务的安全
和网络服务提供商(电信)有签订网络服务协议。
√
A.13.1.3
网络隔离
编制了《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。
实现内外网隔离。
√
A.13.2.1
信息交换策略和程序
制定了信息交换程序,规定:
在使用电子通信设施进行信息交换时,防止交换的信息被截取、备份、修改、误传以及破坏;保护以附件形式传输的电子信息;公司互联网的计算机,不得含有涉密的电子数据信息。
√
A.13.2.2
信息交换协议
公司建立了《信息交换管理程序》。
目前尚无需要签署信息交换协议的情况。
√
A.13.2.3
电子消息发送
公司建立了《信息交换管理程序》包括电子邮件安全使用的策略,并将该策略传达到所有员工予以执行。
√
A.13.2.4
保密或不泄露协议
查员工有签署《员工保密协议》。
查公司与外部相关方有签暑《相关方保密协议》。
√
A.15.1.1
供应商关系的信息安全策略
有《相关方信息安全管理程序》,规定相关部门应协同综合部识别供应商对信息资产和信息处理设施造成的风险,并在批准供应商访问信息资产和信息处理设施前实施适当的控制。
√
A.15.1.2
在供应商协议中解决安全
查有《相关方服务保密协议》,所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映。
√
A.15.1.3
信息与通信技术供应链
查《相关方服务保密协议》,包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。
√
A.15.2.1
供应商服务的监视和评审
有相关方服务评审报告。
评价供应商在服务过程中的安全情况。
√
A.15.2.2
供应商服务的变更管理
目前供应商服务无变更。
A.10.4.1
对恶意代码的控制措施
现场测试扫描,没有发现病毒。
√
A.16.1.1
职责和规程
《信息安全事件管理程序》规定:
综合部在接到报告后应迅速做出响应,各相关部门应即使按要求采取处置措施与意见,将信息安全事件所造成的影响降低到最低限度。
√
A.16.1.2
报告信息安全事态
《信息安全事件管理程序》规定:
安全事情、事故一经发生,事情、事故发现者、责任者应立即向综合部报告,综合部应及时对事情、事故进行反应处理。
所有员工有报告安全事故、事情的
升级会员 