信息安全内部审核检查表.docx
《信息安全内部审核检查表.docx》由会员分享,可在线阅读,更多相关《信息安全内部审核检查表.docx(57页珍藏版)》请在冰豆网上搜索。
信息安全内部审核检查表
上海联众网络信息有限公司
ISO27001:
2005信息安全目标与控制检查表
编制:
审核:
批准:
二〇一三年三月十二日
A.5安全方针
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.5.1
信息安全方针
目标
依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
信息安全方针文件
控制
根据Info-Riskmanager风险评估的结果。
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。
信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?
管理手册中有信息安全方针
信息安全方针评审
控制
根据Info-Riskmanager风险评估的结果。
每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?
管理评审报告
A.6信息安全组织
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.6.1
信息安全组织
目标
管理组织内部信息安全。
信息安全管理承诺
控制
根据Info-Riskmanager风险评估的结果。
总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。
该承诺《信息安全管理手册》中进行相是否描述?
信息安全的协作
控制
根据Info-Riskmanager风险评估的结果。
公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。
会议由人事行政部负责组织安排并做好会议记录?
信息安全职责分配
控制
根据Info-Riskmanager风险评估的结果。
公司是否清楚的确定所有的信息安全职责。
最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?
对每一项重要资产指定信息安全责任人。
信息处理设备的授权过程
控制
根据Info-Riskmanager风险评估的结果。
软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?
保密协议
控制
根据Info-Riskmanager风险评估的结果。
本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。
员工聘用期满离开公司之前,是否提醒其对保密所作的承诺?
与权威机构的联系
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否制定规定,详细说明由谁何时与权威机构联系,以及怎样识别是否该及时报告的可能会违背法律的信息安全事件?
与专业小组的联系
控制
根据Info-Riskmanager风险评估的结果。
软件部是否就计算机信息及通信网络安全问题与服务提供部门保持联系,以确保和在出现安全事故时尽快采取适当的行动和取得建议?
信息安全的独立评审
控制
根据Info-Riskmanager风险评估的结果。
人事行政部是否负责组织、策划内部审核,根据策划的时间间隔,或者当安全设施发生重大变化时,对组织管理信息安全的方法及其实施情况进行独立评审?
A.6.2
外部相关方
目标
识别外部相关方访问的风险,明确对外部相关方访问控制的要求,并控制外部相关方带来的风险,保持被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全。
与外部相关方有关的风险识别
控制
根据Info-Riskmanager风险评估的结果。
公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制,并签署规定访问和工作安排条款和条件的《保密协议》?
处理与顾客相关的安全问题
控制
根据Info-Riskmanager风险评估的结果。
外包责任部门是否是否识别外包活动的风险,明确外包活动的信息安全要求,在外包合同中明确规定信息安全要求。
在批准顾客访问组织信息或资产前,是否该处理所有已识别的安全要求?
A.7资产管理
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.7.1
资产责任
目标
对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
资产清单
控制
根据Info-Riskmanager风险评估的结果。
软件部是否组织各部门识别资产,并根据重要资产判断准则确定公司的重要资产,通过风险管理软件,建立《重要资产清单》?
资产所有权
控制
根据Info-Riskmanager风险评估的结果。
软件部是否组织相关部门识别资产并指定资产负责人?
资产的合理使用
控制
根据Info-Riskmanager风险评估的结果。
是否制定相是否的业务系统是否用管理制度,重要设备有使用说明书,规定了资产的合理使用规则?
使用或访问组织资产的员工、合作方以及第三方用户是否了解与信息处理设施和资源相关的信息和资产方面的限制。
并对信息资源的使用,以及发生在其责任下的使用负责?
A.7.2
信息分类
目标
本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以确保对资产采取适当的保护。
分类指南
控制
根据Info-Riskmanager风险评估的结果。
本公司是否有信息密级规定划分秘级?
信息的标识和处理
控制
根据Info-Riskmanager风险评估的结果。
对于属于企业秘密、企业机密与国家秘密的文件,密级确定部门是否按要求进行适当的标注?
A.8人力资源安全
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.8.1
聘用前
目标
对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。
角色和职责
控制
根据Info-Riskmanager风险评估的结果。
与信息安全有关的部门的安全职责是否明确规定?
筛选
控制
根据Info-Riskmanager风险评估的结果。
人力资源部是否负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整?
雇佣条款和条件
控制
根据Info-Riskmanager风险评估的结果。
公司是否规定了员工、合同方以及第三方的聘用条款和条件?
A.8.2
聘用期间
目标
确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。
审核发现
管理职责
控制
根据Info-Riskmanager风险评估的结果。
公司管理者是否要求员工、合作方以及第三方用户,加强信息安全意识,依据建立的方针和程序来应用安全?
信息安全教育和培训
控制
根据Info-Riskmanager风险评估的结果。
与ISMS有关的所有员工,有关的第三方访问者,是否接受安全意识、方针、程序的培训。
方针、程序变更后是否及时传达到全体员工。
人力资源部通过组织实施培训,确保员工安全意识的提高与有能力胜任所承担的信息安全工作?
惩戒过程
控制
根据Info-Riskmanager风险评估的结果。
违背组织安全方针和程序的员工公司是否将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行?
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
终止责任
控制
根据Info-Riskmanager风险评估的结果。
在员工离职前和第三方用户完成合同时,是否进行明确终止责任的沟通?
资产归还
控制
根据Info-Riskmanager风险评估的结果。
员工离职或工作变动前,是否办理资产归还手续,然后方能办理移交手续?
解除访问权限
控制
根据Info-Riskmanager风险评估的结果。
员工离职或工作变动前,是否解除对信息和信息处理设施访问权限,或根据变化作相是否的调整?
A.9物理与环境安全
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.9.1
安全区域
目标
防止对组织办公场所和信息的未授权访问、损坏和干扰。
是
实物安全周界
控制
根据Info-Riskmanager风险评估的结果。
本公司安全区域是否分为一般安全区域与特别安全区域,特别安全区域包括机房和监控机房、机要室?
。
是
物理进入控制
控制
根据Info-Riskmanager风险评估的结果。
进出公司大院是否有门卫保安控制?
员工是否凭工作牌进入办公区。
是否经过授权的长期访问第三方《出入证》进入被授权的工作区域?
是
办公室、房间和设施的安全
控制
根据Info-Riskmanager风险评估的结果。
特别安全区域内的办公室、房间和设施是否进行必要的控制,以防止火灾、盗窃或其它形式的危害?
是
防范外部和环境威胁
控制
根据Info-Riskmanager风险评估的结果。
机房设备是否安装在距墙、门窗有一定距离的地方。
并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施?
是
在安全区域工作
控制
根据Info-Riskmanager风险评估的结果。
公司是否建立相关制度,明确规定员工、第三方人员在有关安全区域工作的基本安全要求,并要求员工、第三方人员严格遵守?
是
公共访问、交付和装载区
控制
根据Info-Riskmanager风险评估的结果。
公司是否设立设置前台接待处接待外来人员,前台与特别安全区域予以隔离?
是
A.9.2
设备安全
目标
防止资产的损失、损坏或丢失及业务活动的中断。
设备的定位和保护
控制
根据Info-Riskmanager风险评估的结果。
设备使用部门是否负责对设备进行定置管理或保护好,采取措施以降低来自环境威胁和危害的风险以及XX访问的机会?
是
电缆的安全
控制
根据Info-Riskmanager风险评估的结果。
软件部是否按照相关标准对传输线路进行敷设、调配、维护,防止线路故障?
是
设备维护
控制
根据Info-Riskmanager风险评估的结果。
信息系统设备及用户计算机终端是否由软件部进行维护?
是
场所外设备的安全
控制
根据Info-Riskmanager风险评估的结果。
拥有笔记本的部门在其离开规定的区域时,是否经过部门领导授权并对其进行严格控制,防止其丢失和XX的访问?
是
设备的安全处置及再利用
控制
根据Info-Riskmanager风险评估的结果。
含有敏感信息的设备在报废或改做他用时,是否由使用部门是否利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录?
是
资产转移
控制
根据Info-Riskmanager风险评估的结果。
XX之前,是否不将设备、信息或软件带到工作场所外?
重要信息设备的迁移是否被授权,迁移活动是否被记录?
是
A.10通信和操作管理
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.10.1
操作程序和职责
目标
确保信息处理设备的正确和安全使用。
作业程序文件化
控制
根据Info-Riskmanager风险评估的结果。
本公司是否按照信息安全方针的要求,建立并实施文件化的作业程序?
。
是
变更管理
控制
根据Info-Riskmanager风险评估的结果。
对信息处理设施的变更是否按相关规定进行。
是否用系统和软件等方面的更改实施严格控制,在更改前评估更改所带来的潜在影响,正式更改前履行更改审批手续,并采取必要的措施确保不成功更改的恢复?
是
职责分离
控制
根据Info-Riskmanager风险评估的结果。
为防止非授权的更改或误用信息或服务的机会,是否按要求进行职责分配?
是
开发和运作设备的分离
控制
根据Info-Riskmanager风险评估的结果。
开发部门在进行软件和测试程序的开发时,是否有一个独立开发与测试环境,与作业设施分离?
是
A.10.2
第三方服务交付管理
目标
执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。
检查协议的执行情况,监控其符合性并控制相是否的变化,以确保交付的服务满足第三方协议中的所有要求。
服务交付
控制
根据Info-Riskmanager风险评估的结果。
是否对第三方的服务的交付,包括协议规定的安全安排、服务定义以及服务管理等方面进行管理和验收。
是否确保第三方保持充分的服务能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务交付的连贯性?
是
第三方服务的监控和评审
控制
根据Info-Riskmanager风险评估的结果。
第三方关系的管理是否有专门的人员,确保第三方分配职责符合协议要求。
是否对协议要求,特别是安全要求的符合性进行监控是否该有充分可用的技术技能和资源。
是否当发现服务交付不足时是否该采取适当的措施?
是
管理第三方服务的更改
控制
根据Info-Riskmanager风险评估的结果。
对第三方服务更改的管理过程是否考虑:
a)组织的更改,包括加强当前提供的服务,开发新是否用程序和系统,修改和更新方针及程序,解决信息安全事件,提高安全性的新控制?
b)第三方服务的更改,包括更改和加强网络,使用新技术,更改服务设施的物理位置,更改供是否商?
是
A.10.3
系统策划与验收
目标
使系统故障风险最小化。
容量管理
控制
根据Info-Riskmanager风险评估的结果。
软件部是否对信息网络系统的容量需求进行监控,并对将来容量需求进行策划,适当时机进行容量扩充?
是
系统验收
控制
根据Info-Riskmanager风险评估的结果。
新系统、系统升级接收前,系统验收部门是否制定接收准则,经测试合格后方可正式运行,测试记录及验收报告是否予以保存/
是
A.10.4
防范恶意软件
目标
保护软件和信息的完整性。
防范恶意代码
控制
根据Info-Riskmanager风险评估的结果。
软件部是否为控制恶意软件的主管部门,负责提供防范恶意软件的技术工具并对技术工具进行实时升级,各部门是否具体负责本部门的恶意软件预防控制工作?
是
防范可移动代码
控制
根据Info-Riskmanager风险评估的结果。
授权使用移动代码时,配置是否该确保已授权移动代码的运行符合明确定义的安全方针,XX的移动代码是否该被阻止执行。
是
A.10.5
备份
目标
保持信息处理和通信服务的完整性和可用性。
信息备份
控制
根据Info-Riskmanager风险评估的结果。
本公是否司根据风险评估的结果对重要数据库、软件等进行备份软件部为全公司信息备份提供技术支持,各业务主管部门是否协同软件部制定备份策略?
是
A.10.6
网络安全管理
目标
为保持对网络中的信息及支持性设施进行有效保护
网络控制
控制
根据Info-Riskmanager风险评估的结果。
本公司是否充分管理和控制网络,以防范威胁,维持系统和使用网络的是否用程序的安全,包括传输中的信息。
实施网络安全控制以确保网络上信息的安全,并对接入服务进行保护,防止XX访问?
是
网络服务的安全
控制
根据Info-Riskmanager风险评估的结果。
软件部是否根据组织的安全策略,识别现有的网络服务,明确规定网络服务安全属性值,由授权的网络系统安全管理员进行参数配置与维护管理?
是
A.10.7
介质的处理
目标
为防止资产损坏和业务活动中断,根据介质所储存的信息的敏感性或重要性进行适当的保护,安全处置,确保因介质不当造成信息泄露事故发生。
可移动介质的管理
控制
根据Info-Riskmanager风险评估的结果。
对可移动介质包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告,各部门是否按其管理权限并根据风险评估的结果对其实施有效的控制?
是
介质的处置
控制
根据Info-Riskmanager风险评估的结果。
对于含有敏感信息或重要信息的介质在不需要或再使用时,处置部门是否按照要求采取安全可靠处置的方法将其信息清除?
是
信息处置程序
控制
根据Info-Riskmanager风险评估的结果。
为保护敏感信息不会因XX处理而造成泄漏或滥用,本公司是否建立并实施管理制度?
是
系统文件的安全
控制
根据Info-Riskmanager风险评估的结果。
本公司是否采取措施,保护系统文件,防止XX的访问。
各部门对所属的系统文件,无论以何种媒体形式存在,是否按要求予以控制?
A.10.8
信息和软件交换
目标
明确信息和软件交换的控制目标,确保在内部及任何外部机构之间所交换的信息和软件的安全。
信息交换方针和程序
控制
根据Info-Riskmanager风险评估的结果。
在与顾客进行数据与软件交换的过程中是否采用以下的安全控制措施:
a)签订安全保密协议,明确双方的安全责任与安全交接方式?
b)如果有要求,采用加密方式传输数据?
c)由授权人员接受并登记?
是
交换协议
控制
根据Info-Riskmanager风险评估的结果。
是否建立并保持相应的方针,以保护被传输的信息和物理介质,并作为制定交换协议的参考?
是
物理介质的传送
控制
根据Info-Riskmanager风险评估的结果。
根据Info-Riskmanager风险评估的结果。
为避免被传送的介质在传送(运输)过程中发生丢失、XX的访问或毁坏,造成信息的泄露、不完整或不可用,负责介质传送的部门是否采用以下方法进行控制:
a)选择适宜的安全传送方式;
b)保持传送活动记录?
是
业务信息系统
控制
根据Info-Riskmanager风险评估的结果。
本公司通过是否用系统进行日常办公、生产经营管理,本公司建立并实施相是否系统的安全使用策略和是否用管理,以保护与业务信息系统互联相关的信息,减少系统造成的信息泄露?
是
A.10.9
电子商务服务
目标
确保电子商务服务的安全,及其安全使用。
电子商务
控制
本公司无该项业务
在线交易
控制
本公司无该项业务
公共信息
控制
根据Info-Riskmanager风险评估的结果。
本公司通过公共可用网站使用电子方式公布的信息,是否按规定进行控制?
是
监控
目标
探测XX的信息处理活动。
审核日志
控制
根据Info-Riskmanager风险评估的结果。
软件部是否建立并保存例外事件或其它安全相关事件的审核日志,以便对将来的调查和访问控制监测提供帮助。
审核日志一般通过使用系统检测工具按照事先的设置自动生成?
是
监控系统的使用
控制
根据Info-Riskmanager风险评估的结果。
监控部门是否按照规定周期对对监控结果进行评审,确保用户只执行被明确授权的活动。
发现异常事件是否采取必要的措施并实施?
是
日志信息的保护
控制
根据Info-Riskmanager风险评估的结果。
是否实施控制,防止对日志记录设施的XX的更改和出现操作问题?
是
管理员和操作员日志
控制
根据Info-Riskmanager风险评估的结果。
管理员和操作员的日志是否该包括:
a)事情(成功或失败)发生的时间;
b)事情的有关信息(如:
操作的文件)或故障信息;
c)涉及哪一个账号以及哪一个管理员或操作员;
d)涉及哪一个过程?
是
故障日志
控制
根据Info-Riskmanager风险评估的结果。
是否规定了用户或系统程序报告的有关信息处理系统的问题如何记录,以及清楚的规定了如何处理报告的故障?
是
时钟同步
控制
根据Info-Riskmanager风险评估的结果。
公司中心路由器是否设置为时钟同步服务器,在网络系统的域控制器与时钟同步服务器进行对时,所有的计算机设备是否必须登陆域?
A.11访问控制
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.11.1
访问控制的业务要求
目标
确保信息处理设备的正确和安全使用。
访问控制策略
控制
根据Info-Riskmanager风险评估的结果。
本公司是否基于访问控制策略,明确规定访问控制的业务要求,规定访问控制规则和每个用户或用户组的访问权力?
是
A.11.2
用户访问管理
目标
确保授权用户能够访问信息系统,防止对信息系统XX的访问。
用户注册
控制
根据Info-Riskmanager风险评估的结果。
是否根据规定的访问控制策略及确定的访问规则,访问权限管理部门对用户进行书面访问授权?
是
特权管理
控制
根据Info-Riskmanager风险评估的结果。
特权分配是否以它们的功能角色的最低要求为据,有些特权在完成特定的任务后是否被收回,确保特权拥有者的特权是工作所需要的且不存在富裕的特权?
是
用户口令管理
控制
根据Info-Riskmanager风险评估的结果。
各系统管理员是否对被授权访问该系统的用户口令予以分配?
是
A.11.3
用户责任
目标
明确用户责任,防止对信息和信息处理设施非授权用户的访问、破坏或盗窃。
口令的使用
控制
根据Info-Riskmanager风险评估的结果。
本公司是否在相应的是否用管理中明确规定了口令安全选择与使用要求,所有用户是否严格遵守?
是
无人值守的用户设备
控制
根据Info-Riskmanager风险评估的结果。
本公司是否在和相应的应用管理中规定所有用户保护无人值守设备的安全要求和程序,以及他们在实施此类保护方面的责任?
是
清洁桌面和清除屏幕策略
控制
根据Info-Riskmanager风险评估的结果。
本公司是否制定清除桌面、清除屏幕的策略并实施,各部门负责人是否负责监督本部门员工该策略的日常实施情况?
是
A.11.4
网络访问控制
目标
保护网络服务,防止对网络服务的未授权访问。
网络服务使用策略
控制
根据Info-Riskmanager风险评估的结果。
本公司是否建立并网络服务安全策略,以确保网