ISO27001信息安全管理体系内部审核检查表.docx

1、ISO27001信息安全管理体系内部审核检查表ISO27001-2013信息安全管理体系内部审核检查表被审核部门：审核时间：2020.01.06编写人：被审核部门代表确认：内审员：管理者代表：审核依据：ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4组织环境4.14.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.24.2 理解相关方的需求和期望1、组织是否

2、识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.34.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.44.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？5领导5.15.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些

3、方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.25.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。5.35.3 组织角色、职责和权限1、管理者是否在组织内建立并传达了信息安全管理组织架构，并明确其职责和权限？

4、2、管理者是否在组织内分配了报告信息安全管理体系绩效的职责和权限？3、组织是否定期审查审批事项、及时更新需授权的审批事项、审批部门、审批人等信息？6规划6.16.1 应对风险和机会的措施6.1.1 总则1、组织是否基于内外部环境和相关方要求等外部环境识别需要应对的风险和改进机会？6.1.2 信息安全风险评估1、组织是否定义并执行了风险评估过程？2、组织是否定义了风险接受准则？3、组织是否保留了所有风险评估过程文件？6.1.3 信息安全风险处置1、组织应定义并执行信息安全风险处置过程？2、组织是否针对风险选择了适当的风险处置措施？3、风险处置措施是否与适用性声明相匹配？4、组织是否制订了风险处置

5、计划？5、风险处置计划、可接受的残余风险是否得到相关负责人的批准？6、组织是否保留了所有风险处置过程文件？6.2 信息安全目标和规划实现1、组织是否建立了信息安全目标？2、信息安全目标与管理方针是否存在关联？3、信息安全目标是否可测量？4、组织建立信息安全目标时，是否考虑了信息安全要求、风险评估和风险处置结果？5、信息安全目标是否在组织内被传达？6、信息安全目标是否定期更新？7支持7.1 资源1、组织是否为建立、实施、保持和持续改进信息安全管理体系提供了所需的资源？7.2 能力1、组织在关键的信息安全岗位说明书中是否明确了信息安全方面的能力要求？2、组织是否定期对信息安全岗位人员进行培训？并对

6、其能力进行考核？7.3 意识1、员工是否了解组织的信息安全方针？2、员工是否了解信息安全方针对自身的要求？3、员工是否了解违反信息安全后对自身和组织的影响？7.4 沟通1、组织是否明确有关信息安全体系在内部和外部沟通的需求？（对象、时间、频率等方面）2、组织对于定期和不定期召开的协调会议，是否会形成会议纪要？7.5 文件记录信息7.5.1 总则1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件和记录？2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录？3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范围？分支行科技部门制定的安全管理制度是否仅

7、适用于辖内？7.5.2 创建和更新1、组织对创新和更新的文件和记录是否进行了标识？2、组织对创新和更新的文件和记录在格式、存储介质方面是否有要求？3、组织对创新和更新的文件和记录是否定期评审和更新？4、组织对门户网站的信息发布是否有审核、监控等管理机制？7.5.3 文件记录信息的控制1、组织对自身建立的信息安全管理体系和国际标准所要求的文件记录信息是否予以控制保护？（包括范围、分发、接收、访问、存储、变更、处置等）2、必要的外部原始文件和记录信息，组织是否同样予以控制保护？3、组织是否通过正式、有效的方式发布文件？4、文件发布是否明确发布范围，并进行登记？5、信息安全管理小组是否定期组织相关部

8、门和人员对现行的信息安全管理体系的适用性和合理性进行评审？8运行8.1 运行的规划和控制检查内容详见A5-A188.2 信息安全风险评估评估内容见6.1.28.3 信息安全风险处置评估内容见6.1.39 绩效评价9.1 监视、测量、分析和评价1、组织是否建立了有效性测量管理程序？2、监视和测量的结果是否予以保留？9.2 内部审核1、组织是否建立了内审程序？2、组织是否按照计划的时间间隔进行了内审？遇到特殊情况，是否增加了内审？3、内审的材料是否全部得到保存？（审核方案、审核结果等）9.3 管理评审1、组织是否按照计划的时间间隔进行了管审？2、管审是否考虑了以往管审的措施执行情况、信息安全执行的

9、各方反馈、风险评估结果和风险处置计划的执行状况、持续改进机会等方面？3、组织是否保留了管理评审的所有记录？10 改进10.1 不符合和纠正措施1、当发现不符合项时，组织是否采取了纠正措施？2、组织是否对不符合项进行了评审，防止再次出现？3、组织对采取的纠正措施有效性是否进行评审？4、必要时，组织是否对信息安全管理体系进行变更？10.2 持续改进1、组织是否对信息安全体系的有效性、适宜性、充分性进行持续改进？A.5 安全方针A.5.1 信息安全管理方向A.5.1.1 信息安全方针 1、信息安全的方针和策略是否被定义并文件化？（查看手册）2、方针和策略是否由管理者批准？（查看批准文件）3、方针和策

10、略是如何发布并传达给员工和相关外部方的？（查看相关记录）A.5.1.2 信息安全方针的评审1、组织的信息安全方针和策略是否定义专人维护？（查看职责定义文件）2、组织的信息安全方针和策略是否按计划的时间间隔或者当组织发生重大变化时进行评审？评审时是否考虑了评审的结果？（查看评审记录）3、对于组织评审后新修订的信息安全方针和策略，是否得到管理者的批准？（查看批准文件）A.6 信息安全组织A.6.1 内部组织A.6.1.1 信息安全的角色和职责1、组织是否具有信息安全角色和职责定义文件？组织是否定义了关键事务岗位，并要求关键事务岗位必须多人共同管理？2、访谈人员，了解是否所有的组织成员都明确自己的信

11、息安全职责?3、信息安全职责的分配是否与信息安全方针文件相一致?4、组织是否定义了信息安全代表？5、每一个资产是否定义了责任人？6、组织是否组建了信息安全领导小组？小组成员是否由机构领导、业务和技术部门负责人组成？是否将协调本机构和辖内信息安全管理工作、决策本机构和辖内重大信息安全事宜等职责分配给信息安全领导小组？7、是否设立科技风险审计岗？是否将信息科技审计制度和流程的实施、制定和执行信息科技审计计划、对信息科技整个生命周期和重大事件进行审计等职能分配到科技风险审计岗？1、各类资产清单2、岗位职责说明书A.6.1.2 与监管机构的联系 1、是否具有与监管机构联系的清单？2、清单上是否具备联系

12、人、联系方式、联系缘由等信息？1、与政府部门的联系清单A.6.1.3与特殊利益团体的联系1、是否具有与特殊利益团体联系的清单？（电信公司、专业的安全公司、安全组织等）2、清单上是否具备联系单位、联系人、联系方式、合作内容等信息？1、与特殊利益团体的联系清单A.6.1.4项目管理中的信息安全1、抽样检查本年度已实施完成的项目或正在实施的任意3个项目，检查项目管理过程中，是否依照组织信息安全管理制度相关要求进行安全管理？（查看项目的安全目标、项目进行前的风险评估、项目过程中的信息安全控制记录等）1、项目（任意3个项目）安全要求需求2、项目（任意3个项目）风险评估3、项目（任意3个项目）过程中的任意

13、安全控制记录A.6.1.5职责分离 1、检查组织的岗位职责表，检查是否明确定义了职责说明？2、检查是否有不兼容岗位设置说明？3、检查系统开发、系统测试、系统运维是否由不同人员担任？授权和实施的人员是否分离？1、 岗位职责说明书A.6.2 移动设备和远程办公A.6.2.1 移动设备策略 1、组织是否制订了移动介质管理程序？（移动介质包括移动存储介质和移动通讯设备）2、随机抽样移动设备，检查该设备的安全管控措施是否与制度相符？（查看相关记录，如清单、使用登记等）3、当发生移动介质被盗或丢失时，是否建立了一个符合法律、保险和组织其他安全要求的规定？4、如有必要，是否对使用移动设备的人员安排了对应的培

14、训，以提高安全意识？（查询培训记录）5、对于移动通讯设备，组织是否考虑了无线网络弱点和数据备份的风险？（检查移动介质管理程序）1、移动设备清单2、移动设备领用、使用记录3、移动设备安全使用的培训记录A.6.2.2 远程办公 1、组织是否制订了远程办公管理程序？2、如何保护在远程工作地点被访问、处理或者存储数据的安全？（查看远程工作管理程序）3、对于拨号接入用户是否采用数字证书认证机制？是否对该用户数量进行限制？4、通过互联网对重要系统和网络设备进行链接访问时，是否采用加密技术？1、VPN用户列表A.7 人力资源安全A.7.1 任用之前A.7.1.1 筛选 1、组织是否制订了人员招聘管理程序？该

15、程序中是否有人员审查、筛选策略？（审查范围包括身份、背景、专业资格和资质、技术技能等）是否定义了人员验证和核查准则？是否定义了对于承包方人员的核查过程和通报规程？2、随机抽样4名新入职员工的入职材料，检查员工入职前的筛选记录是否与管理文件约定的一致？（查看背景调查、审查专业资格和资质等记录）3、组织对于在筛选时用搜集到的应聘人员的个人资料，如何进行保护？4、对于特定的信息安全角色或特定职位的人员，组织在筛选时是否考虑了其必须的能力？（查看聘用筛查记录）5、组织是否定义了人员招聘的专职部门或人员？1、员工入职前的筛选记录A.7.1.2 任用的条款及条件 1、检查人员招聘管理程序，查看是否定义了雇

16、员和承包方人员应当承担的信息安全职责？2、检查这4名新入职员工的劳动合同中是否含有保密条款？或者另外签署了保密协议？3、抽查承包方人员是否签署了相关安全保密协议？4、如果适用，查看人员聘用管理文件或已签署的安全保密协议中是否定义了相关任用条款和职责要求雇员和承包方在任期结束后需要持续一段时间？5、组织是否对关键岗位的人员进行全面、严格的安全审查和技能考核？6、从事关键岗位的人员，组织是否从内部进行选拔并签署岗位安全协议？1、员工、第三方的普通保密协议2、关键岗位清单3、关键岗位的岗位安全协议4、关键岗位人员的全面、严格的安全审查和技能考核记录A.7.2 任用中A.7.2.1 管理职责 1、随机

17、抽样部分雇员和承包方人员，询问其是否明确自己的安全角色和职责？A.7.2.2 信息安全意识，教育和培训1、组织是否编制有员工培训管理程序？2、组织是否编制年度的培训计划？3、组织是否按照不同的岗位制定不同的培训计划？4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训、相关安全技术培训和组织策略及规程的更新培训？5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、培训记录等，查看当年的信息安全意识培训覆盖率是否达到100%？并且在必要时，是否将承包方人员加入到其中？1、年度培训计划2、培训记录3、培训反馈（课后调查、证书等）A.7.2.3 纪律处理过程 1、检查组织是否制定

18、了奖惩管理程序？2、奖惩规则是否按照事件的性质、严重程度、对业务的影响等因素进行分级？（查看奖惩管理程序）3、获取当年奖惩记录，如果没有则获取相关表单模板，查看表单模板内容是否符合文件规定要求？（参看奖惩记录）1、奖惩记录A.7.3 任用的终止或变化A.7.3.1 任用终止或变化的责任1、组织是否定义了离岗和转岗的管理程序？2、员工离岗，各网络、系统管理员是否被要求及时终止其各类权限，并回收其各种证件、钥匙、徽章、机构提供的各类软硬件等？（查看离职交接单等）3、获取当年离职或转岗人员清单；（包括承包方人员）4、随机抽样4份离职或转岗记录，检查所有控制环节是否都被有效实施；5、是否要求离任或转岗

19、的员工、承包方需要维持一段时间仍然有效的任用条款和条件？（查看离职单）6、离职员工管理的信息系统口令是否得到立即更换？7、由外部方派出的承包人员，其责任的变更是否按照相关合同要求进行，并由外部方完成？（查看外部人员撤离单）1、离职交接记录2、当年的离职和转岗人员清单3、离职记录单4、第三方人员撤离记录A.8 资产管理A.8.1 对资产负责A.8.1.1 资产清单 1、获取组织的信息资产清单；2、检查信息资产清单是否至少1年更新1次？（检查更新记录）3、资产清单中，对资产是否按其重要性和类别进行分类？是否定义了资产所有权人或责任人？1、各部门的信息资产清单2、各部门信息资产清单的更新记录A.8.

20、1.2资产责任人 1、检查资产清单中各类信息资产是否都指定了责任人？2、抽样5份重要的信息资产，验证已定义的信息资产责任人是否与实际相符；3、组织是否具有定义资产所有权的管理文件？4、资产责任人的职责是否进行了定义？A.8.1.3资产的允许使用 1、组织是否定义了信息访问与资产管理的管理程序？2、该控制程序中，除雇员外是否包含承包方人员？3、查看资产使用授权记录，验证记录与文件定义、人员职责是否匹配？4、组织所有的服务器是否都专用化，不用于收发邮件和浏览网页？1、资产的授权使用记录A.8.1.4资产的归还 1、是否定义了资产归还程序？（查看资产管理文件中是否含有该条款）2、雇员和第三方人员在终

21、止职务时，是否确保所有相关的物理资产转移给组织，并从设备中安全的删除相关电子资产？（查资产归还记录）1、资产归还记录A.8.2 信息分类A.8.2.1 信息的分类 1、组织是否定义了资产分类分级的标准和级别？该标准是否同时定义了分类分级的评估准则？2、检查信息资产清单，各类信息资产是否依照规则进行了分类和分级？3、信息的分类分级标准是否定期评估？（查看评估记录）4、资产的分类和分级是否在其生命周期中根据其自身敏感性和重要性的变化而及时更新？（查看资产分类分级清单和评估记录）1、资产分类分级标准的评估记录A.8.2.2信息的标记 1、在组织制定的资产管理程序中，是否根据资产的分类分级定义了资产标

22、记管理策略，如对标记的位置、形式和例外等做出约定？2、验证组织是否根据上述策略对信息进行标记？标记是否易识别？标记是否和分类分级一致？（包括物理和电子形式的信息及其相关资产）3、标记的资产是否包含物理和电子格式的信息及其相关资产？4、组织是否对重要信息资源设置敏感标记？1、资产标签A.8.2.3资产的处理 1、组织是否建立了资产处理管理程序？2、资产的处理是否按照资产的分类分级处理？3、如果与其他组织签署了信息共享协议，那在该协议中是否约定了信息分类分级和信息标记的变化规则？（查看相关信息交换协议）4、存放用户鉴别信息的存储介质在被释放和再利用前，是否得到完全清楚？5、存放文件、目录、数据库等

23、数据的存储介质在被释放和再利用前，是否得到完全清楚？A.8.3 介质处理A.8.3.1 可移动介质的管理 1、组织是否根据资产分类机制制定有可移动介质管理程序？2、该程序中是否对不同级别的可移动介质定义了不同的授权机制？（参看可移动介质管理程序）3、现场观察移动存储的使用和管控与制度是否相符？（查看使用授权文件、使用登记等记录）1、移动介质的授权使用记录2、移动介质的使用登记记录A.8.3.2介质的处置 1、组织是否制定有介质销毁管理制度？2、介质销毁制度中是否包含有处置堆积设备时考虑的内容？3、如果组织的移动介质处置交由第三方完成，那是否对第三方有过服务能力评价？（查看服务能力评价记录）4、

24、抽查4份介质报废的审批及处置记录1、第三方服务能力评价表A.8.3.3物理介质传输 1、组织制定的可移动介质管理程序中，对介质在传输过程中是否需要采取防护措施进行约定？2、验证移动介质的管理情况。（查看授权记录、介质承运方的评价记录、介质交接记录等）1、介质承运方的评价记录2、介质交接、交运、接收记录A.9 访问控制A.9.1 访问控制的业务要求A.9.1.1 访问控制策略 1、组织是否定义了访问控制管理程序？2、是否要求应定期根据业务和信息安全要求对访问控制策略进行评审？（查看评审记录）3、是否定义了组织物理环境的访问控制策略？4、组织是否在网络边界部署了访问控制设备，并启用了访问控制策略？

25、5、网络连接是否设置了会话超时？时间是多久？6、网络连接是否设置了最大并发会话连接数限制、同一时间段内并发会话连接数限制？7、在网络边界，对网络流量和并发数是否进行监控？8、重要网段是否采用了防范地址欺骗的手段？9、对已设置敏感标识的信息资源，组织是否设置了严格的访问控制措施？10、组织是否在检测到重要系统完整性受到破坏后，具有恢复的措施？或在完整性即将收到破坏时，是否可以进行事前阻断？11、组织是否通过设定终端登录方式、网络地址范围等条件限制终端登陆？1、访问控制措施的评审记录A.9.1.2 网络服务的使用政策1、组织是否定义了网络访问、网络服务管理程序？2、检查组织定义的网络访问、网络服务

26、管理策略和访问控制策略是否一致？3、查看访问授权记录4、组织是否对网络设备的端口进行梳理，禁用不必要的服务端口？5、组织是否定义了端口开放的审批制度？1、网络访问授权开通记录2、网络服务端口清单3、网络服务端口的开通记录A.9.2 用户访问管理A.9.2.1 用户注册和注销 1、组织是否定义了用户权限注册和注销的管理程序？2、用户ID是否唯一？是否有授权批准文件？3、抽样2份重要业务系统用户帐号开通审批记录4、抽样4份新员工帐号开通申请记录5、登录系统现场验证是否有非法账户和共用账户现象存在？6、是否有系统用户账户清单？1、各类关键设备、主要系统（含生产系统、办公系统）、数据库等的账户开通授权

27、记录A.9.2.2用户访问开通1、组织是否定义了用户权限开通、分配、撤销程序？2、检查该程序与人员职责、系统和服务的访问策略等要求相一致？3、组织的关键设备、主要系统（含生产系统）、数据库等是否有权限清单？（查权限清单）4、人员离职或转岗，相关权限是否及时修正、注销或停用？（查看权限修正、撤销记录）5、检查是否在雇员合同、第三方服务合同中定义了非法授权访问的惩戒条款？6、组织是否对关键设备、主要系统、数据库等默认账户，是否采取了限制访问、重命名、修改默认密码等安全措施？7、组织的关键设备、主要系统、数据库等账户，是否存在共享？1、各类关键设备、主要系统（含生产系统、办公系统）、数据库等权限的清

28、单2、各类关键设备、主要系统（含生产系统、办公系统）、数据库等权限的修正、注销或停用记录A.9.2.3特权管理 1、组织定义的权限管理程序中是否定义了限制和控制特殊访问权限分配和使用的管理策略？（如一事一分配等）2、查看组织的关键设备、主要系统、数据库等特权账户的授权记录，记录上是否定义了账户使用期限？3、检查特权账户使用是否符合制度要求？5、组织是否对关键设备、主要系统、数据库等特权用户和管理用户的权限分离？（查看权限设置）1、关键设备、主要系统、数据库等特权账户的授权记录A.9.2.4用户秘密认证信息的管理1、组织定义的权限管理程序中是否定义了用户秘密鉴别信息的管理策略？（譬如初始化、分发、复杂性、签收等）2、用户初始化的秘密鉴别信息在初次使用时是否要求被强制修改？（现