ISO0信息安全管理体系内部审核检查表.docx

1、ISO0信息安全管理体系内部审核检查表ISO20000-2018信息安全管理体系内部审核检查表被审核部门管理层审核成员：黄*、梁*陪同人员：黄*审核日期2020年6月30日审核主题4.1、4.2、5.1、5.2、5.3、7.1、9.3、A.5.1核查要素/条款核查事项核 查 记 录符合项观察项不符合项4142总要求-详细介绍了公司总体情况，具体见手册企业概况。作者：李柏伦 翻版盗卖必追究责任5.15.2领导和承诺方针-信息安全方针, 信息安全目标和计划得以实施；信息安全的角色和职责均已明确；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实

2、施、运作、监视、评审、保持并改进, 决定接受风险的准则和风险的可接受等级；5.3组织角色、职责和权限建立信息安全的角色和职责提供信息安全管理手册体系推进部门综合管理部，职责划分基本能够满足要求。向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。71资源的提供主持管理评审，授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。设备资源能满足要求，未来设备相应的增加时，未来有人员增加计划。93ISMS管理评审有制定体系实施以来的第一次管理评审计划。A5.1信息安全方针文件信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。被审核部门

3、研发中心审核成员：罗*、李*陪同人员：梁*审核日期2020年6月30日审核主题A.6.1、A.8.1、A.8.3、A.9 - A.18核查要素/条款核查事项核 查 记 录符合项观察项不符合项A.6.1.3信息安全职责的分配信息安全管理手册，公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还公司于2014年11月开始实施信息安全管理体系文件，全员均经过相关培训。公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源

4、。对每一项信息资产，根据信息安全风险识别与评价管理程序识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。信息资产清单、重要信息资产清单都定义了责任部门或责任人提供用户授权申请表内容填写符合要求。提供了资产归还的记录表。A.8.3.1A.8.3.2A.8.3.3可移动介质的管理介质的处置物理介质传输提供可移动介质授权使用清单1份。有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、

5、行政批示、经办人。目前无介质处置。A.9.1.1A.9.1.2访问控制策略网络和网络服务的访问网络划分为三个网段，内网使用固定IP,入网需要申请，并绑定MAC地址。现场查网络安全配置表，符合要求。提供了开通外网申请表 符合A.9.2.1A.9.2.2A.9.2.3A.9.2.4A.9.2.5A.9.2.6用户注册及注销用户访问开通特殊访问权限管理用户秘密鉴别信息管理用户访问权限的复查撤销或调整访问权限对于任何权限的改变(包括权限的创建、变更以及注销)，须由管理员操作。特权分配仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后应被收回，确保特权拥有者的特权是工作需要的且不存在富裕的特权

6、。查人事行政部管理人力资源管理系统，有特殊权限。各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令，口令必须至少要含有6位以上字母+数字。 查：普通用户只能访问被授权的服务，对计算机系统的访问权都被限制。A.9.3.1使用秘密鉴别信息公司范围的计算机登录口令要求6位以上字母+数字。抽查了5台PC机，口令符合要求。A.9.4.1A.9.4.2A.9.4.3A.9.4.4A.9.4.5信息访问控制安全登录规程口令管理系统特殊权限实用工具软件的使用对程序源代码的访问控制用户不得访问或尝试访问XX的网络、系统、文件和服务。现场测试，审核员通过访问网络上的PC机，有用户名，密码，试图

7、随意输入密码3次，均无法登陆。所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改等。没有安装实用工具。公司没有软件开发，只有网站服务采用托管形式，由第三方公司负责运营。提供网站维护协议，合同有效日期从2014年4月30日至2015年4月29日，条款一，规定服务方所应承担的业务与遵守的规定；条款五，规定了双方的法律责任与处理办法A.10.1.1A.10.1.2使用密码控制的策略密钥管理公司的密码控制是由银行提供的加密机。由银行专员到公司内导入密钥。A.11.1.1A.11.1.2A.11.1.3A.11.1.4A.11.1.5A.11.1.6物理

8、安全周边物理入口控制办公室、房间和设施的安全保护外部环境威胁的安全防护在安全区域工作交接区安全现场查公司大门设有接待处， 公司大门处，入口有监控摄像，其他各关键区域均安装有监控摄像，服务器放置在机房，系统可以保留最多1-2个月的监控录像，可以调出指定时间的监控录像。（现场检查时监控硬盘损坏，只能调出20天内的监控录像）现场查外来人员来访登记表，登记信息包含：来访人员姓名，时间，单位，身份证，事由，被访人 现场查车辆进出登记表，登记信息包含：日期、车牌、用车人、司机、出车时间、返回时间、当值保安等制卡车间为无尘车间，进入人员需换防尘服。作者：李柏伦 翻版盗卖必追究责任A.11.2.1A.11.2

9、.2A.11.2.3A.11.2.4A.11.2.5A.11.2.6A.11.2.7A.11.2.8A.11.2.9设备安置和保护支持性设施布缆安全设备维护资产的移动组织场外设备和资产的安全设备的安全处置或在利用无人值守的用户设备清空桌面和屏幕策略公司有专用服务器机房。机房位于办公大楼一楼，有三个机柜里面有财务服务器。现场公司内部有视频监控系统，办公区有消防栓，车间内有灭火器。现场机房内的机柜中网络布线比较整齐。提供服务器每周检查记录。现场查公司目前没有组织场所外的信息处理设备使用。含有敏感信息的设备在报废或该做他用时，由使用部门应利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录。对

10、旧机器的硬盘砸坏，物理破坏后。公司目前未发生设备处置。提供电子设备领用签字单。有申请人、 主管签字和日期。桌面均能保持干净，员离开位子时采用手动锁屏，自动屏幕保护时限为5分钟。资产编号00015 未设置屏保。 A.12.1.1A.12.1.2A.12.1.2A.12.1.4文件化的操作规程变更管理容量管理开发、测试和运行环境分离程序文件31个，实用制度、管理制度共22个；现场了解目前没有信息系统的变更。提供服务器容量监控记录。有服务器、硬件配置、总容量、已用空间、剩余空间。每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录 。现场查公司目前无软件开发和测试活动，目前使用的信

11、息系统由供应商负责安装测试， 作者：李柏伦 翻版盗卖必追究责任A.12.2.1控制恶意软件使用360杀毒软件、金山杀毒软件。资产编号00007刘*, 00015李*, 00001陈* 台式机，使用360杀毒，360卫士。A.12.3.1信息备份提供备份策略 ，查有通过数据库进行“日备份” 而作业文件，备份策略要求财务数据为备份，定期进去备份检查。A.12.4.1A.12.4.2A.12.4.3A.12.4.4事态记录日志信息的保护管理员和操作员日志时钟同步现场查公司通过门卫进行进出登记记录，保安7*24小时值班，进入办公大楼有前台，前台负责公司职员的考勤，现场查有打卡机，同时负责外来人员监控。

12、现场查只有系统管理员有权察看日志，服务器均开启管理员和操作员日志。现场查公司的电脑设置为与Internet时间自动校对，未连接网络的电脑定期校对电脑时间。A.12.5.1 在运行系统上安装软件对软件在作业系统的执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权，否则严禁私自安装任何软件。现场查目前安装软件统一管理安装。A.12.6.1A.12.6.2 技术脆弱性的控制限制软件安装计算机安装了360安全卫士，自动扫描系统漏洞。系统应用程序的使用进行限制和严格控制，并规定授权的使用者等，只有经过授权的系统管理员才可以使用实用工具，现场查服务器

13、上没有安装实用工具。A.12.7.1信息系统审计控制措施漏洞扫描工具使用JP1，只有信息系统课系统管理员有权限使用。内部使用360杀毒软件对个人计算机进行病毒查杀A.13.1.1A.13.1.2A.13.1.3网络控制网络服务安全网络隔离提供网络拓扑图，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。公司内部的计算机，只有授权的可以上外网，其他的都不能访问外网，现场查连网情况。 公司路由器放置于机房内，目前划分为3个网段。为确保公司网络安全，采用逻辑方式进行外部网络隔离，内网与外网物理隔离。现场查财务部内电脑没有连接网络。A.13.2.1A.13.2.2A.13.2.3A.1

14、3.2.4信息传递策略和规程信息传递协议电子消息发送保密性或不泄露协议对信息交流应作适当的防范，严禁在无保密措施的通信设备及计算机网络中传递企业秘密。客户通过企业邮箱Email，通过内部腾讯通。现场查公司的电子邮件目前只用于公司内部信息交换、对外发送公开的报价单。内部通过腾讯通进行交换文件。提供XXX银行合同，签署时间2014年5月8日第八条，第6款，规定了双方对于权益，保密信息等相关内容的保护条款，具体权益包括商标、著作权、设计专利、肖像权等 符合。A.14.1.1A.14.1.2A.14.1.3信息安全要求分析和说明公共网络应用服务安全保护应用服务交易现场查公司主要按照客户安全要求及所提供

15、样本来开发软件产品。公司通过应用系统进行日常办公、生产经营管理，公司建立并实施相应系统的安全使用策略和应用管理，以保护与业务信息系统互联相关的信息，减少系统造成的信息泄露。现场查看公司网站内没有电子商务方面的页面。A.14.2.1A.14.2.2A.14.2.3A.14.2.4A.14.2.5A.14.2.6A.14.2.7A.14.2.8A.14.2.9安全开发策略系统变更控制规程运行平台变更后应用的技术评审软件包变更的限制安全系统工程原则安全开发环境外包开发系统安全测试系统验收测试在印刷过程中，出现变化时，有填写变更记录表。为使信息系统的损害降至最小，对公司内系统和软件的更改，须进行适当的

16、测试与评审，经公司领导批准后予以实施。操作系统及应用系统的升级须经过系统主管部门测试、评审与批准后方可进行。提供信息系统获取、维护控制程序目前公司没有操作系统变更。当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对应用程序的作业或安全措施无不利影响。现场查暂无软件变更，更改部门在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样的复制软件上进行更改，更改实施前须得到系统主管部门的授权。公司目前购买的都是安装程序，没有外包软件开发。A.14.3.1系统测试数据的保护公司有软件开发，现场查公司测试数据有进行保护。作者：李柏伦 翻版盗卖必追究责任A.1

17、5.1.1A.15.1.2A.15.1.3供应商关系的信息安全策略处理供应商协议的安全问题信息和通信技术供应链与大供应商签订年度协议，有安全保密协议，有双方负责人签字，合同专用章，时间 2014年1月16日 符合。现场查物料申购单 申购单号 PR14050076 符合 有物料编号、物料名称、规格、单位、申购数量、预计交换期。现场深圳西龙同辉股份有限公司实施流程负责单 工单号 PO14050191 针对工单有 结算单。电话和互联网租用中国电信宽带10M，有签订三年租赁协议。A.15.2.1A.15.2.2供应商服务的监视和评审供应商服务的变更管理提供第三方评审记录表。查采购合同书，签署时间201

18、4年5月7日第4、5、6条款，规定了对于服务方所提供服务的要求细则重要事项条款：规定了对于服务方违约的处理办法 符合。第三方服务的更改，包括更改和加强网络，使用新技术，更改服务设施的物理位置，更改供应商。目前没有第三方服务的变更。A.16.1.1A.16.1.2A.16.1.3A.16.1.4A.16.1.5A.16.1.6A.16.1.7职责和规程报告信息安全事态报告信息安全弱点评估和确定信息安全事态信息安全事件响应对信息安全事件的总结证据的收集安全事情、事故一经发生，事情、事故发现者、责任者应立即向网管报告，网管应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前没有计

19、算机中病毒情况，未发生安全事件。各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。填写安全弱点报告在信息安全事件报告表中，包括以下内容：1）安全弱点的原因，2）安全弱点的预防处置措施及改进计划，3）安全弱点报告提交给信息安全管理小组；A.17.1.1A.17.1.2A.17.1.2信息安全连续性计划实施信息安全连续性计划验证、评审和评价信息安全连续性计划公司建立并实施管理程序，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。该部门编制ISMS-业务持续性管理实

20、施计划和框架，由信息安全管理者代表批准，以便在重要系统发生中断或故障后，实施持续性管理计划，以保证系统或作业中断的及时恢复。现场查本部门对业务连续性的敏感度不高，对于由于各种原因造成的业务中断，采用数据备份恢复方案，在顾客可容忍的时间范围内能恢复业务的正常办理。现场查ISMS-业务持续性管理实施计划和框架 中有影响的关键生产作业或管理过程。现场提供ISMS-业务持续性管理实施计划和框架，符合要求。每半年制定一次。有序号、系统名称、影响的关键生产作业或管理过程、故障或灾难、系统恢复与应急措施、系统回复时限要求、对公司业务活动的影响、责任部门/人。现场提供ISMS-业务持续性管理方案测试报告，IS

21、MS-业务持续性管理计划评审报告，符合要求。A.17.2.1信息处理设施的可用性目前公司的服务器在部署时，有考虑到容量上的要求，现场查硬盘容量40%，CPU占用小于50%。A.18.1.1A.18.1.2A.18.1.3A.18.1.4A.18.1.5可用法律及合同要求的识别知 识 产 权（IPR）保护记录隐私和个人身份信息保护密码控制措施的规则提供内有关法律法规适用性的识别要求。定期与执法机关等行政部门联络，及时收集与信息安全管理有关法律、法规和其它信息。提供法律法规标准清单，2014年7月24日。提供了法规法律符合性的评价记录。针对信息安全风险及相关法规要求，明确本单位的执行现状进行评价。

22、与研发中心开发人签订知识产权协议书，在工作期间获得的发明创造、专利，产权归公司所有。个人计算机、服务器系统软件均购买正版软件，Windows操作系统、OFFICE软件都是统一采购，每年有检查授权数量。公司的所有记录有专门的文控人员负责管理。纸质文件各部负责保管。普通的工作记录存放在部门里，每年进行销毁，有销毁记录。记录均是文档柜存放，有铁皮文档柜，有锁，现场查钥匙存放在钥匙盒内。有专用的文件夹有标识。每台个人电脑均设有口令，并定期修改，员工档案存放在人力资源部档案柜内，需要调阅时，需填写人事档案借单，经人事科审批，有批准手续。人事部有门禁、考勤系统，现场查看只有人事部的人员有访问权限。财务部的

23、财务系统由统一管理，只有财务人员有帐号和权限。A.18.2.1A.18.2.2A.18.2.3独立的信息安全评审符合安全策略和标准技术符合性评审有各部门的负责人，和信息安全担当组成。内部审核活动应包括对各信息系统的技术性审核，内部审核组至少拥有一名具有一定信息安全技术的内部专家，技术性审核应在被监督的情况下进行。如有特殊情况将安排2次内审。提供信息安全体系推进联络表，内有IT方面专家内审管理程序、管理评审控制程序漏洞扫描工具使用JP1，只有信息系统管理员有权限使用。内部使用趋势杀毒软件对个人计算机进行病毒查杀。被审核部门 行政中心审核成员：黄*、梁* 陪同人员：罗*审核日期2020年6月30日

24、审核主题4.2、4.3、4.4、6.1、6.2、7.2、7.4、7.5、8.1、8.2、9、10.1、10.2、A.6.1、A.8.1、A.8.2、A.9.3、A.12.2、A.12.3、A.18.1核查要素/条款核查事项核 查 记 录符合项观察项不符合项4.24.3理解相关方的需求和期望确定信息安全管理体系的范围根据本公司的业务性质、地理位置、信息资产和技术的特点，本公司的信息安全管理体系的管理范围：与医疗设备的软件开发相关的信息安全管理活动。作者：李柏伦 翻版盗卖必追究责任4.4信息安全管理体系该公司建立信息安全管理体系时间：文件2014年9月1日发布，2014年9月1日实施。建立有信息安

25、全风险评估识别与评价管理程序提供了信息安全资产清单，公司对资产进行了重新识别，且进行了风险评估在2014年7月初完成。在风险评估后该部门制定信息安全风险处理计划，现场抽取一份计划，查看落实情况，已完成。6.18.18.2应对风险和机会的措施运行的规划和控制信息安全风险评估前期策略了风险评估准则、风险评估规范根据风险评估方法进行了风险评估。现场查信息安全风险评估表，日期：2014年12月2日，主要内容：类别，具体资产名称、资产编号、重度等级、面临威胁、威胁赋值T、威胁可利用的脆弱性、脆弱性赋值V、安全事件的可能性L、安全事件的损失F、信息安全风险值IU、风险等级。6.28.3信息安全目标和规划实

26、现信息安全风险处置制定了信息安全目标：客户信息泄露0次，重大信息安全事故0次。目标通过一年来的运行和保持，得到完成。信息安全不可接受风险处理计划提供“不可接受风险处理检查表”。检查时间：2014年7月25日，检查结果：“信息安全不可接受风险处理计划”中的风险处置策略已实现。 信息安全残余风险确认报告：风险等级降为3级，为可接受风险。 总经理批准接受残余风险报告。7.4沟通体系推进部门品质部。职责划分基本能够满足要求。向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。公司副总为管理者代理，负责协调内部和外部的信息安全事宜。7.5文件记录信息该公司建立信息安全管理体系

27、时间：文件2015年1月20日发布，2015年1月20日实施。编制管理手册、SOA适用性声明1套，31个程序文件，信息安全记录86个； a)明确了方针和目标b)管理手册、适用性声明；c)形成31个程序d)信息安全管理体系运行所必须的程序文件e)所需提供的记录86个，包括风险评估报告、风险处理计划f)目前适用性声明9.1监视、测量、分析和评价公司通过内审和管理评审等对体系运行过程进行了监视、目标完成情况进行测量，同时也进行了分析和评估，制定了内审、管理评审计划9.2内部审核内审情况：2015年05月11日编制了内审计划。9.3管理评审有管理评审计划10.1不符合和纠正措施策划了内审、管理评审、监

28、视测量控制程序等规定监视评审ISMS10.2持续改进策划了内审、管理评审、监视测量控制程序等规定监视评审ISMSA.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还资产识别情况；公司内现有资产做了重新识别 本次评估主要针对印制厂与信息相关的资产，包括：数据、软件、硬件、文档、人员、服务、其他等类。提供，重要信息资产清单 序号、名称、编码、位置、用途、部门、责任人、保密性赋值C、完整性赋值I、可用性赋值A 、资产价值、重要程度、备注。重要度选择：分5个等级，4级以上为重要资产。资产的允许使用，行政部制定相应的业务系统应用管理制度，重要设备有使用说明书，规定了资产