ISO27001版全套内审检查表.docx

1、ISO27001版全套内审检查表信息安全管理体系文件内 审 核 查 表 审核日期：2018年8月8日被审核部门总经理审核成员 张三审核日期2018-8-8审核主题4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2核查要素/条款核查事项核 查 记 录符合项观察项不符合项4.1理解组织及其环境现在客户越来越重视本单位的信息安全，要求服务提供商具备一定的信息安全管理水平；目前信息安全威胁不断增加，本组织的核心资产也要进行安全防护，保证核心资产的安全性、保密性、可用性。4.2理解相关方的需求和期望公司客户对服务提供商的信息安全提出了更高的要求，在

2、公司给客户提供服务的过程中，客户要求保证公司接触到的客户的信息资产的安全。在服务合同中都有相关安全条款。4.3确定信息安全管理体系范围在手册的4.3章确定了信息安全的组织、业务、物理范围。4.4信息安全管理体系按ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求规定，建立、实施、保持和持续改进信息安全管理体系。包含了4级文件：手册、程序文件、管理制度、记录。5.1领导力和承诺-领导层制定了信息安全方针、目标和计划；建立信息安全的角色和职责；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运作、监视、评审、保

3、持并改进, 决定接受风险的准则和风险的可接受等级；5.2方针信息安全管理方针为：数据保密 、信息完整、 控制风险、 持续改进、 全员参与、 提高绩效、客户满意。5.3组织的角色，职责和权限组织制定了信息安全职责划分与标准条款对照表，明确了每个部门角色的职责6.1应对风险和机会的措施进行了信息安全风险评估，并针对高优先级的风险制定了处置计划。6.2信息安全目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信息安全方针目标文件9.3ISMS管理评审-有管理评审控制程序，管理评审计划、管理评审报告等记录A5.1.1信息安全方针文件信息安全方针文件已由

4、管理者批准、发布并传递给所有员工和外部相关方。A5.1.2信息安全方针评审已计划了在管理评审时评审信息安全方针，以确保其持续适宜性、充分性和有效性。被审核部门行政财务部审核成员 张三审核日期2017- 5-7审核主题A6.1.5/A6.2.1/A6.2.2/A9/A10/A12/A13/A14/A17核查要素/条款核查事项核 查 记 录符合项观察项不符合项A6.1.5项目管理中的信息安全所有类型的项目，在项目的策划和执行过程中都考虑了信息安全因素。抽查了一个项目，满足要求。A.6.2.1 移动设备策略公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。A.6.2.2 远程工作远程服务

5、记录齐全，符合文件要求。A.6.1.3信息安全职责的分配公司在信息安全管理手册附录：信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。A.12.1.1 文件化的操作规程公司按照信息安全方针的要求，建立并实施文件化的作业程序，见信息安全管理体系文件一览表（信息安全管理手册附件）文件化的作业程序的控制执行文件管理程序。A.12.1.2 变更管理在变更实施前，由研发部填写变更申请表，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢复措施），研发部负责人批准后予以实施。目前尚无变更发生。A.12.1.3 容量管理有容量管理

6、规划，对服务器存储容量和网络带宽进行了容量规划。A.12.1.4开发、测试和运行设施的分离开发方案测试报告及相应设施齐备A.12.2.1 控制恶意软件公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。A.12.3.1 信息备份公司对重要数据进行了备份。包括源代码等A.12.4.1 事件日志公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。A.12.4.2 日志信息的保护按照信息系统监控管理程序，对日志信息进行了保护。A.12.4.3 管理员和操作员日志系统管理员和操作员的活动也

7、记入了日志，并规定系统管理员不允许删除或关闭其自身活动的日志。A.12.4.4 时钟同步经过检查：公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。A.12.5.1 运行系统中软件的安全软件管理程序、个人计算机管理程序规定了对系统中软件的升级、控制措施。A.12.6.1 技术脆弱性管理技术脆弱性管理程序规定了对技术脆弱性的管理，目前尚未发现技术脆弱性。A.12.6.2 软件安装限制软件管理程序、个人计算机管理程序规定了对系统中软件的控制，制定了 允许安装的软件清单。A.14.1.1安全要求分析和说明 信息系统开发建设管理程序中规定了安全要求分析及说明信息安全风险评价程序评估风险A.1

8、4.2.1安全开发策略信息系统开发建设管理程序中规定了软件开发生命周期的安全开发策略。A.14.2.2系统变更控制程序信息系统开发建设管理程序中规定了系统变更的控制程序，当前无变更。A.14.2.3操作系统变更后应用的技术评审信息系统开发建设管理程序中规定了当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对作业或安全措施无不利影响。目前无操作系统变更。A.14.2.4软件包变更的限制信息系统开发建设管理程序中规定了软件包的变更限制策略：公司不鼓励修改软件包，如果有必要确需进行更改，更改提出部门应在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样

9、的复制软件上进行更改，更改实施前应得到公司领导的授权。A.14.2.5安全系统工程原则信息系统开发建设管理程序中规定了安全系统工程原则：在平衡信息安全需求和访问需求的基础上，组织所有架构层（业务、数据、应用和技术）宜考虑安全设计。宜分析新技术的安全风险，并根据已知的攻击模式评审其设计。A.14.2.6安全开发环境路由器都兼备防火墙功能，具备杀毒软件和口令设置、访问权限A.14.2.8系统安全测试有系统安全测试报告，满足要求A.14.2.9系统验收测试有系统验收测试报告，满足要求。A.14.3.1保护测试数据测试数据均统一备份测试服务器，有口令权限设置。A.17.1.1策划信息安全连续性有业务连

10、续性影响分析报告、业务连续性管理战略计划：为达到公司业务的持续性目标，研发部组织有关部门在适当的风险评估的基础上，进行灾难及系统中断影响分析，识别出造成关键业务中断的主要事件及其影响。A.17.1.2实施信息安全连续性公司建立并实施信息业务连续性管理程序，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。有业务连续性计划实施方案和业务连续性计划实施方案测试报告。A.17.1.3验证、评审和评价信息安全连续性有业务连续性实施评价报告，每年公司组织有关部门采取适宜的测试方法对业务连续性管理计划进行测试。 A.17.2.1信息处理设施的可用性研发部负责识别信息系统可用性的业务要求

11、。当使用现有系统架构不能保证可用性时，则考虑冗余组件或架构。目前可用性情况满足要求。被审核部门行政财务部审核成员 张三审核日期2017- 5- 7审核主题7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/9.1/9.2/10.1/10.2/A6.1/A7/A8/A9/A10/A13/A11/A12.7.1/A13.2.4/A15/A16/A18核查要素/条款核查事项核 查 记 录符合项观察项不符合项7.1 资源公司确定并提供了建立、实施、保持和持续改进信息安全管理体系所需资源，包括人、财、工具设备等7.2 能力公司相关部门组织制定并实施人力资源管理程序文件。规定了各岗位角色的能力

12、要求。7.3意识公司内部作了信息安全意识的培训，有培训记录。7.4沟通在内审、管理评审等时机、公司内部人员及外部相关方进行了沟通，有沟通记录。7.5 文件化信息有手册、有30个程序、1个SOA声明、一份信息安全方针目标。提供了记录清单，内有序号，记录编号、记录名称、保存期限。8.1 运行规划和控制有各种信息安全运行记录。详见记录清单。8.2 信息安全风险评估有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。8.3 信息安全风险处置有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。9.1 监视、测量、分析和评价通过实施不定期安全检

13、查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果。9.2内部审核审核员参与制订了审核计划，风险评估人员识别了资产、脆弱性、威胁和影响，评估了风险，针对高风险制定了风险处置计划。提供：内审计划。10.1 不符合和纠正措施有预防措施实施记录。10.2 持续改进组织建立了持续改进机制。定期识别需改进的地方。A.6.1.1信息安全角色和职责公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作A.6.1.2责任分割在职责分配时，分割了冲突的责任和职责范围，以降低未授权或无意的修改或者不当使用组织资产的机会。

14、 A.6.1.3与政府部门的联系与相关部门保持联系。A.6.1.4与特定相关方的联系公司建立信息安全顾问，必要时聘请了外部专家。A.7.1.1 审查规定录用前查人员的个人相关背景、资历和相关检查，对于不符合安全要求的不得录用。A.7.1.2 任用条款和条件查聘用人选由综合部上报公司相关人员审批，由最后的审批结果向聘用人员发放聘用通知书，并签订了劳动合同和保密协议A.7.2.1 管理职责根据公司业务要求，明确关键工作岗位及任职要求并依据建立的方针和程序来应用安全。A.7.2.2 信息安全意识、教育和培训综合部负责制定的公司员工年度培训计划，公司的所有员工，适当时还包括合作方和第三方用户，发现已接

15、受适当的意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新情况。A.7.2.3纪律处理过程公司未有安全违规的雇员。A.7.3.1 任用终止或职责变更查看相关文件，发现第三方用户完成服务时，进行明确终止责任的沟通。A.8.1.1资产清单保存有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。A.8.1.2资产责任人有信息资产清单、重要信息资产清单都定义了责任部门或责任人A.8.1.3资产的允许使用提供用户授权申请表，满足要求。A.8.1.4资产的归还有程序文件规定：在员工离职前应收回保密文件，退还身份证件和使用组织的所有资产，并执行

16、财务清款，法律事务清查。第三方用户完成合同时，应按相关方信息安全管理程序办理完所负责的所有资产归还手续。A.8.2.1 信息分类信息资产分为：数据、软件、服务、硬件、文档、设施、相关方、人员信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。A.8.2.2 信息标识现场查：信息都按程序要求进行了识别和标记；A.8.2.3资产处理有商业秘密管理程序，规定了建立处理和储存信息的程序来保护这些信息免于XX的泄露、误用、盗用或丢失。A.8.3.1 可移动介质的管理有移动介质授权使用记录，对U盘、移动硬盘等移动介质的使用情况进行了记录。A.8.3.2 介质的处置有介质管理程序，规定

17、含有敏感信息或重要信息的介质在不需要或再使用时，处置部门应按照要求采取安全可靠处置的方法将其信息清除。A.8.3.3物理介质传输为避免被传送的介质在传送（运输）过程中发生丢失、XX的访问或毁坏，造成信息的泄露、不完整或不可用，公司规定在将信息资产带出公司时，应对包含信息的介质进行保护。A.9.1.1 访问控制策略公司在用户访问管理程序中建立了访问控制策略。本公司内部可公开的信息，允许所有服务用户访问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问。用户不得访问或尝试访问XX的网络、系统、文件和服务。各系统访问授权部门应编制系统用户访问权限说明书，明确规定访问规则

18、，对几人共用的账号应明确责任人。A.9.1.2使用网络服务的策略公司在用户访问管理程序中建立了网络服务安全策略，以确保网络服务安全与服务质量。A.9.2.1 用户注册有用户授权申请表,符合要求。A.9.2.2 用户访问提供访问系统的用户具设置了用户名和口令。A.9.2.3 特殊权限管理对各系统的系统管理员均进行了授权，有授权申请和批准的记录。A.9.2.4用户安全鉴别信息的管理系统管理员按照用户访问管理程序对被授权访问该系统的用户口令进行分配。A.9.2.5用户访问权的复查有用户访问权审查记录，每个月审查一次。A.9.2.6撤销或调整访问权限相关方信息安全管理程序、用户访问管理程序规定了解除、

19、变化调整访问权限的内容。当前无员工离职。A.9.3.1 安全鉴别信息的使用公司在用户访问管理程序和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。A.9.4.1 信息访问限制用户访问管理程序规定本公司内部可公开的信息不作特别限定，允许所有用户访问。本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。A.9.4.2 安全登录规程用户访问管理程序规定用户不得访问或尝试访问XX的网络、系统、文件和服务。A.9.4.3 口令管理系统所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有

20、口令保护，所有系统初始默认口令必须更改,用户定期变更口令等，查员工刘军敏电脑口令只有5位。A.9.4.4 特权使用程序的使用用户访问管理程序规定了对实用系统的访问控制，有系统实用工具清单。A.9.4.5 对程序源代码的访问控制用户访问管理程序规定不允许任何人以任何方式访问程序源代码。A.10.1.1 使用密码控制的策略使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合信息安全合规性管理程序的要求。各电子数据文件的形成部门应识别重要数据的加密要求，对需要加密的信息，制定加密方案，经公司总经理批准后严格执行。A.10.1.2

21、密钥管理目前尚未发生使用密钥管理的情况A.11.1.1物理安全边界公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。A.11.1.2物理入口控制公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。有外来人员登记表。A.11.1.3办公室、房间和设施的安全保护查办公室、房间和设备，都进行了安全防护。A.11.1.4外部和环境威胁的安全防护公司规定：外来人员来本公司参观或对大楼进行拍摄，须报请综合部批准，安全周界的大门下班后应关紧，综合部负责管理。应将备用设备、备品备件和备份存储介质放置在一定安全距离以外，以免主场所

22、发生的灾难性事故对其造成破坏。A.11.1.5在安全区域工作公司明确规定员工、第三方人员在有关安全区域工作的基本安全要求（如避免在第三方人员未被监督的情况下在安全区域内进行工作, 未经同意不允许使用摄影、录像、录音或其它音像记录设备等），并要求员工、第三方人员严格遵守。A.11.1.6交接区公司设有接待前台，供接待临时访问人员。A.11.2.1设备安置和保护按文件规定执行，由研发部负责笔记本电脑、台式机、服务器、打印机的安置和保护。提供个人计算机配备一览表、计算机配置说明书。A.11.2.2支持性设施有空调等保护设备，设置了自动喷淋头，规定不允许在办公环境吸烟。大厦配备有双回路变电备用线路，确

23、保不间断供电。A.11.2.3布缆安全现场查看网线和电源线情况，符合要求。A.11.2.4设备维护自体系文件实施以来，设备未出现故障，但备有设备维护记录表格。A.11.2.5资产的移动笔记本均有笔记本电脑授权表A.11.2.6组织场所外的设备安全使用笔记本电脑离开办公场所应经授权，见个人计算机管理程序。离开办公场所的设备应考虑损坏、盗窃和截取的风险并加以保护。提供笔记本使用授权书。A.11.2.7设备的安全处置或再利用信息处理设施管理程序规定：信息处理设施实施大修、升级、停用或报废前由使用部门和个人对包含储存媒体的设备的所有项目进行检查，并填写敏感信息清除记录报市场部存档，确保在处置之前所有敏

24、感数据和许可软件都被清除或者覆盖掉。公司目前无设备停用和再利用的情况。A.11.2.8无人值守的用户设备现场查编号：YJ-028的PC机时，有设置屏保。 A.11.2.9清空桌面和屏幕策略现场查编号：YJ-028的PC机时，桌面保持干净A12.7.1信息系统审计的控制正式审核之前，审核组明了确技术性审核的项目与要求，防止审核活动本身造成不必要的安全风险。A.13.1.1 网络控制对防火墙、路由器等进行了安全配置，并定期检查网络设备。A.13.1.2 网络服务的安全和网络服务提供商（电信）有签订网络服务协议。A.13.1.3网络隔离编制了网络拓扑图，描述网络结构并表示网络的各组成部分之间在逻辑上

25、和物理上的相互连接。 实现内外网隔离。A.13.2.1 信息交换策略和程序制定了信息交换程序，规定：在使用电子通信设施进行信息交换时，防止交换的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息;公司互联网的计算机，不得含有涉密的电子数据信息。A.13.2.2 信息交换协议公司建立了信息交换管理程序。目前尚无需要签署信息交换协议的情况。A.13.2.3电子消息发送公司建立了信息交换管理程序包括电子邮件安全使用的策略，并将该策略传达到所有员工予以执行。A.13.2.4保密或不泄露协议查员工有签署员工保密协议。查公司与外部相关方有签暑相关方保密协议。A.15.1.1供应商关系的信息

26、安全策略有相关方信息安全管理程序，规定相关部门应协同综合部识别供应商对信息资产和信息处理设施造成的风险，并在批准供应商访问信息资产和信息处理设施前实施适当的控制。A.15.1.2在供应商协议中解决安全查有相关方服务保密协议，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映。A.15.1.3信息与通信技术供应链查相关方服务保密协议，包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。A.15.2.1供应商服务的监视和评审有相关方服务评审报告。评价供应商在服务过程中的安全情况。 A.15.2.2供应商服务的变更管理目前供应商服务无变更。A.10.4.1对恶意代码的控制措施现场测试扫描，没有发现病毒。A.16.1.1职责和规程信息安全事件管理程序规定：综合部在接到报告后应迅速做出响应，各相关部门应即使按要求采取处置措施与意见，将信息安全事件所造成的影响降低到最低限度。A.16.1.2报告信息安全事态信息安全事件管理程序规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向综合部报告，综合部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的