ISO27001内审核查表141928.pdf

百学须先立志。朱熹一寸光阴一寸金，寸金难买寸光阴。增广贤文体系标准款项标题44.14.1 理解组织及其环境管理者代表是否了解公司的业务以及行业环境访谈4.24.2 理解相关方的需求和期望检查组织是否了解客户合同中的需求访谈4.34.3 确定信息安全管理体系的范围检查组织的信息安全管理体系手册中是否有明确管理范围检查组织的适用性声明，是否针对实际情况做合理删减访谈4.44.4 信息安全管理体系检查组织是否有正式的信息安全管理体系制度抽样55.15.1 领导和承诺组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。访谈5.25.2 方针是否有文件化的管理方针现场观察5.35.3 组织角色、职责和权限是否建立了的信息安全管理组织，并明确其职责及权限访谈66.16.1.1 总则检查组织是否建立正式的风险评估流程现场观察6.1.2 信息安全风险评估是否建立了风险接受准则现场观察风险评估实施情况现场观察抽样最新一次风险评估内容，检查风险是否识别了责任人，风险级别现场观察6.1.3 信息安全风险处置检查组织的风险处置计划，风险是否都有风险责任人审批，风险处置方式。现场观察6.2 信息安全目标和规划实现检查组织是否建立信息安全目标，信息安全目标与管理方针是否存在关联现场观察77.1 资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。访谈7.2 能力检查组织在岗位说明书中明确信息安全方面的能力要求现场观察检查组织的培训计划，是否有信息安全方面的培训内容现场观察7.3 意识随机访谈各部门员工5人，了解其是否知晓最新的信息安全管理体系及相关制度。访谈7.4 沟通了解组织与相关方沟通的方式，频率以及沟通的记录访谈88.1 运行的规划和控制检查内容详见A5-A1899.1 监视、测量、分析和评价检查组织是否有体系有效性测量流程现场观察9.2 内部审核检查组织是否建立了内审流程现场观察审核问题审核方式支持运行 绩效评价适用条款组织环境领导规划6.1 应对风险和机会的措施以铜为镜，可以正衣冠；以古为镜，可以知兴替；以人为镜，可以明得失。旧唐书魏征列传以家为家，以乡为乡，以国为国，以天下为天下。管子牧民检查最新的内审活动，是否包含检查清单、检查过程是否有效，对不符项的关闭情况9.3 管理评审检查公司的管评计划检查公司最新的管评活动记录1010.1 不符合和纠正措施检查内容同9.1 9.2A.5 A.5.1 A.5.1.1 信息安全方针 组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。现场观察A.5.1.2 信息安全方针的评审获取组织管理评审相关记录，检查管理评审会议中，是否对信息安全方针的达成情况进行了评审。A.6 A.6.1 A.6.1.1 信息安全的角色和职责是否所有的组织成员都明确自己的信息安全职责?以及对自己信息安全职责的明确程度?信息安全职责的分配是否与信息安全方针文件相一致?现场观察A.6.1.2 与监管机构的联系 检查体系制度中，是否明确指定了与监管机构联系的部门或负责人现场观察A.6.1.3与特殊利益团体的联系与第三方接洽是否考虑了安全性？是否对相关资质和背景进行考察？现场观察A.6.1.4项目管理中的信息安全抽样检查本年度已实施完成的项目或正在实施的任意一个项目。检查项目管理过程中，是否依照组织信息安全管理制度相关要求进行安全管理现场观察A.6.1.5职责分离 检查组织的岗位职责表，检查是否明确定义了职责说明。检查是否有不兼容岗位设置说明；检查系统开发、系统测试、系统运维是否由不同人员担任。现场观察A.6.2 A.6.2.1 移动设备策略 检查公司信息安全管理制度中是否明确的制定了移动设备的安全管理策略；随机抽样3台移动设备，检查设备的安全管控措施是否与制度相符。现场观察A.6.2.2 远程办公 检查公司信息安全管理制度中是否明确的制定了远程办公的管理策略；现场观察A.7 A.7.1 A.7.1.1 筛选 随机抽样4名新入职员工的入职材料，检查员工入职前，背景调查的相关记录.现场观察A.7.1.2 任用的条款及条件 检查这4名新入职员工的劳动合同及是否签署了保密协议。现场观察A.7.2 A.7.2.1 管理职责 随机抽样5名员工，检查是否了解其工作职责。抽样任用之前任用中信息安全管理方向信息安全组织内部组织移动设备和远程办公人力资源安全改进安全方针我尽一杯，与君发三愿：一愿世清平，二愿身强健，三愿临老头，数与君相见。白居易宠辱不惊，看庭前花开花落；去留无意，望天上云卷云舒。洪应明A.7.2.2 信息安全意识，教育和培训获取组织年度的培训计划；检查年度培训计划中是否包含了信息安全意识培训；获取当年度信息安全培训的签到表、培训记录现场观察A.7.2.3 纪律处理过程 检查组织是否制定了奖惩规则；获取当年奖惩记录抽样A.7.3 A.7.3.1 任用终止或变化的责任获取当年离职离岗或转岗人员清单；随机抽样四份离职或转岗记录，检查所有控制环节是否都被有效实施；抽样A.8 A.8.1 A.8.1.1 资产清单 获取组织的信息资产清单；检查信息资产清单是否每年都进行更新；现场观察A.8.1.2资产责任人 检查资产清单中各类信息资产是否都指定了责任人；抽样5份重要的信息资产，验证已定义的信息资产责任人是否与实际相符；现场观察A.8.1.3资产的允许使用 了解组织重要系统或数据是否定义了访问规则；检查系统及数据访问的审批或授权记录。现场观察A.8.2 A.8.2.1 信息的分类 检查信息资产相关制度，组织是否已定义了资产分类分级的标准；检查信息资产清单，各类信息资产是否依照规则进行了分类和分级；现场观察A.8.2.2信息的标记 随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级现场观察A.8.2.3资产的处理 检查信息资产相关制度，制度中是否已明确制定了资产的处理措施；现场观察A.8.2.4资产的归还 随机抽取本年度4份离职单，查看物品归还情况抽样A.8.3 A.8.3.1 可移动介质的管理 现场观察移动存储使用和管控与制度是否相符；现场观察A.8.3.2介质的处置 检查是否建立介质消磁管理办法，并按要求定期进行回顾与更新；抽查4份介质报废的审批及处置记录抽样A.8.3.3物理介质传输 存有重要信息的介质传送时有哪些策略抽样策略的实施情况抽样A.9 A.9.1 A.9.1.1 访问控制策略 检查组织是否建立了系统的访问控制策略；是否建立了安全或重要区域的访问控制措施现场观察A.9.1.2 网络服务的使用政策检查组织是否建立了网络安全域访问控制策略；现场观察A.9.2 信息分类介质处理访问控制访问控制的业务要求用户访问管理任用的终止或变化资产管理对资产负责丹青不知老将至，贫贱于我如浮云。杜甫良辰美景奈何天，便赏心乐事谁家院。则为你如花美眷，似水流年。汤显祖A.9.2.1 用户注册和注销 检查账户开通管控情况：抽样2份重要业务系统用户帐号开通审批记录抽样4份新员工帐号开通申请记录抽样A.9.2.2特权管理 检查特权账户授权、使用管控情况：抽样3份重要系统特权账户授权审批记录检查特权账户使用是否符合制度要求抽样A.9.2.3用户秘密认证信息的管理检查组织用户口令管理策略，是否对口令生成、发送、变更等环节制定了控制措施。抽样A.9.2.4用户访问权的复查 抽样2套重要的服务器用户帐号及权限复查记录；检查账户及权限复查工作是否满足制度要求抽样A.9.2.5移除或调整访问权限随机检查2个重要系统账户清单，检查今年离职用户的账户是否被删除或冻结抽样A.9.3 A.9.3.1 秘密认证信息的使用随机检查3名员工电脑，要求其现场登录，观察输入的密码长度及复杂程度抽样A.9.4 A.9.4.1 信息访问限制 1.公司各类信息是否制定了相应的访问控制措施2.现场抽查访问控制措施的有效性抽样A.9.4.2安全登录程序 检查公司系统登录程序，是否做到输入密码时，不显示密码。密码连续输错N次自动锁定；系统不操作一定时长后自动退出等功能。抽样A.9.4.3口令管理系统 检查域控的密码策略，检查密码设置的长度、复杂程度、修改周期是否符合制度要求；随机抽查2个重要系统的用户密码管理策略，检查密码设置的长度、复杂程度、修改周期是否符合制度要求；抽样A.9.4.4特权实用程序的使用抽查公司域控、重要系统中是否存在特权实用程序，这些程序的安全使用是否得到相应的审批抽样A.9.4.5程序源码的访问控制检查源程序访问控制制度和措施抽查源程序控制措施，检查其是否符合制度要求抽样A.10 A.10.1 A.10.1.1 密码使用控制政策 检查公司是否制定了加密策略，包括加密的对象、加密的方法、解密的方法等。抽样A.10.1.2 密钥管理 检查公司对密钥生命是否制定了控制措施。抽样A.11 A.11.1 A.11.1.1 物理安全边界 重要安全区域是否隔离？现场观察A.11.1.2物理入口控制 现场抽样3份设备进出单检查职场、机房进出记录?抽样安全区域用户职责系统和应用程序的访问控制密码学密码控制物理和环境安全先天下之忧而忧，后天下之乐而乐。范仲淹常将有日思无日，莫待无时思有时。增广贤文A.11.1.3办公室，房间和设施的安全保护现场查看办公室的防火防盗措施，检查职场大门是否常闭抽样A.11.1.4外部和环境威胁的安全防护周遍环境的检查(灭火设备、危险物品存放)抽样A.11.1.5在安全区域工作 安全区域是否有明确的管控措施检查是否有员工违背安全区域管控措施的行为抽样A.11.1.6交付和交接区 前台的检查(检查记录是否完备)前台脱岗,保安脱岗.抽样A.11.2 A.11.2.1 设备安置和保护 检查设备是否按照要求放在适当的位置?（灭火器材、服务器）抽样A.11.2.2支持性设备 检查核心设备是否安置了足够的支持设施（防火、防水、防潮、防断电、防雷电、防盗窃等）抽样A.11.2.3布缆安全 检查强电与弱电电缆是否分开部署抽样A.11.2.4设备维护 检查机房巡检记录，获取UPS、精密空调、消防设施的维护记录；验证设备维护是否依照制度的要求及频率实施抽样A.11.2.5资产的移动 与相关人员访谈，了解资产移动的控制措施；抽样A.11.2.6场外设备和资产安全检查相关制度，是否明确制定了场外设备管控措施；抽样A.11.2.7设备的安全处置或再利用随机抽样下架设备数据清理的记录抽样A.11.2.8无人值守的用户设备现场观察机房中的服务器是否锁屏，机房门是否常闭现场观察A.11.2.9清除桌面和清屏策略随机抽样3名离开工位的员工，观察工位上是否有敏感信息，电脑是否在一定时间内自动锁频现场观察A.12 A.12.1 A.12.1.1 文件化的操作程序 检查3份重要系统或设备的操作或维护手册 形成的文件程序是否符合要求?（备份、日志、重置维护等）抽样A.12.1.2变更管理抽样3个重要系统的变更记录?抽样A.12.1.3容量管理 是否对重要设备、系统的容量（CPU、内存、硬盘、网络带宽等）进行了监控？现场检查监控报警是否都被处置，及处置记录抽样A.12.1.4开发，测试和运行环境的分离现场检查开发、测试和生产网络是否互通；开发、测试和生产人员是否为同一人员。抽样A.12.2 A.12.2.1 控制恶意软件 抽样5台办公终端，检查是否统一安装了公司规定的防病毒软件；检查病毒库是否为最新的。抽样A.12.3 A.12.3.1 信息备份 获取备份策略；依照备份策略，随机抽样3份备份，检查备份记录及备份文件存放情况；依照备份策略，随机抽样3份备份恢复记录；抽样备份设备操作安全操作程序和职责恶意软件防护老当益壮，宁移白首之心；穷且益坚，不坠青云之志。唐王勃常将有日思无日，莫待无时思有时。增广贤文A.12.4 A.12.4.1 事件日志 日记记录表的检查抽查重要系统、核心网络设备的日志审计记录（日志检查表）抽样A.12.4.2日志信息的保护 检查检查重要系统日志防护措施，是否保障日志不被随意删除、篡改抽样A.12.4.3管理员和操作员日志随机抽取3份重要系统或设备的管理员操作日志审核记录抽样A.12.4.4时钟同步 抽查3台系统设备的时间，确定是否保持一致抽样A.12.5 A.12.5.1 操作系统软件的安装检查生产系统软件安装的审批记录；抽样A.12.6 A.12.6.1 技术漏洞的管理 抽查公司漏洞扫描记录及处置记录抽样A.12.6.2 限制软件安装 检查是否有软件白名单或黑名单随机抽样3台办公终端，查看是否可以随意安装软件检查抽样的办公终端，查看是否存在违规软件抽样A.12.7 A.12.7.1 信息系统审计控制 获取上一年度审核计划及审批记录访谈A.13 A.13.1 A.13.1.1 网络控制 检查一台核心防火墙的规则策略，是否与公司网络控制策略相符；抽样A.13.1.2网络服务的安全 检查公司网络设备及安全设备的策略是否能有效的限制和防护网络服务抽样A.13.1.3网络隔离 获取网络拓扑图；了解安全域或网段划分策略；检查隔离网段间是否能互连；访谈A.13.2 A.13.2.1 信息传输的策略和程序检查组织对敏感信息制定了传输和控制策略；现场查看，传输控制措施的实施情况；抽样A.13.2.2信息传输协议 检查组织是否制定了信息传输协议使用策略及要求；现场观察A.13.2.3电子消息 检查组织是否制定了电子邮件、及时通信工具的使用策略；现场观察A.13.2.4保密或不泄露协议 随机抽查3位研发人员的保密协议，查看协议中是否明确保密要求。抽样A.14 A.14.1 A.14.1.1 安全需求分析和规范获取本年度已完成或正在实施的软件开发项目清单；获取组织系统开发规程，检查开发规程中，是否明确各类系统开发时信息安全的设计要求；获取一个项目的需求及开发文档，检查文档中是否有信息安全相关的需求及开发设计；抽样通信安全网络安全管理信息传输系统获取，开发和维护信息系统的安全要求记录和监控操作软件的控制技术漏洞管理信息系统审计考虑云路鹏程九万里，雪窗萤火二十年。王实甫人不知而不愠，不亦君子乎？论语A.14.1.2保护公共网络上的应用服务 检查公司官网信息变更控制内容现场观察A.14.1.3保护应用服务交易 检查网络交易类应用服务系统，在数据交换、网络连接等方面是否制定了控制措施；现场观察A.14.2 A.14.2.1 安全开发策略 检查公司是否建立了开发策略抽样A.14.2.2变更控制程序 检查新系统上线审批记录；检查新系统变更审批记录；抽样A.14.2.3操作平台变更后对应用的技术评估获取生产系统操作系统升级记录，检查升级前的评估测试记录；抽样A.14.2.4软件包变更的限制 检查组织是否建立了系统开发软件包变更控制措施；抽样A.14.2.5系统开发程序 检查组织是否建立了系统开发程序及过程抽样A.14.2.6安全的开发环境 现场检查开发环境是否与办公环境物理分隔观察开发网络控制措施的有效性抽样A.14.2.7外包开发 检查组织是否制定了外包开发策略。抽样A.14.2.8系统安全性测试 抽取已上线系统的安全测试报告抽样A.14.2.9系统验收测试 抽取系统验收报告及各项测试报告抽样A.14.3 A.14.3.1 测试数据的保护 检查生产数据脱敏记录；现场观察A.15 A.15.1 A.15.1.1 供应关系的信息安全策略检查组织是否建立了供应商信息安全管理策略访谈A.15.1.2供应商协议中的安全获取本年度供应商清单；随机抽取3份供应商合同及保密协议，检查合同或保密协议中是否明确了信息安全方面的要求。抽样A.15.1.3信息和通信技术供应链检查与通信供应商签署合同中，是否明确了网络线路的可用性要求访谈A.15.2 A.15.2.1 监测和审查供应商服务了解供应商考核方式随机抽查3份供应商考核记录；抽样A.15.2.2 供应商服务变更管理了解供应商服务变更管理策略；随机抽查1份供应商服务内容变更及变更审批的记录抽样A.16 A.16.1 A.16.1.1 职责和程序 检查公司有无明确定义信息安全事件处置流程和职责访谈A.16.1.2报告信息安全事态 了解信息安全事件上报流程；获取信息安全事件上报记录访谈A.16.1.3报告信息安全弱点 访谈任意1名员工，观察其是否了解可疑安全事件上报流程访谈信息安全事件管理信息安全事件管理和持续改进开发和支持过程中的安全测试数据供应关系供应关系的安全供应商服务交付管理良辰美景奈何天，便赏心乐事谁家院。则为你如花美眷，似水流年。汤显祖丹青不知老将至，贫贱于我如浮云。杜甫A.16.1.4评估和确定信息安全事态随机抽取2份信息安全事件处置记录，检查事件评估及处置记录是否齐全，是否符合制度要求访谈A.16.1.5信息安全事件响应检查信息安全事件处置记录，查看事件相应及处置时间是否如何制度要求访谈A.16.1.6回顾信息安全事故 抽样当年信息安全事件总结记录访谈A.16.1.7收集证据 检查信息安全事件处置记录，查看事件处置过程中，是否对证据进行保留和收集；访谈A.17 A.17.1 A.17.1.1 规划信息安全连续性获取本年度业务连续性计划现场观察A.17.1.2实现信息安全的连续性获取各类场景或各类系统的灾难恢复相关预案现场观察A.17.1.3验证，评审和评估信息安全的连续性获取年度业务连续性演练计划抽样2份业务连续性演练方案抽样业务连续性演练总结报告抽样A.17.2 A.17.2.1 信息处理设施的可用性现场检查重要网络、设备有冗余设计；现场观察A.18 A.18.2A.18.2.1 信息安全的独立审查获取上一年度内部审核记录及处置记录访谈A.18.2.2符合安全政策和标准抽样事件记录，查看公司有无不符合安全政策和标准的事件抽样A.18.2.3技术符合性检查 抽查漏洞扫描、渗透测试等记录抽样A.18.1A.18.1.1 识别使用的法律和合同的要求抽查年度法律法规识别清单现场观察A.18.1.2知识产权（IPR）随机抽取3台办公终端，检查是否有使用盗版的情况；检查是否有超量安装商业软件的情况抽样A.18.1.3文档化信息的保护 了解公司数据资产保护策略随机抽样检查文档信息防护措施是否与策略相符抽样A.18.1.4隐私和个人信息的保护抽查公司员工信息就档案是否得到周全防护。抽样A.18.1.5密码控制措施的监管检查公司软件开发使用的加密技术和策略是否符合相关法律及监管部门的要求。现场观察A.18.2.1独立的信息安全评审对组织信息安全处置和实施方法进行评审现场观察现场观察A.18.2.2符合安全策略和标准定期对信息安全过程和规程进行评审现场观察A.18.2.3技术符合性评审是否符合信息安全策略和评审现场观察符合性信息安全审查符合法律和合同的要求信息安全方面的业务连续性管理信息安全连续性冗余以家为家，以乡为乡，以国为国，以天下为天下。管子牧民其身正，不令而行；其身不正，虽令不从。论语审核发现审核结果云路鹏程九万里，雪窗萤火二十年。王实甫丹青不知老将至，贫贱于我如浮云。杜甫人之为学，不日进则日退，独学无友，则孤陋而难成；久处一方，则习染而不自觉。顾炎武谋事在人，成事在天！增广贤文忍一句，息一怒，饶一着，退一步。增广贤文丹青不知老将至，贫贱于我如浮云。杜甫人人好公，则天下太平；人人营私，则天下大乱。刘鹗勿以恶小而为之，勿以善小而不为。刘备良辰美景奈何天，便赏心乐事谁家院。则为你如花美眷，似水流年。汤显祖海纳百川，有容乃大；壁立千仞，无欲则刚。林则徐其身正，不令而行；其身不正，虽令不从。论语人人好公，则天下太平；人人营私，则天下大乱。刘鹗天行健，君子以自强不息。地势坤，君子以厚德载物。易经其身正，不令而行；其身不正，虽令不从。论语