信息安全系统管理系统体系内部审核检查表总.pdf

实用标准文档 文案大全 信息安全管理体系内部审核检查表 被审核部门：领导层 审核员签字：第二组 序 号 附录编号及 名称 审核内容和方法 审核记录 合格性判断 1 A.5安全方针 1.1 A.5.1 信息安全方针 A.5.1.1 信息安全方针文件 是否存在经过管理层批准的信息安全方针，发 布并梅达给所有员工？安全方斜是否陈述了管理承诺，井旦设立了信 息安全管理的组龈目标？1.2 A.5.1.2评审和评价 昆黄政寸划剪町间间隔，骤者在女生胤K变化 时评审信息安全方针，以确保方针的持续适合 性、充分性和有效性？信息安全方针有没有所有者.此人负有经皿 织批率的起草*评审和评估安全力图的管理费 任？有没有制定信息安全方针坪审程序，该程序是 否包括管理评审的要求？有没有考虑/重视管理评审的结果？修订的方针有没有得到管理层的批准？A.6/息安全组织 A.6.1 内部组织 A.6.1.1 信息安全的管理承诺 管理炭有没有积极支诗组织内的安全措施.例如清 蔑明蝴的方向，可证实的承诺，明愉分配和勘认解 息安全职责.A.6.1.2 信息安全协调 实用标准文档 文案大全 抵促的各个部门有没有指具仲恰当的角色和职！的代表禽 与擀例信息安全活动？A.6.1.3 信息安全职责分配 有没有定义和实施对组织内任何新的信息处理设施 的管理授权程序？A.6.1.4 信息处理设备的授权过程 肓没冉定义利文施对组织内任何新的信息处可粒施 的管理授权程序？A.6.1.5 保密协议 可没有清楚地定又升有规律地评审级织的保出 性芾求或用于保护信息的保密协议？有没有无合适的法律用词指出保护机密信息的 需求？A.6.1.6 与权威机构的联系 肓设有一个程序描述了在什么情况下.应该由谁联 点哪个政府都门,比如公安局、消防碎，以及如何 擢告事故？A.6.1.7 与专业的利益团体保持联系 有没钻特殊的糠团体颇专业般全法坛瞬 安加拗会保持梏醐赫？A.6.1.8信息安全的独立评审 有没有按照计划的时间间隔,或者在安全实施发生 盛大改变时，对组织前信息安全管理目标及R实现 进行独立评审？A.6.2 外部组织 A.6.2.1 关于外部组织风险的识别 在外部坦织需要访问组织内的信息和信息处理设施 时，有没有在授予访问权限前退的访向导致的风 密 井枭取适当的控制措镰?实用标准文档 文案大全 A.6.2.2 与顾客接触时强调安全 在校T,客户对组织的信息或资产的访问权限前，是 否嘀保所有的安全需求得到了满足?A.6.2.3 第三方合同中的安全要求 第三方协设中有没仃要求在访问、处理、通讯、管 理线织的信息或信息处理设施,或者往信息处理设 施引入产品或服务时,必须符合所有适用的安全要 求？A.7资产分类和控制 A.7.1 资产责任 A.7.1.1 资产清单 是小是曲白-的侨产再存刊识批.有没不儒沪听科里 要资产的清单或者党记表 A.7.1.2资产所有者关系 学个已眼别的党严都订苴任人，和一个已足又_L1也 到一致同意的安全类别，吸及定期审核的访问权累 A.7.1.3 可接受的资产使用准则 布设有确定一个信息和铤产的可搔堂使用划定1升 实施了该规定 A.7.2 信息分类 A.7.2.1 分类指南 华没灯根据信息的价值、法律法规的要求.敏感度 和重要性分类信息 A.7.2.2 信息的标识和处理 有没有根据组龈采用的分类标准，制定一系列摊诙 和处理信息的程序 A.8人力资源安全 A.8.1 雇用前 A.8.1.1 任务和职责 实用标准文档 文案大全 有没有根据组织的信息安全策略定义并记录员 工，承包商和第三方用户的安全甭色和职责 在屈用曲过程中有没有就;旨义的咕包和吃完与 职位的候选人进行明确的沟通 A.8.1.2 人员考察 用出白照第怕天网足刈加官联位、审问阀刑凿 三方用户候选者进行背景验证审查 市吉有没有包括身馀证明书所声称的学术相 号业贵版证明，以及独立的身份检验 A.8.1.3 雇用条款和条件 有没有要求员工、合同商和第三方用户签订保 密协议,作为雇佣合同的初始条款 游说有没有包含组织.员二、第三方用户和合 同商的信息安全费任 A.8.2 雇用期间 A.8.2.1 管理职责 管理层内没白要求员工、合同商和第三方用户根据 组织建立的策潞和卷序实施安全 A.8.2.2 信息安全意识、教育与培训 组织的所有员工，合同方和第三方用户，有没有受 到与其工作职能相关的适当的安全意识培训和组钮 方针及程序的定期更新培训 A.8.2.3 惩戒 对于违反安全规定的员工有没有正式的娓戒过程 A.8.3 雇佣的终止或 艾更 A.8.3.1 终止职责 有没有清啮规定和分配进行雇佣终止或变更的贵任 A.8.3.2 资产归还 实用标准文档 文案大全 没有举当的程序确保当雇佣.合同或愤双终止 时.员工-合同方和第三方用户归还所使用的组织 资产 A.8.3.3 撤销访问权限 当雇悌.合同或协议终止时，有没有撤销员工、合 同方和第三方用户对信息和信息处理设施的访问权 眼，或根据变化调整 A.9物理和环境安全 A.9.1 安全区域 A.9.1.1 物理安全周边 有没有使用坳理边界安全设施（例如门管控制出入 的大门、人工接待台等）来保护信息处理账处 A.9.1.2 物理入口控制 育没有适当的进入控制程序痈保只有经过授权的人 员才可以访问鳗织内部区域 A.9.1.3 办公室、房间和设施安全保护 提供信息处理服务的房间有没有上锁或者房内仃可 锁定的柜K保险箱 A.9.1.4外部和环境的威胁的安全防护 有没有设计井实施针盗火灾、水灾、地震、爆 烽、睡乱和其他形式的自然或K为灾唯的浏理 保护措旃 领近地点有没有潜在的安全威胁 A.9.1.5 在安全区域工作 H没有设计并突底在安全区域工作的物理保妒措施 和指南 A.9.1.6 公共访问、交接区 对于装卸或其他未经授权人员可以进入的公共访问 区域有没有加吸控制，那里的信息处理设施有没有 加以隔离以防止非授权的访问 A.9.2 A.9.2.1 设备的安置和保护 实用标准文档 文案大全 设备安全 用&有保炉过蓄以减少来自讣境的威助或施寻，并 减少未经搜枚访间的机会 A.9.2.2 支持性设施（如供电）有没有保护设备免受电力中研或其4蚊特性设 施失效所导致的中断 有没有采取某些持续供电播腼，如多路供电.UPS.备用发电机等 A.9.2.3 电缆安全 白没有保护承鼓数据或支持信息服势的电力和 通讯电级免遭中断或破坏 对于敏感或关键的索统.白没有采取进一珏的 安全控制 A.9.2.4 设备维护 有没有正确地维护设短以丽保其持续可用性和 完整性 设备是不是按照供应商推荐的服务时间间隔和 城范进行维护 是小是“有经过授权的人员才能进行维护 有没有保存所有可疑的或实际笏故障以及所有 秋防和纠正措施的记录 对于普苣离场雍护的设各有没有进行适当的控 制 费备有没有保险，有没有迪守保险方面的要求 A.9.2.5 场外的设备的安全 何役可评伍场外设备的同脸升米取脚低风苣的 控制措施 在生织外使用信息处理设施勾没有得到管坦授 根 A.9.2.6 设备的安全处置或重复使用 实用标准文档 文案大全 行投行检打所有软存储介顼首设箱,以硼依在田毁 或重用设备前物理建见或者安全重写所有教感救据 或授权软件 A.9.2.7 资产迁移 有没勺控利措施,晡依未经授校，不能将设备、信 息和软件带离工作场所 A.10通信和操作管理 A.10.1 操作程序和职 责 A.10.1.1 文件化操作程序 操作程序有没有文件化，偎到维护且所有薪费 的用户棉田以获得 有没有把这些文件化程序视为正式的文件，旦 任何变更须得到管理授权 A.10.1.2 变更管理 有没有控制所有对信息处理设施和系统的变更 A.10.1.3 职责分离 有没有分离职或和区域，以降低未授权修改或溜用 组织的信息和服务的机会 A.10.1.4 开发、测试和运营设施的分离 有没有分高开发、测试和运营设俺，例如.开发和 生产软件庇该运行在不同的计算机上.开发和生产 网络应愎互相隔离 A.10.2 第三方服务交 付管理 A.10.2.1 服务交付 有没启措施照保第三方实施*运行并保持第二疔服 务交付协议中包含的安全控制、服务定义和交付箸 级 A.10.2.2 监控和评审第二方服务 有没有定期对第三方提供的服外、报节和记录 进行监视和评审 有没有定期村第三方服务、报告和记录进行审 核 实用标准文档 文案大全 A.10.2.3 管理第二方服务的变更 有没有苦理服并提供为变更，包括保持和改进 现有信息安全方针、程序和控制措施 有没有考虑业务系统的美能程度、涉及的过程 和风险的再评估 A.10.3 系统规划与验 收 A.10.3.1 容量管理 有没有监控容量需求并反应未来的容量要求，以输 保棚有足镭的处理能力和存徜空闾 A.10.3.2 系统 目没闫建立新信息系统、系蜕升破和新版本的 的收准则 楂收系就前有没有进行适当的测试 A.10.4 防范恶意代码 和移动代码 A.10.4.1 叱恶:码 有没有刮定并实施杵序，通过检测、预防和恢其来 防范恶意优玛，并进行适当的用户苴典培训 A.10.4.2 防范移动代码 是不是只可以使用萩得授杈的移动代码 配置筐理有没苜境保授权的移动代得嵌照安全 方针运行 有没有阻止未经授权的移动代码运行 A.10.5 备份 A.10.5.1 信息备份 百没仃根据既定的备份策潞息信息和软件进行 番粉并定期测试 所有基本的信息和软件能否在灾耶或介质故障 后进行恢豆 A.10.6 网络安全管理 A.10.6.1 网络控制 实用标准文档 文案大全 有没有充俗管理和控制网络艮防范威胁.保持 使用网络包括信息传输的系垸和应用程序的安 有没有失精控制以确保网络上信息的安全，防 止未经授权访问所起接的服务 A.10.6.2 网络服务的安全 有没有识别所有网络服务的安全特性、服务等 级和管理强求,并包含在网络服势协较中 有没有对网络服务提供商以安全方式管理商定 服务的能力予以确定并定期祗警，诬应商定审 计的权利 A.10.7 媒体处置 A.10.7.1 可移动计算媒体的管理 有没有建立可移动介质的管理程序,如瞄带.磁盘工内存等 所行的程序和授权缎别是否清嘛地形成文件 A.10.7.2 媒体的处置 不再需要相介:正仃没可接照正式的程序进行安全可 报的处置 A.10.7.3信息处理程序 有没有处理信息存情的程序 读程序有没有考虑防范信息的未授权漫露或误 用 A.10.7.4 系统文档安全 保护系统文件免壹未授权的访问 A.10.8 信息交换 A.10.8.1信息交换策略和程序 仃没有建立正式的交换策略、程序和控制，以 保护信息 这些桎序和控制守没仃泄菰使用电子通讯设髓 交换信息 A.10.8.2 交换协议 实用标准文档 文案大全 有没有建立蛆织和外部组织交奥信息和软件的 格议 胡设的安全内容有没有反映涉及的业务信息的 看感度 A.10.8.3物理媒体传输 包含信息力介质在组织的物盘边界以外运送时r育 没有防止未授权的访问、不当哽定或毁坏 A.10.8.4 电子信息 行没有保护包含在发送的电子消怠中的信息（电/消息包括但不限于电于那件，电数据交换（EDD、即时通信）A.10.8.5 业务信息系统 育 没h制定并实施策略和程序，以保护与业务信息 系统相关脆的信息 A.10.9 电子商务服务 A.10.9.1 电子商务 有没有保护电子商务中通过公共网络传输的信 息.以防止欺诈、合同争议、未授权的访问和 修改 A.10.9.2 在线交易 有没有保护在线交易信息，以防止不完整的传输、整由错误、未经授权的信息更改、未竺授权的信息 池露、未经授杈的信息复制或重放 A.10.9.3 公共引用信息 甘没有保护公共可用信息的完整性，防止未姓授杈 的更改 A.10.10 监视 NO A.11访问控制 A.11.1 A.11.1.1 访问控制策略 实用标准文档 文案大全 访问控制的业 务要求 有没有制定并评审基于业努和安全府求的访问 控制第略 访问控制策咯有没有同M考虑物理和速转协同 控制 畲没有耨遇过访问控蒯要潴足的寸k答要求的清 徜说期提供给用户和服务提供考 A.11.2 用户访问管理 A.11.2.1 用户注册、有没有建立止式为印尸注册和解除注协程序，以元 许和撤精对所有信息系统和服务的访向 A.11.2.2 特权管理 有没有限制并控制信息系统环境.下特权的使.用和分 配，例如根据需要知道原则分配特权，或持杈仅在 通过正式授权潞程后分配 有没有限制并控制信息系流环境下特权的使用和分 配，例如根据需黎知道原则分配特板.或特权仅在 通过正式授权流程后分配 A.11.2.3 用户口令管理 有没有道过正式的背鲤流程控制n令的分配 有没有要求用户签帮一份声明,以保持口令的 保密性 A.11.2.4 用户访问权的评审 为没有按计叫的时间间隔评审用户访问权限的流 程.例如.每三个月评审持殊权限，耳六个月评审 普通权限 A.11.3 用户责任 A.11.3.1 口令的使用 什没有要求用户在选择和使用口令时道循良好的安 全惯例 A.11.3.2 无人值守的用户设备 实用标准文档 文案大全 n没TTU用户和合同赭了解保护无人值守设条的支 全要求和程序 嗣如；会话造束时登出或设置日到登出，结束时涔 止会话等 A.11.3.3 清理桌面及清除屏幕策略 有没白.针龙文件.可移动存储介质的桌面清空 策略 何没有针点信息处理设施的屏幕清空策略 A.11.4 网络访问控制 A.11.4.1网络服务使用策略 用户是不是乂能访问签过明确授权使用的服务 有没有制定关于使用网络和网络服务的策凿 A.11.4.2 外部连接的用户鉴别 有没有适当的饕别机制控制远程用户的访问 A.11.4.3 网络设备的识别 行没向考虑自动设备正引，将其作为鉴别特定位置 及设备连接的方法 A.11.4.4 远程诊断和配置端口保护 有没有安全地控制时渗断和配置瑞口的物理和遗皆 访问 A.11.4.5 网内隔 目没甘隔离网密上的信息服务组,用户和信息 系统 仃没有使用交全边界机匍如防火墙来隔潮网络（业务M俘域第三方芾要访问信息系统）仃没打考虑把无线网爆与内部和专用网络隔离 并 A.11.4.6网络连接控制 访向控制策略有没有规定共享网络的网络连接控 制 牝其是那些延伸到组织边界之外的网络 实用标准文档 文案大全 A.11.4.7 网络路由控制 网络控制策略有没有规定路由控网 K由选择控匐是否基于南定的泥地址和目的地 址检物机制 网络控制策略有没有规定路由控制 路由选择控制是否基于朝定的源地址和目的地 赳检物机制 A.11.5 操作系统访问 控制 A.11.5.1 安全登陆程序 是否迪过玄全登录程序控劭对操作系统的访问 A.11.5.2 用户标识和鉴别 所有用户如操作巾、系统管理员和其他技术人 员是否有唯一的识别码（用户ID）有没有选择合适的认证技术验证所宣称的回户 身份 在例外环境下，如果存荏明显的业务利益，可 以使用共享用户U1；对产这种情沅，百设有耍 求额外的控制以楚护可核查性 A.11.5.3 口令管理系统 有没有 P 令管理系统以加强口令控制 A.11.5.4 系统实用程序使用 有没 有限制并产格控制能就过系统和应用控制的实 用工具的使用 A.11.5.5 终端时限 不活动的会话是否布一个设定的不活动周期后关闭（对于某些系统，清空屏幕并防止未授权访问，但 不关闭病用或网络会争提供了一W受限制的超时形 式）A.11.5.6 连接时间的限制 实用标准文档 文案大全 有没有限制对高风唆应用程序的连接时间.这类限 制应考虑鬟端安装在高风险位置的眼感应用 A.11.6 应用系统和信 息访问控制 A.11.6.1 信息访问限制 有没有根据规定的访问控制策略，限制用户和支持 人员对信息和应用系统功能的访问 A.11.6.2 敏感系统隔离 败感系统有没有使用独立的计算环境,例如运行在 特定的计算机上.便和信任的应用系统共享资源等 政感系统有没有使用独立的计算环境，例如运行在 特定的计尊机上，仅和信任的应用系统共享资源等 A.11.7 移动计算和远 程工作 A.11.7.1 移动式计算 白没有建立正式的策略并采取适当的安全措 施,以防於受用法创计算利传创通讯凌施的风 险 移动讦算和通讯设罐包括：籍记本，掌二机、膝上机,智能卡和移动电活 移动计算施略有没有寿等在不受保护的环境下 工作的风险 A.11.7.2 远程工作 有没有制定并实施远程工作的策略，操作评划 和程序 管理层有没有校权和控制远程工作活劭,并进 行适当的安持 A.12信息系统获取、开发和维护 NO A.13信息安全事件管理 A.13.1 报告信息事件 A.13.1.1 报告信息安全事件 内没目通过适当的管理途径尽快报仅信息安全 事件 实用标准文档 文案大全 和弱点 有涉有匣定并实施正式的信息安全事件赧吉程 序、事故响曲和升级程序 A.13.1.2 报告信息安全弱点 有没有程序要求所育员工、合同方和第三方用户注 意并报告系统或服务中发现或疑似的安全弱点 A.13.2 信息安全事件 的管理和改进 A.13.2.1 职责和程序 有没肓建立首理职责和程序,以运速、有效和 有序地响应信息安全事故 有没有监控系统、报警和痛点来槌测信息安全 事故 有没有与管理层协商信息安全事故管理的目标 并达成一致 A.13.2.2 从信息安全事故中学习 tn没有建立飒别并量化信息安全事故的类型，数量和费用的机制 有没有使用从过去信息安全事故评估中获取的 信息来识别珥发生或重大影响的事故 A.13.2.3 收集证据 信息安全事故发生，后.有没有根据法律规定（无论是民法还是刑法）跟踪个人或组税的行 动 有没有收集、保密事我相关证据，并以符合相 关法律的形式提交 当为了密罚口的而收集和旌交正据时，有没有 制定并遵循内部规程 业务持续性管理 A.14.1 A.14.1.1 在业务连续性管理过程中包含信息 业务持续性管 安全 理的信息安全 实用标准文档 文案大全 方回 有没有 T管理程序,何项阻织业努连就性对 信息安全的要求 读程序有没有阐明组织面临的风险，识别业务 关键资产.识别事故彩响.考虑实施附加好预 防蚀挖桐，并形成表明了安全箫求的业务连续 性计划女植 A.14.1.2 业务持续性和风险评估 有没有识别可能导致业务过程中断的事故，以及这 类中断发生的问能性和褂响、中断的信息安全后果 A.14.1.3 开发并实施包括/息安全的持续性 计划 有没有开发计划，在业务流程中断或失效后能 在要求的时间内和要求的等空;保持和恢星运 营并确保信息的可用性 讨划有没有考虑鉴别和协调职责、饕别可接受 损失、实施帙复和重建程序、文档化规程、皂 期测试 A.14.1.4 业务持续性计划框架 有没有隼一的业务连线性计划也果 有没有维护该框架以丽保所有计划的一致性，并设别都1减和保持的优先领 业界连续性i划有没肓阐明识机邑的信息安全 需求 A.14.1.5 业务持续，住计划的测试、保持和再评 估 有没有定期恻试弁更新风R 以嫌保BCP的 更新和有效性 UCP的加试能否确保恢豆团队的所有成员及其 他相关人员知道该计划，明确他们在业务连续 性和信息安全中的责任，知道计划启动后他门 的角色 实用标准文档 文案大全 A.15符合性 A.15.1 与法律法规要 求的符合性 A.15.1.1 识别适用法规 对每一个信息系统和组织而言，所有相关的注 律、法规和合同要求.以及为满足这些要求组 织所采用的厅注，应明雁地定义 形成文件并 保持更新 有没有定义并文件化满是这些要求的特定控伸1 和个人职责 A.15.1.2 知识产权（IPR）有没有制定并实施程序，以函保在使用与知谟 产权有关奶材科精与肓软件产品时符合法律法 规和合同要求 有没有考虑如下控司;发布知诚产权符合性策 略，获取软件的程序，垂护软件版权的意识，维护所有权的证明，符合软件的限断性条款 A.15.1.3 组织记录保护 中没有“根据法律法规、合同和业务翌求.保护 组织的黄要记录更受损失，破坏、伪造和篡改 仃没有考虑存世记录的介腹性能F降的可能性 白没灯根据法律法规、合同和业务翌求.保护 组织的重要记录免式损失、破坏、伪造和篡改，没石考虑存世记录的介质牲能卜隔的可能性 有没有选择数据存储系统，使得所要求的数据 能生可搂受的闪闻内以可接受的格式检索皂来 A.15.1.4 个人信息的数据保护和隐私 有海育蛹保按适当的往律法规，适用时,包括合同 条款的要求保护数据和隐私 A.15.1.5 预防信息处理设施的误用 实用标准文档 文案大全 莅没有管理层 批准的情况下，任何出于邓业务 或未授根目的使甫信息处理总施均底若蚱不适 当慢用设施 登录前 计辑机屏毒上有没有呈现登录 警告信 息 4用户有没有确认警告信息.并对其做出适 当反应，1能融续建景 实施监控程序前有没有采取合法息告 A.15.1.6 密码控制的法律法规 使用密码控制时,有没有遵守相关的协议、法律和 法坡 A.15.2 与安全策略和 标准的符合 性，以及技术 符合性 A.15.2.1符合安全策略和标准 管引1者有没有喷隹在其职贵范:周内的所有安全 程序得到了正端实施，以符合安全方针和标准 管理者有没有定期评审其职责范围内的信息处 理是否符合安全镣略和程序 A.15.2.2 技术符合性检查 有没有宛期校查信息系统与安全突施标准的符 合程度 技术笛分性检荏是否由胜任的 F 已投权的人员 执行r或在他们的监苫下执行 有没白淀期F佥查信息素统与安全实施林批的符 合程度 技术符合性检杏是否由胜任的、己授权的人员 执行，或在他们的蕾普下执行 A.15.3 信息系统审计 考虑因素 A.15.3.1信息系统审核控制 有没有磷供策划虻运营系统检查所涉及的审计 要求和活动并在得许可，以最小化中断业务过 程的风险 有没有和适当的管理层商定审计要求和范围 实用标准文档 文案大全 A.15.3.2 信息系统审核工具的保护 有没有限制对信息系统审计工具如软件和数据 文件的访问T以防止可能的误用或损害 除非给予含i式线别的附加保护，古财信息系统 审计工具应与开发和运营系统隔离开