最新完整版27001信息安全管理体系内部审核检查表.docx

1、最新完整版27001信息安全管理体系内部审核检查表表格编号：M-020-002-2018最新完整版27001信息安全管理体系内部审核检查表审核日期：2018年4月20日 审核员： 审核组长：条款条款内容内部审核检查项目审核检查情况备注A.5信息安全方针A.5.1信息安全管理指引目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。A.5.1.1信息安全方针公司是否制定信息安全方针，信息安全方针文件应经过管理层批准，并向所有员工和相关方发布和沟通。A.5.1.2信息安全方针的评审公司是否定期或在发生重大的变化时评审方针文件，确保方针的持续性、稳定性、充分性和有效性。A.6信息安全组织A.

2、6.1内部组织目标：建立信息安全管理框架，在组织内部启动和控制信息安全实施。A.6.1.1信息安全的角色和职责公司是否制定分配所有信息安全职责？A.6.1.2职责分离有冲突的职责和责任范围是否分离，以减少对组织资产XX访问、无意修改或误用的机会？A.6.1.3与监管机构的联系公司是否与相关监管机构保持适当联系？A.6.1.4与特殊利益团体的联系公司是否与特殊利益团体、其他专业安全协会或行业协会保持适当联系？A.6.1.5项目管理中的信息安全公司实施任何项目时是否考虑信息安全相关要求？A.6.2移动设备和远程办公目标：应确保远程办公和使用移动设备的安全性。A.6.2.1移动设备策略公司是否采取安

3、全策略和配套的安全措施控制使用移动设备带来的风险？A.6.2.2远程办公公司是否实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全？A.7人力资源安全A.7.1任用前目标：确保员工、合同方人员理解他们的职责并适合他们所承担的角色。A.7.1.1人员筛选公司是否根据相关法律、法规、道德规范，对员工、合同人员及承包商人员进行背景调查，调查是否符合业务需求、访问的信息类别及已知风险？A.7.1.2任用条款和条件公司与员工和承包商的合同协议是否当规定他们对组织的信息安全责任？A.7.2任用中目标：确保员工和合同方了解并履行他们的信息安全责任。A.7.2.1管理职责公司是否建立要求

4、员工、合同方符合组织建立的信息安全策略和程序？A.7.2.2信息安全意识、教育与培训组织内所有员工、相关合同人员及合同方人员是否接受适当的意识培训？并定期更新与他们工作相关的组织策略及程序？A.7.2.3纪律处理过程公司是否建立并传达正式的惩戒程序，据此对违反安全策略的员工进行惩戒？A.7.3任用终止和变更目标：保证组织利益是雇佣终止和变更的一部分A.7.3.1任用终止或变更的责任公司是否制定信息安全责任和义务在雇用终止或变更后仍然有效，并向员工和合同方传达并执行？A.8资产管理A.8.1资产的责任目标：确定组织资产，并确定适当的保护责任。A.8.1.1资产清单公司是否制定和维护信息资产和信息

5、处理设施相关资产的资产清单？A.8.1.2资产责任人资产清单中的资产是否指定资产责任人？A.8.1.3资产的合理使用公司是否识别信息和信息处理设施相关资产的合理使用准则，形成文件并实施？A.8.1.4资产的归还在劳动合同或协议终止后，所有员工和外部方人员是否退还所有他们使用的组织资产？A.8.2信息分类目标：确保信息资产是按照其对组织的重要性受到适当级别的保护。A.8.2.1信息分类公司是否根据法规、价值、重要性和敏感性对信息进行分类，保护信息免受未授权泄露或篡改？A.8.2.2信息标识公司是否制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配？A.8.2.3资产处理公司是否根据组织采

6、用的资产分类方法制定和实施资产处理程序？A.8.3介质处理目标：防止存储在介质上的信息被未授权泄露、修改、删除或破坏。A.8.3.1可移动介质管理公司是否制定和实施移动介质的管理程序，并与组织的分类方案相匹配？A.8.3.2介质处置当介质不再需要时，是否按照正式程序进行可靠的、安全的处置？A.8.3.3物理介质传输含有信息的介质是否加以保护，防止XX的访问、滥用或在运输过程中的损坏？A.9访问控制A.9.1访问控制的业务需求目标：限制对信息和信息处理设施的访问。A.9.1.1访问控制策略公司是否建立文件化的访问控制策略，并根据业务和安全要求对策略进行评审？A.9.1.2对网络和网络服务的访问公

7、司是否只允许用户访问被明确授权使用的网络和网络服务？A.9.2用户访问管理目标：确保已授权用户的访问，预防对系统和服务的非授权访问。A.9.2.1用户注册和注销公司是否实施正式的用户注册和注销程序来分配访问权限？A.9.2.2用户访问权限提供无论什么类型的用户，在对其授予或撤销对所有系统和服务的权限时，是否实施正式的用户访问配置程序？A.9.2.3特权管理公司是否限制及控制特权的分配及使用？A.9.2.4用户认证信息的安全管理用户鉴别信息的权限分配是否通过正式的管理过程进行安全控制？A.9.2.5用户访问权限的评审资产所有者是否定期审查用户访问权限？A.9.2.6撤销或调整访问权限在跟所有员工

8、和承包商人员的就业合同或协议终止和调整后，是否相应得删除或调整其信息和信息处理设施的访问权限？A.9.3用户责任目标：用户应保护他们的认证信息。A.9.3.1认证信息的使用公司是否要求用户遵循组织的做法使用其认证信息？A.9.4系统和应用访问控制目标：防止对系统和应用的未授权访问。A.9.4.1信息访问限制公司是否基于访问控制策略限制对信息和应用系统功能的访问？A.9.4.2安全登录程序在需要进行访问控制时，是否通过安全的登录程序，控制对系统和应用的访问？A.9.4.3密码管理系统是否使用交互式口令管理系统，确保口令质量？A.9.4.4特权程序的使用对于可以覆盖系统和应用权限控制的工具程序的使

9、用，是否限制和严格控制？A.9.4.5对程序源码的访问控制对程序源代码的访问是否进行限制？A.10密码学A.10.1密码控制目标：确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。A.10.1.1使用加密控制的策略公司是否开发和实施加密控制措施的策略以保护信息？A.10.1.2密钥管理对加密密钥的使用、保护和有效期管理，是否开发和实施贯穿密钥全生命周期的策略？A.11物理和环境安全A.11.1安全区域目标：防止对组织信息和信息处理设施的XX物理访问、破坏和干扰。A.11.1.1物理安全边界公司是否定义安全边界，用来保护包含敏感或关键信息和信？A.11.1.2物理进入控制安全区域是

10、否有适当的进入控制保护，以确保只有授权？A.11.1.3办公室、房间及设施和安全是否设计和实施保护办公室、房间及所及设备的物理安全？A.11.1.4防范外部和环境威胁是否设计和应用物理保护措施以应对自然灾害、恶意攻击或意外？A.11.1.5在安全区域工作是否制定设计和应用在安全区域工作的程序？A.11.1.6送货和装卸区访问区域如装卸区域，及其他XX人员可能进入的地点是否加以控制，如果可能的话，信息处理设施应隔离以防止未授权的访问？A.11.2设备安全目标：防止资产的遗失、损坏、偷窃或损失和组织业务中断。A.11.2.1设备安置及保护是否妥善安置及保护设备，以减少来自环境的威胁与危害，并减少未

11、授权访问的机会？A.11.2.2支持设施是否保护设备免于电力中断及其它因支持设施失效导致的中断？A.11.2.3线缆安全是否保护传输数据或支持信息服务的电力及通讯电缆，免遭中断或破坏？A.11.2.4设备维护是否正确维护设备，以确保其持续的可用性及完整性？A.11.2.5资产转移XX，不得将设备、信息及软件带离？A.11.2.6场外设备和资产安全是否对场外资产进行安全防护，考虑在组织边界之外工作的不同风险？A.11.2.7设备报废或重用含有存储介质的所有设备在报废或重用前，是否进行检查，确保任何敏感数据和授权软件被删除或被安全重写？A.11.2.8无人值守的设备用户应确保无人值守的设备有适当的

12、保护。A.11.2.9桌面清空及清屏策略是否采用清除桌面纸质和可移动存储介质的策略，以及清除信息处理设施屏幕的策略？A.12操作安全A.12.1操作程序及职责目标：确保信息处理设施正确和安全的操作。A.12.1.1文件化的操作程序是否编制文件化的操作程序，并确保所有需要的用户可以获得？A.12.1.2变更管理是否控制组织、业务流程、信息处理设施和影响信息安全的系统的变更？A.12.1.3容量管理是否监控、调整资源的使用，并反映将来容量的需求以确保系统性能？A.12.1.4开发、测试与运行环境的分离是否分离开发、测试和运行环境，以降低未授权访问或对操作环境变更的风险？A.12.2防范恶意软件目标

13、：确保对信息和信息处理设施的保护，防止恶意软件。A.12.2.1控制恶意软件是否实施检测、预防和恢复措施以应对恶意软件，结合适当的用户意识程序？A.12.3备份目标：防止数据丢失A.12.3.1信息备份公司是否根据既定的备份策略备份信息，软件及系统镜像，并定期测试？A.12.4日志记录和监控目标：记录事件和生成的证据A.12.4.1事件日志是否产生记录用户活动、意外和信息安全事件的日志，保留日志并定期评审？A.12.4.2日志信息保护是否保护日志设施和日志信息免受篡改和未授权访问？A.12.4.3管理员和操作者日志是否记录系统管理员和系统操作者的活动，进行日志保护及定期评审？A.12.4.4时

14、钟同步在组织内或安全域内的所有相关信息处理系统的时钟是否按照一个单一的参考时间源保持同步？A.12.5操作软件控制目标：确保系统的完整性。A.12.5.1运营系统的软件安装应建立程序对运营中的系统的软件安装进行控制。A.12.6技术漏洞管理目标：防止技术漏洞被利用A.12.6.1管理技术漏洞是否及时获得组织所使用的信息系统的技术漏洞的信息，对漏洞进行评估，并采取适当的措施去解决相关风险？A.12.6.2软件安装限制是否建立并实施用户软件安装规则？A.12.7信息系统审计的考虑因素目标：最小审计活动对系统运行影响。A.12.7.1信息系统审核控制是否谨慎策划对系统运行验证所涉及的审核要求和活动并

15、获得许可，以最小化中断业务过程？A.13通信安全A.13.1网络安全管理目标:确保网络及信息处理设施中信息的安全。A.13.1.1网络控制是否对网络进行管理和控制，以保护系统和应用程序的信息？A.13.1.2网络服务安全应识别所有网络服务的安全机制、服务等级和管理要求，并包括在网络服务协议中，无论这种服务是由内部提供的还是外包的。A.13.1.3网络隔离是否在网络中按组（GROUP）隔离信息服务、用户和信息系统？A.13.2信息传输目标：应确保信息在组织内部或与外部组织之间传输的安全。A.13.2.1信息传输策略和程序是否建立正式的传输策略、程序和控制，以保护通过通讯设施传输的所有类型信息的安

16、全？A.13.2.2信息传输协议是否建立组织和外部各方之间的业务信息的安全传输协议？A.13.2.3电子消息是否适当保护电子消息的信息？A.13.2.4保密或非扩散协议是否制定并定期评审组织的信息安全保密协议或非扩散协议（NDA），该协议应反映织对信息保护的要求？A.14系统的获取、开发及维护A.14.1信息系统安全需求目标：确保信息安全成为信息系统生命周期的组成部分，包括向公共网络提供服务的信息系统的要求。A.14.1.1信息安全需求分析和规范新建信息系统或改进现有信息系统是否包括信息安全相关的要求？A.14.1.2公共网络应用服务的安全是否保护应用服务中通过公共网络传输的信息，以防止欺诈、

17、合同争议、未授权的泄漏和修改？A.14.1.3保护在线交易是否保护应用服务传输中的信息，以防止不完整的传输、路由错误、未授权的消息修改、XX的泄漏、未授权的信息复制和重放？A.14.2开发和支持过程的安全目标:确保信息系统开发生命周期中设计和实施信息安全。A.14.2.1安全开发策略是否建立组织内部的软件和系统开发准则？A.14.2.2系统变更控制程序是否通过正式的变更控制程序，控制在开发生命周期中的系统变更实施？A.14.2.3操作平台变更后的技术评审当操作平台变更后，是否评审并测试关键的业务应用系统，以确保变更不会对组织的运营或安全产生负面影响？A.14.2.4软件包变更限制对必要的软件包

18、更改是否严格控制？A.14.2.5涉密系统的工程原则是否建立、记录、维护和应用安全系统的工程原则，并执行于任何信息系统？A.14.2.6开发环境安全是否在整个系统开发生命周期的系统开发和集成工作，建立并妥善保障开发环境的安全？A.14.2.7外包开发公司是否监督和监控系统外包开发的活动？A.14.2.8系统安全测试在开发过程中，是否进行安全性的测试？A.14.2.9系统验收测试是否建立新信息系统、系统升级及新版本的验收测试程序和相关标准？A.14.3测试数据目标：确保测试数据安全。A.14.3.1测试数据的保护是否谨慎选择测试数据，并加以保护和控制？A.15供应商关系A.15.1供应商关系的信

19、息安全目标：确保组织被供应商访问的信息的安全。A.15.1.1供应商关系的信息安全策略为降低供应商使用该组织的资产相关的风险的信息安全要求是否获得许可并记录？A.15.1.2在供应商协议中强调安全与每个供应商签订的协议中是否覆盖所有相关的安全要求？如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。A.15.1.3信息和通信技术的供应链供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险？A.15.2供应商服务交付管理目标：保持一致的信息安全水平，确保服务交付符合服务协议要求。A.15.2.1供应商服务的监督和评审公司是否定期监控、评审和审核供应商的服务交付？A.1

20、5.2.2供应商服务的变更管理是否管理供应商服务的变更？包括保持和改进现有信息安全策略、程序和控制措施，考虑对业务信息、系统、过程的关键性和风险的再评估。A.16信息安全事件管理A.16.1信息安全事件的管理和改进目标：确保持续、有效地管理信息安全事件，包括对安全事件和弱点的沟通。A.16.1.1职责和程序是否建立管理职责和程序，以快速、有效和有序的响应信息安全事件？A.16.1.2报告信息安全事件是否通过适当的管理途径尽快报告信息安全事件？A.16.1.3报告信息安全弱点是否要求使用公司信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点？A.16.1.4评估和决

21、策信息安全事件是否评估信息安全事件，以决定其是否被认定为信息安全事故？A.16.1.5响应信息安全事故是否按照文件化程序响应信息安全事故？A.16.1.6从信息安全事故中学习分析和解决信息安全事故获得的知识是否用来减少未来事故的可能性或影响？A.16.1.7收集证据公司是否建立和采取程序，识别、收集、采集和保存可以作为证据的信息？A.17业务连续性管理中的信息安全A.17.1信息安全的连续性目标：信息安全的连续性应嵌入组织的业务连续性管理体系。A.17.1.1规划信息安全的连续性公司是否确定其需求，以保证在不利情况下的信息安全和信息安全管理的连续性，如在危机或灾难时？A.17.1.2实现信息安

22、全的连续性公司是否建立，记录，实施，维护程序和控制过程，以确保一个不利的情况过程中所需的连续性的信息安全？A.17.1.3验证，评审和评估信息安全的连续性公司是否定期验证已建立并实施的信息安全连续性控制，以确保它们是有效的，并在不利的情况下同样有效？A.17.2冗余目标：确保信息处理设施的可用性。A.17.2.1信息处理设施的可用性信息处理设施是否具备足够的冗余，以满足可用性要求？A.18符合性A.18.1法律和合同规定的符合性目标：避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。A.18.1.1识别适用的法律法规和合同要求是否清晰规定所有相关的法律、法规和合同要求以及组织满

23、足这些要求的方法并形成文件，并针对每个信息系统和组织进行更新？A.18.1.2知识产权是否实施适当的程序，以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求？A.18.1.3保护记录是否按照法律法规、合同和业务要求，保护记录免受损坏、破坏、未授权访问和未授权发布，或伪造篡改？A.18.1.4个人信息和隐私的保护个人身份信息和隐私的保护是否满足相关法律法规的要求？A.18.1.5加密控制法规使用加密控制是否确保遵守相关的协议、法律法规？A.18.2信息安全评审目标:确保依照组织策略和程序实施信息安全。A.18.2.1信息安全的独立评审公司是否在计划的时间间隔或发生重大变化时，对组织的信息安全管理方法及其实施情况(如，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审？A.18.2.2符合安全策略和标准公司管理层是否定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求？A.18.2.3技术符合性评审是否定期评审信息系统与组织的信息安全策略、标准的符合程度。