ISO27001内部审核检查表.docx
《ISO27001内部审核检查表.docx》由会员分享,可在线阅读,更多相关《ISO27001内部审核检查表.docx(40页珍藏版)》请在冰点文库上搜索。
ISO27001内部审核检查表
被审核部门:
总经理、管理者代表
要素/附录编号及名称
审核内容和方法
审核记录
判断
4.1了解组织现状及背景
询问公司的组织的现状及面临的主要外部问题,是否考虑信息安全的问题,如业务的风险等等
有考虑公司的内外部环境,业务风险,并形成《组织内外部环境要素识别表》对内外部环境进行分析。
符合
4.2理解相关方的需求和期望
如何理解相关方的需求?
制订相关方的风险识别要求表
符合
4.3确定范围
询问公司信息安全体系的范围
确认公司的认证范围,认证范围为:
从事与聚合支付平台涉及的软件研发及其运维服务相关的信息安全管理活动。
符合
5.15.25.3领导力
公司有无建立信息安全方针和目标,分配信息安全小组的权责
有建立方针“积极防范、严密管理、快速响应,持续改进”
并制定了信息安全管理职责明细表,查有聚合平台研发部、运维部、综合办、信息安全小组成员等职责
符合
6.2可实现的目标和计划
有无建立信息安全目标?
建立执行方案?
手册已规定了安全目标,商业秘密信息泄漏事故0次/年,顾客信息安全事件投诉0次/年。
并制订相应方案。
符合
7.1资源
组织建立体系的有哪些资源的支持
提供了设备,各种投入、组织架构等。
符合
7.4沟通
公司有无提供信息安全的资源及建立沟通渠道
建立了信息安全沟通程序。
符合
9.1监控、度量,分析和评价
针对信息安全绩效,建立哪些有效性测量指标?
设备检测、风险指标等。
符合
10.2持续改进
公司有无建立持续改进的程序.持续改进主要表现在在哪些方面?
建立持续改进控制程序。
符合
A.5信息安全策略
A.5.1
信息安全的管理方向
A.5.1.1信息安全策略
信息安全策略集应由管理者定义、批准、发布并传达给员工和相关外部方。
信息安全方针:
“积极防范、严密管理、快速响应,持续改进”。
见信息安全手册
符合
A.5.1.2信息安全策略的评审
信息安全策略应按计划的时间间隔或当重大变化发生时进行评审,以确保其持续的适宜性、充分性和有效性。
有制作内审管理程序及管理评审评审.首次运行
不适用
A.6信息安全组织
A.6.1
内部组织
A.6.1.1信息安全角色和职责
所有的信息安全职责应予以定义和分配。
成立了信息安全委员会,有信息安全委员会章程
附件信息安全管理职责
符合
A.6.1.2职责分离
分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。
有规定总经办、综合等
符合
A.6.1.3与政府部门的联系
应保持与政府相关部门的适当联系。
建立了相关的联系方针
符合
A.6.1.4与特定利益集团的联系
应保持与特定利益集团、其他安全论坛和专业协会的适当联系。
有定义,有授权
符合
A.6.2
移动设备和远程工作
A.6.2.1移动设备策略
应采用策略和支持性安全措施来管理由于使用移动设备带来的风险。
通过授权
符合
A.6.2.2远程工作
应实施策略和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。
符合要求,通过与集团的VPN实现
符合
被审核部门:
总经办
审核员签字:
李海清时间:
2018.7.11
附录编号及名称
审核内容和方法
审核记录
判断
5.3角色、职任和承诺
如何在本职范围内明确责任,特别信息安全管理方面的职务?
通过岗位职责明确
符合
6.1处理风险和机遇的行动
6.1.1如何策划风险和机遇
6.1.2如何策划风险评估
6.1.3信息安全风险的处置
建立了《风险评估控制程序》
于信息安全委员赊在3月12日进行了风险评估。
符合
6.2可实现的信息安全和计划
如何建立安全管理目标和计划
在手册中有分析,有实现方案
符合
7.2能力
如何确保学习,是否建立了员工能力要求的相关程序
职务说明书的能力的要求。
符合
7.3意识
如何在进行信息安全意识的培训
通过培训,查6,7月的培训记录
有信息安全意识记录
符合
7.5文档信息化
如何进行文档和记录的控制?
制订了文件控制程序
符合
A.7人力资源安全
A.7.1
任用之前
A.7.1.1审查
关于所有作用候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。
见员工聘用管理程序,查有背景调查
符合
A.7.1.2任用条款和条件
与雇员和承包方人员的合同协议应声明他们和组织的信息安全职责。
员工有签订保密条款
符合
A.7.2
任用中
A.7.2.1管理职责
管理者应要求所有雇员和承包方人员按照组织已建立的策略和规程对信息安全尽心尽力。
有员工信息安全培训记录7.18
符合
A.7.2.2信息安全意识、教育和培训
组织的所有雇员,适当时,包括承包方人员,应受到与其工作职能相关的适当的意识培训和组织策略及规程的定期更新培训。
有员工信息安全培训程序
在8月份有召开培训
符合
A.7.2.3纪律处理过程
应有一个正式的、已传达的纪律处理过程,来对信息安全违规的雇员采取措施。
有信息安全奖惩管理程序
符合
A.7.3.
任用的终止或变更
A.7.3.1任用终止或变更职责
应定义信息安全职责和义务在任用终止或变更后保持有效的要求,并传达给雇员或承包方人员,予以执行。
见员工离职管理程序,员工有交接手续,确保离职前的资产归还。
符合
A.8资产管理
A.8.1
对资产负责
A.8.1.1资产清单
应识别与信息和信息处理设施的资产,编制并维护这些资产的清单
有资产清单
符合
A.8.1.2资产所有权
清单中所维护的资产应分配所有权。
清单有所属的资产负责人。
符合
A.8.1.3资产的可接受使用
信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。
对资产的管理进行了规定,见信息安全风险管理程序
符合
A.8.1.4.资产的归还
所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。
有规定,查员工离职交接记录
符合
A.8.2
信息分类
A.8.2.1信息的分类
信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。
有规定
符合
A.8.2.2信息的标记
应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。
总经办定期召开培训
符合
A.8.2.3信息的处理
应按照组织所采纳的信息分类机制建立和实施处理资产的规程。
有规定5个级别。
符合
A.8.3
介质处置
A.8.3.1可移动介质的管理
应按照组织所采纳的分类机制实施可移动介质的管理规程。
有规定
符合
A.8.3.2介质的处置
不再需要的介质,应使用正式的规程可靠并安全地处置。
项目部U盘不能使用。
符合
A.8.3.3物理介质传输
包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。
符合要求《介质管理程序》
符合
被审核部门:
业务部
审核员签字:
黄钦松时间:
2018.7.12
A.8资产管理
A.8.1
对资产负责
A.8.1.1资产清单
应识别与信息和信息处理设施的资产,编制并维护这些资产的清单
有资产清单
符合
A.8.1.2资产所有权
清单中所维护的资产应分配所有权。
清单有所属的资产负责人。
符合
A.8.1.3资产的可接受使用
信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。
对资产的管理进行了规定,见信息安全风险管理程序
符合
A.8.1.4.资产的归还
所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。
有规定,查员工离职交接记录
符合
A.8.2
信息分类
A.8.2.1信息的分类
信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。
有规定
符合
A.8.2.2信息的标记
应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。
总经办定期召开培训
符合
A.8.2.3信息的处理
应按照组织所采纳的信息分类机制建立和实施处理资产的规程。
有规定5个级别。
符合
A.8.3
介质处置
A.8.3.1可移动介质的管理
应按照组织所采纳的分类机制实施可移动介质的管理规程。
有规定
符合
A.8.3.2介质的处置
不再需要的介质,应使用正式的规程可靠并安全地处置。
项目部U盘不能使用。
符合
A.8.3.3物理介质传输
包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。
符合要求《介质管理程序》
符合
被审核部门:
研发部
审核员签字:
李海清时间:
2018.7.12
附录编号及名称
审核内容和方法
审核记录
判断
A6信息安全组织
是否建立了信息安全委员会,IT人员参加了信息安全委员会吗?
IT人员参与
A.8资产管理
A.8.1
对资产负责
A.8.1.1资产清单
应识别与信息和信息处理设施的资产,编制并维护这些资产的清单
有规定
符合
A.8.1.2资产所有权
清单中所维护的资产应分配所有权。
有规定,新入职员工有背景调查
符合
A.8.1.3资产的可接受使用
信息及与信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。
针对项目资产有规定。
符合
A.8.1.4.资产的归还
所有的雇员和外部方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。
有规定,要求归还门禁卡
符合
A.8.2
信息分类
A.8.2.1信息的分类
信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分类。
有规定
符合
A.8.2.2信息的标记
应按照组织所采纳的信息分类机制建立和实施一组合适的信息标记规程。
总经办定期召开培训
符合
A.8.2.3信息的处理
应按照组织所采纳的信息分类机制建立和实施处理资产的规程。
有规定
符合
A.8.3
介质处置
A.8.3.1可移动介质的管理
应按照组织所采纳的分类机制实施可移动介质的管理规程。
有规定
符合
A.8.3.2介质的处置
不再需要的介质,应使用正式的规程可靠并安全地处置。
符合要求
符合
A.8.3.3物理介质传输
包含信息的介质在运送时,应防止未授权的访问、不当使用或毁坏。
符合要求
符合
A.9访问控制
A.9.1
访问控制的业务要求
A.9.1.1访问控制策略
访问控制策略应建立、形成文件,并基于业务和信息安全要求进行评审。
本生产区有专门的保卫系统
符合
A.9.1.2网络和网络服务的访问
用户应仅能访问已获专门授权使用的网络和网络服务。
有规定,见用户访问管理程序规定的相关各级系统的应用权限要求
符合
A.9.2
用户访问管理
A.9.2.1用户注册及注销
应实施正式的用户注册及注销规程,使访问权限得以分配。
见《用户访问管理程序》
《计算程序管理程序》
符合
A.9.2.2用户访问开通
应实施正式的用户访问开通过程,以分配或撤销所有系统和服务所有用户类型的访问权限。
符合要求,门禁权限
于IT管理人员开通
符合
A.9.2.3特殊访问权限管理
应限制和控制特殊访问权限的分配及使用。
符合要求,部分权限需要授权
不符合
A.9.2.4用户秘密鉴别信息管理
应通过正式的管理过程控制秘密鉴别信息的分配。
符合要求
符合
A.9.2.5用户访问权限的复查
资产所有者应定期复查用户的访问权限。
有效性检查,部分人员的权限会再次检查
符合
A.9.2.6撤销或调整访问权限
所有雇员、外部方人员对信息和信息处理设施的访问权限应在任用、合同或协议终止时撤销,或在变化时调整。
员工离职,IT人员清除用户的口令,对用户进行删除.
符合
A.9.3
用户职责
A.9.3.1使用秘密鉴别信息
应要求用户在使用秘密鉴别信息时,遵循组织的实践。
符合要求
符合
A.9.4
系统和应用访问控制
A.9.4.1信息访问控制
应依照访问控制策略限制对信息和应用系统功能的访问。
《计算机管理程序》
符合
A.9.4.2安全登录规程
在访问控制策略下,访问操作系统和应用应通过安全登录规程加以控制。
《计算机管理程序》对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。
符合
A.9.4.3口令管理系统
口令管理系统应是交互式的,并应确保优质的口令。
测试部的用户口令,长度有11位。
符合
A.9.4.4特殊权限使用工具软件的使用
对于可能超越系统和应用程序控制措施的适用工具软件的使用应加以限制并严格控制。
依据《访问控制程序》,《计算机管理程序对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。
符合
A.9.4.5对程序源代码的访问控制
应限制访问程序源代码
依据《访问控制程序》,《网络安全管理规定》对网络的使用、外部连接用户的身份认证、网络设备的识别、运程诊断和配置端口的保护、网络隔离及连接和路由控制等得到了有效控制和实施。
符合
附录编号及名称
审核内容和方法
审核记录
判断
A.14系统获取、开发和维护
A.14.1
信息系统的安全需求
A.14.1.1信息安全要求分析和说明
信息安全相关要求应包括新的信息系统要求或增强已有信息系统的要求
按《设计、开发管理与变更程序》进行项目评审.
符合
A.14.1.2公共网络应用服务安全
应保护公共网络中的应用服务信息,以防止欺骗行为、合同纠纷、未授权泄露和修改。
《设计、开发管理与变更程序》、《
符合
A.14.1.3保护应用服务交易
应保护涉及应用服务交易的信息,以防止不完整传送、错误路由、未授权消息变更、未授权泄露、未授权消息复制或重放。
不适用
/
A.14.2
开发和支持过程中的安全
A.14.2.1安全开发策略
应建立软件和系统开发规则,并应用于组织内的开发。
按《《设计、开发管理与变更程序》、
符合
A.14.2.2系统变更控制规程
应通过使用正式变更控制程序控制开发生命周期中的系统变更。
制订了变更控制程序
符合
A.14.2.3运行平台变更后应用的技术评审
当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
在开发时考虑平台的可用性,并做好测试及分布
符合
A.14.2.4软件包变更的限制
应对软件包的修改进行劝阴,只限于必要的变更,且对所有的变更加以严格控制。
不同权限的软件包不一样。
符合
A.14.2.5安全系统工程原则
应建立、记录和维护安全系统工程原则,并应用到任何信息系统实施工作。
查“东方信腾电子档案管理”有评审资料,有立项可行性分析报告,初期项目计划,测试计划
符合
A.14.2.6安全开发环境
组织应建立并适当保护系统开发和集成工作的安全开发环境,覆盖整个系统开发生命周期。
“东方信腾电子档案管理”采用项目的方法,由总经办负责搭建平台
符合
A.14.2.7外包开发
组织应管理和监视外包系统开发活动。
有财务软件的使用。
符合
A.14.2.8系统安全测试
在开发过程中,应进行安全功能测试。
有测试报告
符合
A.14.2.9系统验收测试
对于新建信息系统和新版本升级系统,应建立验收测试方案和相关准则。
按测试方案出测试报告,系统测试报告
符合
A.14.3
测试数据
A.14.3.1系统测试数据的保护
测试数据应认真地加以选择、保护和控制。
按研发数据风险控制及恢复措施.
符合
附录编号及名称
审核内容和方法
审核记录
判断
A.10密码学
A.10.1
密码控制
A.10.1.1使用密码控制的策略
应开发和实施使用密码控制措施来保护信息的策略。
开发的软件会使用加密狗,且使用有政府批准的产品
符合
A.10.1.2密钥管理
宜开发和实施贯穿整个密钥生命周期的关于密钥使用、保护和生存期的策略。
符合要求,在开发成功,会采用密码调用策略
符合
A.17业务连续性管理的信息安全方面
A.17.1
信息安全连续性计划
A.17.1.1信息安全连续性计划
组织应确定不利情况下(例如,一个危机或危难时)信息安全的要求和信息安全管理连续性。
制订了2018年业务连续计划
2
符合
A.17.1.2实施信息安全连续性计划
组织应建立、文件化、实施和维护过程、规程和控制措施,确保在负面情况下要求的信息安全连续性级别。
没有实施软件开发业务的业务连续性
不符合
A.17.1.3验证、评审和评价信息安全连续性计划
组织应定期验证已制定和实施信息安全业务连续性计划的控制措施,以确保在负面情况下控制措施的及时性和有效性。
有验证
符合
A.17.2
冗余
A.17.2.1信息处理设施的可用性
信息处理设备应冗余部署,以满足高可用性需求。
查4月25记录。
有巡查记录。
符合
被审核部门:
总经办
审核员签字:
李海清时间:
2017.9.11
附录编号及名称
审核内容和方法
审核记录
判断
A.11物理和环境安全
A.11.1
安全区域
A.11.1.1物理安全周边
应定义安全周边和所保护的区域,包括敏感或关键的信息和信息处理设施的区域。
建立了安全区域管理程序
符合
A.11.1.2物理入口控制
安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
保安对进行人员的控制,
符合
A.11.1.3办公室、房间和设施的安全保护
为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。
针对办公室、房间有相关的保护措施,如灭火设备的配备.
符合
A.11.1.4外部环境威胁的安全防护
为防止自然灾难、恶意攻击或事件,应设计和采取物理保护措施。
灭火设备的配备,烟感系统
符合
A.11.1.5在安全区域工作
应设计和应用工作在安全区域的规程。
有规定《安全区域管理程序》
符合
A.11.1.6交接区安全
访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。
《安全区域管理程序》、《办公区机房管理制度》
符合
A.11.2
设备
A.11.2.1设备安置和保护
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
《信息处理设施安装使用管理程序》中规定了设备的保护
符合
A.11.2.2支持性设施
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
《信息处理设施安装使用管理程序》
符合
A.11.2.3布缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
信息处理设施安装使用管理程序
符合
A.11.2.4设备维护
设备应予以正确地维护,以确保其持续的可用性和完整性。
信息处理设施安装使用管理程序,IT人员旧电脑进行统一拆卸。
符合
A.11.2.5资产的移动
设备、信息或软件在授权之前不应带出组织场所。
信息处理设施安装使用管理程序。
IT人员旧电脑进行统一拆卸,把硬盘统一收集交于总经办
符合
A.11.2.6组织场外设备和资产的安全
应对组织场所外的设备采取安全措施,要考虑工作在组织场所以外的不同风险。
信息处理设施安装使用管理程序
符合
A.11.2.7设备的安全处置或再利用
包含储存介质的设备的所有项目应进行验证,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。
总经办记录电脑报废单,批准后再进行统一处置。
符合
A.11.2.8无人值守的设备
对扫描仪、PC机、笔记本,网络设施等在防护、处置、销毁、维护等管理活动中符合要求的情况。
符合
A.11.2.9桌面清空及清屏策略
查监控管理系统服务器
符合
A.12操作安全
A.12.1
文件操作规程和职责
A.12.1.1文件化的操作规程
操作规程应形成文件并对所有需要的用户可用。
符合要求,有文件控制程序,受控文件清单。
符合
A.12.1.2变更管理
对影响信息安全的组织、业务过程、信息处理设施和系统等的变更应加以控制。
制订《变更管理程序》编号
符合
A.12.1.3容量管理
资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能。
符合要求
符合
A.12.1.4开发、测试和运行环境分离
开发、测试和运行环境应分离,以减少未授权访问或改变运行环境的风险
符合要求,《设计、开发管理与变更程序》
符合
A.12.2
恶意软件防护
A.12.2.1控制恶意软件
应实施恶意软件的检测、预防和恢复的控制措施,以及适当的提高用户安全意识。
IT统一安装,其他人无权限安装软件
符合
A.12.3
备份
A.12.3.1信息备份
应按照已设的备份策略,定期备份和测试信息和软件
各部每周备份到规定的移动硬盘.
符合
A12.4
日志和监视
A.12.4.1事态记录
应产生记录用户活动、异常情况、故障和信息安全事态日志,并保持定期评审。
查CCTV管理日志,及部门电脑日志正常
符合
A12.4.2日志信息的保护
记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。
自动保存3个月
符合
A12.4.3管理员和操作员日志
系统管理员和系统操作员的活动应记入日志,保护日志并定期评审。
查日志保护,符合要求.
符合
A12.4.4时钟同步
一个组织或安全域内的所有相关信息处理设施的时钟应使用一参考时间源进行同步。
符合要求
符合
A.12.5
运行软件的控制
A.12.5.1在运行系统上安装软件
应实施规程来控制在运行系统上安装软件。
经过测试,评审
符合
A.12.6
技术脆弱性管理
A.12.6.1技术脆弱性的控制
应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。
有分析
符合
A.12.6.2限制软件安装
应建立和实施软件安装的用户管理规则。
IT人员统一管理
符合
A.12.7
信息系统审计考虑
A.12.7.1信息系统审计控制措施
涉及对运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便使造成业务过程中断最小化
升级会员 