2020年ISO27001-2013信息安全管理体系内审检查表Word文件下载.docx
《2020年ISO27001-2013信息安全管理体系内审检查表Word文件下载.docx》由会员分享,可在线阅读,更多相关《2020年ISO27001-2013信息安全管理体系内审检查表Word文件下载.docx(18页珍藏版)》请在冰点文库上搜索。
7.2能力
检查组织在岗位说明书中明确信息安全方面的能力要求
检查组织的培训计划,是否有信息安全方面的培训内容
7.3意识
随机访谈各部门员工5人,了解其是否知晓最新的信息安全管理体系及相关制度。
7.4沟通
了解组织与相关方沟通的方式,频率以及沟通的记录
8
运行
8.1运行的规划和控制
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评价
检查组织是否有体系有效性测量流程
9.2内部审核
检查组织是否建立了内审流程
检查最新的内审活动,是否包含检查清单、检查过程是否
有效,对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.19.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评审。
A.6
信息安全组织
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责?
以及对自己信息安全职责的明确程度?
信息安全职责的分配是否与信息安全方针文件相一致?
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门
或负责人
A.6.1.3
与特殊利益团体的联系
与第三方接洽是否考虑了安全性?
是否对相关资质和背
景进行考察?
A.6.1.4
项目管理中的信息安全
抽样检查本年度已实施完成的项目或正在实施的任意一个项目。
检查项目管理过程中,是否依照组织信息安全管理制度相
关要求进行安全管理
A.6.1.5
职责分离
检查组织的岗位职责表,检查是否明确定义了职责说明。
检查是否有不兼容岗位设置说明;
检查系统开发、系统测试、系统运维是否由不同人员担任。
A.6.2
移动设备和远程办公
A.6.2.1
移动设备策略
检查公司信息安全管理制度中是否明确的制定了移动设
备的安全管理策略;
随机抽样3台移动设备,检查设备的安全管控措施是否与制度相符。
A.6.2.2
远程办公
检查公司信息安全管理制度中是否明确的制定了远程办
公的管理策略;
A.7
人力资源安全
A.7.1
任用之前
A.7.1.1
筛选
随机抽样4名新入职员工的入职材料,检查员工入职前,背景调查的相关记录.
A.7.1.2
任用的条款及条件
检查这4名新入职员工的劳动合同及是否签署了保密协议。
A.7.2
任用中
A.7.2.1
管理职责
随机抽样5名员工,检查是否了解其工作职责。
A.7.2.2
信息安全意识,教育和培训
获取组织年度的培训计划;
检查年度培训计划中是否包含了信息安全意识培训;
获取当年度信息安全培训的签到表、培训记录
A.7.2.3
纪律处理过程
检查组织是否制定了奖惩规则;
获取当年奖惩记录
A.7.3
任用的终止或变化
A.7.3.1
任用终止或变化的责任
获取当年离职离岗或转岗人员清单;
随机抽样四份离职或转岗记录,检查所有控制环节是否都
被有效实施;
A.8
资产管理
A.8.1
对资产负责
A.8.1.1
资产清单
获取组织的信息资产清单;
检查信息资产清单是否每年都进行更新;
A.8.1.2
资产责任人
检查资产清单中各类信息资产是否都指定了责任人;
抽样5份重要的信息资产,验证已定义的信息资产责任人
是否与实际相符;
A.8.1.3
资产的允许使用
了解组织重要系统或数据是否定义了访问规则;
检查系统及数据访问的审批或授权记录。
A.8.2
信息分类
A.8.2.1
信息的分类
检查信息资产相关制度,组织是否已定义了资产分类分级
的标准;
检查信息资产清单,各类信息资产是否依照规则进行了分
类和分级;
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明
确标记了保密等级
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的
处理措施;
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
A.8.3
介质处理
A.8.3.1
可移动介质的管理
现场观察移动存储使用和管控与制度是否相符;
A.8.3.2
介质的处置
检查是否建立介质消磁管理办法,并按要求定期进行回顾
与更新;
抽查4份介质报废的审批及处置记录
A.8.3.3
物理介质传输
存有重要信息的介质传送时有哪些策略
抽样策略的实施情况
A.9
访问控制
A.9.1
访问控制的业务要求
A.9.1.1
访问控制策略
检查组织是否建立了系统的访问控制策略;
是否建立了安全或重要区域的访问控制措施
A.9.1.2
网络服务的使用政策
检查组织是否建立了网络安全域访问控制策略;
A.9.2
用户访问管理
A.9.2.1
用户注册和注销
检查账户开通管控情况:
抽样2份重要业务系统用户帐号开通审批记录
抽样4份新员工帐号开通申请记录
A.9.2.2
特权管理
检查特权账户授权、使用管控情况:
抽样3份重要系统特权账户授权审批记录
检查特权账户使用是否符合制度要求
A.9.2.3
用户秘密认证信息的管理
检查组织用户口令管理策略,是否对口令生成、发送、变更等环节制定了控制措施。
A.9.2.4
用户访问权的复查
抽样2套重要的服务器用户帐号及权限复查记录;
检查账
户及权限复查工作是否满足制度要求
A.9.2.5
移除或调整访问权限
随机检查2个重要系统账户清单,检查今年离职用户的账
户是否被删除或冻结
A.9.3
用户职责
A.9.3.1
秘密认证信息的使用
随机检查3名员工电脑,要求其现场登录,观察输入的密
码长度及复杂程度
A.9.4
系统和应用程序的访问控制
A.9.4.1
信息访问限制
1.公司各类信息是否制定了相应的访问控制措施
2.现场抽查访问控制措施的有效性
A.9.4.2
安全登录程序
检查公司系统登录程序,是否做到输入密码时,不显示密码。
密码连续输错N次自动锁定;
系统不操作一定时长后自动退出等功能。
A.9.4.3
口令管理系统
检查域控的密码策略,检查密码设置的长度、复杂程度、
修改周期是否符合制度要求;
;
随机抽查2个重要系统的用户密码管理策略,检查密码设
置的长度、复杂程度、修改周期是否符合制度要求;
A.9.4.4
特权实用程序的使用
抽查公司域控、重要系统中是否存在特权实用程序,这些程序的安全使用是否得到相应的审批
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施,检查其是否符合制度要求
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略,包括加密的对象、加密的
方法、解密的方法等。
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
A.11
物理和环境安全
A.11.1
安全区域
A.11.1.1
物理安全边界
重要安全区域是否隔离?
A.11.1.2
物理入口控制
现场抽样3份设备进出单
检查职场、机房进出记录?
A.11.1.3
办公室,房间和设施的安全保
护
现场查看办公室的防火'
防盗措施,检查职场大门是否常闭
A.11.1.4
外部和环境威胁的安全防护
周遍环境的检查(灭火设备、危险物品存放)
A.11.1.5
在安全区域工作
安全区域是否有明确的管控措施
检查是否有员工违背安全区域管控措施的行为
A.11.1.6
交付和交接区
前台的检查(检查记录是否完备)前台脱岗,保安脱岗.
A.11.2
设备
A.11.2.1
设备安置和保护
检查设备是否按照要求放在适当的位置?
(灭火器材、服
务器)
A.11.2.2
支持性设备
检查核心设备是否安置了足够的支持设施(防火、防水、防潮、防断电、防雷电、防盗窃等)
A.11.2.3
布缆安全
检查强电与弱电电缆是否分开部署
A.11.2.4
设备维护
检查机房巡检记录,
获取UPS、精密空调、消防设施的维护记录;
验证设备维护是否依照制度的要求及频率实施
A.11.2.5
资产的移动
与相关人员访谈,了解资产移动的控制措施;
A.11.2.6
场外设备和资产安全
检查相关制度,是否明确制定了场外设备管控措施;
A.11.2.7
设备的安全处置或再利用
随机抽样下架设备数据清理的记录
A.11.2.8
无人值守的用户设备
现场观察机房中的服务器是否锁屏,机房门是否常闭
A.11.2.9
清除桌面和清屏策略
随机抽样3名离开工位的员工,观察工位上是否有敏感信息,电脑是否在一定时间内自动锁频
A.12
操作安全
A.12.1
操作程序和职责
A.12.1.1
文件化的操作程序
检查3份重要系统或设备的操作或维护手册
形成的文件程序是否符合要求?
(备份、日志、重置维护
等)
A.12.1.2
变更管理
抽样3个重要系统的变更记录?
A.12.1.3
容量管理
是否对重要设备、系统的容量(CPU、内存、硬盘、网络
带宽等)进行了监控?
现场检查监控报警是否都被处置,及处置记录
A.12.1.4
开发,测试和运行环境的分离
现场检查开发、测试和生产网络是否互通;
开发、测试和生产人员是否为同一人员。
A.12.2
恶意软件防护
A.12.2.1
控制恶意软件
抽样5台办公终端,检查是否统一安装了公司规定的防病
毒软件;
检查病毒库是否为最新的。
A.12.3
备份
A.12.3.1
信息备份
获取备份策略;
依照备份策略,随机抽样3份备份,检查备份记录及备份
文件存放情况;
依照备份策略,随机抽样3份备份恢复记录;
A.12.4
记录和监控
A.12.4.1
事件日志
日记记录表的检查
抽查重要系统、核心网络设备的日志审计记录(日志检查
表)
A.12.4.2
日志信息的保护
检查检查重要系统日志防护措施,是否保障日志不被随意
删除、篡改
A.12.4.3
管理员和操作员日志
随机抽取3份重要系统或设备的管理员操作日志审核记
录
A.12.4.4
时钟同步
抽查3台系统设备的时间,确定是否保持一致
A.12.5
操作软件的控制
A.12.5.1
操作系统软件的安装
检查生产系统软件安装的审批记录;
A.12.6
技术漏洞管理
A.12.6.1
技术漏洞的管理
抽查公司漏洞扫描记录及处置记录
A.12.6.2
限制软件安装
检查是否有软件白名单或黑名单
随机抽样3台办公终端,查看是否可以随意安装软件
检查抽样的办公终端,查看是否存在违规软件
A.12.7
信息系统审计考虑
A.12.7.1
信息系统审计控制
获取上一年度审核计划及审批记录
A.13
通信安全
A.13.1
网络安全管理
A.13.1.1
网络控制
检查一台核心防火墙的规则策略,是否与公司网络控制策略相符;
A.13.1.2
网络服务的安全
检查公司网络设备及安全设备的策略是否能有效的限制
和防护网络服务
A.13.1.3
网络隔离
获取网络拓扑图;
了解安全域或网段划分策略;
检查隔离网段间是否能互连;
A.13.2
信息传输
A.13.2.1
信息传输的策略和程序
检查组织对敏感信息制定了传输和控制策略;
现场查看,传输控制措施的实施情况;
A.13.2.2
信息传输协议
检查组织是否制定了信息传输协议使用策略及要求;
A.13.2.3
电子消息
检查组织是否制定了电子邮件、及时通信工具的使用策略;
A.13.2.4
保密或不泄露协议
随机抽查3位研发人员的保密协议,查看协议中是否明确保密要求。
A.14
系统获取,开发和维护
A.14.1
信息系统的安全要求
A.14.1.1
安全需求分析和规范
获取本年度已完成或正在实施的软件开发项目清单;
获取组织系统开发规程,检查开发规程中,是否明确各类
系统开发时信息安全的设计要求;
获取一个项目的需求及开发文档,检查文档中是否有信息安全相关的需求及开发设计;
A.14.1.2
保护公共网络上的应用服务
检查公司官网信息变更控制内容
A.14.1.3
保护应用服务交易
检查网络交易类应用服务系统,在数据交换、网络连接等
方面是否制定了控制措施;
A.14.2
开发和支持过程中的安全
A.14.2.1
安全开发策略
检查公司是否建立了开发策略
A.14.2.2
变更控制程序
检查新系统上线审批记录;
检查新系统变更审批记录;
A.14.2.3
操作平台变更后对应用的技术
评估
获取生产系统操作系统升级记录,检查升级前的评估测试
记录;
A.14.2.4
软件包变更的限制
检查组织是否建立了系统开发软件包变更控制措施;
A.14.2.5
系统开发程序
检查组织是否建立了系统开发程序及过程
A.14.2.6
安全的开发环境
现场检查开发环境是否与办公环境物理分隔
观察开发网络控制措施的有效性
A.14.2.7
外包开发
检查组织是否制定了外包开发策略。
A.14.2.8
系统安全性测试
抽取已上线系统的安全测试报告
A.14.2.9
系统验收测试
抽取系统验收报告及各项测试报告
A.14.3
测试数据
A.14.3.1
测试数据的保护
检查生产数据脱敏记录;
A.15
供应关系
A.15.1
供应关系的安全
A.15.1.1
供应关系的信息安全策略
检查组织是否建立了供应商信息安全管理策略
A.15.1.2
供应商协议中的安全
获取本年度供应商清单;
随机抽取3份供应商合同及保密协议,检查合同或保密协议中是否明确了信息安全方面的要求。
A.15.1.3
信息和通信技术供应链
检查与通信供应商签署合同中,是否明确了网络线路的可
用性要求
A.15.2
供应商服务交付管理
A.15.2.1
监测和审查供应商服务
了解供应商考核方式
随机抽查3份供应商考核记录;
A.15.2.2
供应商服务变更管理
了解供应商服务变更管理策略;
随机抽查1份供应商服务内容变更及变更审批的记录
A.16
信息安全事件管理
A.16.1
信息安全事件管理和持续改进
A.16.1.1
职责和程序
检查公司有无明确定义信息安全事件处置流程和职责
A.16.1.2
报告信息安全事态
了解信息安全事件上报流程;
获取信息安全事件上报记录
A.16.1.3
报告信息安全弱点
访谈任意1名员工,观察其是否了解可疑安全事件上报流
程
A.16.1.4
评估和确定信息安全事态
随机抽取2份信息安全事件处置记录,检查事件评估及处置记录是否齐全,是否符合制度要求
A.16.1.5
信息安全事件响应
检查信息安全事件处置记录,查看事件相应及处置时间是
否如何制度要求
A.16.1.6
回顾信息安全事故
抽样当年信息安全事件总结记录
A.16.1.7
收集证据
检查信息安全事件处置记录,查看事件处置过程中,是否对证据进行保留和收集;
A.17
信息安全方面的业务连续性管理
A.17.1
信息安全连续性
A.17.1.1
规划信息安全连续性
获取本年度业务连续性计划
A.17.1.2
实现信息安全的连续性
获取各类场景或各类系统的灾难恢复相关预案
A.17.1.3
验证,评审和评估信息安全的
连续性
获取年度业务连续性演练计划抽样2份业务连续性演练方案抽样业务连续性演练总结报告
A.17.2
冗余
A.17.2.1
信息处理设施的可用性
现场检查重要网络、设备有冗余设计;
A.18
符合性
A.18.2
信息安全审查
A.18.2.1
信息安全的独立审查
获取上一年度内部审核记录及处置记录
A.18.2.2
符合安全政策和标准
抽样事件记录,查看公司有无不符合安全政策和标准的事
件
A.18.2.3
技术符合性检查
抽查漏洞扫描、渗透测试等记录
A.18.1
符合法律和合同的要求
A.18.1.1
识别使用的法律和合同的要求
抽查年度法律法规识别清单
A.18.1.2
知识产权(IPR)
随机抽取3台办公终端,检查是否有使用盗版的情况;
检
查是否有超量安装商业软件的情况
A.18.1.3
文档化信息的保护
了解公司数据资产保护策略
随机抽样检查文档信息防护措施是否与策略相符
A.18.1.4
隐私和个人信息的保护
抽查公司员工信息就档案是否得到周全防护。
A.18.1.5
密码控制措施的监管
检查公司软件开发使用的加密技术和策略是否符合相关法律及监管部门的要求。
独立的信息安全评审
对组织信息安全处置和实施方法进行评审
符合安全策略和标准
定期对信息安全过程和规程进行评审
A.18.
升级会员 