ISO27001内审检查表

ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.21审核员二组序号 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 条款事项及检查 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 检查文件/记录检查结果1章节4、5、6、7、8a)访谈了解体系运行状况：访谈和体系文良好-体系建立件、记录文件-管理职责-风险评估-内部审核-管理评审-纠正预防b)抽查-文件修订及发布情况-组织架构情况-风险评估结果-上一次内审记录-上一次管审记录-日常纠正预防措施2A.5.1.1信息安全方针a)访谈被审核对象：访谈和体系文良好A.5.1.2信息安全方针-结合个人岗位职责谈谈信息安全方针、目标体的内容点？件、记录文件的评审-个人是否清楚获悉公司信息安全管理体系文件的获取地点？b)抽查：-抽查被审核对象岗位职责涉及到的日常信息安全记录的输出情况？-现场调阅信息安全相应管理文件，查看具体要求的符合性情况？3A.6.1.1信息安全的角a)访谈：访谈和体系文良好色和职责-是否了解公司的信息安全管理组织？件、记录文件A.6.1.2责任分割-了解日常工作中哪些操作需要进行（信息安全）授权、审批？初步判定其合理性？-是否清楚自己的信息安全职责?ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.21审核员二组序号标准条款事项及检查方法检查文件/记录检查结果A.6.1.3与监管机构的a)访谈：访谈和记录文件良好联-是否关注与外部合作间的风险问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ？系-是否与第三方有具体的保密协定？A.6.1.4与特殊利益团-如可行，抽调与外部的保密 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ？体的联系A.6.1.5项目管理中的信息安全A.6.2.1移动设备策略b)抽查访体系文件、记良好A.6.2.2远程办公-抽查部门公共设备、设施、资源授权、审批的记录完整性情况？录文件-抽查部门移动存储介质清单？核对信息资产清单是否匹配？-有没有适当的机制控制远程用户的访问？4A.7.1.1审查a)访谈：（人力资源管理）访谈和体系文良好A.7.1.2任用的条款及-员工入职前是否执行背景调查？（近一年内是否发生因背景调查不合格，而拒绝录取的情件、记录文件条件况？）-员工入职时，是否签订保密协议？-员工岗位说明书类似文件中是否有明确安全职责？b)抽查-调取近一年内的新进员工清单？-抽查新员工的入职记录？特别关注：背景调查记录、保密协议记录。ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.22审核员二组序号标准条款事项及检查方法检查文件/记录检查结果A.7.2.1管理职责a)访谈：（人力资源管理）访谈和体系文良好A.7.2.2信息安全意-是否有给新员工安排信息安全培训课程？件、记录文件识，教育和培训-培训课程是否有多结果进行考核？A.7.2.3纪律处理过程b)抽查-近一年内新员工信息安全培训的记录（可从系统中实地查看）。-调阅信息安全培训效果考核记录。a)访谈：近3-6个月内的新员工-是否有签订保密协议？（可结合通过人力资源管理岗位调取的清单）-是否有参加信息安全相关的培训？培训了哪些内容？A.7.3.1任用终止或变a)访谈：（人力资源管理）访谈和体系文良好化的责任-员工转岗过程中是否有做资产、权限交割控制？件、记录文件-员工离职是否有进行资产、权限回收控制？b)抽查-调取近一年内的转岗员工清单？-抽查转岗员工的转岗流转记录？特别关注：岗位权限变更时，产生的权限变更记录。-调取近一年内的离职员工清单？-抽查离职员工的离职记录？特别关注：资产、权限的回收记录。5A.8.1.1资产清单a)访谈：访谈和体系文良好A.8.1.2资产责任人-是否有梳理部门/个人职责范围内的各类信息资产？件、记录文件A.8.1.3资产的合理使-调研对信息资产分类、重要性评价的理解情况？用b)抽查A.8.1.4资产的归还-查看部门信息资产清单及重要信息资产分布情况？A.8.2.1信息的分类-根据重要信息资产找到对应的责任人，查看重要信息资产保护力度是否足？是否安全使A.8.2.2信息的标记用？A.8.2.3资产的处理-抽查重要信息资产的敏感性标识情况？（包括纸质、电子版）ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.22审核员二组序号标准条款事项及检查检查文件/记录检查结果方法A.8.3.1可移动介质的管理a)访谈：访谈和体系文良好A.8.3.2介质的处置-了解公司移动介质的使用和管理情况。件、记录文件A.8.3.3运输中的物理介质-是否有移动介质？如磁带、磁盘、闪存等？移动介质是如何管理的？b)抽查-抽查部门移动存储介质清单？核对信息资产清单是否匹配？6A.9.1.1访问控制策略a)访谈：访谈和体系文良好A.9.1.2访问网络和网络服-访谈了解网络访问策略的评审情况？件、记录文件务b)抽查-检查公司网络访问策略文件。A.9.2.1用户注册和注销a)访谈：访谈和体系文部分员工的A.9.2.2用户访问权限的提-访谈部门员工对账号口令安全设置的了解情况？件、记录文件办公终端使供用弱口令，A.9.2.3特殊权限管理-访谈了解最长多长时间更改一次口令？存在信息泄A.9.2.4用户保密认证信息-访谈了解管理员（包括主机、网络设备、防火墙等）账号管理情况？特殊账号（如：的管理超级管理员）管理情况？露的风险-访谈了解管理员账号和权限的定期评审机制？A.9.2.5用户访问权的复查-访谈了解互联网访问权限的评审情况？A.9.2.6移除或调整访问权b)抽查限A.9.3.1保密认证信息的使-抽查部门主机设备的管理员账号安全配置情况？离职员工管理员账号是否及时回收、用冻结或清除？A.9.4.1信息访问限制-抽查重要系统账号的定期评审记录？A.9.4.2安全登录规程-在主机系统安全配置抽查时，核实主机会话超时安全配置情况？a)访谈：A.9.4.3口令管理系统-访谈了解如何对程序源代码进行管理。A.9.4.4特权实用程序的使-是否采取了相应措施对程序源库的代码保持严格控制,以降低程序被破坏的可能性？用A.9.4.5程序源码的访问控ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.22审核员二组序号标准条款事项及检查方法检查文件/记录检查结果7A.10.1密码控制a)访谈：访谈良好A.10.1.1密码使用控制-是否采用加密技术来保护敏感信息？策略-采用了哪些机制以支持组织使用密码技术,保护所有密钥，防止修改和破坏？A.10.1.2密钥管理8A.11.1.1物理安全边界a)访谈：访谈和体系文良好A.11.1.2物理入口控制-访谈被审核人具有哪些门禁权限？件、记录文件A.11.1.3办公室、房间-访谈了解部门具有特殊门禁权限的人员情况？和设施的安全保护-访谈了解门禁系统的管理情况？（行政部门）A.11.1.4外部和环境威b)抽查：胁的安全防护-抽调具有特殊门禁权限的人员情况？权限申请、审批记录是否完整？A.11.1.5在安全区域工-调阅最近新进内部员工和外包人员清单？映射对应的门禁权限申请清单？（确认记录是否作完整）A.11.1.6交付和交接区-抽调门禁系统权限年度评审记录？（行政部门）A.11.2.1设备安置和保c)现场勘查：访谈和体系文良好护-现场勘查部门职场安全情况，包括：员工办公桌面、电源线随意牵拉状况、公共打印区域件、记录文件A.11.2.2支持性设施是否有未及时取走的打印半成品或打印成品等；A.11.2.3布缆安全-现场勘查重要物理区域是否有门禁？人员进出后是否及时关闭？A.11.2.4设备维护A.11.2.5资产的移动A.11.2.6场外设备和资产安全A.11.2.7设备的安全处置或再利用A.11.2.8无人值守的用户设备ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.22审核员二组序号标准条款事项及检查方法检查文件/记录检查结果9A.12.1.1文件化的操作程序a)访谈：访谈良好A.12.1.2变更管理-访谈了解目前的岗位分配、职责分割情况？（确认是否有职责冲突情况）A.12.1.3容量管理-调阅管理员是否了解对应岗位日常运维管理过程中的安全管理相关制度？A.12.1.4开发，测试和运行环-是否有相应的运维手册？（公司级？部门级？岗位级？）境的分离-访谈了解日常运维流程？（网络权限控制、事件和变更处理、容量管理等）-访谈了解相关网络和主机设备、系统的安全配置情况？-访谈了解防病毒管理情况？病毒库更新处理机制？异常处理机制？-访谈了解补丁更新机制？-访谈了解相关日志管理机制？有哪些审计要求？-访谈了解日常会需要输出哪些安全控制记录？ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.23审核员二组序号标准条款事项及检查方法检查文件/记录检查结果A.12.2.1控制恶意软件b)抽查访谈和体系文部分服务器A.12.3.1信息备份-系统安全配置情况？（如：防火墙或相关安全设备、主机、中间件、数据库、应用程序）件、记录文件没有及时更A.12.4.1事况日志-抽查系统日常运行监控情况？监控异常处理记录？新重要安全A.12.4.2日志信息的保-抽调近一年内的事件和变更记录？（系统上，或者纸质）补丁，存在护安全漏洞；-抽调系统数据备份策略情况？A.12.4.3管理员和操作-抽调数据备份执行情况？（日志检查记录，或相关日常巡检记录）员日志-抽调数据备份恢复测试情况？（确认是否至少每年开展一次）A.12.4.4时钟同步A.12.5.1运行系统软件-抽查防病毒服务器维护情况？的安装-抽查主机时钟同步机制和实际同步情况？（随机抽查主机设备）A.12.6.1技术漏洞的管-抽查重要补丁更新记录？（是否有实施补丁测试）理-抽查日志审计记录？A.12.6.2限制软件安装a)访谈：A.12.7.1信息系统审计-访谈了解对桌面终端的管理权限？是否安装统一的桌面控制程序、终端准入程序、数据防泄漏程序、防病毒程序？（是否有软件的安装、卸载权限等）控制-访谈了解操作系统的补丁更新情况？-访谈了解桌面终端防病毒软件情况？-访谈了解USB使用权限？b)抽查-抽查部门终端设备的安全配置情况？是否安装相关桌面控制软件？防病毒软件和病毒库是否为最新状态？木马病毒感染情况？终端软件安装情况？（是否安装非授权软件）终端桌面情况状态？操作系统补丁是否为最新状态？ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.23审核员二组序标准条款事项及检查方检查文件/记录检查结果号法10A.13.1.1网络控制a)访谈：访谈和体系文良好A.13.1.2网络服务安全-是否有与当前运行情况相符合的网络拓扑结构？件、记录文件A.13.1.3网络隔离-是否根据业务情况对网络进行分区隔离？A.13.2.1信息传输的策略-了解当前网络安全区域以及VLAN的划分,及相互间的发文控制。和程序-对于网络边界的防护有哪些安全控制措施？A.13.2.2信息传输协议-是否定期对网络边界的完整性进行检查？A.13.2.3电子消息-有没有保护包含在发送的电子消息中的信息（电子消息包括但不限于电子邮件、电子数据A.13.2.4保密或不泄露协交换、即时通信）？议-是否使用无线网路？-是否将无线网络与内部和专用网络隔离开？11A.14.1.1安全需求 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 和a)访谈：访谈和体系文良好说明-访谈了解系统开发相关的参考制度？件、记录文件A.14.1.2保护公共网络上-访谈了解近一年的新开发系统情况？的应用服务-访谈了解系统开发安全需求、设计、评审、测试、上线等过程的安全控制流程的执行情A.14.1.3保护应用服务交况？易-访谈了解系统日常问题、变更、发布管理机制？A.14.2.1安全开发策略A.14.2.2系统变更控制程-访谈外包开发现状？外包人员管理现状？外包人员权限现状？序-访谈了解测试数据的管理现状？（数据来源？生产数据用于测试时是否有脱密？是否及时删除？）A.14.2.3运行平台变更后b)抽查的技术评估-抽查部门近一年新开发系统中的进行相关资料的调阅？（需求说明书、设计说明书、评审A.14.2.4软件包变更的限记录、测试报告、安全测试报告、安全问题修复证据）制-关于系统开发需求、设计、测试报告等文档中的安全需求是否有体现？A.14.2.5安全系统设计原-抽查系统中的问题、变更、发布流程的执行记录？（连贯流程的记录是否完整，变更中的则必要元素是否齐备？）ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.23审核员二组序号标准条款事项检查文件/记录检查结果及检A.14.2.6安全的开发环境-抽查生产数据用于测试时的申请记录？脱密记录？查方访谈和体系文良好A.14.2.7外包软件开发-抽查渗透测试报告及相关问题的处理情况？（同样适用于安全管理部门）件、记录文件A.14.2.8系统安全性测试A.14.2.9系统验收测试A.14.3.1测试数据的保护12A.15.1.1供应商关系的信息安全策a)访谈：访谈和体系文良好略-公司是否存在第三方服务业务？件、记录文件A.15.1.2供应商协议中的安全-是否清楚与第三方合同、协议情况？（了解服务SLA、保密协议情况）A.15.1.3信息和通信技术供应链-是否有对第三方服务定期进行评价？A.15.2.1监视和审查供应商服务-第三方人员在职场内是怎么实施管控的？包括：网络访问、资源使用。A.15.2.2供应商服务变更管理-是否有组织第三方人员熟悉内部信息安全管理制度要求？-访谈第三方人员。（访谈内容见下方抽查项目）b)抽查-第三方人员访问内部网络情况？-抽查第三方人员使用公司信息资源情况？-抽查第三方人员参加信息安全学习的记录情况？-现场检查第三方人员身份识别卡的配发情况？（是否与本人一致，重点项目）-现场检查第三方自用设备的使用情况？看是否有违规接入内网的清形。13A.16.1.1职责和程序a)访谈：访谈和体系文良好A.16.1.2报告信息安全事况-访谈部门员工对公司信息安全事件管理制度的了解情况？事件通报机制如何？件、记录文件A.16.1.3报告信息安全弱点-访谈了解近一年内部门是否有通报信息安全事件？A.16.1.4信息安全事况的评估和决b)抽查策-抽调近一年内的事件处理记录（如有）？A.16.1.5信息安全事件的响应A.16.1.6从信息安全事件中学习A.16.1.7收集证据ISO27001：2013信息安全管理体系内审检查表内审一组、内审受审部门XX部门部门代表审核日期2020.10.23审核员二组序号标准条款事项及检查方检查文件/记录检查结果法14A.17.1.1规划信息安全a)访谈：访谈和体系文良好连续性-访谈了解部门是否有业务连续性应急预案？件、记录文件A.17.1.2实施信息安全-年度是否有新增应急预案？的连续性-访谈了解灾备建设情况？A.17.1.3验证、评审和-访谈了解相关应急预案的演练情况？培训情况？修订情况？评估信息安全连续性b)抽查A.17.2.1信息处理设施-调阅应急预案？的可用性-调阅已经预案测试记录？-调阅业务连续性灾备演练记录？-调阅业务连续性预案培训记录？-调阅业务应急预案的修订记录？（如有）15A.18.1.1识别使用的法a)访谈：访谈和体系文良好律和合同的要求-访谈部门员工是否了解公司法律、法规遵从性要求？件、记录文件A.18.1.2知识产权-访谈是否了解有哪些法律、法规需要遵从？A.18.1.3记录的保护-访谈了解如何获知所遵从的法律、法规要求？A.18.1.4隐私和个人信-访谈了解是否有随意安装使用各种软件？是否了解哪些软件是可以使用？哪些是不可以息的保护（需要授权）安装使用？A.18.1.5密码控制措施b)抽查的规则-抽查部门10%或至少3名员工桌面软件安装情况？是否有安装非授权软件？如：网络游A.18.2.1信息安全的独戏、非授权的及时聊天工具等立评审A.18.2.2符合安全政策和标准A.18.2.3技术符合性评审