当前位置:文档之家 › 信息安全稽核检查表样板

信息安全稽核检查表样板

  • 格式:doc
  • 大小:34.50 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

信息安全检查表

信息安全检查表
○是○否
41、对本次检查中发现问题的整改比例
____%
○从未更换或偶尔更换
○一个月以上
○一个月
○半个月
○每周或更短
32、系统管理和数据库管理的口令长度是多少?
○小于8位○大于8位
33、是否存在多台服务器或多个帐户使用同一口令的情况?
○是○否
34、对网站进行远程维护时,是否采取了加密措施?
○是○否
35、是否对自管的域名解析系统采取了安全防护措施?
○是○否
20、是否保留了系统安全日志?
○是○否
21、系统安全日志查看的周期是多少?
○每月○每周
○每天○偶尔查看或从不查看
22、是否有独立的安全审计系统?
○是○否
23、网站服务器和同一网段内其他服务器之间是否有访问控制措施?
○是○否
24、操作系统最近一次升级的日期
_____月_____日
25、Web服务系统最近一次升级的日期
○是○否
5、网站名称、域名
6、网站安全等级保护级别
○四级○三级○二级○未定级
7、网站主机服务器运行维护管理方式
○自行管理○委托管理
8、是否对安全规章制度进行了梳理?
○是○否
9、是否有明确的网站安全责任处罚规定?
○是○否
10、是否对安全防护措施进行了评估?
○是○否
11、如果开展了安全防护措施评估,评估结果是什么?
○有效○基本有效○否
12、本年度是否开展了网站安全风险评估或等级测评?
○自评估
○委托专业评估
○没有开展
13、是否进行了下列安全检查?
○SQL注入攻击隐患
○跨站脚本攻击隐患
○弱口令
○操作系统补丁安装情况

网络信息安全检查表参考模板范本

网络信息安全检查表参考模板范本
被查单位:整改负责人:整改限期:
网络信息安全检查表
序号
检查内容
检查方法
检查结果
备注
1
查制度及预案:检查各单位网络管理的各项制度,网络安全的保障方案,报汛网络的应急预案,以及落实情况(工作日志记录)
查资料
2
查信息发布、审核、登记:应该有书面制度和审核登记记录
查资料
3
查信息的监视、保存和备份:对BBS的帖子应先审后贴;对交互式栏目发布的信息应有监视措施
询问
测试
7
实战测试:抽查网络管理人员网络配置管理、网络故障管理、网络性能管理和网络安全管理等方面的应用能力。
查现场
8
查外部安全:查灭火器配置品种、数量是否符合要求,有无失效或挪作他用;查防盗措施是否有效。
查现场
9
查工作纪律:无关人员是否能随意进入
查现场
存在的主要问题及其它异常情况
整改
具体
要求
检查单位:检查负责人:
查资料
4
查IP地址分配和管理:接入互联网的公网和私网IP地址要求一台机器一个地址;有详细的IP地址分配记录
查资料
5
查线路及硬件等的物理安全ቤተ መጻሕፍቲ ባይዱ包括防雷):检查各单位网络线路、网络结构、网络设备、网络终端、防雷措施等,及早发现安全隐患,及时处理存在的问题,确保汛期网络系统各环节的正常运转
查现场
6
查系统安全:应用服务器的安全措施;计算机网络病毒的防控措施;防黑客攻击技术措施;定期对系统漏洞进行扫描并打补丁

信息安全检查表1

信息安全检查表1
组织培训情况
□本年度是否组织开展信息安全教育培训,次数:
参训人员比例
本年度参加信息安全教育培训的人员占总人数比例为:
七、信息安全检查情况
信息安全检查工作情况
检查工作和经费落实情况: □已落实 □未落实
检查工作方案制定情况: □已制定 □未制定
安全保密和风险控制措施: □已采取 □未采取
组织开展技术检测情况: □已开展 □未开展
□博客内容经审核后发布 □未经审核即可发布
终端计算机
安全管理
①终端计算机安全管理方式:
□使用统一平台对终端计算机进行集中管理 □用户分散管理
②帐户口令管理:
□无:空口令、弱口令和默认口令 □有
③接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
④漏洞扫描、木马检测: □定期进行 □未进行
其中感染恶意代码的终端计算机台数:
漏洞检测结果
①进行过漏洞扫描的服务器台数:_______ ,其中存在漏洞的服务器台数:______ ,存在高风险漏洞的服务器台数:_______
②进行过漏洞扫描的终端计算机台数:______ ,其中存在漏洞的终端计算机台数:____ ,存在高风险漏洞的终端计算机台数:
安装Linux操作系统的计算机台数:
安装其他操作系统的计算机台数:
数据库
总套数:,其中国产套数:
信息安全设备
①安装国产防病毒产品的终端计算机台数:
②防火墙(不含终端软件防火墙)台数:
其中国产防火墙的台数:
六、信息安全教育培训情况
参加培训情况
□本年度是否派员参加信息安全相关业务培训,人次数:,培训部门名称
□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 □未部署

供应商信息安全审核检查表

供应商信息安全审核检查表

委托
14
是否对操作系统补丁安装情况

15
是否对网站服务器系统及应用系统补丁安装情况

16
释放有对防病毒软件升级情况?

17
是否有网页防篡改措施?

18
是否有边界保护措施?

19
是否有抗拒服务攻击措施?

20
是否保留了系统安全日志?

21
是否对移动设备带来的风险有措施?

22
是否有措施对远程办公时信息的访问、处理和存储的安全隐 患?

6
网站名称、域名是否安全?

7
网站安全等级保护等级?
二级
8
网站主机服务器运行维护管理方式?
√自行
9
是否对安全规章制度进行了梳理?

10
是否有明确网络安全责任处罚规定?

11
是否对安全防护措施进行了评估?

网络安全
12
如果开展了安全防护措施评估?评估的结果是?

有资料,评估无风险
13
本年度是否开展了网络安全风险评估和等级测评?

37
员工有对聘用终止或变更的资产归还要求?

38
是否有外包厂终止合作或变更的资产归还要求?

39
所有的资产是否有固定的编号标识和使用要求?

ISMS-HD-P-12-05 版本:A
序 号
类别
审核内容事项(提问+检查)
40
对于办公区域进行安装了门禁或密钥?
判定结论(对方列打“√”)
满足
轻微满足
不满足
47

信息安全内部审核检查表

信息安全内部审核检查表
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风 险评估的结果。
违背组织安全方针和程序的员工公司是否 将根据违反程度及造成的影响进行处罚, 处 罚在安全破坏经过证实地情况下进行?
学习参考
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。
公司是否规定了员工、 合同方以及第三方的 聘用条款和条件?
学习参考
A.8.2
聘用期间
目标
确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关 系、他们的职责和义务、并准备好在其正常工作过程中支持组织的 安全方针,并且减少人为错误的风险。
审核发现
A.8.2.1
管理职责
控制
根据Info-Riskmanager风 险评估的结果。
A.8.3.1
终止责任
控制
根据Info-Riskmanager风 险评估的结果。
在员工离职前和第三方用户完成合同时, 是
否进行明确终止责任的沟通?
A.8.3.2
资产归还
控制
根据Info-Riskmanager风 险评估的结果。
员工离职或工作变动前, 是否办理资产归还 手续,然后方能办理移交手续?
A.8.3.3
分类指南
控制
根据Info-Riskmanager风 险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风 险评估的结果。
对于属于企业秘密、 企业机密与国家秘密的 文件,密级确定部门是否按要求进行适当的 标注?
学习参考

信息安全检查表(1)

信息安全检查表(1)
应急预案制定及备案情况
□已备案 □已制定但未备案 □未制定
应急技术
支援队伍
□本单位自身力量 □外部专业机构 □未明确
信息安全备份
①重要数据: □备份 □未备份
②重要信息系统:□备份 □未备份
③容灾备份服务:□位于境内 □位于境外 □无
五、信息技术产品使用情况
服务器
总台数:,其中国产台数:
使用国产CPU的服务器台数:
□有技术措施用于控制和管理口令强度 □无技术措施
□无:空口令、弱口令和默认口令 □有
②留言板功能(□开设 □未开设)
□留言内容经审核后发布 □未经审核即可发布
③论坛功能(□开设 □未开设)
□已备案 □未备案
□论坛内容经审核后发布 □未经审核即可发布
④博客功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用□未作清理
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
存储设备
安全管理
①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
四、信息安全应急管理情况
终端计算机
(含笔记本)
总台数:,其中国产台数:
使用国产CPU的计算机台数:
网络设备
总台数:,其中国产台数:
操作系统
①服务器操作系统情况:
安装Windows操作系统的服务器台数:
安装Linux操作系统的服务器台数:
安装其他操作系统的服务器台数:
②终端计算机操作系统情况:

安全管理稽核检查表模版


一处不整改即扣除3分,整改达不到要 求或不及时扣2分/处
查相关文件
安全管理检查考评总得分:
扣分
考核项目
检查人:
具体考核内容
评分标准
检查方法
确认:
不合格项简要记 录
扣分
查培训记录
是否制订工厂内部安全管理相关规定和细则
细则并已经实施加1分
查具体实施效果
新员工上岗前全部进行厂级、车间级、班组级安全 教育
没有培训扣3分,漏级没有培训扣2 分;个别没有培训扣1分,10人以上 没有培训扣2分
查培训签到表
安全培训有考试卷和成绩记录资料台帐
未归档扣1分/项,最多扣5分
查培训考核记录
检查发现扣1分
加工工件有颗粒物件飞溅场合,不戴防护眼睛
检查发现扣1分
应急出口堵塞
检查发现扣2分
非消防需要使用消防设施
检查发现扣2分
消防器材卫生比较脏
检查发现扣1分
消防器材损坏或丢失
检查发现扣1分
消防器材没有按时检查检查表没有填写
检查发现扣2分
无证开叉车
检查发现扣5分
叉车超速、叉车载人
检查发现扣1分
明火作业现场无人监护
管理网络制度
文件岗位职责 是否有安全会议记录台帐
无记录视为没有扣1分
(10分)
安全工作各责任人是否了解与自身工作相关的安全 管理制度内容(考核记录)
不了解扣0.5
分/人次,最多可扣1分
查会议记录 提问管理制度
集团下发的各种安全管理制度是否及时传达到相关 人员(培训记录)
未传达扣0.5 分/次,传达不及时扣0.2 分,最多可扣1分
评分标准
没有配备扣1分
检查方法

信息安全审核检查表

审核发现
A.8.2.1
管理职责
控制
根据Info-Riskmanager风险评估的结果。
公司管理者是否要求员工、合作方以及第三方用户,加强信息安全意识,依据建立的方针和程序来应用安全?
A.8.2.2
信息安全教育和培训
控制
根据Info-Riskmanager风险评估的结果。
与ISMS有关的所有员工,有关的第三方访问者,是否接受安全意识、方针、程序的培训。方针、程序变更后是否及时传达到全体员工。人力资源部通过组织实施培训,确保员工安全意识的提高与有能力胜任所承担的信息安全工作?
对于属于企业秘密、企业机密与国家秘密的文件,密级确定部门是否按要求进行适当的标注?
A.8人力资源安全
标准条款号
标题
目标
/控制
控制理由
控制要求
审核发现
A.8.1
聘用前
目标
对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。
A.8.1.1
角色和职责
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?
管理手册中有信息安全方针
A.5.1.2
信息安全方针评审
控制
根据Info-Riskmanager风险评估的结果。
控制
根据Info-Riskmanager风险评估的结果。
与信息安全有关的部门的安全职责是否明确规定?
A.8.1.2
筛选
控制
根据Info-Riskmanager风险评估的结果。

信息安全稽查checklist[空白模板]


打样物料管控
拿到现场的产品数量要与回收回来的样品数量一致
数量反馈
新品生产前,须提报试产数量给市场部
产品数量 产品登记
产品生产过程中及时做好产品数量盘点并做好记录 所有产品进出生产区域必须有可追溯的记录
产品保管 产品的报废 现场整理
仓储
产品的运输
出入口 人员出入
手机管理
9
实验室
物理隔离
生产完成后,按保密要求放置在对应的保密区, 所有产品都不可私自报废,包括首件,不良品,测试品,调机品, 订单完成后,现场首件样板,调样品,加工品,不良品,等所有产品都要拿到指定区域 订单完成后,现场SIP,SOP,POP,及相关参数表等都必须及时归档保存, 产品储存区要做好外观保护措施,要求不能直观看到产品外观 禁止携带相机、带摄像头智能机、摄像机等可拍摄电子设备进入 产品存储区监控无死角,记录保存三个月 相关产品、物料进出仓库均须有可追溯的记录 半成品、成品、报废品等具备外观的物料,不同区域搬运过程中,除物料员之外,还必须有一名安保 人 员负责押运 数量较少时,用密码箱押运,密码由车间安保人员随机设置且密码箱接口处贴易碎贴,押运人员(非 密 码设置人)及物料员负责将物料运至指定地点,接收方收到密码箱且确认易碎贴完好无损后,打电 话给 物料出门处安保,询问密码箱密码 数量较多,密码箱装不下时,需用押运车押运,押运车门上海关锁并贴易碎贴,接收方收到后确认海 关 锁及易碎贴完好无损后方可接收
信息安全稽查表
NO: 类别
管理项目
检查重点
专职的项目团队,项目经理,项目工程师人员名单要提交给客户 项目PM任命前要提交个人工作背景给客户,且PM变动需经客户方同意方可执行变动
项目团队
1

项目成员信息及成员变动信息需及时提报客户

员工信息安全检查表

员工信息安全检查表一、引言信息安全是企业非常重要的一环,尤其是对于员工的个人信息的保护更为重要。

为确保公司员工的信息安全,制定本员工信息安全检查表,用于对员工信息安全进行全面检查与管理。

二、员工基本信息1. 员工姓名:2. 员工工号:3. 部门:4. 职位:三、员工账号安全1. 是否设置强密码?2. 密码长度是否符合要求?3. 是否定期更换密码?4. 是否存在共享账号或多人共用账号?5. 是否对账号进行二次验证?四、电脑及设备安全1. 是否定期安装系统和应用程序升级补丁?2. 是否安装可靠的杀毒软件并定期更新?3. 是否经常备份重要文件?4. 是否遵守电脑使用规定,不随意安装未经批准的软件或插件?5. 是否将电脑锁定或锁屏离开工位?五、文件和数据安全1. 是否将敏感文件存储在安全的位置或加密文件夹内?2. 是否定期清理不需要的文件或数据?3. 是否妥善保管并定期更改个人账号的访问权限?4. 是否采取控制措施,防止非授权人员复制或传输公司数据?5. 是否将重要文件加密并设置密码保护?六、移动设备安全1. 是否定期更新移动设备的操作系统和应用程序?2. 是否设置屏幕锁定密码?3. 是否启用设备上的定位功能以追踪丢失或被盗设备?4. 是否避免使用公共Wi-Fi网络传输敏感信息?5. 是否避免将公司数据存储在个人的移动设备上?七、邮件和通信安全1. 是否对外部邮件附件进行安全扫描?2. 是否谨慎点击未知发件人或可疑邮件中的链接?3. 是否遵守企业邮件使用规定,谨慎处理公司内部信息?4. 是否对重要文件进行加密传输或使用安全通信工具?八、员工培训与意识1. 是否参加过关于信息安全的培训?2. 是否了解公司的信息安全政策和规定?3. 是否遵守公司的信息安全政策和规定?4. 是否定期组织信息安全相关的培训或宣传活动?九、其他安全问题1. 是否遵守公司的上班时间和离岗时间?2. 是否保管好自己的员工卡和门禁卡?3. 是否报告发现的安全漏洞或异常情况?4. 是否遵守企业内部信息的保密义务?十、总结信息安全是企业的重要环节,也需要每位员工的积极参与与努力。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.2
已申请使用usb存储设备,但使用非公司存储设备(手机及数位相机存储卡、U盘),读取或存放档案资料。
8.信息设备:
8.1
检查信息设备实体安全,处于灰尘、潮溼、高温、电力不稳等易使硬件异常的环境。
8.2
休息时间及下班时,未将计算机关机。
8.3
硬盘、光盘、U盘等存储资料设备没有妥善收藏保管。
表单编号:FB252-00
1.5
使用他人账号和密码。
1.6
计算机内存放与工作无关档案(个人档案、游戏、音乐、影片、小说及无版权软件)。
1.7
未经同意,私自复制或阅读他人档案、邮件。
2.防毒软件:
2.1
计算机没有安装防毒软件。
2.2
防毒软件不能自动更新病毒码,病毒码不是最新版。
3.共享资料夹:
3.1
未经申请,使用共享资料夹。
3.2
共享资料夹权限设定所有人(everyone)皆能读写。
3.3
共享资料夹内存放与工作无关档案(个人档案、游戏、音乐、影片、小说及无版权软件)。
4.网际网络Internet:
4.1
未经申请,使用他人账号上网。
4.2
上网浏览或下载与工作无关网页、档案(个人档案、游戏、音乐、影片、小说及无版权软件)。受稽核部门
受稽核工号
受稽核姓名
计算机名称
稽核人
稽核日期
项目
稽核内容
勾选
备注
1.计算机设定与使用:
1.1
计算机没有加入公司网域。
1.2
计算机没有设定荧幕保护程序及密码保护。
1.3
私自更改计算机系统设定,影响到计算机正常运作。
1.4
计算机登入帐号权限群组不是「Power Users」。
5.1
邮件传送与工作无关档案(个人档案、游戏、音乐、影片、小说及无版权软件)。
5.2
未经申请,私自设定邮件账号或盗用他人邮件账号。
6.软件安装使用:
6.1
未经申请,私自安装软件。
6.2
未经申请,私自安装或使用无版权软件
b存储设备:
7.1
未经申请,使用usb存储设备(手机及数位相机存储卡、U盘)。