当前位置:文档之家 › 信息安全内审checklist

信息安全内审checklist

  • 格式:docx
  • 大小:26.96 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

信息安全内部审核检查表

信息安全内部审核检查表

上海联众网络信息有限公司ISO27001:2005信息安全目标与控制检查表编制:审核:批准:二〇一三年三月十二日1安全方针标准条款号标题目标/控制控制理由控制要求审核发现信息安全方针目标依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。

信息安全方针文件控制根据Info-Riskmanager风险评估的结果。

总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。

信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?管理手册中有信息安全方针信息安全方针评审控制根据Info-Riskmanager风险评估的结果。

每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?管理评审报告信息安全组织2标准条款号标题目标/控制控制理由控制要求审核发现信息安全组织目标管理组织内部信息安全。

信息安全管理承诺控制根据Info-Riskmanager风险评估的结果。

总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。

该承诺《信息安全管理手册》中进行相是否描述?信息安全的协作控制根据Info-Riskmanager风险评估的结果。

公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。

会议由人事行政部负责组织安排并做好会议记录?信息安全职责分配控制根据Info-Riskmanager风险评估的结果。

公司是否清楚的确定所有的信息安全职责。

最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?对每一项重要资产指定信息安全责任人。

3信息处理设备的授权过程控制根据Info-Riskmanager风险评估的结果。

软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?保密协议控制根据Info-Riskmanager风险评估的结果。

ISMS-4032-内审检查表-Checklist-管理层

ISMS-4032-内审检查表-Checklist-管理层

息安全管理,加强员工保密意识,公司决定在内部营造一种针对影响业务运行的
核心信息的控制氛围,因此经过管理层商议,在公司内部建立 ISO/IEC 27001 的
标准。总经理主要职责:
1 请总经理谈谈对体系建立的看法?
4.1
1) 在现有公司经营环境下制定和审批本公司的信息安全方针和目标
符合
2) 提供支撑体系运行所需要的资源,包括:资金,硬件、软件、人员、时间、
该方针的制定体现了风险管理的成本和效益的平衡原则,考虑到法律、合同中对
信息安全的要求以及公司现有面临的信息安全风险,给出公司建立信息安全工作
符合
的总方向,方针在每年的管理评审中讨论是否需要修订。
按照方针的总原则,总经理制定了本公司 2010 年度的信息安全目标:可用性目
标, 完整性目标, 保密性目标在手册中有详细的描述,对目标的实现程度的度量为
A5 如何表现持续改进?
请总经理谈谈对管理评审的理解,包括评审的时机,
3
7
周期,方式,参与人主持人以及输入输出内容?
公司为了建立信息安全管理体系,成立了专门的工作小组,任命魏良成为管理者
代表全面负责体系建设;根据标准要求,总经理为公司制定并批准了信息安全方
针,方针内容为:
信息安全,人人有责;遵守法规,持续改进。
每年统计以确定是否达成,根据此目标制定有关规程,在日常工作中对发现的违
规、不符合操作予以纠正,确保完善体系,持续改进;
方针、目标发布在公司对内 WEB 公告上或者张贴于公司宣传栏;
为了保证信息安全管理的适宜性、充分性、有效性和持续改进,要求公司每年召
开一次管理评审会议,管理者代表编制 ISMS-4043《管理评审计划方案》,要求

ISO27001:2013信息安全管理体系内部审核检查表

ISO27001:2013信息安全管理体系内部审核检查表
2.确定以上内容时,是否考虑了内外部因素、相关方要求?
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:

ISO27001:2013信息安全管理体系内审检查表英文版

ISO27001:2013信息安全管理体系内审检查表英文版

Compliance - Organisation of Information Security
ISO 27001-2013 Auditor Checklist
01/02/2018
The ISO 27001 Auditor Checklist gives you a high-level overview of how well the organisation complies with ISO 27001:2013. The checklist details specific compliance items, their status, and helpful references. Use the checklist to quickly identify potential issues to be re-mediated in order to achieve compliance.
ISO 27001-2013 Auditor Checklist
01/02/2018
The ISO 27001 Auditor Checklist gives you a high-level overview of how well the organisation complies with ISO 27001:2013. The checklist details specific compliance items, their status, and helpful references. Use the checklist to quickly identify potential issues to be re-mediated in order to achieve compliance.

通用安全管理checklist

通用安全管理checklist

通用安全管理checklist通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾。

内容包含安全策略与计划、组织和人员安全、安全工程管理、安全产品管理与符合性五部分。

安全策略与安全计划▼▼安全策略•是否建立组织的安全策略体系?包括总体安全策略、问题相关安全策略。

•安全策略是否经过管理高层的批准?•是否在策略中指定了安全管理组织、职责、安全管理方法等?•员工是否了解组织的安全策略?•是否指定了专门机构维护策略?包括策略内容,文档管理。

•是否定义策略审查或维护时机?如:出现安全事故、组织及系统变更等。

•是否具有策略维护流程?▼▼安全计划•是否建立组织的安全计划或规划?•安全计划是否符合安全策略?•安全计划或规划是否得到执行?•是否对实施结果与计划的一致性进行审查?组织和人员安全▼▼安全组织•是否建立信息安全管理机构,统一负责组织的信息安全管理工作?•机构成员是否来自相关各方?如:业务部门、IT部门。

•安全管理机构是否包括安全专业人士?•是否聘请外部专业人士?•管理机构内是否有明确的分工?•是否有相应的管理授权流程来处理安全规划、安全规划实施。

•是否有相应的安全事件上报流程?•是否具有安全弱点上报流程?•是否与相关行业或组织机构,如:CNCERT、电信、公安等有联系?定期获取相关信息。

•安全管理工作是否设置不同角色?▼▼个人安全•是否具有员工安全手册?•个人对安全管理的责任是否明确?如:个人不能在PC上散播病毒?•是否对员工的资格进行限定与审核?如:品德、学历、工作经历?•是否与员工签署保密协议?•是否对员工进行内部或外部安全培训?•是否在一定范围内进行岗位轮转?•是否建立安全事故奖惩机制?安全工程管理▼▼项目保障•是否对开展安全工程服务的组织有资质要求?•是否对开展安全工程服务的人员有资质要求?•是否对开展安全工程的项目人员组成有要求?•是否有安全工程方法论?•是否有专门的项目管理人员?•是否有项目培训?▼▼实施过程•是否执行了风险评估?•是否执行了安全需求分析?•是否制定了安全设计方案?•是否制定项目实施方案与计划?•在实施过程中是否有监理?•是否执行了项目的验收?安全产品管理▼▼安全产品采购•是否具有安全产品采购流程?•采购产品是否具有公安部、测评中心相关资质?•采购产品是否具有密码管理局、保密局相关资质?▼▼安全产品使用•是否进行敏感信息消除处理?符合性▼▼法律、法规符合性•是否了解国家/行业/地方信息安全相关的法律法规及制度?•是否将信息系统必须遵循的法律法规、合约文档化?•是否具有控制涉及知识产权的软件或系统传播的措施与流程?•是否保存符合法律法规合约的记录?如:安全产品或服务资格证书?•是否进行相关法律教育?•是否进行信息保密教育?▼▼安全策略与标准的符合性•是否定期或不定期审查信息系统与安全策略的符合性?•是否定期或不定期审查信息系统与安全标准、指南的符合性?·运行管理checklist·灾备与业务连续性管理checklist·网络设计安全评估checklist·开发测试安全管理checklist·系统安全管理checklist·网络安全管理checklist。

信息安全内审检查表

信息安全内审检查表

信息安全内审检查表
以下是一份信息安全内审检查表的范例,供参考:
一、审计目标
1.确保公司信息安全策略和标准的合规性
2.评估信息资产的安全性
3.发现潜在的安全风险和漏洞
4.提高公司信息安全水平
二、审计范围
1.公司所有信息系统
2.物理和逻辑访问控制
3.网络安全
4.加密和身份验证
5.备份和恢复
6.人员安全和培训
7.政策和程序
三、审计方法
1.文档审查:审查公司信息安全政策和程序、系统配置、日志文件等。

2.访谈:与关键人员、系统管理员、安全管理员等进行访谈,了解信息安全实
践和程序。

3.测试:对防火墙、入侵检测系统、加密技术等进行测试,评估其有效性。

4.实地考察:检查物理安全措施,如门禁系统、监控摄像头等。

四、审计步骤
1.审计准备:制定审计计划、确定审计范围和资源、收集相关信息。

2.审计实施:进行文档审查、访谈、测试和实地考察。

3.问题识别:识别存在的安全风险和漏洞。

4.风险评估:评估问题的严重性和影响范围。

5.报告编制:编制审计报告,总结审计结果和建议。

6.跟踪与监控:对审计结果进行跟踪和监控,确保问题得到解决。

五、审计结果和建议
1.对发现的问题进行分类,如高、中、低风险。

2.对每个问题提出具体的建议和解决方案。

3.对建议的解决方案进行成本效益分析,以确定优先级。

4.对已解决的问题进行跟踪和监控,确保其有效性。

信息安全内审checklist

信息安全内审checklist

审查内容审察重点检查时间审察结果发现能否展开了信息安全的检查活动?有安全检查记录或许报告,和改良记录1,能否拟订了财产清单,包含了全部的客户信息财产,包含 1.确认财产清单正确服务器,个人电脑,网络设备,支持设备,人员,数据? 2.确认更新记录2,对这些财产清单能否有按期的更新? 3.客户的财产的保护上边的财产清单上能否表记了全部人和保存人?(重点:确认财产的全部人和保存人被清楚的表记,而且和实质状况符合)确认关于机密信息 ( 电子文档,打印文档 ), 限制范围能否按客户文档的密级规则进行了适合的保护的信息 ( 电子文档,打印文档 ) 能否有‘明确表记’。

依据需要,确认‘限制范围’,‘附加表记’,‘制定日期’,‘拟订者’。

能否使全部职工和信息安全有关人员签订了保密协议/合同?能否有信息安全意识、教育和培训计划?确认培训计划能否履行了信息安全意识、教育和培训?培训记录(实行日期,培训内容/ 教材 , 参加人员)能否拟订了信息安全惩戒规程?能否履行了信息安全惩戒?邮件用户能否消除了?抽查能否有辞职人员的用户权限没有被消除门禁权限能否消除了?内部 OA 权限能否消除了?抽查能否有辞职人员的用户权限没有被消除SVN/CC/VSS 权限能否消除了?部门服务器的权限能否消除(重点:实地检查能否有辞职职工/转出职工的接见了?权限没有被消除)能否制定规则区分了安全地区?确认风险评估时能否区分了安全地区等级能否履行了安全地区区分规则?对不一样样级的地区能否有相应举措,举措能否被执行1.在企业内部,职工能否佩戴能够辨别身份的门能否制定安全地区进出规则?卡。

2.机房,实验室能否有进出管束规则审查内容审察重点检查时间审察结果发现能否履行了安全地区进出规则(前台招待,机房,实验室访安装了防盗设备。

(机房大门的上锁,ID 卡的辨别装置进入,走开的管理),实验室进出能否有管理问控制)?记录能否认期履行门 / 窗等进口安全检查?检查记录能否认义了公共接见/交接地区?确认定义文件能否监控了公共接见和交接地区?实地查察能否有监控举措1.重要的服务器放在安全的地区(如机房)服务器能否获得了妥当的布置和防备? 2.能否有UPS3.温度和湿度适合1.笔录本安装 PoinSec, 配有物理锁个人电脑能否获得了布置和防备? 2.全部电脑使用密码屏幕保护3.不用的笔录本能否放入带锁的柜中。

ISMS-4032-内审检查表-Checklist-研发部

ISMS-4032-内审检查表-Checklist-研发部

是否了解公司的信息安全方针和目标?
符合
详细描述一下公司的风险评估方法和风险处置过 程. 对识别的信息和资产是否都有指定的责任人维
A.1.1 A.1.2 .2.1 .2.2a-d A.2
面临的威胁和脆弱性并予以赋值。根据风险评估模型查表得知安全事件的损失 =F(资产重要程度,脆弱性赋值)、安全事件发生的可能性=L(脆弱性,威胁赋值) 和风险值=R(安全事件的损失,安全事件发生的可能性),编制《信息安全风险 评估报告》 , 《信息安全不可接受风险处理计划》作为其附件是对不可风险接受 资产的处置办法,当信息资产增添或报废时,软件实施部组织资产使用部门应 对《信息资产识别评价表》和《重要信息资产清单》进行修订。 识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要 求,并采取措施控制外部各方带来的风险。
好文档
你我分享
有限公司——20 年度内审检查
受审部门 审核依据 序号 研发部
IS0/IEC 2001:200 ISO/IEC 2002:200审核员 覆盖条 Nhomakorabea 标准条款
受审代表回答
印峰
.2,.2.1,.2.2,,.2,.王五,;
审核日期
2012 年 12 月 20 日
信息安全管理体系文件、适用性声明
符合
知识创造价值
好文档
你我分享
公司设立信息安全管理者代表,全面负责公司 ISMS 的建立、实施与保持工作。 本部门哪些人负有信息处理设备有关的信息和资产 的安全职责? 各自是否了解自身的责任? A.1. 与 ISMS 有关各部门的信息安全职责在《信息安全管理手册》附录中予以描述, 关于具体岗位的信息安全活动的职责在 《计算机应用管理及相关岗位工作标准》 附录中予以明确。 软件实施部参与对信息处理设施的供方技术评价与跟踪。软件实施部分别对各 对于新购买的设备有没有授权过程?有没有信息设 备领用登记表?是否存在使用个人计算机等处理公 司业务,对其如何控制? 理,软件实施部人员需要讲解新设施的正确使用方法。 公司规定软件实施部不允许使用私人计算机用于办公。 本公司的信息是否有分类? (外来文件、电子文档、 人事记录等),分类依据是什么? 根据公司要求的分类要求如何对信息进行标识? 是否识别了哪些信息为本部门需要保密的信息和软 件系统?使用这些保密信息时怎么保证信息安全? 公司员工、第三方等在正式任用前是否进行背景验 证清楚自己的安全角色和职责,将双方的信息安全 职责写进劳动合同或承包合同? 日常工作中是否有人考核本部门的信息安全规定执 行情况? 本部门是否接受过适当的信息安全意识培训和公司 信息安全规定更新的培训? 是否了解违反公司信息安全的处罚制度? A 本公司的信息按照敏感性划分为:公开信息、受控信息、企业秘密三级。对于 A.1. A.2.1 A.2.2 A. A..2 属于企业秘密与国家秘密的文件(无论任何媒体) ,密级确定部门按《密级控制 程序》的要求进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。 信息的使用、传输、存储等处理活动按《信息资产密级管理程序》等进行控制。 本部门需要保护的秘密和受控信息有:标书、已完成项目资料、正在实施项目 资料,图纸等; 对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜 任其任务,以降低设施被盗窃、欺诈或误用的风险。 综合管理部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面 应履行的职责。 所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾 客秘密)与国家秘密。 综合管理部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗 位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。 规格,进行技术选型,并组织验收,确保与原系统的兼容。 A.1. 明确信息处理设施的使用部门接受新设施的信息安全负责人为软件实施部经 自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术 对每一项重要信息资产指定信息安全责任人( 《信息资产识别评价表》 。 )

信息安全分阶段管控checklist

信息安全分阶段管控checklist
②开通项目组核心成员相关权限
2 试产区网络与其他区域做好网络隔离,车间内电脑限制外网权限
3
长盈项目团队的内部网络与其它客户(如F、B、T)的网络隔离(文件不能共享,电脑不能远 程连接,只允许通过服务器收发邮件、通讯,服务器须要有日志审计)
新项目成员外网权限管控:部署专业的上网行为管理系统,要求主管级以上或者特殊需要用 4 户才允许访问外网,特殊网络权限(远程控制、FTP、互联网网盘云盘类、外部邮箱类等)禁
③长盈产品存储区监控无死角,记录保存三个月
DIR
完成时间
目前执行进度/情况说明
备注
相关附件
代表第一次试产,2代表第二次试产;如EVT2试产采用华茂电池盖,则编号为B2H0XXXX
第二阶段 管理规则 完善(612月)
试产线及时进行盘点,试产过程中产生的废品及编码须及时提报给长盈方派驻人员(未打码 5 时产生的废品,须提报数量);如数量或编码发现有异常,须第一时间通知长盈方并立即追
踪异常物料去向及出现问题的原因、背后动机等
2 外观料送样至长盈时,须有专人负责押运、样品必须用保密箱做好防护
1
长盈新项目文档专人、专用服务器接收,且服务器必须安装加密软件Trustview(OPPO方提 供),只有授权人员才能阅读、下载图纸等绝密文档
2 新项目图纸评审:3D图一律在长盈方评审
数据文档 管控
3
项目图纸打印:2D图去客户代码,3D发原图,图纸由专人统一打印,密封袋加易碎贴密封发 至产线
2
信息安全团队主导新项目相关人员签订保密协议:①与项目组参与成员签订项目保密协议② 进行信息安全评估并拟定管控方案
3
信息安全团队组织新项目人员在项目开始前进行信息安全强化培训,本人及培训讲师签字, 记录保存三个月

信息安全内审checklist

信息安全内审checklist
设备处置是否经过了申请?(设备维修,销毁等)
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录
服务器,网络和应用系统的变更是否经过了管理?
变更申请记录
是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态正常。
是否有及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
是否有信息安全意识、教育和培训计划?
确认培训计划
是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员)
是否制定了信息安全惩戒规程?
是否执行了信息安全惩戒?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了?
内部OA权限是否清除了?
抽查是否有离职人员的用户权限没有被清除
(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
是否使所有员工和信息安全相关人员签署了保密协议/合同?
1.是否有隔离区2.从隔离区外是否可以访问区内网络资源
是否对网络连Leabharlann 实施了控制接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是否制订了信息访问限制策略
访问策略定义文件
是否执行了信息访问限制策略
对照文件实地观察实施情况
是否对访问策略进行了审核
审核记录
是否定义了敏感系统
敏感系统列表

信息安全checklist

信息安全checklist
分类
帐号、密码等敏感信息保护
url安全检查
服务器(web)目录、资源安全
输入/输出内容限制
具体检查项 密码强度 帐号、密码等敏感信息是否加密传输(https或其它加密手段) cookie\html源码中包含明文的帐号、密码信息 ID/短信密码方式中,密码是否可以被多次使用 ID/密码验证方式中,连续数次输入错误密码后该账户是否被锁定 短信验证码、随机密码等凭证的有效期控制 url中是否出现未加密的帐号、密码、金额等敏感信息 url串是否有望文生义的字符泄漏路径、模块、业务信息 不登录,直接输入url是否可以打开页面或下载资源 是否有url时效控制 修改url中某些参数后是否可以越权访问资源(比如下载他人的文件) 物理路径泄漏: 虚拟路径中包含部分物理文件夹名称; 输入错误的url,web服务器返回的错误信息中包含物理路径信息 可以list虚拟路径下的目录 在url中包含一个或多个"../",”..\"回溯服务器目录 不登录,不需校验即可下载资源 下载资源没有次数,频率限制
用户可输入html代码片段,js脚本片段,且被服务器直接使用 用户输入内容中含'and 1=1 --','and 1=0 --',‘or 1=0 -‘等sql 注入字符 可上传或发送黄色、反动内容;可从系统获取黄色、反动内容 短、彩、邮件等信息的发送、或获取无频率限制 页面上暴露服务器错误信息,如堆栈信息,sql信息
பைடு நூலகம்
检查结果

ISO IEC27001-2013信息安全管理体系内部审核检查表

ISO IEC27001-2013信息安全管理体系内部审核检查表
检查信息资产清单,各类信息资产是否依照规则进行了分类和分级;
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的处理措施;
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或负责人
现场观察
A.6.1.3
抽样
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施,检查其是否符合制度要求
抽样
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略,包括加密的对象、加密的方法、解密的方法等。
抽样
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。
现场观察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评审。

ISO27001信息安全管理体系内部审核检查表

ISO27001信息安全管理体系内部审核检查表

23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查)
25 备份策略制订
是否有备份策略的制订?
26 备份实施
是否有备份的实施?
27 备份验证
是否有备份的验证
28 备份保护
是否有备份保护
29 是否实施了网络控制
是否有网络访问方面的限制
30 是否对网络服务的安全进行了控制 31 是否有移动介质清单的管理
11 是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
12 是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被 执行
13 是否制订安全区域出入规则?
1.在公司内部,员工是否佩带可以识别身份的门

2.机房,实验室是否有出入管制规则
14
是否执行了安全区域出入规则(前台接待,机 房,实验室访问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识 别装置进入,离开的管理),实验室进出是否有 管理记录
15 是否定义了公共访问/交接区域?
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
符合性 □符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合
□符合 合
□符合 合 □符合 合
□不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符
□不符 □不符 □不符
ISO27001信息安全管理体系内部审核检查表
序 号
审核内容

普通员工信息安全管理checklist

普通员工信息安全管理checklist

普通员工信息安全管理checklist普通员工信息安全管理checklist包括终端安全、软件安装、终端防病毒、网络访问管理、移动终端安全、资料安全、移动介质安全、人事安全管理、物理安全控制九个部分内容。

01.终端安全管理•工作中使用的终端电脑是否公司配备?•工作过程中是否终端电脑为自己专用而不需要共用?•工作电脑是否加入公司域进行统一管理?•终端电脑操作系统账号是否具有管理员权限?•操作系统口令是否满足一定复杂度(八位以上,三种复杂度)?•操作系统口令是否能够定期(三个月)更换一次?•离开座位后是否习惯地将电脑进行锁屏操作?•终端电脑操作系统是否设置了屏幕保护?•终端电脑操作系统桌面上是否放置了工作需要的文件?•下班后终端电脑是否进行关机操作?02.软件安装管理•是否具有权限对操作系统进行软件安装与卸载操作?•终端电脑中可以安装哪些办公软件是否有规定?•软件安装过程是否从公司统一的渠道获得(如服务器)?•是否可以(曾经)从网上下载并安装办公软件?03.终端防病毒•终端电脑里安装了公司统一的企业版防病毒软件?•防病毒软件是否定期(每周)更新病毒库?•是否定期(至少每周)对终端电脑进行全盘病毒扫描?•是否经常(平均每月一次)出现终端电脑病毒或木马?•出现病毒木马等异常是否清楚向哪个部门或人员报告?04.网络访问管理•终端电脑是否可以访问互联网?•终端电脑是否可以发送或接受互联网邮件?•终端电脑是否可以访问并观看视频网站?•终端电脑是否可以安装并使用下载工具(如BT、迅雷等)?•终端电脑是否可以安装并使用即时通信软件(如MSN、QQ)?•终端电脑是否安装了游戏软件(如QQ斗地主等)?•通过互联网传输的重要资料是否进行加密?05.移动终端安全•工作中是否使用移动终端(如笔记本)?•移动终端(如笔记本)是否需要带回家办公?•移动终端(如笔记本)是否采取了加密措施?•移动终端(如笔记本)是否设定安全责任人?•移动终端(如笔记本)是否为一人专用?•移动终端(如笔记本)中的工作资料是否能够及时备份?06.资料安全•工作中的重要电子类资料是否定期进行备份?•电子资料备份是否使用公司或部门统一的备份服务器?•是否需要使用移动介质(如光盘、移动硬盘等)进行备份?•用来进行备份电子资料的移动介质是否进行必要的物理保护?•用来进行电子资料备份的移动介质是否对其中内容进行加密?•重要纸质资料不用时是否放入文件柜或者抽屉?•文件柜或抽屉是否进行上锁并拔下钥匙?•重要纸质归档资料(如合同)借阅或者使用是否有审批手续?•重要档案柜附近是否有灭火器?07.移动介质安全•工作中是否使用移动介质?•移动介质是否为公司或部门统一配发?•移动介质是否为个人专用而不借给他人?•移动介质是否进行了加密保护?•移动介质使用完后是否删除其中资料?•移动介质使用过程中是否进行病毒扫描?•移动介质不用时是否存放在安全环境(如放入上锁抽屉)?08.人事安全管理•进入公司后是否签订了信息安全保密协议?•是否(一年内)参加过信息安全相关培训教育?•是否熟悉公司或部门内部各种规章制度?•是否举行过公司或部门内部规章制度的培训?•是否举行过公司或部门内部规章制度考核与考试?•是否针对信息安全意识及教育进行过各种宣传?09.物理安全控制•进入办公区是否使用门禁卡?•门禁卡是否曾经借给过他人使用?•门禁卡是否随身携带(如挂在脖子上)?•办公环境发现陌生人时是否进行询问?•是否知道办公场所的紧急出口(消防通道)在哪里?•是否参加过针对火灾、地震等灾害的应急演习?•是否知晓最近的灭火器配备在哪里?•是否参加过如何使用灭火器的培训教育?【文末安全书籍推荐】思乎其上,则得其中;思乎其中,则得其下;思乎其下,无所得矣。

实用工具~一份完善的IATF16949内审checklist复制就可用!

实用工具~一份完善的IATF16949内审checklist复制就可用!

实用工具~一份完善的IATF16949内审checklist复制就可用!今天为大家准备了一份IATF16949审核检查表,配合乌龟图过程方法展开审核,非常好用,excel版文件添加小编获取暗号:IATF16949检查表4组织背景4.1了解组织及其背景TBD. (Q.1)验证组织如何确定与其宗旨和战略方向相关的外部和内部TBD.问题。

(Q.2)验证这些问题如何影响实现 QMS 预期结果的能力。

TBD. (Q.3)验证组织如何监控和审查有关这些内部和外部问题的信TBD.息。

4.2了解相关方的需求和期望TBD. (Q.1)验证组织如何确定 QMS 的相关相关方。

TBD. (Q.2)验证组织如何确定相关方的相关需求和期望。

TBD. (Q.3)验证组织如何确定相关方的影响或潜在影响。

TBD. (Q.4)验证组织如何监控和评审有关相关方及其相关要求的信TBD.息。

4.3确定质量管理体系的范围TBD. (Q.1)验证 QMS 范围是否考虑以下因素:TBD.➢外部和内部问题。

TBD.➢相关利益方的要求。

TBD.➢组织的产品和服务。

TBD. (Q.2)验证组织如何确定ISO 9001:2015 标准如何在组织内应TBD.用。

(Q.3)如果组织已确定 ISO 9001:2015 标准的任何要求不适用,TBD.请向我展示产品和服务的符合性如何不受此影响。

(Q.4)验证QMS 范围已记录在案。

TBD. (Q.5)验证范围说明 QMS 涵盖了哪些产品和服务,以及它如何证TBD.明无法应用要求的实例。

4.3.1 确定质量管理体系的范围——补充TBD. (Q.1)验证范围内包含的支持功能TBD. (Q.2)如果采取豁免,请验证它是否适用于ISO 9001第8.3TBD.节。

还要验证允许的排除不包括制造工艺设计。

4.3.2 客户特定要求TBD. (Q.1)验证评估并包含在范围内的客户特定要求TBD.4.4 质量管理体系及其过程TBD. (Q.1)向我展示这些过程是如何确定的以及它们如何相互作用。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是否制订安全区域出入规则?
1. 在公司内部,员工是否佩带可以识别身份的门卡。
2. 机房,实验室是否有出入管制规则
是否执行了安全区域出入规则(前台接待,机房,实验室访问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进出是否有管理记录
是否定期执行门/窗等入口安全检查?
是否有口令的管理
有没有将口令写在便条上,或者告知他人
是否定期对权限进行了审核
定期审核记录
是否制定了口令策略
管理人员的密码设定。
是否有员工号等容易推断的密码。
1个帐号是否有多个用户。
密码是否记录在便条上。
密码为6位英文数字以上。
是否执行了口令策略
是否实施了网络隔离(不同功能和密级网络的隔离,物理或逻辑)?
检查记录
是否定义了公共访问/交接区域?
确认定义文件
是否监控了公共访问和交接区域?
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护?
1. 重要的服务器放在安全的区域(如机房)
2. 是否有UPS
3. 温度和湿度合适
个人电脑是否得到了安置和防护?
1. 笔记本安装PoinSec,配有物理锁
2. 所有电脑使用密码屏幕保护
是否有信息交换策略制订
确认项目或其他敏感信息是否在发送前经过授权者确认,是否经过信息所有人(如PM)的授权?
和信息交换方是否签订了协议
和交换涉及方签订NDA
物理介质传输是否得到了保护
1. 检查包装合理性
2. 搬运方法合理性
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
是否实施了网络控制
是否有网络访问方面的限制
是否对网络服务的安全进行了控制
1.Web访问服务的安全
2.Mail 服务的安全
是否有移动介质清单的管理
1. 是否有管理清单
2. 记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?
是否对敏感系统进行了网络隔离
实地查看
是否对敏感系统进行了物理隔离
实地查看
是否有客户软件的lisence管理
确认合法内容
缺少客户 lisence管理
Done
Partial Done
Not Done
3. 不用的笔记本是否放入带锁的柜中。
是否制订服务器维护计划?
确认计划内容
SecureID是否被管理
确认是否掌握远距离访问用户及SecureID的信息。
设备处置是否经过了申请?(设备维修,销毁等)
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录
服务器,网络和应用系统的变更是否经过了管理?
上面的资产清单上是否标识了所有人和保管人?
(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
内部OA权限是否清除了?
抽查是否有离职人员的用户权限没有被清除
SVN/CC/VSS权限是否清除了?部门服务器的权限是否清除了?
(要点:实地检查是否有离职员工/转出员工的访问权限没有被清除)
是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被执行
是否有移动介质报废管理
1. 报废的申请和审批记录
1. 确认文本文件的废弃方法。
2. 确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。
3. 确认是否将垃圾箱和可回收资源的箱子放在安全的场所。
4. 打印机上是否留有文件没有被取走
系统文件是否得到了保护
1. 检查其访问权限设定。
2. 是否有备份
是否对访问控制方针进行了评审
是否有定期的Review
是否有用户注册的管理
1. 确认用户账号是否有申请书。
确认用户ID及主要访问的清单,要求删除的用户或访问权限是否及时修改。
确认处理申请的记录。
是否有特权管理的管理
如果访问控制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。
电子文档是否保管在只有管理者才能打开的场所。
是否使所有员工和信息安全相关人员签署了保密协议/合同?
是否有信息安全意识、教育和培训计划?
确认培训计划
是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员)
是否制定了信息安全惩戒规程?
是否执行了信息安全惩戒?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了?
审查内容
审查要点
检查时间
审核结果
发现
是否开展了信息安全的检查活动?
有安全检查记录或者报告,和改善记录
1,是否制定了资产清单,包含了所有的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?
2,对这些资产清单是否有定期的更新?
1. 确认资产清单正确
2. 确认更新记录
3. 客户的资产的保护
变更申请记录
是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态正常。
是否有及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
备份策略Байду номын сангаас订
是否有备份策略的制订?
部门中的重要系统,确认定期备份的流程及记录。
备份实施
是否有备份的实施?
备份验证
是否有备份的验证
备份保护
是否有备份保护
是否按照公司规程实施业务信息互联
1. 互联网使用的检查。
2. 户(FX/XC)之间的互联是否有访问控制,权限分配规则
是否有访问控制方针制订
如果有文件共享请确认:
1. 确认是否设置了全员都可以访问的权限。
2. 确认对于长时间不使用的人员是否暂停其帐号。
3. 确认共享文件的访问权限范围。
3. 所有对PC的访问都有密码保护
1. 是否有隔离区
2. 从隔离区外是否可以访问区内网络资源
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是否制订了信息访问限制策略
访问策略定义文件
是否执行了信息访问限制策略
对照文件实地观察实施情况
是否对访问策略进行了审核
审核记录
是否定义了敏感系统
敏感系统列表