当前位置:文档之家 › ISO27001信息安全体系记录清单

ISO27001信息安全体系记录清单

  • 格式:doc
  • 大小:133.50 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

ISO27001检查清单

ISO27001检查清单

是否有访问控制方针制订
是否对访问控制方针进行了评审 是否有用户注册的管理
是否有特权管理的管理 是否有口令的管理 是否定期对权限进行了审核
是否制定了口令策略
1. 是否有管理清单 2. 记录重要信息的外部存贮介质(例如:外置 硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储 备份资料用的备份设备等),是否被保管在带锁 的文件柜中? 1. 报废的申请和审批记录 1. 确认文本文件的废弃方法。 2. 确认是否将含有重要信息的文本文件就此扔 在垃圾箱中或扔在可回收资源的箱子中。 3. 确认是否将垃圾箱和可回收资源的箱子放在 安全的场所。 4. 打印机上是否留有文件没有被取走 1. 检查其访问权限设定。 2. 是否有备份 确认项目或其他敏感信息是否在发送前经过授 权者确认,是否经过信息所有人(如PM)的授 和交换涉及方签订NDA 1. 检查包装合理性 2. 搬运方法合理性 确认是否有电子邮件使用规则,和实施情况 (如发送重要文件时是否有文件加密等) 1. 互联网使用的检查。 2. 户(FX/XC)之间的互联是否有访问控制,权 限分配规则 如果有文件共享请确认: 1. 确认是否设置了全员都可以访问的权限。 2. 确认对于长时间不使用的人员是否暂停其帐 号。 3. 确认共享文件的访问权限范围。 是否有定期的Review 1. 确认用户账号是否有申请书。 确认用户ID及主要访问的清单,要求删除的用 户或访问权限是否及时修改。 确认处理申请的记录。 如果访问控制清单等是以纸张形式打印出来 的,确认是否保管在上锁的地方。 电子文档是否保管在只有管理者才能打开的场 有没有将口令写在便条上,或者告知他人 定期审核记录 管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上。 1. 是否有隔离区 2. 从隔离区外是否可以访问区内网络资源 接入网络前是否经过IM或者ISM的安全检查 访问策略定义文件 对照文件实地观察实施情况 审核记录 敏感系统列表 实地查看 实地查看 确认合法内容

最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)

最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)

最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。

ISO27001记录清单汇编

ISO27001记录清单汇编
三年
办公室
55
《业务持续性管理实施计划》
ST/ISMS-JL—055
三年
办公室
56
《业务持续性管理计划测试报告》
ST/ISMS-JL—056
三年
办公室
57
《业务持续性管理计划评审报告》
ST/ISMS-JL—057
三年
办公室
58
《信息资产调查表》
ST/ISMS-JL—058
长期
办公室
59
《重要信息资产清单》
26
《安装软件一览表》
ST/ISMS-JL—026
三年
办公室
27
《采购申请》
ST/ISMS-JL—027
三年
办公室
28
《验收记录》
ST/ISMS-JL—028
三年
办公室
29
《人工查杀病毒记录表》
ST/ISMS-JL—029
三年
软件开发部
30
《重要信息备份周期一览表》
ST/ISMS-JL—030
三年
软件开发部
ST/ISMS-JL—010
三年
办公室
11
《会议记录》
ST/ISMS-JL—011
三年
办公室
12
《不合格项分布表》
ST/ISMS-JL—012
三年
办公室
13
《信息安全风险评估报告》
ST/ISMS-JL—013
三年
办公室
14
《ISMS纠正/预防措施》
ST/ISMS-JL—014
三年
办公室
15
《ISMS管理评审计划》
办公室
75
76
77

最新ISO27001-2013信息安全管理体系管理手册、程序文件全套资料

最新ISO27001-2013信息安全管理体系管理手册、程序文件全套资料

最新ISO27001-2013信息安全管理体系管理手册、程序文件ISO27001-2013信息安全管理体系管理手册ISMS-M-yyyy 版本号:A/0受控状态: ■ 受 控 □ 非受控日期: 2019年1月8日 实施日期: 2019年1月8日修改履历00 目录00 目录 (2)01 颁布令 (1)02 管理者代表授权书 (1)03 企业概况 (1)04 信息安全管理方针目标 (1)05 手册的管理 (1)06 信息安全管理手册 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 本公司 (1)3.2 信息系统 (1)3.3 计算机病毒 (2)3.4 信息安全事件 (2)3.5 相关方 (2)4 组织环境 (2)4.1 组织及其环境 (2)4.2 相关方的需求和期望 (2)4.3 确定信息安全管理体系的范围 (2)4.4 信息安全管理体系 (3)5 领导力 (3)5.1 领导和承诺 (3)5.2 方针 (4)5.3 组织角色、职责和权限 (4)6 规划 (4)6.1 应对风险和机会的措施 (4)6.2 信息安全目标和规划实现 (6)7 支持 (7)7.1 资源 (7)7.2 能力 (7)7.3 意识 (8)7.4 沟通 (8)7.5 文件化信息 (8)8 运行 (9)8.1 运行的规划和控制 (9)8.2 信息安全风险评估 (9)8.3 信息安全风险处置 (10)9 绩效评价 (10)9.1 监视、测量、分析和评价 (10)9.2 内部审核 (11)9.3 管理评审 (12)10 改进 (12)10.1 不符合和纠正措施 (12)10.2 持续改进 (13)附录A 信息安全管理组织结构图 (1)附录B 信息安全管理职责明细表 (1)附录C 信息安全管理程序文件清单 (1)01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。

ISO27001信息安全管理体系内部审核检查记录表

ISO27001信息安全管理体系内部审核检查记录表
□符合 □不符合
30
是否对网络服务的安全进行了控制
1.Web访问服务的安全
2.Mail 服务的安全
□符合 □不符合
31
是否有移动介质清单的管理
1.是否有管理清单
2.记录重要信息的外部存贮介质(例如:外置
硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储
备份资料用的备份设备等),是否被保管在带锁
的文件柜中?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
□符合 □不符合
10
门禁权限是否清除了?
□符合 □不符合
11
是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
□符合 □不符合
12
是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被执行
□符合 □不符合
13
是否制订安全区域出入规则?
2.从隔离区外是否可以访问区内网络资源
□符合 □不符合
48
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
□符合 □不符合
49
是否制订了信息访问限制策略
访问策略定义文件
□符合 □不符合
50
是否执行了信息访问限制策略
对照文件实地观察实施情况
□符合 □不符合
51
是否对访问策略进行了审核
2. 搬运方法合理性
□符合 □不符合
37
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
□符合 □不符合
38
是否按照公司规程实施业务信息互联
1.互联网使用的检查。

信息安全管理体系要求的文件清单

信息安全管理体系要求的文件清单
规定远程工作要由管理者授权、控制以及对远程工作方法要有到位的合适安排等。
38.
信息安全事故管理程序
A.13
A.13.1.1
A.13.1.2
A.13.2.1
A.13.2.2
A.13.2.3
规定信息安全事故的发现、报告、处理、改进的程序。
建立报告信息安全事件的管理渠道
规定所有员工报告安全弱点
建立安全事故处理的相关职责和程序
5规定安全区域工作的说明
6交接区的管理规定
24.
设备设施管理规定
A.9.2.1
A.9.2.2
A.10.6.1
A.9.2.3
A.9.2.4A.9.2.5
A.9.2.6A.9.2.7
为保护设备,应考虑对其的管理规定,包括:
1设备的安置规则,例如敏感设备放在保险区域,监视环境条件、规定设备附近不得进食等等
为保证信息和信息处理设施的安全,应对外部各方签署协议,内容应包括:
识别与外部各方相关的风险,确定对应处理手段
允许顾客访问之前确定安全要求
与第三方的协议应涵盖所有安全要求
17.
信息分类策略
A.7.2.1
信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。
18.
信息标记与处理程序
A.7.2.2
A.10.7.3
16.信息安全角色和职责 A.8.1.1
17.信息处理设施操作程序 A.10.1.1
18.信息访问控制策略 A.11.1.1
19.法律法规、合同符合程序 A.15.1.1
二、表单
1.可能影响信息安全管理有效性或绩效的措施和事件的记录4.2.3h
2.ISMS事故记录 4.3.3
3.员工资历记录 5.2.2

ISO27001文件-(信息安全事件报告处理单)


处理人签名:
是否报人事部门处理? □是 √否 体系主管部门意见
签名:
处 □开除 □记过 □严重警告 □警告 □其他:



人事部门负责人签名:
经理和责任部门负责人共同确定;对于不在公司总部办公现 场发生的信息安全事件,还需增加驻外现场负责人联合确定。
□破坏安全措施 □信息设备丢失或损坏
√违反操作规程 □其他
发生原因分析: (1)不按照公司银行现金整点流程的要求进行操作 (2)以习惯代替制度,合作不仔细,有章不循 (3)中心经理未能及时发现问题也暴露出管理漏洞
处理过程及结果: 根据公司《BPO员工管理制度》的“差错事故处理要求”,给公司和行方 造成影响的,应给予相应的处罚。对第一责任人江梦真、余玉峰各处以200元人民币罚款, 同时延长一个月的试用期。对中心经理陈彩红因管理不力处以200元罚款,并给予警告处分 。
编码:
发现日期: 情况描述:
编号
信息安全事件报告处理单
地点:
报告人:
当事人签名确认:
责任部门/责任人 影响分析
签名:
事件级别
事 实 确 定
事件类别
□严重影响 重大影响 □可控影响 □轻微影响 □IT服务中断或故障 □非授权进入系统(黑客行为) □病毒发作 □口令被破解或冒用 □业务或客户信息泄露 □违反软件版权

ISO27001信息安全体系内部审核整套记录(含内审检查记录)

ISO27001信息安全管理体系 整套内审记录汇编Word原件已放在本文档附件区年度内部审核计划ISMS-0106-JL01━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━为验证本公司信息安全管理活动是否符合GB/T22080-2016/ISO27001:2013标准、相关法律法规的要求和信息安全管理要求以及信息安全管理体系的有效性,根据《信息安全管理手册》和《内部审核管理程序》的要求,安排进行2021年度内部审核。

2021年度内部审核工作进行一次,具体时间计划如下:2021年3月10,进行内部信息安全审核。

内部审核的范围应覆盖信息安全管理体系所有部门和活动。

根据体系运行实际情况,由管理者代表提出,总经理批准可增加审核频次。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━编制:**** 批准:*****日期:2021-3-5 日期:2021-3-5合格内审员评定表ISMS-0106-JL03内审员要求:内审员须具备以下条件,但经特别核准除外。

A.受内、外部信息安全标准相关培训24小时以上且有证明者。

B.对作业现场比较熟悉,具有一定的工作经验。

C.经管理层批准。

合格内审员名单:组长:*** 组员: ****,***内审小组:组长:**** 组员: ***,***附件:附录1:信息安全管理体系内审员考核试题ISO27001信息安全管理体系内审员考核试卷NAME: __________ DA TE____________ SCORE一、单选题(5×12=60分)1.增强ISMS完成业绩的流程称为:a.System planning系统计划b.Continual improvement 持续改进rmation security objective setting信息安全目标设置d.Preventive action预防措施2.根据ISO9000,一系列关联的部件称为:a.Process流程b.Procedure程序c.System系统d.Problem问题3.ISO27001中的方法是基于PDCA的,其中C代表什么?a.Check检查b.Customer 客户c.Conform一致d.Close关闭4.ISO19011是什么的指南:a.Auditing审核b.Writing non conformities写不符合事项c.Implementation of an International standard国际标准实施d.Handling customer complaints控制客户抱怨5.下面那些是信息安全的原则:a.Confidentiality保密b.Integrity完整c.Availability可用d.All of the above上面的全部6.下面那些描述是正确的:rmation security is the responsibility of IT 信息安全是IT的职责rmation security is expensive信息安全太贵rmation security exposes the organization to outsiders信息安全就是向外界揭露组织d.None of the above上面都不正确7.在流程界面之间什么容易产生:a.Arguments争论b.Fireworks摩擦c.Risks风险d.Excess paperwork过度的文档8.第一方审核称为:a.An internal audit内部审核b. A risk assessment风险评估c. A supplier audit供应链审核d. A certification audit认证审核9.在审核流程中的一个关键阶段是:a.Finding non-conformities发现不符合b.Planning计划c.Lunch实施d.Learning the ISO 27001 clause numbers对应ISO27001条款10.内部审核的准则通常是:a.Internal procedures内部流程b.ISO 27001 clauses ISO27001条款c.The department to be visited 必须访问的部门d.Date of visit 访问的时间11.一个不符合事项必须是:a. A failing 一个失误b. A requirement一个需求c.Evidence证据d.All of the above所有上面12.审核员防止不符合重复发生采取的活动称为:a.Corrective纠正措施b.Too late太晚c.Preventive预防措施d.Indirect间接做法二、简答题1.简单描述内部审核员的主要职责(15分)1) 负责编制检查表2) 根据内审安排实施现场审核并填写审核记录;3) 向审核组长提供审核有关的信息,完成所承担的内部审核任务;4) 负责填写不符合项报告单;5) 负责对公司内不符合质量体系要求的提出整改意见及建议;6)负责对不符合项纠正措施进行跟踪、验证。

ISO27001:2013运营部信息安全风险评估记录

2
存储介质故障
无备份安全策略
4
2
3
4
7
14
开发库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
受控库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
产品库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
delphi
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Sql server 2000
10
运行错误,无法使用
风险评估记录
部门:运营部
资产名称
重要度
面临威胁
脆弱性
暴露
影响①
容易度
措施
可能性②
风险
有效
① X ②
台式计算机
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
数据损坏丢失
无备份策略
5
10
4
3
7
70
10
数据泄密
无口令策略
4
8
4
4
8
64
服务器
10
非授权访问
配置被修改
4
8
4
4
8
64
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
进水
硬件损坏系统无法正常运行
2

ISO27001年审记录清单

信息部
业务持续性计划测试报告
10年
信息部
业务持续性计划评审报告
3年
信息部
信息资产识别表
3年
信息部
资产识别和风险评估
重要信息资产清单
3年
信息部
信息资产风险评估表
3年
信息部
风险评估报告
3年
信息部
风险处理计划
3年
信息部
调查报告
3年
信息部ቤተ መጻሕፍቲ ባይዱ
信息事故、异常处理记录
纠正措施
3年
信息部
信息设备更改申请书
3年
信息部
变更管理
1年
信息部
人事相关记录
保持至员工
离职后三年
人事部
财务相关记录
参见财务相关制度
财务部
深圳市模型有限公司
信息安全记录清单
记录
保管期限(年)
保管部门
会议签到记录
公司领导层会议
3年
人事部
公司全员大会
3年
人事部
培训签到
3年
人事部
信息安全管理委员会会议
3年
人事部
内审会议
3年
人事部
管理评审会议
3年
人事部
其他管理会议
2年
人事部
关于合同内容确认的记录
质量保证书
合同结束后3年
采购部
顾客信息安全需求
订单
软件安装/升级申请书
3年
信息部
采购记录
3年
采购部
信息处理设备相关记录
维护记录
3年
信息部
授权记录
设备使用期间保管
信息部
系统开发相关记录
访问记录
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全记录分类和保存期限
ISO27001信息安全记录的分类和保存期限如下表所示:
记录类别保管期限保管部门
合同内容确认的记录合同合同结束后3年行政管理部质量保证书合同结束后3年行政管理部定单合同结束后3年行政管理部
文件管理的记录信息安全管理文件审批表5年行政管理部信息安全文件一览表5年行政管理部文件发放一览表5年行政管理部文件修改通知单5年行政管理部外来文件清单5年行政管理部文件发布通知单5年行政管理部
记录管理的记录信息安全记录一览表3年行政管理部记录借阅登记表3年行政管理部记录销毁记录表3年行政管理部
信息安全风险管理记录信息安全风险评估计划3年行政管理部信息资产识别与评估表3年行政管理部重要资产风险评估表3年行政管理部风险处理计划3年行政管理部风险评估报告3年行政管理部
信息安全测量管理记录信息安全目标评审记录3年行政管理部控制措施有效性测量记录3年行政管理部电脑日常检查表2年系统集成部机房环境及设备检查表2年系统集成部个人电脑自检表2年系统集成部
管理评审记录管理评审计划2年行政管理部
信息安全管理体系运行情况报告 2年行政管理部会议签到表2年行政管理部会议记录3年行政管理部管理评审报告2年行政管理部
内部审核管理记录内部审核计划5年行政管理部年度内审核计划5年行政管理部内审检查表5年行政管理部不符合项报告5年行政管理部内部审核实施报告书5年行政管理部
纠正措施管理记录纠正措施计划实施报告书2年行政管理部预防措施管理记录
信息安全分析报告2年行政管理部
预防措施计划书2年行政管理部
信息处理设施安装使用管理记录用款申请实施报告书3年行政管理部验收报告3年行政管理部硬件设备登记表3年行政管理部
第三方服务管理记录第三方保护能力核查表3年行政管理部
第三方保密协议3年行政管理部
知识产权协议5年行政管理部
外部人员入网申请单3年行政管理部
第三方工作记录单3年行政管理部
第三方服务变更报告3年行政管理部
信息分类管理记录信息资产识别表(文档)3年行政管理部信息资产识别表(硬件)3年行政管理部信息资产识别表(软件)3年行政管理部信息安全重要岗位一览表5年行政管理部信息安全重要岗位员工一览表5年行政管理部重要安全区域控制方案一览表5年行政管理部专利及著作产权一览表5年行政管理部。