信息安全管理体系审核检查表

d) 组织要定义如何测量所选控制 l 组织是否有一个“测量所选控制措施有效性”的过程？ 措施的有效性
l 如何使用测量措施，去测量控制措施的有效性？
e) 组织要实施培训和意识教育计 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程？
划
f) 组织要管理ISMS的运行
l 组织是否有“管理ISMS的运行”的过程？
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核
l 是否有一个定期进行内部ISMS审核的过程？
(2) 制定审核方案
l 是否有一个审核方案？
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性，以及以往审核的结果？
(3) 定义审核的准则、范围、频 次和方法 (4) 审核员的选择，审核的实施 要确保审核过程的客观公正 (5) 审核员不准审核自己的工作
e) 组织要执行定期的ISMS内部 l 是否有到位的定期的“ISMS内部审核”过程或程序？
审核
f) 组织要执行定期的ISMS管理评 l 是否有到位的定期的“ISMS管理评审”过程或程序？
审
g) 组织要更新信息安全计划
l 组织是否参考监视和评审活动的发现，而“更新信息安全计划”？
h) 组织要维护ISMS事件和行动 措施的纪录 条款：4.2.4 保持和改进ISMS
a) 管理评审的输入要包括审核和 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程？ 评审结果
l 是否管理评审的输入包括先前的审核和评审结果？
b)管理评审的输入要包括相关方 的反馈 c)管理评审的输入要包括可用于 改进ISMS的技术、产品或程序 d)管理评审的输入要包括预防和 纠正措施的状况 e)管理评审的输入要包括以往风 险评估没有充分解决的脆弱点或 威f)管胁理评审的输入要包括有效性 测量的结果 g)管理评审的输入要包括以往管 理评审的跟踪措施 h)管理评审的输入要包括可能影 响ISMS的任何变更 i) 管理评审的输入要包括改进的 建议 条款 7.3 评审输出

2.确定以上内容时，是否考虑了内外部因素、相关方要求？
3.检查适用性声明，是否针对实际情况做了合理
章节
条款
GB/T22080-2016（条文内容）
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减？
4.4信息安全管理体系
组织应按照本标准的要求，建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布？
2.信息安全方针是否符合标准要求？
3.信息安全方针是否形成文件？
4.信息安全方针是否在组织内得到沟通？
5.3组织的角色，责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限，以：
a）确保信息安全管理体系符合本标准的要求；
2）评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》？
2,是否制定应对风险和机遇的措施？
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程，以：
a）建立并维护信息安全风险准则，包括：
1.公司是否建立信息风险评估程序？
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016（条文内容）
审核内容
审核记录
检查方式
审核结论
存在）确保反复的信息安全风险评估产生一致的、有效的和可比较的结果；
c）识别信息安全风险：
1）应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险；
2）识别风险责任人；
d）分析信息安全风险：

7
支持
7. 1资 源
1、组织是否为建立、实施、保持和持续改进信息 安全管理体系提供了
所需的资源？
7. 2能 力
L组织在关键的信息安全岗位说明书中是否明确了信息安全方面 的能力要求？
2、组织是否定 期对信息安全岗位人员进行培训？ 并对其能力进行考
核？
7. 3意 识
1、员工是否了解组织 的信息安全方针？
5.24
信息安全突发事件管理的规划与准备
控制
组织应通过定义、建立和沟通信息安全事件管理流程、角色和职责，计划和准备信息安全事件的管理。
5.25
对信息安全事件的评估和决策
控制
该组织应评估信息安全事件，并决定它们是否要被归类为信息安全事件。
5.26
响应信息安全事件
控制
信息安全事件应按照文件化的程序进行响应。
风险评估
时间间隔执行信息安全风险评估，当重大变更被提出或发生时也应执行信息安全风险评估？
是否保留信息安全风险评估结果的文件化信息？
8. 3信息安全
风险处置
是否实施信息安全风险处理计划？
是否保留信息安全风险处理结果的文件化信息？
9
绩效评价
9. 1监视、测
量、分析和评价
1、组织是否建立了有效性测量管理程序？
么组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录？
3、金融机构总部科技部门制定的安全管理制度是否适用千全机构范
围？分支行科技部门制定的安全管理制度是否仅适用千辖内？
7. 5. 2创建和更新
1、组织对创新和更新的文件和记录是否进行了标识？
2、组织对创新和更新的文件和记录在格式、存储介质方面是否有要求？
控制

信息安全管理体系内部审核检查表
被审核部门： 领导层
审核员签字：第二组
序号
附录编号及名称
审核内容和方法
审核记录
合格性判断
1
A.5安全方针
1.1
A。5.1
信息安全方针
A.5。1.1信息安全方针文件
1。2
A。5.1.2评审和评价
A.6信息安全组织
A.6。1
内部组织
A.6.1。1信息安全的管理承诺
A.6。1。2信息安全协调
A。13。2。3收集证据
业务持续性管理
A。14。1
业务持续性管理的信息安全方面
A。14。1.1在业务连续性管理过程中包含信息安全
A。14。1。2业务持续性和风险评估
A。14.1。3开发并实施包括信息安全的持续性计划
A。14.1.4业务持续性计划框架
A。14.1。5业务持续性计划的测试、保持和再评估
A.15符合性
A.7资产分类和控制
A.7.1
资产责任
A。7.1。1资产清单
A。7.1.2资产所有者关系
A。7.1。3可接受的资产使用准则
A。7。2
信息分类
A.7。2。1分类指南
A.7。2.2信息的标识和处理
A。8人力资源安全
A。8。1
雇用前
A。8。1。1任务和职责
A。8。1.2人员考察
A.8。1.3雇用条款和条件
A.11.3.2无人值守的用户设备
A.11。3.3清理桌面及清除屏幕策略
A。11。4
网络访问控制
A.11.4。1网络服务使用策略
A.11.4.2外部连接的用户鉴别
A.11。4。3网络设备的识别
A。11.4。4远程诊断和配置端口保护

实施风险处置计划并按计划实施？
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括：定义如何测量所选控制措施的有效性，即要有一个“测量所选控制措施有效性”的过程；
1)规定如何使用这些测量措施，对控制措施的有效性进行测量(或评估)；
据此，管理者和员工就可以确定所选控制措施是否实现原计划的控制目标，或实现的程度。
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定？
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些？与受审核部门有关的记录有哪些？是否有保存期的规定？
文件修改后是否重新批准？识别修改状态的方法是什么？使用时是否都使用适应文件的有效版本？
文件化信息是否按档案管理规范的要求处置和管理？
进行ISMS管理评审。
符合
受审核部门：管理层
审核准则：ISO/IEC27001:2022，体系文件、适用法律法规
审核日期：2023.4.10
审核员：***
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件？
公司的ISMS方针文件是否满足以下要求：
1)包括信息安全的目标框架、信息安全工作的总方向和原则；
文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些？与受审核部门有关的记录有哪些？是否有保存期的规定？
文件修改后是否重新批准？识别修改状态的方法是什么？使用时是否都使用适应文件的有效版本？
文件化信息是否按档案管理规范的要求处置和管理?
符合
7.5.3文件记录信息的控制
文件化信息内容是否完整？版本是否有效？
符合
A.5.2信息安全的角色和责任

信息安全管理体系检查表
检查项目
检查内容
信息安全政策
检查公司是否有明确的信息安全政策，包括但不限于访问控制、数据保护、网络安全等方面的规定。
信息安全组织架构
检查公司是否有明确的信息安全组织架构，包括信息安全管理团队、技术团队、审计团队等。
信息安全培训
检查公司是否有定期的员工信息安全培训，包括但不限于安全意识、安全技能等方面的培训。
信息安全风险评估
检查公司是否有定期的信息安全风险评估，包括但不限于对系统、网络、应用等方面的评估。
信息安全事件管理
检查公司是否有明确的信息安全事件管理流程，包括但不限于事件报告、事件调查、事件处理等方面的规定。
信息安全审计
检查公司是否有定期的信息安全审计，包括但不限于对系统、网络、应用等方面的审计。信息 Nhomakorabea全技术措施
检查公司是否有实施有效的信息安全技术措施，包括但不限于防火墙、入侵检测、加密技术等方面的应用。
信息安全法律法规遵循
检查公司是否遵循相关的信息安全法律法规，包括但不限于《网络安全法》、《数据安全法》等方面的规定。
注：以上仅为示例，具体检查内容需根据实际情况进行调整。

信息安全管理体系审核检查表一、引言本审核检查表用于评估组织的信息安全管理体系（ISMS）是否符合国际标准ISO/IEC :2013的要求。

通过对该体系的审核，旨在确保组织的信息资源得到合理的保护，从而降低信息安全风险。

本检查表包括了ISO/IEC :2013标准的要求，并指导审核员进行系统的审核，并向组织提供改进和提升建议。

二、审核准备在审核开始之前，审核员应完成以下准备工作：1. 确定审核的范围和目标；2. 审核员应熟悉ISO/IEC :2013标准的要求；3. 准备适当的审核检查表和相关文档。

三、检查表请按照以下要求，对组织的信息安全管理体系进行审核，并记录相关的问题和发现：1. 上级管理对信息安全的承诺- 信息安全政策是否存在，并得到组织上级管理的正式批准和支持？- 是否有明确的信息安全目标和指标？- 上级管理是否对信息安全管理体系提供持续的支持和资源？2. 风险管理- 是否有完善的风险管理过程和程序？- 是否对关键信息资产进行分析和评估风险？- 是否定期进行风险评估和风险处理？- 是否建立了应对突发事件和灾难恢复计划？3. 资产管理- 是否对信息资产进行了明确的分类和归档？- 是否进行了明确的信息资产所有权和责任分配？- 是否制定了信息资产的安全控制措施？- 是否对信息资产进行了定期的核查和授权？4. 安全策略和控制措施- 是否制定了明确的安全策略和控制措施，并得到相关人员的理解和遵守？- 是否有效地实施了访问控制和身份认证机制？- 是否建立了网络安全防护和监控机制？- 是否制定了合理的安全事件响应和处理流程？5. 组织与人员- 是否对员工和相关人员进行了信息安全培训和教育？- 是否建立了合适的人员管理措施和安全意识提升机制？- 是否分配了适当的信息安全责任和权限？- 是否进行了合理的人员背景调查和授权管理？6. 合同与供应商管理- 是否与供应商建立了合适的信息安全协议或合同？- 是否对供应商进行了信息安全审核和评估？- 是否对供应商提供的产品和服务进行了管理和监控？四、总结和改进建议根据以上审核结果，结合ISO/IEC :2013标准的要求，审核员应向组织提供有关信息安全管理体系的总结和改进建议，包括发现的问题、不足和风险，以及相关的纠正和预防措施。

ISO27001-2013信息安全管理体系内部审核检查表`被审核部门：审核时间：2020.01.06 编写人：被审核部门代表确认：内审员：管理者代表：审核依据：ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。

特权分配仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后应被收回，确保特权拥有者的特权是工作需要的且不存在富裕的特权。
——查人事行政部管理人力资源管理系统，有特殊权限。
各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令，口令必须至少要含有6位以上字母+数字。
查：普通用户只能访问被授权的服务，对计算机系统的访问权都被限制。
ISO20000-2018信息安全管理体系内部审核检查表
被审核部门
管理层
审核成员：黄**、梁**
陪同人员：黄**
审核日期
2020年6月30日
审核主题
4.1、4.2、5.1、5.2、5.3、7.1、9.3、A.5.1
核查
要素/条款
核查事项
核查记录
符合项
观察项
不符合项
4．1
4．2
总要求
-详细介绍了公司总体情况，具体见手册企业概况。
有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。
——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人
——提供《用户授权申请表》内容填写符合要求。
——提供了资产归还的记录表。
√
A.8.3.1
A.8.3.2
A.8.3.3
可移动介质的管理
√
9．3
ISMS管理评审
——有制定体系实施以来的第一次管理评审计划。
√
A5.1
信息安全方针文件
信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。
√
被审核部门
研发中心
审核成员：罗**、李**
陪同人员：梁**

信息安全组织
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责？以及对 自己信息安全职责的明确程度？信息安全职责的分配是否 与信息安全方针文件相一致？
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中，是否明确指定了与监管机构联系的部门或 负责人
现场观察
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评 价
检查组织是否有体系有效性测量流程
现场观察
9.2内部审核
检查组织是否建立了内审流程
现场观察
检查最新的内审活动，是否包含检查清单、检查过程是否有 效，对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标，这些方针和目 标与公司的业务是否相关。
现场Байду номын сангаас察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录，检查管理评审会议中，是否对 信息安全方针的达成情况进行了评审。
A.6
5.2方针
是否有文件化的管理方针
现场观察
5.3
5.3组织角色、职责和权限
是否建立了的信息安全管理组织，并明确其职责及权限
访谈
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
检查组织是否建立正式的风险评估流程

备注序号IS0/IEC27001信息安全管理体系要求4 组织是否对所有的与信息处理设施有关的信息和资产指定"所有者”？A.7.1.2Y5是否识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实施？A.7.1.3Y物流中心 管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安Y物流中心9 是否对新的信息处理设施规定并实施管理授权过程？A.6.1.4Y 物流中心 W 反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审？ Λ.6.1.5 Y 物流中心 11 与相关的权威机构的适当联系是否被保持？ A.6.1.6 Y 物流中心 12与专业的相关团体或其他安全专家论坛或专业协会的适当联系是否被保持？ A.6.1.7Y 物流中心 13组织管理信息安全的方法及其实施情况（如控制目标和控制措施、策略、过程和信息安全的程序）是否根据策划的时间间隔，或者是当安全实施发生重大变化时进行了独立评审？ A.6.1.8 Y物流中心 14 是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险？并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制？ Λ.6.2.1 Y 物流中心15在批准顾客访问组织信息或资产前，是否处理所有己识别的安全要求？ A.6.22 Y 物流中心 16 与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议，是否包含或涉及所有已识别的安全要求？A.6.2.3Y物流中心17对每一个信息系统和组织而言，法律条文、行政法规及合同内容所规定的所有相关要求，以及满足这些要求的组织方法，是否加以明白地界定、文件化并保持更新？ Λ.15.1.1 Y物流中心18是否实行适当的程序，以确保在具有知识产权的产品和私有软件产品时，能符合法律、法规和合同条款的要求？ A151.2Y 物流中心20 数据保护和隐私是否确保符合相是否的法律法规要求，适用时也是否满足合同条款的要求？ Λ.15.1.4 Y物流中心21 是否阻止用户把信息处理设备用于未经授权的目的？ A.15J15 Y 物流中心密码控制措施的使用要与所有的相关协定、法律Y 物流中心是否定期检查信息系统是否符合安全运行标Y 物流中心 26 是否保护对信息系统审核工具的访问，防止任何可能的误用或者危害？ A.15.3.2 Y 物流中心27 是否明确识别所有资产，并建立和保持《重要资产清单》？ Λ.7.11 Y 营销中心 组织是否对所有的与信息处理设施有关的信息Y 营销中心 30 是否明确识别所有资产，并建立和保持《重要资产清单》？ A.7.1.1 Y 行政中心 31 组织是否对所有的与信息处理设施有关的信息和资产指定〃所有者“？ A.7.1.2 Y 行政中心 32 是否识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实施？ A.7.1.3 Y 行政中心 33 是否根据其价值、法律要求、敏感度以及对组织的关键程度，对信息进行分类？ A.7.2.1 Y 行政中心 34是否依据组织采纳的分类方案制定并实施一系列适当的信息标识和处理程序？ Λ.7.2.2 Y 行政中心 35是否依据组织的信息安全方针规定员工、合作方以及第三方用户的安全任务和责任，并将其文件Y行政中心363738管理者是否要求员工、合作方以及第三方用户依据建立的方针和程序来应用安全？ Aa21Y 行政中心39组织的所有员工，适当时还包括合作方和第三方用户，是否接受适当的意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新情况？ A.8.2.2Y行政中心40对造成安全破坏的员工是否有一个正式的惩戒过程？ A.8.2.3Y行政中心41执行工作终止或工作变化的职责是否清晰的定义和分配？ A.8.3.1Y行政中心42所有员工、合作方以及第三方用户是否在他们的聘用期限、合同或协议终止时归还他们负责的所有组织资产？ A.8.3.2Y行政中心43所有员工、合作方以及第三方用户对信息和信息处理设施的访问权是否在其聘用期限、合同或协议终止时删除，或根据变化作相是否的调整？ A.8.3.3Y行政中心44是否使用安全周界（墙、刷卡出入的大门或者人工接待前台）保护包含信息及信息处理设施的区域？ A.9.1.1Y营销中心45是否通过适当进入管理措施保护安全区域，确保只有得到授权的用户才能访问？ A.9.1.2Y营销中心46办公室、房间和设施的物理安全措施是否被设计并应用？ A.9.1.3Y营销中心47防范火灾、水灾、地震、爆炸、社会动荡，以及其它形式的自然或人为灾害的物理安全控制是否被设计并应用？ A.9.1.4Y营销中心48安全区的物理保护和原则是否被设计并应用？ A.9.1.5Y营销中心49是否对交付和存储设施的访问地点以及其它未经授权的人员可能访问到的地点进行控制，可能的话，是否与信息处理设施隔离，以避免未经授权的访问？ A.9.1.6Y营销中心50设备是否被定位或保护，以降低来自环境威胁和危害的风险，以及未经授权的访问机会？ A.9.2.1Y营销中心51是否对设备加以保护使其免于电力中断或者其它电力异常的影响？ A.9.2.2Y营销中心52是否保护传输数据和辅助信息服务的电缆和通讯线路，使其免于截取或者破坏？ A.9.2.3Y营销中心53设备是否得到正确的维护，以确保其持续有效性和完整性？ A.9.2.4Y营销中心54考虑到在组织场所外工作的风险，安全是否应用到场所外设备？Λ.9.2.5Y营销中心55包含储存媒体的设备的所有项目是否进行检查，以确保在处置之前将所有敏感数据和许可软件都被清除或者覆盖掉？ A.9.2.6Y营销中心56在未经授权的情况下，设备、信息或软件是否带到场所外？Λ,9.27Y营销中心57操作程序是否被文件化、保持，并且在用户需要时可用？Λ.10.1.1Y营销中心58是否控制对信息处理设备和系统的变更？ A.10.1.2Y营销中心符合符合符合符合符合蒋符合符合符合符合符合俞符合符合。

23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查）
25 备份策略制订
是否有备份策略的制订？
26 备份实施
是否有备份的实施？
27 备份验证
是否有备份的验证
28 备份保护
是否有备份保护
29 是否实施了网络控制
是否有网络访问方面的限制
30 是否对网络服务的安全进行了控制 31 是否有移动介质清单的管理
11 是否制订规则划分了安全区域？
确认风险评估时是否划分了安全区域等级
12 是否执行了安全区域划分规则？
对不同等级的区域是否有相应措施，措施是否被 执行
13 是否制订安全区域出入规则？
1.在公司内部，员工是否佩带可以识别身份的门
卡
2.机房，实验室是否有出入管制规则
14
是否执行了安全区域出入规则（前台接待，机 房，实验室访问控制）？
安装了防盗设施。（机房大门的上锁，ID卡的识 别装置进入，离开的管理），实验室进出是否有 管理记录
15 是否定义了公共访问/交接区域？
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
符合性 □符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 □不符 合
□符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合 □符合 合
□符合 合
□符合 合 □符合 合
□不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符 □不符
□不符 □不符 □不符
ISO27001信息安全管理体系内部审核检查表
序 号
审核内容

A.8.3.3
物理介质传输
含有信息的介质是否加以保护，防止未经授权的访问、滥用或在运输过程中的损坏？
A.9访问控制
A.9.1访问控制的业务需求
目标：限制对信息和信息处理设施的访问。
A.9.1.1
访问控制策略
公司是否建立文件化的访问控制策略，并根据业务和安全要求对策略进行评审？
A.9.1.2
对网络和网络服务的访问
A.13.2信息传输
目标：应确保信息在组织内部或与外部组织之间传输的安全。
A.13.2.1
信息传输策略和程序
是否建立正式的传输策略、程序和控制，以保护通过通讯设施传输的所有类型信息的安全？
A.13.2.2
信息传输协议
是否建立组织和外部各方之间的业务信息的安全传输协议？
A.13.2.3
电子消息
是否适当保护电子消息的信息？
A.7人力资源安全
A.7.1任用前
目标：确保员工、合同方人员理解他们的职责并适合他们所承担的角色。
A.7.1.1
人员筛选
公司是否根据相关法律、法规、道德规范，对员工、合同人员及承包商人员进行背景调查，调查是否符合业务需求、访问的信息类别及已知风险？
A.7.1.2
任用条款和条件
公司与员工和承包商的合同协议是否当规定他们对组织的信息安全责任？
A.12.1.2
变更管理
是否控制组织、业务流程、信息处理设施和影响信息安全的系统的变更？
A.12.1.3
容量管理
是否监控、调整资源的使用，并反映将来容量的需求以确保系统性能？
A.12.1.4
开发、测试与运行环境的分离
是否分离开发、测试和运行环境，以降低未授权访问或对操作环境变更的风险？

信息安全管理体系审核检查表信息安全管理体系审核是确保组织的信息资产得以有效保护的一项重要活动。

通过对信息安全管理体系的审核，可以识别和纠正潜在的安全风险，并提供持续改进和适应变化的机会。

本文档旨在提供一个信息安全管理体系审核的检查表，帮助组织进行全面的审核。

1. 组织概况1.1 组织基本信息•组织名称：•组织类型：•组织规模：•组织所属行业：1.2 信息安全管理体系概述•是否存在信息安全管理体系？•信息安全管理体系的目标和范围是否明确定义？•是否存在信息安全政策和相关文件？2. 组织领导与承诺2.1 信息安全领导层参与•是否存在信息安全领导层？•领导层是否参与信息安全的决策和规划？2.2 信息安全政策制定与传达•是否制定了适当的信息安全政策？•信息安全政策是否被传达给所有员工？•员工是否理解和遵守信息安全政策？2.3 资源分配和承诺•是否为信息安全分配了足够的资源？•是否存在信息安全团队或专职人员？3. 组织风险管理3.1 风险评估和风险处理•是否进行了合理的风险评估？•是否制定了风险处理计划并得到执行？•是否定期复审和更新风险处理计划？3.2 信息资产分类和管理•是否对信息资产进行了分类和管理？•是否为重要的信息资产制定了合适的保护措施？3.3 供应商和合作伙伴管理•是否对供应商和合作伙伴进行了风险评估和管理？•是否与供应商和合作伙伴签订了信息安全协议？4. 信息安全控制措施4.1 访问控制•是否有有效的身份认证和授权机制？•是否有访问控制策略和控制规程？4.2 通信和网络安全•是否保护了网络和通信的安全？•是否使用了加密技术来保护敏感信息？4.3 数据保护和备份•是否有合适的数据保护和备份策略？•是否进行了数据加密和敏感信息的脱敏处理？4.4 安全事件管理和应急响应•是否有安全事件管理和应急响应机制？•是否有制定和测试过的应急响应计划？5. 组织绩效评估和持续改进5.1 内部审核和复审•是否进行了内部审核和复审？•是否及时纠正了发现的问题和不符合项？5.2 外部审核和认证•是否通过外部审核和认证？•是否取得了相关的信息安全管理体系认证证书？5.3 持续改进和创新•是否进行了持续改进和创新？•是否有制定和追踪改进计划？6. 其他6.1 法律和法规合规•是否合规相关的法律和法规要求？•是否建立了合规框架和流程？6.2 教育和培训•是否为员工提供了信息安全教育和培训？•员工对信息安全有足够的意识和知识吗？此检查表可以用于信息安全管理体系的定期审核，通过对每一项问题的回答和评估，组织可以全面了解自身的信息安全状况，并采取相应的措施进行改进和提升。

信息安全管理体系审核检查表一、组织运营情况1.组织机构概况：–组织名称：–组织性质：–成立时间：–主要业务范围：2.信息安全管理部门设置情况：–部门名称：–职责描述：–人员配备情况：二、信息资产管理1.信息资产清单：–是否建立信息资产清单？–清单更新频率：2.信息分类管理：–是否明确信息分类标准？–是否按照信息分类标准进行管理？三、风险管理1.风险评估：–是否定期进行风险评估？–是否建立风险评估报告？2.风险处理：–是否建立风险处理方案？–风险处理效果评估情况：四、安全访问控制1.用户权限管理：–是否进行用户权限管理？–是否建立权限分配流程？2.访问控制：–是否建立访问控制策略？–是否监控访问控制的执行情况？五、信息安全培训与意识1.培训计划：–是否建立信息安全培训计划？–培训内容涵盖范围：2.意识提升：–是否定期进行信息安全意识培训？–员工信息安全意识检查情况：六、内部安全检查与审计1.内部审计：–是否定期进行内部安全检查与审计？–审计报告执行情况：2.审计结果整改：–是否建立审计结果整改机制？–整改情况跟踪及反馈情况：七、应急响应和恢复1.应急响应预案：–是否建立应急响应预案？–是否进行应急演练？2.灾难恢复：–是否建立灾难恢复预案？–是否定期测试恢复预案有效性？八、外部服务提供商管理1.外部服务提供商审查：–是否对外部服务提供商进行审查？–外部服务提供商安全性考虑情况：2.外部服务提供商监管：–是否对外部服务提供商进行监管？–监管合规性检查情况：九、通信安全1.网络安全管理：–是否建立网络安全管理制度？–网络安全事件处理情况：2.通信加密：–是否对重要通信进行加密？–加密算法及密钥管理情况：十、环境安全1.信息系统物理安全：–是否建立信息系统物理安全措施？–安全设备检查维护情况：2.环境监控：–是否进行环境监控？–监控数据记录和分析情况：十一、文件与记录管理1.信息安全文件管理：–是否建立信息安全文件管理制度？–文件管理规范执行情况：2.记录管理：–是否建立信息安全记录管理制度？–记录存储及备份情况：十二、信息安全体系监测与改进1.安全监测：–是否建立信息安全监测机制？–安全监测数据分析情况：2.改进措施：–是否持续改进信息安全体系？–改进措施实施效果评估情况：以上为信息安全管理体系审核检查表，相关部门及人员应认真填写审核情况，及时整改存在的问题，确保信息安全管理体系的持续健康发展。

信息安全管理体系审核检查表
信息安全管理体系审核检查表是用于评估组织的信息安全管理体系（ISMS）的有效性和合规性的工具。

以下是一个详细且精确的信息安全管理体系审核检查表的示例：
1. 领导承诺和管理支持
- 是否有明确的信息安全政策，并由高层管理人员批准和支持？
- 领导层是否定期审查和更新信息安全政策？
2. 规划阶段
- 是否进行了信息安全风险评估和风险处理计划？
- 是否有明确的信息安全目标和计划？
- 是否有明确的责任分配和资源分配？
3. 实施阶段
- 是否有适当的信息安全组织结构和职责？
- 是否有信息安全培训计划和措施？
- 是否有适当的访问控制和身份验证机制？
- 是否有适当的物理安全措施？
- 是否有适当的网络和系统安全措施？
- 是否有适当的应急响应计划和演练？
4. 检查和纠正阶段
- 是否进行了内部和外部的信息安全审核？
- 是否有适当的纠正和预防措施？
- 是否有适当的信息安全事件管理和报告机制？
- 是否有适当的持续改进措施？
5. 管理评审
- 是否定期进行信息安全管理评审？
- 是否有适当的管理评审记录和报告？
以上是一个简单的信息安全管理体系审核检查表示例，具体的检查表内容可以根据组织的需求和实际情况进行调整和补充。

在实际使用中，还需要根据相关的信息安全标准和法规要求进行细化和详细评估。

精品文档信息安全管理体系审核指南标准要求的强制性 ISMS文件强制性 ISMS 文件说明(1) ISMS 方针文件，包括 ISMS的范根据标准“ 4.3.1 ”a) 和 b) 的要求。

围(2)风险评估程序根据“ 4.3.1 ” d) 和 e) 的要求 , 要有形成文件的“风险评估方法的描述” 和“风险评估报告”。

为了减少文件量，可创建一个《风险评估程序》。

该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生《风险评估报告》。

(3)风险处理程序根据标准“ 4.3.1 ”f) 的要求 , 要有形成文件的“风险处理计划”。

因此，可创建一个《风险处理程序》。

该程序文件运行的结果应产生《风险处理计划》。

(4)文件控制程序根据标准的“4.3.2文件控制” 的要求，要有形成文件的“文件控制程序” 。

(5)记录控制程序根据标准的“4.3.3记录控制” 的要求，要有形成文件的“记录控制程序” 。

(6)内部审核程序根据标准的“ 6 内部 ISMS 审核”的要求，要有形成文件的“内部审核程序” 。

(7)纠正措施与预防措施程序根据标准的“ 8.2 纠正措施”的要求，要有形成文件的“纠正措施程序”。

根据“ 8.3 预防措施”的要求，要有形成文件的“预防措施程序” 。

“纠正措施程序” 和“预防措施程序”通常可以合并成一个文件。

(8)控制措施有效性的测量程序根据标准的“ 4.3.1 g)”的要求，要有形成文件的“控制措施有效性的测量程序” 。

(9)管理评审程序“管理评审” 过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。

(9)适用性声明根据标准的“ 4.3.1 i)” 的要求,要有形成文件的适用性声明。

审核重点第二阶段审核：a)检查受审核组织如何评估信息安全风险和如何设计其ISMS ，包括如何：定义风险评估方法(参见 4.2.1 c)识别安全风险(参见 4.2.1 d))分析和评价安全风险(参见 4.2.1 e)识别和评价风险处理选择措施(参见的 4.2.1 f)选择风险处理所需的控制目标和控制措施(参见 4.2.1 g))确保管理者正式批准所有残余风险( 参见 4.2.1 h)确保在 ISMS 实施和运行之前，获得管理者授权(参见的 4.2.1 i))准备适用性声明 (参见 4.2.1 j)b)检查受审核组织如何执行 ISMS 监控、测量、报告和评审 (包括抽样检查关键的过程是否到位 )，至少包括：ISMS 监视与评审 (依照 4.2.3 监视与评审ISMS ”条款 )控制措施有效性的测量(依照 4.3.1 g)内部 ISMS 审核 (依照第 6 章“内部ISMS 审核” )管理评审 (依照第 7 章“ ISMS 的管理评审”)ISMS 改进 (依照第 8 章“ ISMS 改进” ) 。