ISO27001信息安全檢查表_第1頁
ISO27001信息安全檢查表_第2頁
ISO27001信息安全檢查表_第3頁
ISO27001信息安全檢查表_第4頁
ISO27001信息安全檢查表_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、一序口亠審核內(nèi)容審查要點審核結(jié)果判定/處置1是否開展了信息安全的檢查活動?有安全檢查記錄或者報告,和改善記錄21,是否制定了資產(chǎn)清單,包含了所有的客戶信息資產(chǎn),包括服務(wù)器,個人電腦,網(wǎng)絡(luò)設(shè)備,支持設(shè)備,人員,數(shù)據(jù)?2,對這些資產(chǎn)清單是否有定期的更新?1確認資產(chǎn)清單正確2.確認更新記錄3客戶的資產(chǎn)的保護3上面的資產(chǎn)清單上是否標識了所有人和保管人?(要點:確認資產(chǎn)的所有人和保管人被清楚的標識,并且和實際情況相符)4是否按客戶文檔的密級規(guī)則進行了適當?shù)谋Wo確認對于機密信息(電子文檔,打印文檔),限定范圍的信息(電子文檔,打印文檔)是否有明確標識。根據(jù)需要,確認限定范圍,附帶標識,制定日期,制定者。5

2、是否使所有員工和信息安全相關(guān)人員簽署了保密協(xié)議/合同?6是否有信息安全意識、教育和培訓計劃?確認培訓計劃7是否執(zhí)行了信息安全意識、教育和培訓?培訓記錄(實施日期,培訓內(nèi)容/教材,參加人員8是否制定了信息安全懲戒規(guī)程?9郵件用戶是否清除了?抽查是否有離職人員的用戶權(quán)限沒有被清除10門禁權(quán)限是否清除了?11是否制訂規(guī)則劃分了安全區(qū)域?確認風險評估時是否劃分了安全區(qū)域等級12是否執(zhí)行了安全區(qū)域劃分規(guī)則?對不同等級的區(qū)域是否有相應(yīng)措施,措施是否被執(zhí)行13是否制訂安全區(qū)域出入規(guī)則?1在公司內(nèi)部,員工是否佩帶可以識別身份的門卡2機房,實驗室是否有出入管制規(guī)則14是否執(zhí)行了安全區(qū)域出入規(guī)則(前臺接待,機房,

3、實驗室訪問控制)?安裝了防盜設(shè)施。(機房大門的上鎖,ID卡的識別裝置進入,離開的管理),實驗室進出是否有管理記錄15是否定義了公共訪問/交接區(qū)域?確認定義文件16是否監(jiān)控了公共訪問和交接區(qū)域?實地杳看是否有監(jiān)控措施一序口亠審核內(nèi)容審查要點審核結(jié)果判定/處置17服務(wù)器是否得到了妥善的安置和防護?重要的服務(wù)器放在安全的區(qū)域(如機房)是否有UPS溫度和濕度合適18是否制訂服務(wù)器維護計劃?確認計劃內(nèi)容19設(shè)備處置是否經(jīng)過了申請?(設(shè)備維修,銷毀等)確認修理及報廢時的HDD的對應(yīng)方法。20設(shè)備處置是否經(jīng)過了管理審批記錄21服務(wù)器,網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的變更是否經(jīng)過了管理?變更申請記錄22是否進行了防病毒軟件的

4、部署確認部門系統(tǒng)和個人PC的手都已經(jīng)部署并且狀態(tài)正常C23是否有及時的防病毒軟件的升級24對防病毒軟件的是否進行了檢查?(執(zhí)行一次檢查)25備份策略制訂是否有備份策略的制訂?26備份實施是否有備份的實施?27備份驗證是否有備份的驗證28備份保護是否有備份保護29是否實施了網(wǎng)絡(luò)控制是否有網(wǎng)絡(luò)訪問方面的限制30是否對網(wǎng)絡(luò)服務(wù)的安全進行了控制Web訪問服務(wù)的安全Mail服務(wù)的安全31是否有移動介質(zhì)清單的管理1.是否有管理清單2記錄重要信息的外部存貯介質(zhì)(例如:外置硬盤,CD,DVD,U盤,PCMCIA移動存儲卡,存儲備份資料用的備份設(shè)備等),是否被保管在帶鎖的文件柜中?一序口亠審核內(nèi)容審查要點審核結(jié)

5、果判定/處置32是否有移動介質(zhì)報廢管理報廢的申請和審批記錄確認文本文件的廢棄方法。確認是否將含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收資源的箱子中。確認是否將垃圾箱和可回收資源的箱子放在安全的場所。打印機上是否留有文件沒有被取走33系統(tǒng)文件是否得到了保護1檢查其訪問權(quán)限設(shè)定。2.是否有備份34是否有信息父換策略制訂確認項目或其他敏感信息是否在發(fā)送前經(jīng)過授權(quán)者確認,是否經(jīng)過信息所有人的授權(quán)。35和信息交換方是否簽訂了協(xié)議和交換涉及方簽訂NDA(保密協(xié)議)36物理介質(zhì)傳輸是否得到了保護檢查包裝合理性搬運方法合理性37是否按照公司規(guī)程實施了電子信息交換確認是否有電子郵件使用規(guī)則,和實施情況(

6、如發(fā)送重要文件時是否有文件加密等)38是否按照公司規(guī)程實施業(yè)務(wù)信息互聯(lián)1互聯(lián)網(wǎng)使用的檢查。2互聯(lián)是否有訪問控制,權(quán)限分配規(guī)則39是否有訪問控制方針制訂如果有文件共享請確認:確認是否設(shè)置了全員都可以訪問的權(quán)限。確認對于長時間不使用的人員是否暫停其帳號。確認共享文件的訪問權(quán)限范圍。40是否對訪問控制方針進行了評審是否有定期的檢查41是否有用戶注冊的管理1確認用戶賬號是否有申請書。2確認用戶ID及主要訪問的清單,要求刪除的用戶或訪問權(quán)限是否及時修改。3.確認處理申請的記錄。42是否有特權(quán)管理的管理1如果訪問控制清單等是以紙張形式打印出來的,確認是否保管在上鎖的地方。2.電子文檔是否保管在只有管理者才能打開的場所。43是否有口令的管理有沒有將口令寫在便條上,或者告知他人一序口亠審核內(nèi)容審查要點審核結(jié)果判定/處置44是否定期對權(quán)限進行了審核定期審核記錄45是否制定了口令策略管理人員的密碼設(shè)定。是否有員工號等容易推斷的密碼。1個帳號是否有多個用戶。密碼是否記錄在便條上。密碼為6位央文數(shù)字以上46是否執(zhí)行了口令策略47是否實施了網(wǎng)絡(luò)隔離(不冋功能和密級網(wǎng)絡(luò)的隔離,物理或邏輯)?是否有隔離區(qū)從隔離區(qū)外是否可以訪問區(qū)內(nèi)網(wǎng)絡(luò)資源48是否對網(wǎng)絡(luò)連接實施了控制接入網(wǎng)絡(luò)前是否經(jīng)過IM或者ISM的安全檢查49是否制訂了信息訪問限制策略訪問策略定義文件50

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論