ISO27001-2013內審檢查表范例

ISO27001-2013內審檢查表,,,,,

適用條款,,審核問題,審核方式,審核發(fā)現(xiàn),審核結果

標準款項,標題,,,,

4,組織環(huán)境,,,,

4.1,4.1理解組織及其環(huán)境,管理者代表是否了解公司的業(yè)務以及行業(yè)環(huán)境,訪談,,

4.2,4.2理解相關方的需求和期望,檢查組織是否了解客戶合同中的需求,訪談,,

4.3,4.3確定信息安全管理體系的范圍,"檢查組織的信息安全管理體系手冊中是否有明確管理范圍

檢查組織的適用性聲明，是否針對實際情況做合理刪減",訪談,,

4.4,4.4信息安全管理體系,檢查組織是否有正式的信息安全管理體系制度,抽樣,,

5,領導,,,,

5.1,5.1領導和承諾,組織是否制定了明確的信息安全方針和目標，這些方針和目標與公司的業(yè)務是否相關。,訪談,,

5.2,5.2方針,是否有文件化的管理方針,現(xiàn)場觀察,,

5.3,5.3組織角色、職責和權限,是否建立了的信息安全管理組織，并明確其職責及權限,訪談,,

6,規(guī)劃,,,,

6.1,6.1應對風險和機會的措施,,,,

,6.1.1總則,檢查組織是否建立正式的風險評估流程,現(xiàn)場觀察,,

,6.1.2信息安全風險評估,是否建立了風險接受準則,現(xiàn)場觀察,,

,,風險評估實施情況,現(xiàn)場觀察,,

,,抽樣最新一次風險評估內容，檢查風險是否識別了責任人，風險級別,現(xiàn)場觀察,,

,6.1.3信息安全風險處置,檢查組織的風險處置計劃，風險是否都有風險責任人審批，風險處置方式。,現(xiàn)場觀察,,

,6.2信息安全目標和規(guī)劃實現(xiàn),檢查組織是否建立信息安全目標，信息安全目標與管理方針是否存在關聯(lián),現(xiàn)場觀察,,

7,支持,,,,

,7.1資源,組織應確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資源。,訪談,,

,7.2能力,檢查組織在崗位說明書中明確信息安全方面的能力要求,現(xiàn)場觀察,,

,,檢查組織的培訓計劃，是否有信息安全方面的培訓內容,現(xiàn)場觀察,,

,7.3意識,隨機訪談各部門員工5人，了解其是否知曉最新的信息安全管理體系及相關制度。,訪談,,

,7.4溝通,了解組織與相關方溝通的方式，頻率以及溝通的記錄,訪談,,

8,運行,,,,

,8.1運行的規(guī)劃和控制,檢查內容詳見A5-A18,,,

9,績效評價,,,,

,9.1監(jiān)視、測量、分析和評價,檢查組織是否有體系有效性測量流程,現(xiàn)場觀察,,

,9.2內部審核,檢查組織是否建立了內審流程,現(xiàn)場觀察,,

,,檢查最新的內審活動，是否包含檢查清單、檢查過程是否有效，對不符項的關閉情況,,,

,9.3管理評審,檢查公司的管評計劃,,,

,,檢查公司最新的管評活動記錄,,,

10,改進,,,,

,10.1不符合和糾正措施,檢查內容同9.19.2,,,

A.5,安全方針,,,,

A.5.1,信息安全管理方向,,,,

A.5.1.1,信息安全方針,組織是否制定了明確的信息安全方針和目標，這些方針和目標與公司的業(yè)務是否相關。,現(xiàn)場觀察,,

A.5.1.2,信息安全方針的評審,獲取組織管理評審相關記錄，檢查管理評審會議中，是否對信息安全方針的達成情況進行了評審。,,,

A.6,信息安全組織,,,,

A.6.1,內部組織,,,,

A.6.1.1,信息安全的角色和職責,是否所有的組織成員都明確自己的信息安全職責?以及對自己信息安全職責的明確程度?信息安全職責的分配是否與信息安全方針文件相一致?,現(xiàn)場觀察,,

A.6.1.2,與監(jiān)管機構的聯(lián)系,檢查體系制度中，是否明確指定了與監(jiān)管機構聯(lián)系的部門或負責人,現(xiàn)場觀察,,

A.6.1.3,與特殊利益團體的聯(lián)系,與第三方接洽是否考慮了安全性？是否對相關資質和背景進行考察？,現(xiàn)場觀察,,

A.6.1.4,項目管理中的信息安全,"抽樣檢查本年度已實施完成的項目或正在實施的任意一個項目。

檢查項目管理過程中，是否依照組織信息安全管理制度相關要求進行安全管理",現(xiàn)場觀察,,

A.6.1.5,職責分離,"檢查組織的崗位職責表，檢查是否明確定義了職責說明。

檢查是否有不兼容崗位設置說明；

檢查系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)運維是否由不同人員擔任。",現(xiàn)場觀察,,

A.6.2,移動設備和遠程辦公,,,,

A.6.2.1,移動設備策略,"檢查公司信息安全管理制度中是否明確的制定了移動設備的安全管理策略；

隨機抽樣3臺移動設備，檢查設備的安全管控措施是否與制度相符。",現(xiàn)場觀察,,

A.6.2.2,遠程辦公,檢查公司信息安全管理制度中是否明確的制定了遠程辦公的管理策略；,現(xiàn)場觀察,,

A.7,人力資源安全,,,,

A.7.1,任用之前,,,,

A.7.1.1,篩選,隨機抽樣4名新入職員工的入職材料，檢查員工入職前，背景調查的相關記錄.,現(xiàn)場觀察,,

A.7.1.2,任用的條款及條件,檢查這4名新入職員工的勞動合同及是否簽署了保密協(xié)議。,現(xiàn)場觀察,,

A.7.2,任用中,,,,

A.7.2.1,管理職責,隨機抽樣5名員工，檢查是否了解其工作職責。,抽樣,,

A.7.2.2,信息安全意識，教育和培訓,"獲取組織年度的培訓計劃；

檢查年度培訓計劃中是否包含了信息安全意識培訓；

獲取當年度信息安全培訓的簽到表、培訓記錄",現(xiàn)場觀察,,

A.7.2.3,紀律處理過程,"檢查組織是否制定了獎懲規(guī)則；

獲取當年獎懲記錄",抽樣,,

A.7.3,任用的終止或變化,,,,

A.7.3.1,任用終止或變化的責任,"獲取當年離職離崗或轉崗人員清單；

隨機抽樣四份離職或轉崗記錄，檢查所有控制環(huán)節(jié)是否都被有效實施；",抽樣,,

A.8,資產管理,,,,

A.8.1,對資產負責,,,,

A.8.1.1,資產清單,"獲取組織的信息資產清單；

檢查信息資產清單是否每年都進行更新；",現(xiàn)場觀察,,

A.8.1.2,資產責任人,"檢查資產清單中各類信息資產是否都指定了責任人；

抽樣5份重要的信息資產，驗證已定義的信息資產責任人是否與實際相符；",現(xiàn)場觀察,,

A.8.1.3,資產的允許使用,了解組織重要系統(tǒng)或數據是否定義了訪問規(guī)則；檢查系統(tǒng)及數據訪問的審批或授權記錄。,現(xiàn)場觀察,,

A.8.2,信息分類,,,,

A.8.2.1,信息的分類,"檢查信息資產相關制度，組織是否已定義了資產分類分級的標準；

檢查信息資產清單，各類信息資產是否依照規(guī)則進行了分類和分級；",現(xiàn)場觀察,,

A.8.2.2,信息的標記,隨機抽樣5份電子文檔以及紙質文件檢查文件中是否明確標記了保密等級,現(xiàn)場觀察,,

A.8.2.3,資產的處理,檢查信息資產相關制度，制度中是否已明確制定了資產的處理措施；,現(xiàn)場觀察,,

A.8.2.4,資產的歸還,隨機抽取本年度4份離職單，查看物品歸還情況,抽樣,,

A.8.3,介質處理,,,,

A.8.3.1,可移動介質的管理,現(xiàn)場觀察移動存儲使用和管控與制度是否相符；,現(xiàn)場觀察,,

A.8.3.2,介質的處置,"檢查是否建立介質消磁管理辦法，并按要求定期進行回顧與更新；

抽查4份介質報廢的審批及處置記錄",抽樣,,

A.8.3.3,物理介質傳輸,"存有重要信息的介質傳送時有哪些策略

抽樣策略的實施情況",抽樣,,

A.9,訪問控制,,,,

A.9.1,訪問控制的業(yè)務要求,,,,

A.9.1.1,訪問控制策略,"檢查組織是否建立了系統(tǒng)的訪問控制策略；

是否建立了安全或重要區(qū)域的訪問控制措施",現(xiàn)場觀察,,

A.9.1.2,網絡服務的使用政策,檢查組織是否建立了網絡安全域訪問控制策略；,現(xiàn)場觀察,,

A.9.2,用戶訪問管理,,,,

A.9.2.1,用戶注冊和注銷,"檢查賬戶開通管控情況：

抽樣2份重要業(yè)務系統(tǒng)用戶帳號開通審批記錄

抽樣4份新員工帳號開通申請記錄",抽樣,,

A.9.2.2,特權管理,"檢查特權賬戶授權、使用管控情況：

抽樣3份重要系統(tǒng)特權賬戶授權審批記錄

檢查特權賬戶使用是否符合制度要求",抽樣,,

A.9.2.3,用戶秘密認證信息的管理,檢查組織用戶口令管理策略，是否對口令生成、發(fā)送、變更等環(huán)節(jié)制定了控制措施。,抽樣,,

A.9.2.4,用戶訪問權的復查,抽樣2套重要的服務器用戶帳號及權限復查記錄；檢查賬戶及權限復查工作是否滿足制度要求,抽樣,,

A.9.2.5,移除或調整訪問權限,隨機檢查2個重要系統(tǒng)賬戶清單，檢查今年離職用戶的賬戶是否被刪除或凍結,抽樣,,

A.9.3,用戶職責,,,,

A.9.3.1,秘密認證信息的使用,隨機檢查3名員工電腦，要求其現(xiàn)場登錄，觀察輸入的密碼長度及復雜程度,抽樣,,

A.9.4,系統(tǒng)和應用程序的訪問控制,,,,

A.9.4.1,信息訪問限制,"1.公司各類信息是否制定了相應的訪問控制措施

2.現(xiàn)場抽查訪問控制措施的有效性",抽樣,,

A.9.4.2,安全登錄程序,檢查公司系統(tǒng)登錄程序，是否做到輸入密碼時，不顯示密碼。密碼連續(xù)輸錯N次自動鎖定；系統(tǒng)不操作一定時長后自動退出等功能。,抽樣,,

A.9.4.3,口令管理系統(tǒng),"檢查域控的密碼策略，檢查密碼設置的長度、復雜程度、修改周期是否符合制度要求；；

隨機抽查2個重要系統(tǒng)的用戶密碼管理策略，檢查密碼設置的長度、復雜程度、修改周期是否符合制度要求；",抽樣,,

A.9.4.4,特權實用程序的使用,抽查公司域控、重要系統(tǒng)中是否存在特權實用程序，這些程序的安全使用是否得到相應的審批,抽樣,,

A.9.4.5,程序源碼的訪問控制,"檢查源程序訪問控制制度和措施

抽查源程序控制措施，檢查其是否符合制度要求",抽樣,,

A.10,密碼學,,,,

A.10.1,密碼控制,,,,

A.10.1.1,密碼使用控制政策,檢查公司是否制定了加密策略，包括加密的對象、加密的方法、解密的方法等。,抽樣,,

A.10.1.2,密鑰管理,檢查公司對密鑰生命是否制定了控制措施。,抽樣,,

A.11,物理和環(huán)境安全,,,,

A.11.1,安全區(qū)域,,,,

A.11.1.1,物理安全邊界,重要安全區(qū)域是否隔離？,現(xiàn)場觀察,,

A.11.1.2,物理入口控制,"現(xiàn)場抽樣3份設備進出單

檢查職場、機房進出記錄?",抽樣,,

A.11.1.3,辦公室，房間和設施的安全保護,現(xiàn)場查看辦公室的防火\防盜措施，檢查職場大門是否常閉,抽樣,,

A.11.1.4,外部和環(huán)境威脅的安全防護,周遍環(huán)境的檢查(滅火設備、危險物品存放),抽樣,,

A.11.1.5,在安全區(qū)域工作,"安全區(qū)域是否有明確的管控措施

檢查是否有員工違背安全區(qū)域管控措施的行為",抽樣,,

A.11.1.6,交付和交接區(qū),"前臺的檢查(檢查記錄是否完備)前臺脫崗,保安脫崗.",抽樣,,

A.11.2,設備,,,,

A.11.2.1,設備安置和保護,檢查設備是否按照要求放在適當的位置?（滅火器材、服務器）,抽樣,,

A.11.2.2,支持性設備,檢查核心設備是否安置了足夠的支持設施（防火、防水、防潮、防斷電、防雷電、防盜竊等）,抽樣,,

A.11.2.3,布纜安全,檢查強電與弱電電纜是否分開部署,抽樣,,

A.11.2.4,設備維護,"檢查機房巡檢記錄，

獲取UPS、精密空調、消防設施的維護記錄；

驗證設備維護是否依照制度的要求及頻率實施",抽樣,,

A.11.2.5,資產的移動,與相關人員訪談，了解資產移動的控制措施；,抽樣,,

A.11.2.6,場外設備和資產安全,檢查相關制度，是否明確制定了場外設備管控措施；,抽樣,,

A.11.2.7,設備的安全處置或再利用,隨機抽樣下架設備數據清理的記錄,抽樣,,

A.11.2.8,無人值守的用戶設備,現(xiàn)場觀察機房中的服務器是否鎖屏，機房門是否常閉,現(xiàn)場觀察,,

A.11.2.9,清除桌面和清屏策略,隨機抽樣3名離開工位的員工，觀察工位上是否有敏感信息，電腦是否在一定時間內自動鎖頻,現(xiàn)場觀察,,

A.12,操作安全,,,,

A.12.1,操作程序和職責,,,,

A.12.1.1,文件化的操作程序,"檢查3份重要系統(tǒng)或設備的操作或維護手冊

形成的文件程序是否符合要求?（備份、日志、重置維護等）",抽樣,,

A.12.1.2,變更管理,抽樣3個重要系統(tǒng)的變更記錄?,抽樣,,

A.12.1.3,容量管理,"是否對重要設備、系統(tǒng)的容量（CPU、內存、硬盤、網絡帶寬等）進行了監(jiān)控？

現(xiàn)場檢查監(jiān)控報警是否都被處置，及處置記錄",抽樣,,

A.12.1.4,開發(fā)，測試和運行環(huán)境的分離,"現(xiàn)場檢查開發(fā)、測試和生產網絡是否互通；

開發(fā)、測試和生產人員是否為同一人員。",抽樣,,

A.12.2,惡意軟件防護,,,,

A.12.2.1,控制惡意軟件,"抽樣5臺辦公終端，檢查是否統(tǒng)一安裝了公司規(guī)定的防病毒軟件；

檢查病毒庫是否為最新的。",抽樣,,

A.12.3,備份,,,,

A.12.3.1,信息備份,"獲取備份策略；

依照備份策略，隨機抽樣3份備份，檢查備份記錄及備份文件存放情況；

依照備份策略，隨機抽樣3份備份恢復記錄；",抽樣,,

A.12.4,記錄和監(jiān)控,,,,

A.12.4.1,事件日志,"日記記錄表的檢查

抽查重要系統(tǒng)、核心網絡設備的日志審計記錄（日志檢查表）",抽樣,,

A.12.4.2,日志信息的保護,檢查檢查重要系統(tǒng)日志防護措施，是否保障日志不被隨意刪除、篡改,抽樣,,

A.12.4.3,管理員和操作員日志,隨機抽取3份重要系統(tǒng)或設備的管理員操作日志審核記錄,抽樣,,

A.12.4.4,時鐘同步,抽查3臺系統(tǒng)設備的時間，確定是否保持一致,抽樣,,

A.12.5,操作軟件的控制,,,,

A.12.5.1,操作系統(tǒng)軟件的安裝,檢查生產系統(tǒng)軟件安裝的審批記錄；,抽樣,,

A.12.6,技術漏洞管理,,,,

A.12.6.1,技術漏洞的管理,抽查公司漏洞掃描記錄及處置記錄,抽樣,,

A.12.6.2,限制軟件安裝,"檢查是否有軟件白名單或黑名單

隨機抽樣3臺辦公終端，查看是否可以隨意安裝軟件

檢查抽樣的辦公終端，查看是否存在違規(guī)軟件",抽樣,,

A.12.7,信息系統(tǒng)審計考慮,,,,

A.12.7.1,信息系統(tǒng)審計控制,獲取上一年度審核計劃及審批記錄,訪談,,

A.13,通信安全,,,,

A.13.1,網絡安全管理,,,,

A.13.1.1,網絡控制,檢查一臺核心防火墻的規(guī)則策略，是否與公司網絡控制策略相符；,抽樣,,

A.13.1.2,網絡服務的安全,檢查公司網絡設備及安全設備的策略是否能有效的限制和防護網絡服務,抽樣,,

A.13.1.3,網絡隔離,"獲取網絡拓撲圖；

了解安全域或網段劃分策略；

檢查隔離網段間是否能互連；",訪談,,

A.13.2,信息傳輸,,,,

A.13.2.1,信息傳輸的策略和程序,"檢查組織對敏感信息制定了傳輸和控制策略；

現(xiàn)場查看，傳輸控制措施的實施情況；",抽樣,,

A.13.2.2,信息傳輸協(xié)議,檢查組織是否制定了信息傳輸協(xié)議使用策略及要求；,現(xiàn)場觀察,,

A.13.2.3,電子消息,檢查組織是否制定了電子郵件、及時通信工具的使用策略；,現(xiàn)場觀察,,

A.13.2.4,保密或不泄露協(xié)議,隨機抽查3位研發(fā)人員的保密協(xié)議，查看協(xié)議中是否明確保密要求。,抽樣,,

A.14,系統(tǒng)獲取，開發(fā)和維護,,,,

A.14.1,信息系統(tǒng)的安全要求,,,,

A.14.1.1,安全需求分析和規(guī)范,"獲取本年度已完成或正在實施的軟件開發(fā)項目清單；

獲取組織系統(tǒng)開發(fā)規(guī)程，檢查開發(fā)規(guī)程中，是否明確各類系統(tǒng)開發(fā)時信息安全的設計要求；

獲取一個項目的需求及開發(fā)文檔，檢查文檔中是否有信息安全相關的需求及開發(fā)設計；",抽樣,,

A.14.1.2,保護公共網絡上的應用服務,檢查公司官網信息變更控制內容,現(xiàn)場觀察,,

A.14.1.3,保護應用服務交易,檢查網絡交易類應用服務系統(tǒng)，在數據交換、網絡連接等方面是否制定了控制措施；,現(xiàn)場觀察,,

A.14.2,開發(fā)和支持過程中的安全,,,,

A.14.2.1,安全開發(fā)策略,檢查公司是否建立了開發(fā)策略,抽樣,,

A.14.2.2,變更控制程序,"檢查新系統(tǒng)上線審批記錄；

檢查新系統(tǒng)變更審批記錄；",抽樣,,

A.14.2.3,操作平臺變更后對應用的技術評估,獲取生產系統(tǒng)操作系統(tǒng)升級記錄，檢查升級前的評估測試記錄；,抽樣,,

A.14.2.4,軟件包變更的限制,檢查組織是否建立了系統(tǒng)開發(fā)軟件包變更控制措施；,抽樣,,

A.14.2.5,系統(tǒng)開發(fā)程序,檢查組織是否建立了系統(tǒng)開發(fā)程序及過程,抽樣,,

A.14.2.6,安全的開發(fā)環(huán)境,"現(xiàn)場檢查開發(fā)環(huán)境是否與辦公環(huán)境物理分隔

觀察開發(fā)網絡控制措施的有效性",抽樣,,

A.14.2.7,外包開發(fā),檢查組織是否制定了外包開發(fā)策略。,抽樣,,

A.14.2.8,系統(tǒng)安全性測試,抽取已上線系統(tǒng)的安全測試報告,抽樣,,

A.14.2.9,系統(tǒng)驗收測試,抽取系統(tǒng)驗收報告及各項測試報告,抽樣,,

A.14.3,測試數據,,,,

A.14.3.1,測試數據的保護,檢查生產數據脫敏記錄；,現(xiàn)場觀察,,

A.15,供應關系,,,,

A.15.1,供應關系的安全,,,,

A.15.1.1,供應關系的信息安全策略,檢查組織是否建立了供應商信息安全管理策略,訪談,,

A.15.1.2,供應商協(xié)議中的安全,"獲取本年度供應商清單；

隨機抽取3份供應商合同及保密協(xié)議，檢查合同或保密協(xié)議中是否明確了信息安全方面的要求。",抽樣,,

A.15.1.3,信息和通信技術供應鏈,檢查與通信供應商簽署合同中，是否明確了網絡線路的可用性要求,訪談,,

A.15.2,供應商服務交付管理,,,,

A.15.2.1,監(jiān)測和審查供應商服務,"了解供應商考核方式

隨機抽查3份供應商考核記錄；",抽樣,,

A.15.2.2,供應商服務變更管理,"了解供應商服務變更管理策略；

隨機抽查1份供應商服務內容變更及變更審批的記錄",抽樣,,

A.16,信息安全事件管理,,,,

A.16.1,信息安全事件管理和持續(xù)改進,,,,

A.16.1.1,職責和程序,檢查公司有無明確定義信息安全事件處置流程和職責,訪談,,

A.16.1.2,報告信息安全事態(tài),"了解信息安全事件上報流程；

獲取信息安全事件上報記錄",訪談,,

A.16.1.3,報告信息安全弱點,訪談任意1名員工，觀察其是否了解可疑安全事件上報流程,訪談,,

A.16.1.4,評估和確定信息安全事態(tài),隨機抽取2份信息安全事件處置記錄，檢查事件評估及處置記錄是否齊全，是否符合制度要求,訪談,,

A.16.1.5,信息安全事件響應,檢查信息安全事件處置記錄，查看事件相應及處置時間是否如何制度要求,訪談,,

A.16.1.6,回顧信息安全事故,抽樣當年信息安全事件總結記錄,訪談,,

A.16.1.7,收集證據,檢查信息安全事件處置記錄，查看事件處置過程中，是否對證據進行保留和收集