ISO27001：2022外部審核工作準備事項清單

需準備的事項人力資源安全序號名稱備注1花名冊全體員工2人事資料全體員工3保密協(xié)議全體員工權(quán)限包括：可使用的網(wǎng)絡(luò)、可使用的軟件、可使用的系統(tǒng)4人員訪問權(quán)限清單、可使用系統(tǒng)的權(quán)限、可進入的物理區(qū)域、可訪問的信息文件、電腦賬戶名稱（ID）5離職資料離職交接，最近半年6涉密人員及涉密事項清單要注明涉密事項，及使用電腦編號及ID7涉密人員任職條件要求及權(quán)利義務(wù)8涉密員工背景調(diào)查及證書背景調(diào)查包括：員工履歷核查、學術(shù)及專業(yè)資質(zhì)核查、個人身份核查、信用核查、犯罪核查。9信息安全培訓計劃10信息安全培訓記錄11信息安全違規(guī)處罰記錄暫無資產(chǎn)管理序號名稱備注1.信息資產(chǎn)包括：電腦、路由器、打印機、復印機、傳真機、電話、機房中的設(shè)施、移動硬盤（U盤）2.所有信息資產(chǎn)必須編號，寫明負責人（IT）及使用人員。1信息資產(chǎn)清單3.要列明信息資產(chǎn)中所存放的信息是什么，如：合同、技術(shù)資料、安裝的軟件、安裝的系統(tǒng)等。4.要列明信息資產(chǎn)的用途是什么，如：辦公用、軟件開發(fā)用等。5.信息資產(chǎn)必須必須張貼信息資產(chǎn)標簽，標簽上要寫明：信息資產(chǎn)編號、負責人（IT）、使用人。存放重要信息或涉密信息的信息資產(chǎn)。2重要信息資產(chǎn)清單重要信息資產(chǎn)清單中的項目內(nèi)容同上。重要信息資產(chǎn)必須在限值區(qū)域（保密區(qū)域）使用，所配套的打印機、復印機、傳真機應(yīng)為專用。1.信息資產(chǎn)中不要有筆記本電腦，因信息安全不提倡遠程或移動辦公。3筆記本電腦或可以用辦公用設(shè)備/介2.移動硬盤（U盤）必須為公司所有，在使用時必須經(jīng)過質(zhì)，如：移動硬盤（U盤）、文件等同意，并登記；不得使用私人移動硬盤（U盤）。3.只有指定的幾臺電腦有USB接口，其他電腦中的USB接口必須為堵死或未安裝狀態(tài)，使用移動硬盤（U盤）只能在指定的這幾臺電腦上使用。信息在傳遞時要有收發(fā)記錄，并注明：1.用途2.并注明4信息傳遞記錄臨時性拷貝還是永久性拷貝3.要有拷貝后的處理措施4.要有處理人簽字5.要有人審批6.要注明日期和時間。5介質(zhì)處置記錄粉碎報廢6信息資產(chǎn)移動記錄若發(fā)生7信息資產(chǎn)處置記錄報廢、廢止等1.信息分類的重要度一般分為5類:國家秘密事項、企業(yè)秘密事項、敏感信息事項、一般事項和公開事項。（企業(yè)可自主制定）8信息分類及信息標記2.要在可傳遞的信息上標記信息分類?？蓚鬟f的信息包括：打印出來的紙質(zhì)內(nèi)容，U盤內(nèi)容或其他信息。3.信息管理要求：國家秘密事項、企業(yè)秘密事項、敏感信息事項、一般事項和公開事項是怎么管理的要求，如：接觸人員要求、傳遞管理要求、拷貝要求等。訪問控制序號名稱備注1網(wǎng)絡(luò)拓撲圖公共環(huán)境、研發(fā)環(huán)境、測試環(huán)境及運行環(huán)境網(wǎng)絡(luò)環(huán)境要分開要顯示：設(shè)備名稱（無線AP）、密碼安全選項（WPA2-個2各區(qū)域密碼配置一覽表人）、選擇的密碼（AES）及理由（可兼容更多的筆記本電腦網(wǎng)卡，安全性比較高）權(quán)限包括：可使用的網(wǎng)絡(luò)、可使用的軟件、可使用的系統(tǒng)3人員訪問權(quán)限清單、可使用系統(tǒng)的權(quán)限、可進入的物理區(qū)域、可訪問的信息文件、電腦賬戶名稱（ID）4系統(tǒng)賬號及權(quán)限審批表新進員工個人ID及訪問權(quán)限需要審批5系統(tǒng)賬號及權(quán)限調(diào)整審批表離職員工權(quán)限撤銷或權(quán)限調(diào)整人員需要審批6系統(tǒng)權(quán)限復查記錄每半年檢查一次7用戶訪問日志登錄了哪臺電腦、使用了哪些軟件、傳遞了哪些文件、有哪些聊天信息等8非法/暴力訪問記錄輸入密碼錯誤的記錄、輸入三次密碼錯誤后鎖機，并通知IT、嘗試解鎖暴力訪問記錄9源代碼訪問授權(quán)人員清單包括：姓名、職位、ID及權(quán)限1.若源代碼存在云端，則可以自動生產(chǎn)訪問、修改、刪除10源代碼訪問記錄記錄。2.在運行系統(tǒng)中不得保留源代碼。11用戶訪問復查記錄檢查記錄，防止有人越權(quán)訪問12密碼變更記錄每三十天變更一次物理和環(huán)境安全序號名稱備注公司平面圖布纜圖權(quán)限包括：可使用的網(wǎng)絡(luò)、可使用的軟件、可使用的系統(tǒng)3人員訪問權(quán)限清單、可使用系統(tǒng)的權(quán)限、可進入的物理區(qū)域、可訪問的信息文件、電腦賬戶名稱（ID）4限制區(qū)域進出記錄需要包含進入原因及攜帶物品，需有陪同人、出門檢查及審批。5屏幕保護和清理桌面1.電腦屏幕應(yīng)在不適用30秒內(nèi)鎖屏。2.電腦桌面上不得存放涉密信息。操作安全序號名稱備注1文件服務(wù)器磁盤空間使用率監(jiān)控表要滿足冗余要求2殺毒軟件清單至少兩種殺毒軟件，要注明殺毒軟件更新時間3病毒查殺記錄每月至少一次4病毒攻擊及防范記錄自動生成5信息安全事件處理記錄當發(fā)生違規(guī)操作或病毒攻擊時的處理記錄信息備份策略信息備份記錄8時鐘同步所有電腦上的時間必須為一致的電腦上只允許安裝辦公軟件，不得安裝QQ/微信、游戲等其9限制軟件安裝他軟件，信息傳輸必須使用指定軟件傳輸，并列入信息資產(chǎn)清單通訊安全序號名稱備注1網(wǎng)絡(luò)安全管理限制內(nèi)網(wǎng)接入、使用正規(guī)外網(wǎng)、使用正規(guī)郵箱服務(wù)商系統(tǒng)獲取開發(fā)和維護序號名稱備注正版編程軟件的使用并定期更新計算機軟件開發(fā)記錄計算機軟件驗收記錄供應(yīng)商關(guān)系序號名稱備注1合格供應(yīng)商清單包括:云服務(wù)供應(yīng)商、網(wǎng)絡(luò)供應(yīng)商、IT硬件設(shè)備供應(yīng)商等2供應(yīng)商評估記錄信息安全事件管理序號名稱備注1信息安全事件處理記錄當發(fā)生違規(guī)操作或病毒攻擊時的處理記錄業(yè)務(wù)連續(xù)性管理序號名稱備注