ISO27001體系認(rèn)證JF01內(nèi)部審核管理程序

JF01內(nèi)部審核管理程序內(nèi)部審核方案年度內(nèi)審計(jì)劃03審核組長(成員)任命書04內(nèi)部審核計(jì)劃不符合項(xiàng)報(bào)告及糾正報(bào)告單01不符合項(xiàng)報(bào)告及糾正報(bào)告單0208內(nèi)部審核報(bào)告09內(nèi)部審核報(bào)告發(fā)放記錄10ISMS內(nèi)審檢查表01內(nèi)部審核方案總則ISO/IEC27001:2005《信息安全管理體審核范圍（審核準(zhǔn)則ISO/IEC27001:2005本公司信息安全管理手冊、信息安全方針、信息安全目標(biāo)及程序；相關(guān)的法律法規(guī)及其它要求；資源2內(nèi)部審核的管理活動(dòng)組織內(nèi)審員學(xué)習(xí)法規(guī)、標(biāo)準(zhǔn)、規(guī)范、和體系文件；制定公司內(nèi)審計(jì)劃；；編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準(zhǔn)/批準(zhǔn)日期:；內(nèi)審結(jié)果-糾正措施的跟蹤與驗(yàn)證；內(nèi)審資料的匯總及歸檔；將內(nèi)審報(bào)告輸入管理評審。內(nèi)審的時(shí)間安排12每年至少進(jìn)行一次內(nèi)審；當(dāng)遇到下列情況時(shí)，可以增加內(nèi)審的次數(shù)：一，公司內(nèi)外情況發(fā)生重大變化時(shí)；二，局部薄弱環(huán)節(jié)；三，對于外審的準(zhǔn)備。每一次內(nèi)審活動(dòng)，必須查看相關(guān)的現(xiàn)場；當(dāng)遇到特殊情況時(shí)，可以間隔式地安排內(nèi)審日程。內(nèi)審方案的評審與更新內(nèi)審方案須經(jīng)評審、批準(zhǔn)后，方可實(shí)施；當(dāng)公司內(nèi)外環(huán)境、采用的管理標(biāo)準(zhǔn)發(fā)生變化時(shí)，對審核方案須進(jìn)行更新。編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準(zhǔn)/批準(zhǔn)日期:編號(hào)：

年度內(nèi)審計(jì)劃審核目的評價(jià)信息安全管理體系運(yùn)行的符合性和有效性。審核范圍公司信息安全管理體系所覆蓋的所有過程、部門和場所。審核依據(jù)ISO27001：2005體系標(biāo)準(zhǔn)，體系文件，法律法規(guī)審核方法集中式審核（按業(yè)務(wù)部門審核）審核頻次共1次審核時(shí)間審核持續(xù)時(shí)間每次審核持續(xù)1天編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準(zhǔn)/批準(zhǔn)日期:審核范圍審核號(hào)部門/區(qū)域?qū)徍朔秶鷮徍嗽路?2345678910112001信息安全管理小組1、審核文件的符合性；2、檢查體系運(yùn)續(xù)性；3、檢查體系文件的宣貫培訓(xùn)情況；4、檢查信息安全跟蹤記錄的填寫情況；5、檢查不合格項(xiàng)的糾正情況。002綜合部003開發(fā)部編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準(zhǔn)/批準(zhǔn)日期:審核組長（成員）任命書根公司息安管理定，于月日公司行信安全理體審核現(xiàn)命為核組為核成員并做下工：總經(jīng)理：年月日內(nèi)部審核計(jì)劃編號(hào)：受審核方：各部門 編寫日期：審核目的檢查內(nèi)部信息安全管理體系涉及各部門的活動(dòng)是否符合計(jì)劃安為管理體系的改進(jìn)提供依據(jù)。審核依據(jù)ISO27001體系文件審核范圍綜合部、開發(fā)部審核日期審核組組長A組B組審核員首次會(huì)議時(shí)間：（請受審核方有關(guān)人員參加）內(nèi)部評定時(shí)間：（審核組全體人員參加）審核情況通報(bào)時(shí)間：（請受審核方管理層有關(guān)人員參加）末次會(huì)議時(shí)間：（請受審核方有關(guān)人員參加）備注在內(nèi)審實(shí)施中各部門要配合內(nèi)審人員進(jìn)行內(nèi)審工作;在內(nèi)審實(shí)施中要避免言語沖突的發(fā)生;內(nèi)審員對審核結(jié)果要及時(shí)記錄(無論是否符合),并要被審核部門代表簽字確認(rèn).內(nèi)部審核計(jì)劃書2013年內(nèi)部審核計(jì)劃日期時(shí)間被審核部門所涉及的體系要求審核員狀況；ISMS改進(jìn)；組織管理主要涉及條款：4.2.1；4.2.2；4.2.3；4.2.4；8；A.6.1.4~A.6.1.8；A.6.2；主要審核內(nèi)容：文件要求與控制；內(nèi)部審核；資產(chǎn)管理；物理和環(huán)境安全；符合性；日常運(yùn)作管理；培訓(xùn)、意識(shí)和能力；主要涉及條款：4.3.1；4.3.2；4.3.3；6；A.7；A.9；A.15；5.2.2；A.8；詳細(xì)計(jì)劃主要審核內(nèi)容：ISMS建立和管理；管理職責(zé)；7；A.5主要審核內(nèi)容：信息系統(tǒng)獲取、開發(fā)和維護(hù)；信息安全體系執(zhí)行情況主要涉及條款：A.12；A.7.1；A.10.4；A.10.5；A10.7；A11.3；A.14主要審核內(nèi)容：通信和操作管理；訪問控制；業(yè)務(wù)持續(xù)性管理；信息安全事件管理；主要涉及條款：A.10；A.11；A.13；A.14；內(nèi)審檢查表見發(fā)布給各人的《內(nèi)審檢查匯總表》不符合項(xiàng)報(bào)告

編號(hào)：受審核部門部門負(fù)責(zé)人審核員審核時(shí)間不符合項(xiàng)事實(shí)陳述：不符合項(xiàng)標(biāo)準(zhǔn)條款：不符合項(xiàng)類型：審核 員： 日期：糾正：預(yù)防：部門負(fù)責(zé)人：糾正和預(yù)防措施完成情況：部門負(fù)責(zé)人： 年月日糾正和預(yù)防措施驗(yàn)證：完成審核員： 年月日不符合項(xiàng)報(bào)告

編號(hào)：受審核部門部門負(fù)責(zé)人審核員審核時(shí)間不符合項(xiàng)事實(shí)陳述：不符合項(xiàng)標(biāo)準(zhǔn)條款：不符合項(xiàng)類型：審核 員： 日期：糾正：預(yù)防：部門負(fù)責(zé)人：糾正和預(yù)防措施完成情況：部門負(fù)責(zé)人： 年月日糾正和預(yù)防措施驗(yàn)證：審核員： 年月 日 年度公司內(nèi)審報(bào)告編號(hào)：公司 半年度信息安全內(nèi)部體系審核工作已完成，目前整改工作已經(jīng)結(jié)束。為評價(jià)依據(jù)ISO27001標(biāo)準(zhǔn)建立的信息安全管理體系的符合性及運(yùn)行的有效年月日至年月日對本公司進(jìn)行了為期ISO27001此次內(nèi)審依據(jù)客觀事實(shí)，查出不合格項(xiàng)處。其分布情況見不合格分布情況1。表1不合格項(xiàng)分類情況分布表類 別體系要素（數(shù)目）數(shù)目體系性不合格實(shí)施性不合格效果性不合格從內(nèi)審中發(fā)現(xiàn)的不合格項(xiàng)來看發(fā)現(xiàn)不合格事件 （無嚴(yán)重不合格項(xiàng)均為實(shí)施性不合格無體系性不合格和效果性不合格這主要是因?yàn)楣居嘘P(guān)人員在較大工作壓力下，執(zhí)行ISO27001體系文件過程中不夠細(xì)致，安全意識(shí)有所松懈因此建議有關(guān)部門針對不合格開展適宜的培訓(xùn)使有關(guān)人員熟悉掌握信息安全管理體系文件及標(biāo)準(zhǔn)，以促使保證公司安全管理體系持續(xù)有效的運(yùn)行。通過本次內(nèi)審，根據(jù)不合格問題制定出組織公司和各部門進(jìn)行相應(yīng)的培訓(xùn)（根據(jù)本部門的實(shí)際情況而定，在 月 日前完成整改，糾正措施完成況見表2。表2 糾正措施計(jì)劃完成情況統(tǒng)計(jì)表統(tǒng)計(jì)日期： 年月日體系審核計(jì)劃總項(xiàng)數(shù)按期完成項(xiàng)數(shù)未按期完成項(xiàng)目現(xiàn)狀備注共計(jì)其中延期其中升級后延期完成ISO27001審核ISO27001ISO27001:2005管理體系標(biāo)準(zhǔn)。編寫：信息安全小組 審批： 日期分發(fā)范圍：各部門部門經(jīng)理，內(nèi)審小組成員內(nèi)部審核報(bào)告發(fā)放記錄編號(hào)：序號(hào)接收部門接收人接收時(shí)間備注填人： 審： 年月日1編制/編制日期: 審核/審核日期: 批準(zhǔn)/批準(zhǔn)日期:序號(hào)ISO/IEC27001信息安全管理體系要求核查結(jié)果備注核查問題條款號(hào)符合性檢查結(jié)果核查說明4信息安全管理體系1有無在整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系？4.12是否有文件明確描述ISMS范圍和邊界？4.2.1a)3刪減的項(xiàng)目是否明確說明？并說明細(xì)節(jié)和理由？4.2.1a)4是否定義了ISMS方針？4.2.1b)5ISMS方針是否為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則？4.2.1b)6ISMS方針是否考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)？4.2.1b)7ISMS方針是否與建立和維持ISMS的組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致？4.2.1b)8能否根據(jù)ISMS方針建立風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則？4.2.1b)9ISMS方針是否獲得管理者批準(zhǔn)？4.2.1b)10是否定義了組織風(fēng)險(xiǎn)評估方法？4.2.1c)11是否建立了接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級？4.2.1c)12選擇的風(fēng)險(xiǎn)評估方法是否確保風(fēng)險(xiǎn)評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果？4.2.1c)13是否識(shí)別了ISMS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者？4.2.1d)14是否識(shí)別了對這些資產(chǎn)的威脅；？4.2.1d)15是否識(shí)別了可能被威脅利用的脆弱性？4.2.1d)16是否識(shí)別了保密性、完整性和可用性損失可能對資產(chǎn)造成的影響？4.2.1d)17是否分析并評價(jià)了風(fēng)險(xiǎn)？4.2.1e)18是否評估安全失效可能導(dǎo)致的組織業(yè)務(wù)影響，考慮因資產(chǎn)保密性、完整性、可用性的損失而導(dǎo)致的后果?4.2.1e)19是否根據(jù)資產(chǎn)的主要威脅、脆弱性、有關(guān)的影響以及已經(jīng)實(shí)施的安全控制，評估安全失效發(fā)生的現(xiàn)實(shí)可能性?4.2.1e)20是否評價(jià)了風(fēng)險(xiǎn)的等級？4.2.1e)21是否根據(jù)已建立的準(zhǔn)則，判斷風(fēng)險(xiǎn)是否可接受或需要處理？4.2.1e)22是否識(shí)別并評價(jià)風(fēng)險(xiǎn)處理的選擇的程序？4.2.1f)23風(fēng)險(xiǎn)處理是否考慮：4.2.1f)a)采用適當(dāng)?shù)目刂?？b)如果能證明風(fēng)險(xiǎn)滿足方針和風(fēng)險(xiǎn)接受準(zhǔn)則，有意的、客觀的接受風(fēng)險(xiǎn)？c)采取措施避免風(fēng)險(xiǎn)？d)將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如保險(xiǎn)公司、供方。24是否有選擇并實(shí)施控制目標(biāo)和控制措施的程序，是否實(shí)施該程序以滿足風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程所識(shí)別的要求？4.2.1g)25選擇時(shí)，是否考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求？4.2.1g)26是否獲得管理者對建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)？4.2.1h)27是否獲得管理者對實(shí)施和運(yùn)行ISMS的授權(quán)？4.2.1i)28是否有適用性聲明？4.2.1j)29適用性聲明是否描述所選擇的控制目標(biāo)和控制措施，以及選擇的原因？4.2.1j)30適用性聲明是否描述當(dāng)前實(shí)施的控制目標(biāo)和控制措施？4.2.1j)31適用性聲明是否有對附錄A中控制目標(biāo)和控制措施的刪減，以及刪減的理由？4.2.1j)32是否制定風(fēng)險(xiǎn)處理計(jì)劃闡明為控制信息安全風(fēng)險(xiǎn)確定的適當(dāng)?shù)墓芾砘顒?dòng)、職責(zé)以及優(yōu)先權(quán)？4.2.2a)33是否為了達(dá)到所確定的控制目標(biāo)，實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，包括考慮資金以及角色和職責(zé)的分配？4.2.2b)34是否實(shí)施了所選的控制，以滿足控制目標(biāo)？4.2.2c)35是否確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果？4.2.2d)36是否實(shí)施培訓(xùn)和意識(shí)計(jì)劃？4.2.2e)37是否有管理ISMS實(shí)施的運(yùn)作程序？4.2.2f)38是否實(shí)施ISMS的資源管理？4.2.2g)39是否實(shí)施能夠快速檢測安全事情、響是否安全事件的程序和其它控制？4.2.2h)40是否執(zhí)行監(jiān)視程序和其他控制以：4.2.3a)1）快速檢測處理結(jié)果中的錯(cuò)誤；2）快速識(shí)別失敗的和成功的安全破壞和事件；3）能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；4)幫助檢測安全事情，并利用指標(biāo)預(yù)防安全事件；5）確定解決安全破壞所采取的措施是否有效。41是否定期評審ISMS的有效性（包括安全方針和目標(biāo)的符合性，對安全控制措施的評審），考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋？4.2.3b)42是否測量控制措施的有效性，以證實(shí)安全要求已得到滿足？4.2.3c)43是否按照計(jì)劃的時(shí)間間隔，評審風(fēng)險(xiǎn)評估，評審剩余風(fēng)險(xiǎn)以及可接受風(fēng)險(xiǎn)的等級，考慮到下列變化：4.2.3d)1)組織；2)技術(shù)；3)業(yè)務(wù)目標(biāo)和過程；4)已識(shí)別的威脅；5)實(shí)施控制的有效性；6)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。44是否按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核？4.2.3e)45是否定期對進(jìn)行管理評審，以確保范圍的充分性，并識(shí)別ISMS過程的改進(jìn)？4.2.3f)46是否考慮監(jiān)視和評審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃？4.2.3g)47是否記錄可能對ISMS有效性或業(yè)績有影響的活動(dòng)和事情？4.2.3h)48是否定期實(shí)施已識(shí)別的ISMS改進(jìn)措施？4.2.4a)49是否定期采取適當(dāng)?shù)募m正和預(yù)防措施。吸取從其他組織的安全經(jīng)驗(yàn)以及組織自身安全實(shí)踐中得到的教訓(xùn)？4.2.4b)50是否定期與所有相關(guān)方溝通措施和改進(jìn)。溝通的詳細(xì)程度是否與環(huán)境相適宜，必要時(shí)，是否約定如何進(jìn)行？4.2.4c)51是否定期確保改進(jìn)達(dá)到其預(yù)期的目標(biāo)？4.2.4d)52文件是否包括管理決策的記錄，確保措施可以追溯到管理決策和方針。記錄的結(jié)果是否是可重現(xiàn)的？4.3.153能否展示從選擇的控制措施回溯到風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程結(jié)果的關(guān)系，最終回溯到ISMS方針和目標(biāo)？4.3.154ISMS文件是否包括文件化的安全方針和控制目標(biāo)?4.3.1a)55ISMS文件是否包括信息安全管理體系的范圍?4.3.1b)56ISMS文件是否包括支持ISMS的程序和控制？4.3.1c)57ISMS文件是否包括風(fēng)險(xiǎn)評估方法的描述？4.3.1d)58ISMS文件是否包括風(fēng)險(xiǎn)評估報(bào)告？4.3.1e)59ISMS文件是否包括風(fēng)險(xiǎn)處理計(jì)劃？4.3.1f)60ISMS文件是否包括組織為確保其信息安全過程有效策劃、運(yùn)作和控制及如何測量控制措施有效性所需的文件化的程序？4.3.1g)61ISMS文件是否包括本標(biāo)準(zhǔn)所要求的記錄？4.3.1h)62ISMS文件是否包括適用性聲明？4.3.1i)63ISMS所要求的文件是否被保護(hù)并予以控制？4.3.264是否建立了《文件控制程序》？4.3.265文件發(fā)布前是否得到批準(zhǔn)，以確保文件是充分的？4.3.2a)66必要時(shí)是否對文件進(jìn)行評審、更新并再次批準(zhǔn)？4.3.2d)67是否確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別？4.3.2c)68是否確保在使用時(shí)，可獲得相關(guān)文件的最新版本？4.3.2d)69是否確保文件保持清晰、易于識(shí)別？4.3.2e)70是否確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀？4.3.2f)71確保外來文件得到識(shí)別？4.3.2g)72確保文件的分發(fā)得到控制？4.3.2h)73防止作廢文件的非預(yù)期使用？4.3.2i)74若因任何目的需保留作廢文件時(shí)，是否對其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)？4.3.2j)75是否建立并保持記錄，以提供信息安全管理體系符合要求并有效運(yùn)作的證據(jù)？4.3.376記錄是否被保護(hù)并控制？4.3.377ISMS是否考慮任何相關(guān)的法律和法規(guī)要求以及合同責(zé)任？4.3.378記錄是否保持清晰、易于識(shí)別和檢索？4.3.379記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制是否被文件化并實(shí)施？4.3.380記錄中是否包含4.2中所列出的所有過程的業(yè)績，以及發(fā)生的、與ISMS相關(guān)的重大安全事件？4.3.35管理職責(zé)81管理者是否建立信息安全方針？5.1a)82管理者是否確保信息安全目標(biāo)和計(jì)劃得以制定？5.1b)83管理者是否建立信息安全的角色和職責(zé)？5.1c)84管理者是否向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性？5.1d)85管理者是否提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)ISMS？5.1e)86管理者是否決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級？5.1f)87管理者是否確保內(nèi)部ISMS審核得以實(shí)施？5.1g)88管理者是否實(shí)施ISMS管理評審？5.1h)89組織是否確定并提供所需的資源，以:5.2.1a)建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)ISMS；b)確保信息安全程序支持業(yè)務(wù)要求；c)識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；d)通過正確是否用所實(shí)施的所有控制來保持充分的安全；e)必要時(shí)進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；f)需要時(shí)，改進(jìn)信息安全管理體系的有效性。90是否能夠確保被分配ISMS規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)？5.2.291組織是否通過以下措施保證人員能力：5.2.2a)確定從事影響ISMS工作的人員所必要的能力；b)提供培訓(xùn)或采取其他的措施來滿足這些需求；c)評價(jià)所采取措施的有效性；d)保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄92是否確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)ISMS目標(biāo)做出貢獻(xiàn)？5.2.26內(nèi)部信息安全管理體系審核93組織是否按照策劃的時(shí)間間隔進(jìn)行內(nèi)部審核？694組織是否考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對審核方案進(jìn)行了策劃？695是否規(guī)定審核的準(zhǔn)則、范圍、頻次和方法？696審核員的選擇和審核的實(shí)施是否能確保審核過程的客觀性和公正性？審核員是否審核自己的工作？697是否制定了《內(nèi)部審核程序》？698《內(nèi)部審核程序》是否規(guī)定了策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求？699負(fù)責(zé)受審區(qū)域的管理者是否確保及時(shí)采取糾正措施？6100改進(jìn)的活動(dòng)是否包括對所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告？67信息安全管理體系管理評審101管理者是否按計(jì)劃的時(shí)間間隔進(jìn)行ISMS管理評審？7.1102評審是否包括評價(jià)ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)？7.1103評審的結(jié)果是否清晰地形成文件？7.1104評審記錄是否加以保持？7.1105管理評審的輸入是否完整，符合要求。7.2106管理評審的輸出是否包括與下列內(nèi)容相關(guān)的任何決定和措施：7.3a)ISMS有效性的改進(jìn)；b)更新風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃；c)必要時(shí)，修訂影響信息安全的程序和控制措施。8信息安全管理體系改進(jìn)107是否通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進(jìn)ISMS的有效性？8.1108是否采取措施，消除不符合的原因，以防止再發(fā)生？8.2109是否有《糾正措施控制程序》？8.2110《糾正措施控制程序》是否符合要求。8.2111是否確定措施，以消除潛在不符合的原因，防止其發(fā)生？8.3112所采取的預(yù)防措施是否與潛在問題的影響程度是否相適應(yīng)？8.3113是否有《預(yù)防措施控制程序》？8.3114《預(yù)防措施控制程序》是否符合要求？8.3115是否識(shí)別變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求？8.3116預(yù)防措施的優(yōu)先級是否基于風(fēng)險(xiǎn)評估結(jié)果來確定？8.3序號(hào)ISO/IEC27001信息安全管理體系要求核查結(jié)果其他核查問題條款號(hào)符合性檢查結(jié)果核查說明1信息安全方針文件是否由管理者批準(zhǔn)、發(fā)布并傳遞給所有員工和外部相關(guān)方？A.5.1.12信息安全方針是否按照計(jì)劃的時(shí)間間隔或者發(fā)生重大變化時(shí)進(jìn)行評審，以確保其持續(xù)適宜性、充分性和有效性？A.5.1.23管理者是否通過明確導(dǎo)向、可證實(shí)的承諾、信息安全職責(zé)的分配來積極支持組織內(nèi)的信息安全？A.6.1.14信息安全活動(dòng)是否由來自組織不同部門并具備相關(guān)任務(wù)和工作職責(zé)的代表進(jìn)行協(xié)調(diào)？A.6.1.25所有信息安全職責(zé)都是否被清楚的定義？A.6.1.36是否對新的信息處理設(shè)施規(guī)定并實(shí)施管理授權(quán)過程？A.6.1.47反映組織信息保護(hù)需求的保密或不泄密協(xié)議的要求是否被識(shí)別并定期對其進(jìn)行評審？A.6.1.58與相關(guān)的權(quán)威機(jī)構(gòu)的適當(dāng)聯(lián)系是否被保持？A.6.1.69與專業(yè)的相關(guān)團(tuán)體或其他安全專家論壇或?qū)I(yè)協(xié)會(huì)的適當(dāng)聯(lián)系是否被保持？A.6.1.710組織管理信息安全的方法及其實(shí)施情況（如控制目標(biāo)和控制措施、策略、過程和信息安全的程序）是否根據(jù)策劃的時(shí)間間隔，或者是當(dāng)安全實(shí)施發(fā)生重大變化時(shí)進(jìn)行了獨(dú)立評審？A.6.1.811是否識(shí)別由外部相關(guān)方參與商業(yè)過程而對組織信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險(xiǎn)？并在批準(zhǔn)外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前實(shí)施適當(dāng)?shù)目刂?？A.6.2.112在批準(zhǔn)顧客訪問組織信息或資產(chǎn)前，是否處理所有已識(shí)別的安全要求？A.6.2.213與第三方簽訂的涉及組織信息或信息處理設(shè)施或信息處理設(shè)施附加部件和服務(wù)的訪問、處理、溝通或管理的協(xié)議，是否包含或涉及所有已識(shí)別的安全要求？A.6.2.314是否明確識(shí)別所有資產(chǎn)，并建立和保持《重要資產(chǎn)清單》？A.7.1.115組織是否對所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定“所有者”？A.7.1.216是否識(shí)別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并予以實(shí)施？A.7.1.317是否根據(jù)其價(jià)值、法律要求、敏感度以及對組織的關(guān)鍵程度，對信息進(jìn)行分類？A.7.2.118是否依據(jù)組織采納的分類方案制定并實(shí)施一系列適當(dāng)?shù)男畔?biāo)識(shí)和處理程序？A.7.2.219是否依據(jù)組織的信息安全方針規(guī)定員工、合作方以及第三方用戶的安全任務(wù)和責(zé)任，并將其文件化？A.8.1.120關(guān)于所有員工、合作方和第三方用戶候選者的背景驗(yàn)證檢查是否按照相關(guān)法律法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)需求、被訪問信息的分類和感知的風(fēng)險(xiǎn)來執(zhí)行？A.8.1.221作為契約義務(wù)的一部分，員工、合同方以及第三方用戶是否同意并簽署其聘用合同中的條款和條件，陳述他們及組織的信息安全職責(zé)？A.8.1.322管理者是否要求員工、合作方以及第三方用戶依據(jù)建立的方針和程序來應(yīng)用安全？A.8.2.123組織的所有員工，適當(dāng)時(shí)還包括合作方和第三方用戶，是否接受適當(dāng)?shù)囊庾R(shí)培訓(xùn)并定期向它們傳達(dá)組織更新的方針和程序，以及工作任務(wù)方面的新情況？A.8.2.224對造成安全破壞的員工是否有一個(gè)正式的懲戒過程？A.8.2.325執(zhí)行工作終止或工作變化的職責(zé)是否清晰的定義和分配？A.8.3.126所有員工、合作方以及第三方用戶是否在他們的聘用期限、合同或協(xié)議終止時(shí)歸還他們負(fù)責(zé)的所有組織資產(chǎn)？A.8.3.227所有員工、合作方以及第三方用戶對信息和信息處理設(shè)施的訪問權(quán)是否在其聘用期限、合同或協(xié)議終止時(shí)刪除，或根據(jù)變化作相是否的調(diào)整？A.8.3.328是否使用安全周界（墻、刷卡出入的大門或者人工接待前臺(tái)）保護(hù)包含信息及信息處理設(shè)施的區(qū)域？A.9.1.129是否通過適當(dāng)進(jìn)入管理措施保護(hù)安全區(qū)域，確保只有得到授權(quán)的用戶才能訪問？A.9.1.230辦公室、房間和設(shè)施的物理安全措施是否被設(shè)計(jì)并應(yīng)用？A.9.1.331防范火災(zāi)、水災(zāi)、地震、爆炸、社會(huì)動(dòng)蕩，以及其它形式的自然或人為災(zāi)害的物理安全控制是否被設(shè)計(jì)并應(yīng)用？A.9.1.432安全區(qū)的物理保護(hù)和原則是否被設(shè)計(jì)并應(yīng)用？A.9.1.533是否對交付和存儲(chǔ)設(shè)施的訪問地點(diǎn)以及其它未經(jīng)授權(quán)的人員可能訪問到的地點(diǎn)進(jìn)行控制，可能的話，是否與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問？A.9.1.634設(shè)備是否被定位或保護(hù)，以降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)，以及未經(jīng)授權(quán)的訪問機(jī)會(huì)？A.9.2.135是否對設(shè)備加以保護(hù)使其免于電力中斷或者其它電力異常的影響？A.9.2.236是否保護(hù)傳輸數(shù)據(jù)和輔助信息服務(wù)的電纜和通訊線路，使其免于截取或者破壞？A.9.2.337設(shè)備是否得到正確的維護(hù)，以確保其持續(xù)有效性和完整性？A.9.2.438考慮到在組織場所外工作的風(fēng)險(xiǎn)，安全是否應(yīng)用到場所外設(shè)備？A.9.2.539包含儲(chǔ)存媒體的設(shè)備的所有項(xiàng)目是否進(jìn)行檢查，以確保在處置之前將所有敏感數(shù)據(jù)和許可軟件都被清除或者覆蓋掉？A.9.2.640在未經(jīng)授權(quán)的情況下，設(shè)備、信息或軟件是否帶到場所外？A.9.2.741操作程序是否被文件化、保持，并且在用戶需要時(shí)可用？A.10.1.142是否控制對信息處理設(shè)備和系統(tǒng)的變更？A.10.1.243責(zé)任及負(fù)責(zé)范圍是否加以隔離，以降低未經(jīng)授權(quán)或無意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)？A.10.1.344開發(fā)、測試和運(yùn)作設(shè)施是否隔離，以降低對操作系統(tǒng)未經(jīng)授權(quán)的訪問和更改的風(fēng)險(xiǎn)？A.10.1.445是否確保在第三方協(xié)議中規(guī)定的安全控制、服務(wù)的交付等級被第三方實(shí)施、運(yùn)作和保持？A.10.2.146第三方提供的服務(wù)、報(bào)告以及記錄是否定期監(jiān)控和評審，并定期進(jìn)行審核？A.10.2.247對服務(wù)提供的更改是否進(jìn)行管理，包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、所涉及的過程以及風(fēng)險(xiǎn)的再評估？A.10.2.348是否監(jiān)控、協(xié)調(diào)資源的使用，并規(guī)劃未來的容量要求，以確保所要求的系統(tǒng)性能？A.10.3.149是否建立新信息系統(tǒng)、系統(tǒng)升級和新版本的接收標(biāo)準(zhǔn)，并在接收之前做適當(dāng)?shù)南到y(tǒng)測試？A.10.3.250是否實(shí)施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn)的程序？A.10.4.151移動(dòng)代碼的應(yīng)用被授權(quán)時(shí)，配置是否確保授權(quán)的移動(dòng)代碼依照被清晰定義的安全方針來操作，未經(jīng)授權(quán)的移動(dòng)代碼是否被阻止執(zhí)行？A.10.4.252是否按照已設(shè)定的備份方針，定期備份和測試信息和軟件？A.10.5.153是否充分管理和控制網(wǎng)絡(luò)，以防范威脅，維持系統(tǒng)和使用網(wǎng)絡(luò)的應(yīng)用程序的安全，包括傳輸中的信息？A.10.6.154是否識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級以及管理要求，并將其包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是內(nèi)部提供還是外包？A.10.6.255是否有可移動(dòng)介質(zhì)的管理程序？A.10.7.156當(dāng)不再需要時(shí)，介質(zhì)是否按照正式的程序可靠、安全的處置？A.10.7.257是否建立處理和儲(chǔ)存信息的程序來保護(hù)這些信息免于未經(jīng)授權(quán)的泄露或誤用？A.10.7.358是否保護(hù)系統(tǒng)文件，防止未經(jīng)授權(quán)的訪問？A.10.7.459是否建立正式的交換方針、程序和控制，以保護(hù)通過所有類型的通信設(shè)施進(jìn)行的信息交換？A.10.8.160是否建立組織與外部團(tuán)體交換信息和軟件的協(xié)議？A.10.8.261運(yùn)輸超出組織的物理界限時(shí)，是否對包含信息的介質(zhì)進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的訪問、誤用或破壞？A.10.8.362電子訊息中包含的信息是否被適當(dāng)?shù)谋Ｗo(hù)？A.10.8.463是否建立并實(shí)施相是否的方針和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)的互聯(lián)相關(guān)的信息？A.10.8.564是否保護(hù)通過公共網(wǎng)絡(luò)傳輸?shù)陌陔娮由虅?wù)中的信息，防止欺詐行為、合同爭議，以及未經(jīng)授權(quán)的泄漏和修改？A.10.9.165是否保護(hù)在線交易涉及的信息，防止傳輸不完全、路由錯(cuò)誤、未經(jīng)授權(quán)的信息更改以及未經(jīng)授權(quán)的信息復(fù)制？A.10.9.266是否保護(hù)公共系統(tǒng)中信息的完整性，防止未經(jīng)授權(quán)的修改？A.10.9.367是否產(chǎn)生記錄用戶活動(dòng)、例外和信息安全事情的審核日志？是否保持一個(gè)已設(shè)的周期以支持將來的調(diào)查和訪問控制監(jiān)視活動(dòng)？A.10.10.168是否建立程序檢測信息處理設(shè)備的使用？是否定期對監(jiān)控結(jié)果進(jìn)行評審？A.10.10.269日志記錄設(shè)施以及日志信息是否被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問？A.10.10.370系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)是否被記錄？A.10.10.471故障是否被記錄、分析并采取適當(dāng)?shù)拇胧緼.10.10.572織或安全域內(nèi)的所有關(guān)于信息處理設(shè)施的時(shí)鐘是否使用已設(shè)的精確時(shí)間源進(jìn)行同步？A.10.10.673訪問控制方針是否建立并文件化，是否基于業(yè)務(wù)和訪問的安全要求進(jìn)行評審？A.11.1.174是否有一個(gè)正式的用戶注冊和注銷程序，適當(dāng)?shù)嘏鷾?zhǔn)和撤回對所有信息系統(tǒng)和服務(wù)的訪問？A.11.2.175是否嚴(yán)格限制并控制特權(quán)的分配和使用？A.11.2.276是否通過正式的管理程序來控制口令的分配？A.11.2.377管理層是否實(shí)施一個(gè)正式的程序來定期復(fù)查用戶的訪問權(quán)限？A.11.2.478用戶是否按照良好的安全操作規(guī)程來選擇和使用口令？A.11.3.179用戶是否確保無人值守設(shè)備得到足夠的保護(hù)？A.11.3.280對于文件和可移動(dòng)存儲(chǔ)媒體的清潔桌面方針和對信息處理設(shè)施的清除屏幕方針是否被采用？A.11.3.381是否只向用戶提供對那些特別授權(quán)他們使用的服務(wù)進(jìn)行直接訪問？A.11.4.182是否對遠(yuǎn)程用戶的控制訪問進(jìn)行適當(dāng)?shù)尿?yàn)證？A.11.4.283自動(dòng)設(shè)備鑒別是否考慮作為一種從特定位置和設(shè)備進(jìn)行自動(dòng)連接時(shí)的認(rèn)證手段？A.11.4.384是否控制對診斷端口的物理和邏輯的訪問？A.11.4.485是否在網(wǎng)絡(luò)中以群組方式分離信息服務(wù)、用戶及信息系統(tǒng)？A.11.4.586共享網(wǎng)絡(luò)，特別是那些跨越組織界線的網(wǎng)絡(luò)，是否根據(jù)業(yè)務(wù)應(yīng)用的要求和訪問控制方針來限制用戶對網(wǎng)絡(luò)連接的能力？A.11.4.687是否對網(wǎng)絡(luò)實(shí)施路由控制以確保計(jì)算機(jī)連接和信息流不會(huì)違背業(yè)務(wù)應(yīng)用的訪問控制方針？A.11.4.788對操作系統(tǒng)的訪問是否有一個(gè)安全登錄程序控制？A.11.5.189所有的用戶是否有唯一的標(biāo)識(shí)（用戶ID）僅供他們個(gè)人使用，采用適當(dāng)?shù)恼J(rèn)證技術(shù)來證實(shí)用戶聲明的身份？A.11.5.290口令管理系統(tǒng)是否是交互式的，并能確保高質(zhì)量的口令？A.11.5.391是否對可能會(huì)在系統(tǒng)和應(yīng)用程序控制之上的實(shí)用程序的使用進(jìn)行限制和嚴(yán)格控制？A.11.5.492在規(guī)定的不活動(dòng)期限后，不活動(dòng)的會(huì)話是否關(guān)閉？A.11.5.593為了給高風(fēng)險(xiǎn)應(yīng)用程序提高額外的安全，是否使用連接時(shí)間限制？A.11.5.694用戶以及支持人員對信息和應(yīng)用系統(tǒng)的訪問是否按照規(guī)定的訪問控制方針進(jìn)行限制？A.11.6.195敏感系統(tǒng)是否有專用（隔離的）計(jì)算環(huán)境？A.11.6.296是否建立正式的方針，并且是否采用適當(dāng)?shù)陌踩胧?，以防范使用移?dòng)計(jì)算和通信設(shè)施的風(fēng)險(xiǎn)？A.11.7.197是否為遠(yuǎn)程活動(dòng)建立并實(shí)施方針、運(yùn)作計(jì)劃和程序？A.11.7.298對于新增信息系統(tǒng)或者現(xiàn)有系統(tǒng)的升級的業(yè)務(wù)需求聲明是否詳細(xì)說明安全控制的要求？A.12.1.199是否驗(yàn)證輸入到應(yīng)用軟件系統(tǒng)中的數(shù)據(jù)，確保它是正確的和適當(dāng)?shù)?？A.12.2.1100有效性檢查是否結(jié)合具體的應(yīng)用，通過處理錯(cuò)誤或預(yù)先的行為來檢測信息的損毀？A.12.2.2101在應(yīng)用中確?？沈?yàn)證性和消息的完整性的需求是否得到識(shí)別，適當(dāng)?shù)目刂埔彩欠竦玫阶R(shí)別和實(shí)施？A.12.2.3102是否驗(yàn)證應(yīng)用系統(tǒng)輸出的數(shù)據(jù)以確保對存儲(chǔ)信息的處理是正確的并且與環(huán)境相適是否？A.12.2.4103是否為保護(hù)信息而制訂一套加密控制措施的使用方針并實(shí)施？A.12.3.1104是否有適當(dāng)?shù)拿荑€管理支持組織加密技術(shù)的使用？A.12.3.2105是否有適當(dāng)?shù)某绦蚩刂圃诓僮飨到y(tǒng)中安裝軟件？A.12.4.1106是否謹(jǐn)慎挑選測試數(shù)據(jù)，