ISO27001 2022版內(nèi)審檢查表+內(nèi)審記錄（分部門）

信息安全管理體系內(nèi)審檢查表編號：JP-ISNS-06/1受審核部門管理層審核員XX審核日期20XX.4.1審核準則ISO/IEC27001:2022，體系文件、適用法律法規(guī)審核條款檢查內(nèi)容檢查結(jié)果4.1理解組織及其環(huán)境公司是否有部門簡介，并能充分反應(yīng)公司內(nèi)部情況，如：背景、經(jīng)營范圍、財務(wù)表現(xiàn)、規(guī)模及設(shè)施、人力資源能力、技術(shù)優(yōu)勢、知識等（內(nèi)部因素）及涉及法律法規(guī)和專利技術(shù)、市場占有率、主要合作伙伴及同行的影響、物理邊界、信息渠道（外部因素）？符合4.2理解相關(guān)方的需求和期望公司是否收集相關(guān)方需求及期望(上級及主要供方及客戶)包括：顧客對信息安全的要求；已與顧客或外部供應(yīng)商達成的合同；行業(yè)規(guī)范及標準；和社區(qū)團體或非政府組織的協(xié)議；法規(guī)法案；備忘錄；許可，執(zhí)照或其他授權(quán)形式；監(jiān)管機構(gòu)發(fā)布的制度；條約，公約及草案；和公共機構(gòu)及顧客的協(xié)議；組織要求；自愿原則或行為規(guī)范；自愿標示或環(huán)境承諾；組織契約合同的承擔(dān)義務(wù)；不符合（查公司未識別相關(guān)方的需求和期望）4.3確定信息安全管理體系范圍公司是否有一個定義ISMS范圍的過程？有沒有明確的體系范圍和邊界？是否有對任何范圍的刪減？符合4.4信息安全管理體系公司形成完整的體系文件公司性體系文件描述適用于公司實際情況符合5.1領(lǐng)導(dǎo)力和承諾是否有一個確保管理者對ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進，做出承諾的過程？管理者提供承諾的證據(jù)是否包括以下內(nèi)容：a) 制定ISMS方針；b) 確保建立ISMS目標和計劃；c) 建立信息安全的角色和職責(zé)；d) 向該組織傳達滿足信息安全目標與符合信息安全方針的重要性、法律責(zé)任和持續(xù)改進的需要；e) 提供足夠的資源；f) 決定接受風(fēng)險的準則和風(fēng)險的可接受級別準則；g) 確保ISMS內(nèi)審的執(zhí)行和ISMS管理評審的執(zhí)行。符合5.2方針公司是否有一個ISMS方針文件？公司的ISMS方針文件是否滿足以下要求：1)包括信息安全的目標框架、信息安全工作的總方向和原則；2)考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3)與組織開發(fā)與維護ISMS的戰(zhàn)略性風(fēng)險管理，結(jié)合一起或保持一致；4)建立風(fēng)險評價準則；5)獲得管理者批準。符合5.3組織的角色，職責(zé)和權(quán)限公司內(nèi)各職位職責(zé)是否明確？權(quán)限分派、溝通和理解是否適宜？各職責(zé)間關(guān)系是否明確？是否有頒布令和授權(quán)令？符合6.1應(yīng)對風(fēng)險和機會的措施公司是否有明確可能所需要應(yīng)對的風(fēng)險和機遇？為確定需要應(yīng)對的風(fēng)險和機遇；1．公司在策劃信息安全管理體系時，是否考慮內(nèi)部和外部因素？2．公司在策劃信息安全管理體系時，是否有理解相關(guān)方需求？公司是否有策劃應(yīng)對風(fēng)險和機遇的措施？這些措施可能是產(chǎn)品及服務(wù)的檢查、監(jiān)視和測量、校準、產(chǎn)品及過程設(shè)計、糾正措施、規(guī)定方法和工作指導(dǎo)書、培訓(xùn)及使用有能力人員等方面。3．應(yīng)對風(fēng)險和機遇的措施是否得到實施和評價措施的有效性？符合6.2信息安全目標和實現(xiàn)規(guī)劃管理層信息安全目標是否：1)包括信息安全的目標框架、信息安全工作的總方向和原則；2)考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3)與組織開發(fā)與維護ISMS的戰(zhàn)略性風(fēng)險管理，結(jié)合一起或保持一致；4)建立風(fēng)險評價準則；5)獲得管理者批準。在對這個要求的符合性審核時，要確保組織的ISMS方針滿足上述5個要求。還要注意到ISMS方針與信息安全方針的關(guān)系。符合7.1資源公司是否有對為滿足信息安全管理體系要求的人力資源、材料、能力、信息、設(shè)施等進行評估？2、公司是否識別各種現(xiàn)有制約，即為減少不良影響或達成目標需要什么，以及需要什么措施？符合7.4溝通1）最高管理者應(yīng)確保在組織內(nèi)建立適當?shù)臏贤ㄟ^程，并確保對質(zhì)量/環(huán)境/職業(yè)健康安全體系的有效性進行溝通。各職能層次間的溝通是如何開展的？對信息溝通的職責(zé)和方法以及對重大事件、問題的溝通是如何開展的？

2）是否使用了恰當?shù)臏贤ㄐ问?？開展的情況，信息是否被有效的利用？

3）溝通的內(nèi)容是否能促進組織質(zhì)量活動協(xié)調(diào)和質(zhì)量/環(huán)境/職業(yè)健康安全體系過程及其有效性？

如何策劃內(nèi)外部溝通的過程？

有哪些記錄來證明？外部信息交流的內(nèi)容？正面的？負面的（如投訴）？是否及時給出清晰回復(fù)？是否涉及績效的改進？符合9.1監(jiān)視、測量、分析和評價公司確定的需要監(jiān)視和測量的對象包括：定義如何測量所選控制措施的有效性，即要有一個“測量所選控制措施有效性”的過程；規(guī)定如何使用這些測量措施，對控制措施的有效性進行測量(或評估)；據(jù)此，管理者和員工就可以確定所選控制措施是否實現(xiàn)原計劃的控制目標，或?qū)崿F(xiàn)的程度。2)通過糾正、糾正措施、預(yù)防措施、改進計劃、簡單的統(tǒng)計分析保持信息安全/環(huán)境/職業(yè)健康安全管理體系持續(xù)改進的有效性，并確定了信息安全目標/過程績效指標及監(jiān)視和測量方法，考核頻次。公司在管理手冊中對監(jiān)視、測量、分析和改進過程進行了策劃，對確保信息安全/環(huán)境/職業(yè)健康安全管理體系的適宜性、產(chǎn)品信息安全的符合性及應(yīng)用數(shù)據(jù)分析等方式來實現(xiàn)對信息安全/環(huán)境/職業(yè)健康安全管理體系的改進和提高進行了策劃，并在實際工作中通過日常的監(jiān)視和測量對發(fā)現(xiàn)的問題及時進行分析、解決，并建立了相應(yīng)的信息流過程，就有關(guān)信息安全、環(huán)境、職業(yè)健康安全績效進行內(nèi)部和外部信息交流符合9.3管理評審公司是否定期召開管理評審？并在管理評審中確定體系的運行是否適宜、充分和有效，并與組織的戰(zhàn)略方向一致？管理評審輸入資料是否滿足要求？是否包括以為管理評審采取措施的情況？環(huán)境目標的實現(xiàn)程度？組織環(huán)境績效方面的信息？資源的充分性？來自相關(guān)方的有關(guān)信息交流？應(yīng)對風(fēng)險和機遇采取的措施是否有效？有無改進的機會？管理評審輸出資料是否滿足要求？并保留形成文件的信息？體系改進有關(guān)的信息？環(huán)境目標為實現(xiàn)時需要采取的措施？改進管理體系與其他業(yè)務(wù)過程融合的機遇？任何與組織戰(zhàn)略方向相關(guān)的結(jié)論？符合10.2持續(xù)改進公司是否通過多種途徑，持續(xù)改進ISMS的有效性持，包括：1) 使用信息安全方針；2) 使用安全目標；3) 使用審核結(jié)果；4) 使用監(jiān)視事件的分析；5) 使用糾正措施與預(yù)防措施；6）使用管理評審。符合10.3不符合及糾正措施是否有一個確保采取措施，消除不符合ISMS要求的原因的過程？當不符合情況發(fā)生時，是否依據(jù)制定的措施進行及時糾正？糾正完成后糾正效果是否經(jīng)過驗證有效？是否形成相應(yīng)的記錄？符合A.5.1信息安全策略總經(jīng)理是否確保制定與公司目標一致的清晰的信息安全方針，并且通過在組織內(nèi)發(fā)布和維護信息安全方針來表明對信息安全的支持和承諾。信息安全方針在《信息安全管理手冊》中描述，《信息安全管理手冊》由總經(jīng)理批準發(fā)布？符合A.5.2信息安全的角色和責(zé)任信息安全活動是否由不同部門并具備相關(guān)角色和工作職責(zé)的代表進行協(xié)調(diào)？符合A.5.3職責(zé)分離公司是否清楚的確定所有的信息安全職責(zé)。最高管理者授權(quán)信息安全管理者代表，全面負責(zé)信息安全管理體系的建立、實施與保持工作？對每一項重要資產(chǎn)指定信息安全責(zé)任人符合A5.4管理層責(zé)任管理者是否要求雇員、承包方人員和第三方人員，按照該組織已建立的方針和程序負起安全責(zé)任？組織的所有雇員，（適當時，也要包括承包方人員和第三方人員），是否受到與其工作職能相關(guān)的適當?shù)囊庾R培訓(xùn)和方針策略以及規(guī)程的定期更新培訓(xùn);對于安全違規(guī)的雇員，是否有一個正式的紀律處理過程？符合A5.25信息安全事件的評估和決策是否要求信息系統(tǒng)和服務(wù)的所有員工、合同方和第三方用戶都需要報告他們觀察到的或懷疑的系統(tǒng)或服務(wù)中的任何安全弱點？是否對信息安全事態(tài)進行評估，以決定他們是否被歸類為信息安全事件？符合A5.26應(yīng)對信息安全事故信息安全事故發(fā)生時，是否積極采取應(yīng)對措施？所采取措施應(yīng)對信息安全事件無效時是否及時進行調(diào)整？是否建立有效制度應(yīng)對信息安全事故？符合A5.27從信息安全事故中吸取教訓(xùn)對于信息安全事件是否按照已建立的職責(zé)和規(guī)程，快速、有效、有序的響應(yīng)？對于已處理的信息安全事故是否組織人員對事故的原因進行分析并制定防止再次發(fā)證的規(guī)定？是否對信息安全事件處理過程進行回顧分析，并優(yōu)化處理過程？符合A5.35信息安全獨立審查是否制定信息安全獨立審查相關(guān)制度，以確保信息安全審查職能部門不受相關(guān)利益方因素干擾？符合A5.36信息安全策略、規(guī)則和標準的遵從性是否定期審查是否符合組織的信息安全策略、專題策略、規(guī)則和標準？符合

信息安全管理體系內(nèi)審檢查表編號：JP-ISNS-06/2受審核部門管理部審核員XXX審核日期20XX.4.1審核準則ISO/IEC27001:2022，體系文件、適用法律法規(guī)審核條款檢查內(nèi)容檢查結(jié)果5.3組織的角色，職責(zé)和權(quán)限公司內(nèi)各職位職責(zé)是否明確？權(quán)限分派、溝通和理解是否適宜？各職責(zé)間關(guān)系是否明確？是否有頒布令和授權(quán)令？符合6.2信息安全目標和實現(xiàn)規(guī)劃綜合管理部信息安全目標是否：1)包括信息安全的目標框架、信息安全工作的總方向和原則；2)考慮財務(wù)要求、法律法規(guī)的要求和合同要求；3)與組織開發(fā)與維護ISMS的戰(zhàn)略性風(fēng)險管理，結(jié)合一起或保持一致；4)建立風(fēng)險評價準則；5)獲得管理者批準。在對這個要求的符合性審核時，要確保組織的ISMS方針滿足上述5個要求。還要注意到ISMS方針與信息安全方針的關(guān)系。符合7.2能力是否對從事影響信息安全管理活動的部門、層次、崗位人員進行了識別，對各類人員所需的教育、培訓(xùn)、技能和經(jīng)驗提出了要求？針對需求是否提出了培訓(xùn)計劃（包括特殊工種、工作人員）或采取其他措施并組織實施？通過何種方式宣傳/培訓(xùn)確保員工意識到所從事活動的相關(guān)性和重要性，并為實現(xiàn)信息安全管理目標做出貢獻？是否適當?shù)乇４媪私逃?、培?xùn)、技能、經(jīng)驗的記錄？看培訓(xùn)需求是否合理？是否按計劃實施？通過查相關(guān)記錄驗證計劃完成情況，抽查相關(guān)培訓(xùn)和評價記錄。與績效有關(guān)的人員和與合規(guī)性有關(guān)的人員的能力要求有哪些？

能力要求描述中有無對人員適當?shù)慕逃⑴嘤?xùn)或經(jīng)歷要求，確保員工能夠勝任？

有無相應(yīng)措施獲得所需能力，如何評價措施有效性？

有無相應(yīng)的記錄證明人員能力？符合7.3意識1、公司員工及各相關(guān)方是否知曉公司信息安全方針、信息安全目標2、公司員工及各相關(guān)方是否明確“可接受”產(chǎn)品和“不合格”產(chǎn)品和服務(wù)的知識和理解。以及當產(chǎn)品和服務(wù)不滿足規(guī)范時，該如何去做。3、公司是否信息安全體系有相關(guān)溝通過程。現(xiàn)場觀察員工是否知曉管理體系方針和目標？員工是否知曉其對管理體系的貢獻？

員工是否知曉不符合管理體系要求的后果？符合7.4溝通最高管理者應(yīng)確保在組織內(nèi)建立適當?shù)臏贤ㄟ^程，并確保對質(zhì)量/環(huán)境/職業(yè)健康安全體系的有效性進行溝通。各職能層次間的溝通是如何開展的？對信息溝通的職責(zé)和方法以及對重大事件、問題的溝通是如何開展的？

2）是否使用了恰當?shù)臏贤ㄐ问剑块_展的情況，信息是否被有效的利用？

3）溝通的內(nèi)容是否能促進組織質(zhì)量活動協(xié)調(diào)和質(zhì)量/環(huán)境/職業(yè)健康安全體系過程及其有效性？

如何策劃內(nèi)外部溝通的過程？

有哪些記錄來證明？外部信息交流的內(nèi)容？正面的？負面的（如投訴）？是否及時給出清晰回復(fù)？是否涉及績效的改進？符合7.5形成文件的信息7.5.1總則公司是否按標準要求和按公司情況形成質(zhì)量管理體系文件信息？并保持和保留這些文件信息？

如何進行文件的分發(fā)、存儲、更新、保留和處置等？

如何識別外部文件，文件是如何保管的？文件是否有標識和說明？文件都有哪些形式？是否經(jīng)過評審和批準？

記錄控制程序是否完整，是否有可操作性？程序文件是否為有效版本？記錄控制程序是否對記錄的標識、收集、編目、歸檔、保存、維護、查閱、處置管理做出了規(guī)定？記錄控制情況如何？記錄的形成與質(zhì)量活動是否同步進行？與本組織的記錄有哪些？與受審核部門有關(guān)記錄有哪些？是否有保存期的規(guī)定？記錄是否按檔案管理規(guī)范的要求處理和管理？符合7.5.2創(chuàng)建和更新是否規(guī)定了文件的保管辦法？

是否規(guī)定了評審文件的有效性？

是否規(guī)定了失效文件的處置、管理辦法？

所有文件是否字跡清楚？標識是否明確？

文件發(fā)布前是否得到授權(quán)人的批準？是否均注明制定或修訂日期？

文件的查找是否方便？文件的保管是否有效？文件化信息內(nèi)容是否完整？版本是否有效？

文件化信息是否對記錄的標識、收集、編目、歸檔、保存、維護、查閱、處置管理做出了規(guī)定？

文件化信息的形成與活動是否同步進行。與本組織有關(guān)的文件化信息有哪些？與受審核部門有關(guān)的記錄有哪些？是否有保存期的規(guī)定？文件修改后是否重新批準？識別修改狀態(tài)的方法是什么？使用時是否都使用適應(yīng)文件的有效版本？

文件化信息是否按檔案管理規(guī)范的要求處置和管理?符合7.5.3文件記錄信息的控制文件化信息內(nèi)容是否完整？版本是否有效？

文件化信息是否對記錄的標識、收集、編目、歸檔、保存、維護、查閱、處置管理做出了規(guī)定？

文件化信息的形成與活動是否同步進行。與本組織有關(guān)的文件化信息有哪些？與受審核部門有關(guān)的記錄有哪些？是否有保存期的規(guī)定？文件修改后是否重新批準？識別修改狀態(tài)的方法是什么？使用時是否都使用適應(yīng)文件的有效版本？

文件化信息是否按檔案管理規(guī)范的要求處置和管理？符合8.1運行規(guī)劃和控制公司有哪些運行控制？有無明確運行準則？對變更的控制？異常情況的評審？產(chǎn)品設(shè)計開發(fā)的輸出的有關(guān)信息中是否包括生產(chǎn)周期每一階段的信息安全要求？采購過程的控制？對外部供方的控制的類型與程度？運輸、交付、使用、最終處置等？符合8.2信息安全風(fēng)險評估1）是否識別公司織ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；2)識別資產(chǎn)所面臨的威脅；3)是否識別可能被威脅利用的脆弱點；4)是否識別資產(chǎn)保密性、完整性和可用性的喪失造成的影響。符合8.3信息安全風(fēng)險處置是否有一個用于識別和評價風(fēng)險處理選擇措施的過程？這個過程是否包括采用適當?shù)目刂拼胧⒔邮茱L(fēng)險、避免風(fēng)險、轉(zhuǎn)移風(fēng)險四種選擇可能；實施風(fēng)險處置計劃并按計劃實施？符合9.2內(nèi)部審核1）公司是否定期進行內(nèi)部審核？2）內(nèi)部審核的頻次和結(jié)果是否滿足部門體系運行要求？符合A.5.2信息安全的角色和責(zé)任信息安全活動是否由不同部門并具備相關(guān)角色和工作職責(zé)的代表進行協(xié)調(diào)？符合A.5.3職責(zé)分離公司是否清楚的確定所有的信息安全職責(zé)。最高管理者授權(quán)信息安全管理者代表，全面負責(zé)信息安全管理體系的建立、實施與保持工作？對每一項重要資產(chǎn)指定信息安全責(zé)任人符合A5.4管理層責(zé)任管理者是否要求雇員、承包方人員和第三方人員，按照該組織已建立的方針和程序負起安全責(zé)任？組織的所有雇員，（適當時，也要包括承包方人員和第三方人員），是否受到與其工作職能相關(guān)的適當?shù)囊庾R培訓(xùn)和方針策略以及規(guī)程的定期更新培訓(xùn);對于安全違規(guī)的雇員，是否有一個正式的紀律處理過程？符合A5.5與職能機構(gòu)的聯(lián)系是否制定規(guī)定，詳細說明由誰何時與政府機構(gòu)聯(lián)系，以及怎樣識別是否該及時報告的可能會違背法律的信息安全事件？符合A5.6與特定相關(guān)方的聯(lián)系組織是否與特殊利益團體、安全專家組和專業(yè)協(xié)會保持適當?shù)穆?lián)系？符合A5.7威脅情報是否定期與機構(gòu)、特殊利益團體、安全專家組和專業(yè)協(xié)會聯(lián)系以獲取信息安全最新法規(guī)及當下多發(fā)信息安全事故原因等相關(guān)威脅情報？符合A5.9信息和其他相關(guān)資產(chǎn)的清單是否識別信息以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)，并編制和維護這些資產(chǎn)的清單？符合A5.10信息和其他相關(guān)資產(chǎn)的可接受的使用與信息處理設(shè)施有關(guān)的信息和資產(chǎn)的可接受使用規(guī)則，是否確定形成了文件并加以實施？符合A5.11資產(chǎn)返還所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，是否歸還他們使用的所有組織資產(chǎn)？符合A5.12信息分類信息是否按照其對組織的價值、法律要求、敏感性和關(guān)鍵性進行分類？符合A5.13信息標簽是否按照所采納的分類機制建立和實施一組合適的信息標記規(guī)程？符合A5.19供應(yīng)商關(guān)系中的信息安全是否與供應(yīng)商協(xié)商并記錄信息安全的要求，以減少供應(yīng)商訪問信息資產(chǎn)帶來的風(fēng)險？符合A5.20解決供應(yīng)商協(xié)議中的信息安全問題是否與供應(yīng)商建立并協(xié)商所有信息安全相關(guān)要求，并實施？符合A5.21管理ICT供應(yīng)鏈中的信息安全供應(yīng)商協(xié)議是否包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險符合A5.22供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理對供應(yīng)商提供的服務(wù)、報告和記錄，是否定期的進行監(jiān)視、評審和審核？符合A5.24規(guī)劃和準備管理信息安全事故是否建立管理責(zé)任和規(guī)程，以確?？焖?、有效和有序地響應(yīng)信息安全？符合A5.25信息安全事態(tài)的評估與決策是否對信息安全事態(tài)進行評估，以決定他們是否被歸類為信息安全事件？符合A5.26信息安全事件響應(yīng)對于信息安全事件是否按照已建立的職責(zé)和規(guī)程，快速、有效、有序的響應(yīng)？符合A5.27從信息安全事件中學(xué)習(xí)是否有一套能夠量化和監(jiān)視信息安全事件的類型、數(shù)量和代價的機制？符合A5.28收集證據(jù)在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，是否建立了適當?shù)陌踩_發(fā)環(huán)境？符合A5.30關(guān)于業(yè)務(wù)連續(xù)性的ICT準備為了解決組織的業(yè)務(wù)持續(xù)性所需的信息安全要求，組織是否開發(fā)和維持一個用于整個組織的業(yè)務(wù)持續(xù)性管理過程？和計劃？是否按照程序和控制的要求，實施了信息安全連續(xù)性管理過程和計劃？符合A5.31法律、法規(guī)、監(jiān)管和合同對每一個信息系統(tǒng)和組織，適用的所有相關(guān)法律法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，都明確地進行了定義，形成了文件并保持更新？符合A5.32知識產(chǎn)權(quán)在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時，為了符合法律、法規(guī)和合同要求，組織是否實施了適當?shù)囊?guī)程？符合A5.33記錄保護為了滿足法律、法規(guī)、合同和業(yè)務(wù)要求，是否防止重要的記錄遺失、毀壞和偽造？符合A5.34隱私和個人可識別信息保護是否有依照相關(guān)的法律法規(guī)要求和合同要求，確保數(shù)據(jù)保護和隱私？符合A5.37文件化的操作程序控制操作規(guī)程應(yīng)形成文件，并對所需用戶可用符合A6.1篩選對所有任用的候選者、承包方人員和第三方人員，是否按照相關(guān)法律法規(guī)、道德規(guī)范、業(yè)務(wù)要求、被訪問的信息類別和已察覺的風(fēng)險，進行背景調(diào)查和驗證？符合A6.2雇傭條款和條件雇員、承包方人員和第三方人員是否簽署了任用合同的條款和條件（這些條款和條件應(yīng)聲明他們和組織的信息安全職責(zé)符合A6.3信息安全意識、教育和培訓(xùn)組織的所有雇員，（適當時，也要包括承包方人員和第三方人員），是否受到與其工作職能相關(guān)的適當?shù)囊庾R培訓(xùn)和方針策略以及規(guī)程的定期更新培訓(xùn)?符合A6.4紀律程序?qū)τ诎踩`規(guī)的雇員，是否有一個正式的紀律處理過程？符合A6.5雇傭關(guān)系終止或變更后的責(zé)任任用終止或任用變更的職責(zé)是否清晰地做出了定義和分配？符合A6.6保密或不披露協(xié)議保密協(xié)議是否得到識別和定期評審？（查看保密協(xié)議）符合A7.1物理安全邊界是否有用于保護包含信息和信息處理設(shè)施的區(qū)域的安全周邊（如墻、門禁卡或受管理的接待臺等屏障）？符合A7.2物理入口為了確保只有已被授權(quán)人員才允許訪問，安全區(qū)域是否通過合適的入口控制措施加以保護？（現(xiàn)場檢查訪問記錄，并可能測試用戶進入安全區(qū)域的符合性。）符合A7.3保護辦公室、房間和設(shè)施是否為辦公室、房間和設(shè)施設(shè)計并采取物理安全措施？（現(xiàn)場檢查辦公室、房間和設(shè)施的保護情況）符合A7.4物理安全監(jiān)控對由火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然災(zāi)難或人為災(zāi)難引起的損害，是否設(shè)計與采取了物理保護措施？（現(xiàn)場檢查針對外部威脅和環(huán)境威脅的安全防護情況）符合A7.5抵御物理和環(huán)境威脅采取了物理保護措施？（現(xiàn)場檢查針對外部威脅和環(huán)境威脅的安全防護情況）符合A7.6在安全區(qū)域工作是否設(shè)計和應(yīng)用了用于安全區(qū)域工作的物理保護和指南？（現(xiàn)場檢查安全區(qū)域的保護狀況）符合A7.7桌面清理和屏幕清理是否采取清空桌面文件，可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略？（現(xiàn)場檢查用戶的清空桌面和屏幕設(shè)置）符合A7.10存儲介質(zhì)是否有適當?shù)目梢苿咏橘|(zhì)的管理程序？對于不再需要的介質(zhì)，是否使用正式的程序可靠并安全地處置？當包含信息的介質(zhì)在組織的物理邊界以外運送時，是否有防范未授權(quán)的訪問、不當使用或毀壞的措施？符合A8.1用戶終端設(shè)備無論什么類型的用戶，在對其分配或撤銷所有系統(tǒng)和服務(wù)的權(quán)限時，是否有一個正式的用戶訪問開通流程？符合A8.7防范惡意軟件是否有對惡意代碼的控制措施（包括惡意代碼的監(jiān)測、預(yù)防和恢復(fù)）？是否有適當?shù)奶岣哂脩舭踩庾R的規(guī)程？符合信息安全管理體系內(nèi)審檢查表編號：JP-ISNS-06/4受審核部門工程部審核員XXX審核日期20XX.4.1審核準則ISO/IEC27001:2022，體系文件、適用法律法規(guī)審核條款檢查內(nèi)容檢查結(jié)果5.3組織的角色，職責(zé)和權(quán)限公司內(nèi)各職位職責(zé)是否明確？權(quán)限分派、溝通和理解是否適宜？各職責(zé)間關(guān)系是否明確？是否有頒布令和授權(quán)令？符合6.2信息安全目標和實現(xiàn)規(guī)劃運營支持部信息安全目標是否：1)包括信息安全的目標框架、信息安全工作的總方向和原則；2)考慮財務(wù)要求、法律法規(guī)的要求和合同要求；3)與組織開發(fā)與維護ISMS的戰(zhàn)略性風(fēng)險管理，結(jié)合一起或保持一致；4)建立風(fēng)險評價準則；5)獲得管理者批準。在對這個要求的符合性審核時，要確保組織的ISMS方針滿足上述5個要求。還要注意到ISMS方針與信息安全方針的關(guān)系。符合8.1運行規(guī)劃和控制公司有哪些運行控制？有無明確運行準則？對變更的控制？異常情況的評審？產(chǎn)品設(shè)計開發(fā)的輸出的有關(guān)信息中是否包括生產(chǎn)周期每一階段的信息安全要求？采購過程的控制？對外部供方的控制的類型與程度？運輸、交付、使用、最終處置等？符合8.2信息安全風(fēng)險評估1）是否識別公司織ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；2)識別資產(chǎn)所面臨的威脅；3)是否識別可能被威脅利用的脆弱點；4)是否識別資產(chǎn)保密性、完整性和可用性的喪失造成的影響。符合8.3信息安全風(fēng)險處置是否有一個用于識別和評價風(fēng)險處理選擇措施的過程？這個過程是否包括采用適當?shù)目刂拼胧⒔邮茱L(fēng)險、避免風(fēng)險、轉(zhuǎn)移風(fēng)險四種選擇可能;實施風(fēng)險處置計劃并按計劃實施？符合A5.7威脅情報是否定期與機構(gòu)、特殊利益團體、安全專家組和專業(yè)協(xié)會聯(lián)系以獲取信息安全最新法規(guī)及當下多發(fā)信息安全事故原因等相關(guān)威脅情報？符合A5.8項目管理中的信息安全組織是否對其管理信息安全的方法與實踐（及信息安全控制目標與控制措施、方針、過程和程序），按既定的時間間隔（或當安全實施發(fā)生重大變化時）進行獨立評審？符合A5.9信息和其他相關(guān)資產(chǎn)的清單是否識別信息以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)，并編制和維護這些資產(chǎn)的清單？符合A5.11資產(chǎn)返還所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，是否歸還他們使用的所有組織資產(chǎn)？符合A5.14信息傳遞為了保護通過使用各種類型的通信設(shè)施的信息交換，是否有正式的交換策略、規(guī)程和控制措施？符合A5.15訪問控制訪問控制策略是否建立并形成文件？

是否基于業(yè)務(wù)和訪問的安全要求進行評審？是否對網(wǎng)絡(luò)進行分區(qū)域管理？或用戶是否僅能訪問已獲專門授權(quán)使用的服務(wù)？是否有正式的用戶注冊與注銷程序，授權(quán)和撤銷對所有信息系統(tǒng)和服務(wù)的訪問？（對系統(tǒng)有訪問權(quán)限的員工或簽約員工進行抽樣檢查）無論什么類型的用戶，在對其分配或撤銷所有系統(tǒng)和服務(wù)的權(quán)限時，是否有一個正式的用戶訪問開通流程？是否限制和控制特殊權(quán)限的分配及使用？所有雇員、承包方人員和第三方人員對信息和信息處理設(shè)施的訪問權(quán)，是否在任用、合同或協(xié)議終止時，刪除，或在變化時調(diào)整？用戶對信息和應(yīng)用系統(tǒng)功能的訪問，是否依照已確定的訪問控制策略進行限制？資產(chǎn)所有者應(yīng)定期對用戶的訪問權(quán)進行復(fù)查？符合A5.16身份管理是否有正式的用戶注冊與注銷程序，授權(quán)和撤銷對所有信息系統(tǒng)和服務(wù)的訪問？（對系統(tǒng)有訪問權(quán)限的員工或簽約員工進行抽樣檢查）是否開發(fā)和實施使用密碼控制措施來保護信息的策略？符合A5.17鑒別信息是否要求用戶在選擇和使用安全鑒別信息時，如口令，遵循良好的安全習(xí)慣？符合A5.18訪問權(quán)限是否限制和控制特殊權(quán)限的分配及使用？資產(chǎn)所有者應(yīng)定期對用戶的訪問權(quán)進行復(fù)查？所有雇員、承包方人員和第三方人員對信息和信息處理設(shè)施的訪問權(quán)，是否在任用、合同或協(xié)議終止時，刪除，或在變化時調(diào)整？用戶對信息和應(yīng)用系統(tǒng)功能的訪問，是否依照已確定的訪問控制策略進行限制？訪問操作系統(tǒng)是否通過安全登錄規(guī)程加以控制？口令管理系統(tǒng)是否交互式的并能夠確保優(yōu)質(zhì)的口令？對于可能超越系統(tǒng)和應(yīng)用程序控制措施的實用工具的使用，是否加以限制并嚴格控制？是否限制訪問程序源代碼？符合A5.23使用云服務(wù)的信息安全供應(yīng)商協(xié)議是否包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險？符合A5.29中斷期間的信息安全為了解決組織的業(yè)務(wù)持續(xù)性所需的信息安全要求，組織是否開發(fā)和維持一個用于整個組織的業(yè)務(wù)持續(xù)性管理過程？和計劃？符合A5.33記錄保護為了滿足法律、法規(guī)、合同和業(yè)務(wù)要求，是否防止重要的記錄遺失、毀壞和偽造？符合A5.35信息安全獨立審查是否制定信息安全獨立審查相關(guān)制度，以確保信息安全審查職能部門不受相關(guān)利益方因素干擾？符合A5.36信息安全策略、規(guī)則和標準的遵從性是否定期審查是否符合組織的信息安全策略、專題策略、規(guī)則和標準？符合A6.7遠程工作組織是否開發(fā)和實施有關(guān)控制遠程工作活動的策略、操作計劃和規(guī)程？符合A6.8報告信息安全事件是否建立了對安全事件做出快速、有效和有序反應(yīng)的職責(zé)和程序？是否有適當?shù)耐緩綀蟾嫘畔踩聭B(tài)符合A7.2物理入口為了確保只有已被授權(quán)人員才允許訪問，安全區(qū)域是否通過合適的入口控制措施加以保護？（現(xiàn)場檢查訪問記錄，并可能測試用戶進入安全區(qū)域的符合性。）符合A7.7桌面清理和屏幕清理是否采取清空桌面文件，可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略？（現(xiàn)場檢查用戶的清空桌面和屏幕設(shè)置）符合A7.8設(shè)備安置和保護設(shè)備的安置或保護，是否在可減少由環(huán)境威脅和危險所造成的各種風(fēng)險以及未授權(quán)訪問的機會？（現(xiàn)場檢查設(shè)備的安置和保護情況，并可能需要系統(tǒng)測試保護措施是否適當符合A7.9場外資產(chǎn)的安全對于組織場所的設(shè)備，是否考慮了工作在組織場所以外的不同風(fēng)險，而采取安全措施？（可能測試組織場所外的設(shè)備安全狀況，如移動設(shè)備的加密）符合A7.10存儲介質(zhì)是否有適當?shù)目梢苿咏橘|(zhì)的管理程序？對于不再需要的介質(zhì)，是否使用正式的程序可靠并安全地處置？當包含信息的介質(zhì)在組織的物理邊界以外運送時，是否有防范未授權(quán)的訪問、不當使用或毀壞的措施？符合A7.11支持性設(shè)施對于支持性設(shè)施的失效而引起的電源故障和其它中斷，設(shè)備是否能夠免于受到影響？（現(xiàn)場檢查并可能需要測試支持性設(shè)施的保護措施）A7.12布線安全是否可以保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或者損壞？（現(xiàn)場檢查供電和通信電纜的布線狀況）符合A7.13設(shè)備維護為了確保設(shè)備持續(xù)的可用性和完整性，對設(shè)備是否予以正確的維護？符合A7.14設(shè)備的安全作廢或再利用為了確保在處置之前，任何敏感信息和注冊軟件已經(jīng)被刪除或安全地寫覆蓋，是否對包含儲存介質(zhì)的設(shè)備的所有項目進行核查？（現(xiàn)場檢查并可能測試設(shè)備處置或重用情況）符合A8.1用戶終端設(shè)備無論什么類型的用戶，在對其分配或撤銷所有系統(tǒng)和服務(wù)的權(quán)限時，是否有一個正式的用戶訪問開通流程？符合A8.2特殊訪問權(quán)是否限制和控制特殊權(quán)限的分配及使用？符合A8.3信息訪問約束用戶對信息和應(yīng)用系統(tǒng)功能的訪問，是否依照已確定的訪問控制策略進行限制？符合A8.4獲取源代碼是否限制訪問程序源代碼？符合A8.5安全身份認證訪問操作系統(tǒng)是否通過安全登錄規(guī)程加以控制？N/AA8.6容量管理為了確保所需要的系統(tǒng)性能，是否對資源的使用進行監(jiān)視和調(diào)整，并對未來的容量需求做出規(guī)劃？（可能需要測試系統(tǒng)性能和資源容量）符合A8.7防范惡意軟件是否有對惡意代碼的控制措施（包括惡意代碼的監(jiān)測、預(yù)防和恢復(fù)）？是否有適當?shù)奶岣哂脩舭踩庾R的規(guī)程？符合A8.8技術(shù)漏洞的管理是否及時了解和獲得有關(guān)現(xiàn)有信息系統(tǒng)的技術(shù)脆弱性信息？對信息系統(tǒng)的技術(shù)脆弱性是否進行評價，并采取處理相關(guān)的風(fēng)險的適當措施？符合A8.9配置管理1.是否綜合地計劃變更和配置管理;2.是否定義了配置管理與財務(wù)管理流程的接口;3.是否明確定義了哪些項目應(yīng)被作為配置項進行記錄和管理？4.是否明確定義了每個配置項應(yīng)該記錄什么信息;5.每個配置項該記錄的信息中是否包括了：a.配置項關(guān)系、b.進行有效管理所需的相關(guān)文檔6.配置管理是否提供相應(yīng)機制對所有可標識的服務(wù)和基礎(chǔ)設(shè)施組件的版本進行：識別、控制、跟蹤？符合A8.10信息刪除所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，是否歸還他們使用的所有組織資產(chǎn)？符合A8.11數(shù)據(jù)遮蓋是否在網(wǎng)絡(luò)上對信息服務(wù)、用戶和信息系統(tǒng)進行遮蓋控制？符合A8.12防止數(shù)據(jù)泄漏在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，是否建立了適當?shù)陌踩_發(fā)環(huán)境？符合A8.13信息備份是否按照已設(shè)的備份策略，定期備份和測試信息和軟件？（推薦測試信息備份和恢復(fù)過程，如嘗試一次恢復(fù)操作）符合A8.14信息處理設(shè)備的冗余信息處理設(shè)施是否有足夠的冗余，以確保可用性的要求？符合A8.15日志是否對用戶活動、異常情況、故障和信息安全事態(tài)的審計日志進行記錄？并定期對事件日志進行評審？符合A8.16活動監(jiān)測是否對用戶活動、異常情況、故障和信息安全事態(tài)的審計日志進行記錄？并定期對事件日志進行評審？符合A8.17時鐘同步組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘，是否使用已設(shè)的精確時間源進行同步？符合A8.18特權(quán)實用程序的使用對于可能超越系統(tǒng)和應(yīng)用程序控制措施的實用工具的使用，是否加以限制并嚴格控制？符合A8.19在操作系統(tǒng)上安裝軟件在運行系統(tǒng)上安裝軟件方面，是否有程序或控制措施？符合A8.20網(wǎng)絡(luò)安全為了防止威脅的發(fā)生，維護使用網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用程序的安全?符合A8.21網(wǎng)絡(luò)服務(wù)的安全性是否有網(wǎng)絡(luò)服務(wù)協(xié)議，網(wǎng)絡(luò)服務(wù)協(xié)議是否包括安全特性、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求？符合A8.22網(wǎng)絡(luò)隔離是否在網(wǎng)絡(luò)上對信息服務(wù)、用戶和信息系統(tǒng)進行隔離控制？符合A8.23網(wǎng)站過濾是否在網(wǎng)絡(luò)上對信息服務(wù)、用戶和信息系統(tǒng)進行隔離控制？符合A8.24密碼學(xué)的使用是否開發(fā)和實施使用密碼控制措施來保護信息的策略？是否有密鑰管理以支持組織使用密碼技術(shù)？符合A8.25安全開發(fā)生命周期是否有建立軟件或系統(tǒng)的開發(fā)規(guī)則？符合A8.26應(yīng)用程序安全要求在開發(fā)或采購應(yīng)用程序時，應(yīng)識別、詳述和審批信息安全要求對信息系統(tǒng)的變更控制方