ISO27001信息安全管理體系內審檢查表(含記錄)

ISO27001信息安全管理體系內審檢查表被審核部門管理層審核成員：****陪同人員：****審核日期2021年3月10日審核主題4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.1、6.2、7.1、9.3、10.1、10.2、A.5.1、A.6.1、A.12.2檢查要素/條款檢查事項檢查記錄符合項觀察項不符合項4.14.24.34.4組織環(huán)境-總經理詳細介紹了公司總體情況，包括公司建立的理念，愿景，描述了客戶、政府機關、相關協會、團體、法律法規(guī)等相關方對公司的期望與要求。具體見信息安全管理手冊企業(yè)概況。-總經理明確了公司信息安全管理體系覆蓋的物理范圍與業(yè)務范圍。物理范圍為：深圳市************，業(yè)務范圍為：計算機應用軟件的研發(fā)及運行維護。√5.15.2領導和承諾方針--信息安全方針，信息安全目標和計劃得以實施；信息安全的角色和職責均已明確；向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進，決定接受風險的準則和風險的可接受等級；√5.3組織角色、職責和權限建立信息安全的角色和職責——提供《信息安全管理手冊》總經理定義與分配了公司各個部門的不同崗位人員的日常職責與在各管理體系中負擔的職責，職責劃分基本能夠滿足要求?？偨浝碛邢蚪M織傳達滿足信息安全目標、符合信息安全方針、履行法律法責任和持續(xù)改進的重要性?！?．1資源的提供——主持管理評審，授權管理者代表組織協調建立、實施、運作、監(jiān)視、評審、保持和改進ISMS體系。——總經理為管理體系順暢進行提供資源支持，包括設備相應的增加計劃，人員增加計劃，財務支出支出、培訓支持等等?！?.3ISMS管理評審——本次是制定體系實施以來的第一次管理評審計劃?！藺5.1信息安全方針文件信息安全方針包含在信息安全管理手冊中，由總經理批準、發(fā)布并傳遞給所有相關方?！蘄SO27001信息安全管理體系內審檢查表被審核部門綜合管理部審核成員：*****陪同人員：*****審核日期2021年3月10日審核主題6.1、7.2、7.3、7.4、7.5、8.1、8.2、8.3、9.1、9.2、A.6.1.1、A.6.1.2、A.7、A.8、A.9、A.11、A.12、A.13、A.15.A.16、A.17、A.18核查要素/條款核查事項核查記錄符合項觀察項不符合項6.18.18.2應對風險和機會的措施運行的規(guī)劃和控制信息安全風險評估前期策略了風險評估準則、風險評估規(guī)范根據風險評估方法進行了風險評估。√6.28.3信息安全目標和規(guī)劃實現信息安全風險處置制定了信息安全目標：確保每年重大信息安全事件（事故）發(fā)生次數為零。目標通過一年來的運行和保持，得到完成。信息安全不可接受風險處理計劃，提供“不可接受風險處理檢查表”。√7.27.37.4能力意識溝通人力行政部通過制定培訓計劃、招聘新員工、聘請外部專家指導等方式確保組織人員有勝任信息安全職責的能力。人力行政部通過培訓、會議、標語宣貫等方式培養(yǎng)員工的信息安全意識。人力行政部負責與組織內外部各相關方的溝通，溝通方包括客戶、政府機關、內部員工等，溝通方式包括公函、會議、電子郵件、電話等等。√7.5文件記錄信息公司編制管理手冊、SOA適用性聲明1套，35個程序文件，信息安全記錄96個；明確了方針和目標管理手冊、適用性聲明；形成35個程序信息安全管理體系運行所必須的程序文件所需提供的記錄96個，包括《信息安全風險評估報告》、《信息安全風險處置計劃》目前《適用性聲明》√9.2內部審核內審情況：2018年7月12日實施了內審檢查活動，相關的記錄完整?！藺.6.1.1信息安全的角色和職責人力行政部：（1）負責管理體系的建立、實施、保持、測量和改進。（2）負責文件控制、記錄控制、內部審核的組織、管理評審的組織實施和體系的改進。（3）負責本公司保密工作的管理。（4）負責安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。（5）負責部門的資產登記及評價、風險評估。（6）負責涉密信息上網、涉密計算機運行、檢修、報廢的監(jiān)督管理。（7）對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內容。（8）負責協調各部門的定崗定編工作；提出相關崗位人員配置的建議。（9）制定員工培訓與開發(fā)計劃，建立培訓與開發(fā)體系包括人員聘用管理、任職培訓、保密協議簽署、員工的能力、專業(yè)技能培訓、學歷教育培訓、綜合素質培訓等，并制訂相應管理制度。（10）建立和完善薪酬體系；制訂員工福利政策；員工績效管理；協助行政管理部制訂員工績效管理的相關制度，并組織實施。（11）負責員工各項保險和住房公積金帳戶的申報和管理；負責員工考勤、休假管理。（12）負責員工勞動合同管理、員工離職管理、員工人事檔案管理。（13）本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的保密要求。√A.6.1.2《信息安全管理手冊》，公司在信息安全管理職責明細表里明確了信息安全職責。公司設立信息安全管理者代表，全面負責ISMS的建立、實施與保持工作。√A7.1.1A7.1.2A7.2.1A7.2.2A7.2.3A7.3.1審查任用條款和條件管理職責信息安全教育和培訓紀律處理過程任用終止或變更職責人力行政部負責初始錄用員工進行能力、信用考察，每年對關鍵信息安全崗位進行年度考察，對于不符合安全要求的不得錄用或進行崗位調整。在《勞動合同》中明確規(guī)定了保密的義務及違約的責任。10月份開展了信息安全相關的培訓，查看《培訓簽到表》具備《信息安全獎懲制度》，并按制度執(zhí)行。具備《人力資源管理程序》，并按制度執(zhí)行?！藺.8.1.1A.8.1.2A.8.1.3A.8.1.4資產清單資產所有權資產的可接受使用資產的歸還公司對資產進行了評估。包括軟件/系統、數據/文檔、硬件/設施及人力資源。對每一項信息資產，根據《信息安全風險管理程序》識別出了重要資產及高風險的項目。其中高風險的資產有公司軟件源代碼等。自此之后公司完成了風險處理計劃、檢查、殘余風險評估報告，以及驗證。有《重要信息資產清單》，信息資產包括數據、軟件、硬件、服務、文檔、人員、經驗。——《信息資產清單》、《重要信息資產清單》都定義了責任部門或責任人——提供了資產歸還的記錄表?！藺.8.3.1A.8.3.2A.8.3.3可移動介質的管理介質的處置物理介質傳輸提供可移動介質授權使用清單1份?！猩暾埐块T、申請人、部門審核人、申請介質類型、申請使用數量、申請使用時間、行政審核人、行政批示、經辦人?！壳盁o介質處置。√A.9.1.1A.9.1.2訪問控制策略網絡和網絡服務的訪問網絡劃分為三個網段，內網使用固定IP,入網需要申請，并綁定MAC地址?，F場查《網絡安全配置表》，符合要求。提供了《開通外網申請表》符合√A.9.2.1A.9.2.2A.9.2.3A.9.2.4A.9.2.5A.9.2.6用戶注冊及注銷用戶訪問開通特殊訪問權限管理用戶秘密鑒別信息管理用戶訪問權限的復查撤銷或調整訪問權限對于任何權限的改變(包括權限的創(chuàng)建、變更以及注銷)，須由管理員操作。提供金蝶K3系統用戶列表1份。特權分配僅以它們的功能角色的最低要求為據，有些特權在完成特定的任務后應被收回，確保特權擁有者的特權是工作需要的且不存在富裕的特權。各系統管理員應對被授權訪問該系統的用戶口令予以分配、規(guī)定不使用簡單口令，口令必須至少要含有6位以上字母+數字。查：普通用戶只能訪問被授權的服務，對計算機系統的訪問權都被限制。√A.9.3.1使用秘密鑒別信息公司范圍的計算機登錄口令要求6位以上。抽查了4臺PC機，口令符合要求√A.9.4.1A.9.4.2A.9.4.3A.9.4.4A.9.4.5信息訪問控制安全登錄規(guī)程口令管理系統特殊權限實用工具軟件的使用對程序源代碼的訪問控制——用戶不得訪問或嘗試訪問未經授權的網絡、系統、文件和服務?！F場測試，審核員通過訪問網絡上的PC機，有用戶名，密碼，試圖隨意輸入密碼3次，均無法登陸?！杏嬎銠C用戶在使用口令時應遵循以下原則：所有活動帳號都必須有口令保護，所有系統初始默認口令必須更改等?！獩]有安裝實用工具?！緵]有軟件開發(fā)，只有網站服務采用托管形式，由第三方公司負責運營。——提供《網站維護協議》，合同有效日期從2014年4月30日至2015年4月29日，條款一，規(guī)定服務方所應承擔的業(yè)務與遵守的規(guī)定；條款五，規(guī)定了雙方的法律責任與處理辦法√A.10.1.1A.10.1.2使用密碼控制的策略密鑰管理公司的密碼控制是由銀行提供的加密機。由銀行專員到公司內導入密鑰?！藺.11.1.1A.11.1.2A.11.1.3A.11.1.4A.11.1.5A.11.1.6物理安全周邊物理入口控制辦公室、房間和設施的安全保護外部環(huán)境威脅的安全防護在安全區(qū)域工作交接區(qū)安全——現場查公司大門設有接待處——現場查《外來人員來訪登記表》，登記信息包含：來訪人員姓名，時間，單位，身份證，事由，被訪人√A.11.2.1A.11.2.2A.11.2.3A.11.2.4A.11.2.5A.11.2.6A.11.2.7A.11.2.8A.11.2.9設備安置和保護支持性設施布纜安全設備維護資產的移動組織場外設備和資產的安全設備的安全處置或在利用無人值守的用戶設備清空桌面和屏幕策略——公司機房外包給第三方進行管理?！峁┓掌髅恐軝z查記錄?！F場查公司目前沒有組織場所外的信息處理設備使用?！忻舾行畔⒌脑O備在報廢或該做他用時，由使用部門應利用安全的處置方法將設備中存儲的敏感信息清除并保存清除記錄。對舊機器的硬盤砸壞，物理破壞后。公司目前未發(fā)生設備處置?！峁╇娮釉O備領用簽字單。有申請人、主管簽字和日期。——桌面均能保持干凈√A.12.1.1A.12.1.2A.12.1.2A.12.1.4文件化的操作規(guī)程變更管理容量管理開發(fā)、測試和運行環(huán)境分離——程序文件34個——現場了解目前沒有信息系統的變更?！峁┓掌魅萘勘O(jiān)控記錄。有服務器、硬件配置、總容量、已用空間、剩余空間。每日通過手工登錄，通過服務器陣列備份通用備份，按照容量管理程序文件記錄。——現場查公司目前無軟件開發(fā)和測試活動，目前使用的信息系統由供應商負責安裝測試，√A.12.2.1控制惡意軟件——使用360殺毒軟件、金山殺毒軟件?！Y產編號00007劉*,00015李**,00001陳*臺式機，使用360殺毒，360衛(wèi)士。√A.12.3.1信息備份——沒有對綜合管理部將設計開發(fā)資料進行數據備份√A.12.4.1A.12.4.2A.12.4.3A.12.4.4事態(tài)記錄日志信息的保護管理員和操作員日志時鐘同步——現場查公司通過門衛(wèi)進行進出登記記錄，保安7*24小時值班，進入辦公大樓有前臺，前臺負責公司職員的考勤，現場查有打卡機，同時負責外來人員監(jiān)控。——現場查只有系統管理員有權察看日志，服務器均開啟管理員和操作員日志。——現場查公司的電腦設置為與Internet時間自動校對，未連接網絡的電腦定期校對電腦時間。√A.12.5.1在運行系統上安裝軟件——對軟件在作業(yè)系統的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應經主管部門負責人審核同意后方可進行。計算機終端用戶除非授權，否則嚴禁私自安裝任何軟件?，F場查目前安裝軟件統一管理安裝?！藺.12.6.1A.12.6.2 技術脆弱性的控制限制軟件安裝計算機安裝了360安全衛(wèi)士，自動掃描系統漏洞，人力行政部申意——系統應用程序的使用進行限制和嚴格控制，并規(guī)定授權的使用者等，只有經過授權的系統管理員才可以使用實用工具，現場查服務器上沒有安裝實用工具?！藺.12.7.1信息系統審計控制措施——漏洞掃描工具使用JP1，只有信息系統課系統管理員有權限使用?！獌炔渴褂?60殺毒軟件對個人計算機進行病毒查殺√A.13.1.1A.13.1.2A.13.1.3網絡控制網絡服務安全網絡隔離——提供《網絡拓撲圖》，描述網絡結構并表示網絡的各組成部分之間在邏輯上和物理上的相互連接。公司內部的計算機，只有授權的可以上外網，其他的都不能訪問外網，現場查連網情況未發(fā)現異常。——公司路由器放置于機房內，目前劃分為3個網段?！獮榇_保公司網絡安全，采用邏輯方式進行外部網絡隔離，內網與外網物理隔離?，F場查財務部內電腦沒有連接網絡?！藺.13.2.1A.13.2.2A.13.2.3A.13.2.4信息傳遞策略和規(guī)程信息傳遞協議電子消息發(fā)送保密性或不泄露協議對信息交流應作適當的防范，嚴禁在無保密措施的通信設備及計算機網絡中傳遞企業(yè)秘密?！蛻敉ㄟ^企業(yè)郵箱Email，通過內部騰訊通?！F場查公司的電子郵件目前只用于公司內部信息交換、對外發(fā)送公開的報價單。內部通過騰訊通進行交換文件。√A.15.1.1A.15.1.2A.15.1.3供應商關系的信息安全策略處理供應商協議的安全問題信息和通信技術供應鏈——與供應商簽訂年度協議，有安全保密協議，有雙方負責人簽字，合同專用章，√A.15.2.1A.15.2.2供應商服務的監(jiān)視和評審供應商服務的變更管理——提供第三方評審記錄表。——查《采購合同書》，規(guī)定了對于服務方所提供服務的要求細則重要事項條款：規(guī)定了對于服務方違約的處理辦法符合。第三方服務的更改，包括更改和加強網絡，使用新技術，更改服務設施的物理位置，更改供應商?！壳皼]有第三方服務的變更。√A.16.1.1A.16.1.2A.16.1.3A.16.1.4A.16.1.5A.16.1.6A.16.1.7職責和規(guī)程報告信息安全事態(tài)報告信息安全弱點評估和確定信息安全事態(tài)信息安全事件響應對信息安全事件的總結證據的收集安全事情、事故一經發(fā)生，事情、事故發(fā)現者、責任者應立即向網管報告，網管應及時對事情、事故進行反應處理。所有員工有報告安全事故、事情的義務。目前沒有計算機中病毒情況，未發(fā)生安全事件。各部門及全體員工應按照要求及時識別安全弱點及可能的安全威脅，一旦發(fā)現應及時向有關人員或部門報告并記錄，主管部門或安全管理負責人應采取有效的預防措施，防止威脅的發(fā)生。填寫安全弱點報告在《信息安全事件報告表》中，包括以下內容：1）安全弱點的原因，2）安全弱點的預防處置措施及改進計劃，3）安全弱點報告提交給信息安全管理小組；√A.17.1.1A.17.1.2A.17.1.2信息安全連續(xù)性計劃實施信息安全連續(xù)性計劃驗證、評審和評價信息安全連續(xù)性計劃公司建立并實施管理程序，在發(fā)生災難或安全故障時，實施持續(xù)性管理計劃，確保關鍵業(yè)務及時得到恢復。——該部門編制《業(yè)務持續(xù)性管理實施計劃》，由信息安全管理者代表批準，以便在重要系統發(fā)生中斷或故障后，實施持續(xù)性管理計劃，以保證系統或作業(yè)中斷的及時恢復?！F場查本部門對業(yè)務連續(xù)性的敏感度不高，對于由于各種原因造成的業(yè)務中斷，采用數據備份恢復方案，在顧客可容忍的時間范圍內能恢復業(yè)務的正常辦理?！F場查《業(yè)務持續(xù)性管理實施計劃》中有影響的關鍵生產作業(yè)或管理過程?！F場提供《業(yè)務持續(xù)性管理實施計劃和框架》，符合要求。每半年制定一次。有序號、系統名稱、影響的關鍵生產作業(yè)或管理過程、故障或災難、系統恢復與應急措施、系統回復時限要求、對公司業(yè)務活動的影響、責任部門/人。——現場提供《ISMS-業(yè)務持續(xù)性管理計劃評審報告》，符合要求。√A.17.2.1信息處理設施的可用性目前公司的服務器在部署時，有考慮到容量上的要求，現場查硬盤容量≥40%，CPU占用小于50%。√A.18.1.1A.18.1.2A.18.1.3A.18.1.4A.18.1.5可用法律及合同要求的識別知識產權（IPR）保護記錄隱私和個人身份信息保護密碼控制措施的規(guī)則提供內有關法律法規(guī)適用性的識別要求。定期與執(zhí)法機關等人力行政部門聯絡，及時收集與信息安全管理有關法律、法規(guī)和其它信息。提供法律法規(guī)標準清單?！峁┝朔ㄒ?guī)法律符合性的評價記錄。針對信息安全風險及相關法規(guī)要求，明確本單位的執(zhí)行現狀進行評價。——與軟件部開發(fā)人簽訂《知識產權協議書》，在工作期間獲得的發(fā)明創(chuàng)造、專利，產權歸公司所有?！獋€人計算機、服務器系統軟件均購買正版軟件，Windows操作系統、OFFICE軟件都是統一采購，每年有檢查授權數量?！镜乃杏涗浻袑ｉT的文控人員負責管理。——紙質文件各部負責保管。普通的工作記錄存放在部門里，每年進行銷毀，有銷毀記錄?！涗浘俏臋n柜存放，有鐵皮文檔柜，有鎖，現場查鑰匙存放在鑰匙盒內。有專用的文件夾有標識?！颗_個人電腦均設有口令，并定期修改，員工檔案存放在人力行政部檔案柜內，需要調閱時，需填寫人事檔案借單，經人事科審批，有批準手續(xù)。——人事部有門禁、考勤系統，現場查看只有人事部的人員有訪問權限?！攧詹康呢攧障到y由統一管理，只有財務人員有帳號和權限?！藺.18.2.1A.18.2.2A.18.2.3獨立的信息安全評審符合安全策略和標準技術符合性評審有各部門的負責人，和信息安全擔當組成。內部審核活動應包括對各信息系統的技術性審核，內部審核組至少擁有一名具有一定信息安全技術的內部專家，技術性審核應在被監(jiān)督的情況下進行。如有特殊情況將安排2次內審?！峁缎畔踩w系推進聯絡表》，內有IT方面專家——《內審管理程序》、《管理評審控制程序》——漏洞掃描工具使用JP1，只有信息系統管理員有權限使用?！獌炔渴褂泌厔輾⒍拒浖€人計算機進行病毒查殺。√

ISO27001信息安全管理體系內審檢查表被審核部門技術部審核成員：*****陪同人員：*****審核日期2021年3月10日審核主題A.6.1.1，A6.1.5，A.6.2，A.8.1A.9.3，A.9.4.1，A.9.4.2，A.12.1，A.12.2，A.12.3，A.12.5，A.12.6，A.12.7，A.14，A.16.1.2，A.16.1.3檢查要素/條款檢查事項檢查記錄符合項觀察項不符合項A.6.1.1信息安全的角色和職責技術部：（1）負責軟硬件產品的設計和開發(fā)工作。（2）負責公司軟硬件設計開發(fā)過程中信息安全管理。（3）負責配合銷售完成運維服務的用戶交流、售前支持工作。（4）負責部門的資產登記及評價、風險評估。（5）負責軟硬件文檔的管理。（6）負責信息系統接收測試。（7）項目的組織協調工作，確定項目人員并對所承擔項目的質量負責。（8）負責軟硬件開發(fā)過程，包括制定項目進度、組織需求分析、概要設計、測試以及驗收。（9）負責開發(fā)人員的管理與保密工作。（10）本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的保密要求。√A6.1.5項目管理中的信息安全抽查由技術部負責的開發(fā)項目，該項目合同中有規(guī)定對信息安全的相關條款，包括保密、遵守相關法律等的要求。項目的項目文檔中有“項目風險評估表”，內容包括對該項目的風險的識別、評價與響應措施等?！藺.6.2.1移動設備策略執(zhí)行《計算機管理程序》《介質及信息交換管理程序》等文件，公司的設備設施，帶出公司需要經過登記，批準后才能帶出。√A.6.2.2遠程工作執(zhí)行《遠程工作管理程序》規(guī)定了遠程接入的要求，其中包括接入區(qū)域的標識、設備標識、遠程接入主體及授權、遠程訪問授權、遠程接入的安全要求等。VPN進行遠程管理，根據職位需求，分配?！藺.8.1.1A.8.1.2A.8.1.3A.8.1.4資產清單資產所有權資產的可接受使用資產的歸還資產識別情況；有對公司內現有資產做了識別——提供，重要信息資產清單序號、名稱、位置、用途、部門、責任人、"保密性賦值C"、"完整性賦值I"、"可用性賦值A" 、資產價值、"重要程度"、備注。——重要度選擇：綜合分值在7分以上的為重要資產?！Y產的允許使用，綜合管理中心制定相應的業(yè)務系統應用管理制度，重要設備有使用說明書，規(guī)定了資產的合理使用規(guī)則?！藛T離職后有進行資產移交，見A8.3內容?；痉?。√A.9.3.1A.9.4.1A.9.4.2使用秘密鑒別信息信息訪問控制安全登錄規(guī)程公司范圍的計算機登錄口令要求6位以上，包含字母數字。抽查了技術部5臺PC機，口令符合要求。用戶不得訪問或嘗試訪問未經授權的網絡、系統、文件和服務?，F場測試，審核員通過訪問網絡上的PC機，有用戶名，密碼，試圖隨意輸入密碼3次，均無法登陸?！藺12.1.1A12.2.2A12.2.3A12.2.4文件化的操作規(guī)程變更管理容量管理開發(fā)、測試和運行環(huán)境的分離制定“信息處理設施管理程序”，規(guī)定對信息處理設施的采購、測試、驗收、安裝調試等過程的制度，從而對信息處理設施的管理進行控制?！靶畔⑻幚碓O施管理程序”中有對信息處理設施變更的過程控制方法。提供服務器容量監(jiān)控記錄。有服務器、硬件配置、總容量、已用空間、剩余空間。每日通過手工登錄，通過服務器陣列備份通用備份，按照容量管理程序文件記錄技術部的開發(fā)、測試、運行服務器都是分開的?！藺12.2A12.3惡意軟硬件防范備份公司范圍內使用360殺毒軟硬件。公司規(guī)定每月應至少檢查漏洞一次，查殺病毒一次。抽查技術部三臺電腦，上次漏洞檢查和病毒查殺時間在本周內，符合要求技術部的源代碼為公司重要信息資產，源代碼備份在公司SVN服務器上，備份頻率為每天，且有專人負責保管、檢查?！藺12.5A12.6A12.7確保運行系統的完整性防止對技術脆弱性的利用信息系統審計的考慮“信息系統開發(fā)與維護管理程序”中有規(guī)定對信息系統在安裝時候的可靠性、完整性的嚴格控制?！靶畔⑾到y開發(fā)與維護管理程序”中有對用戶安裝軟硬件及識別、評價、應對技術脆弱性的控制。在技術部對信息系統進行審計活動的時候，會考慮對業(yè)務過程的影像，并將影響最小化。√A.14.1.1A.14.1.2A.14.1.3信息安全要求分析和說明公共網絡應用服務安全保護應用服務交易——現場查公司主要按照客戶安全要求及所提供樣本來開發(fā)軟硬件產品。公司通過應用系統進行日常辦公、生產經營管理，公司建立并實施相應系統的安全使用策略和應用管理，以保護與業(yè)務信息系統互聯相關的信息，減少系統造成的信息泄露。?！F場查看公司網站內沒有電子商務方面的頁面。√A.14.2.1A.14.2.2A.14.2.3A.14.2.4A.14.2.5A.14.2.6A.14.2.7A.14.2.8A.14.2.9安全開發(fā)策略系統變更控制規(guī)程運行平臺變更后應用的技術評審軟硬件包變更的限制安全系統工程原則安全開發(fā)環(huán)境外包開發(fā)系統安全測試系統驗收測試——有填寫變更記錄表。為使信息系統的損害降至最小，對公司內系統和軟硬件的更改，須進行適當的測試與評審，經公司領導批準后予以實施。操作系統及應用系統的升級須經過系統主管部門測試、評審與批準后方可進行?！峁缎畔⑾到y獲取、維護控制程序》——目前公司沒有操作系統變更。當操作系統發(fā)生更改時，操作系統更改對應用系統的影響應由系統主管部門進行評審，確保對應用程序的作業(yè)或安全措施無不利影響?！F場查暫無軟硬件變更，更改部門在實施前進行風險評估，確定必須的控制措施，保留原始軟硬件，并在完全一樣的復制軟硬件上進行更改，更改實施前須得到系統主管部門的授權?！灸壳百徺I的都是安裝程序，沒有外包軟硬件開發(fā)?！藺.14.3.1系統測試數據的保護——公司有軟硬件開發(fā)，現場查公司測試數據有進行保護?！藺16.1.1A16.1.2報告信息安全事態(tài)報告信息安全弱點公司建立“信息安全事件管理程序”，規(guī)定了員工發(fā)現信息安全事件和信息安全弱點的上報流程。通過對技術部員工的訪談，該部門員工對此程序熟悉?！?/p>

ISO27001信息安全管理體系內審檢查表被