ISO27001內(nèi)部審核檢查表

信息安全管理體系內(nèi)部審核檢查表被審核部門：總經(jīng)理、管理者代表要素/附錄編號及名稱審核內(nèi)容和方法審核記錄判斷4.1了解組織現(xiàn)狀及背景詢問公司的組織的現(xiàn)狀及面臨的主要外部問題，是否考慮信息安全的問題，如業(yè)務的風險等等有考慮公司的內(nèi)外部環(huán)境，業(yè)務風險，并形成《組織內(nèi)外部環(huán)境要素識別表》對內(nèi)外部環(huán)境進行分析。符合4.2理解相關方的需求和期望如何理解相關方的需求？制訂相關方的風險識別要求表符合4.3確定范圍詢問公司信息安全體系的范圍確認公司的認證范圍，認證范圍為：從事與聚合支付平臺涉及的軟件研發(fā)及其運維服務相關的信息安全管理活動。符合5.15.25.3領導力公司有無建立信息安全方針和目標，分配信息安全小組的權(quán)責有建立方針“積極防范、嚴密管理、快速響應，持續(xù)改進”并制定了信息安全管理職責明細表，查有聚合平臺研發(fā)部、運維部、綜合辦、信息安全小組成員等職責符合6.2可實現(xiàn)的目標和計劃有無建立信息安全目標？建立執(zhí)行方案？手冊已規(guī)定了安全目標，商業(yè)秘密信息泄漏事故0次/年，顧客信息安全事件投訴0次/年。并制訂相應方案。符合7.1資源組織建立體系的有哪些資源的支持提供了設備，各種投入、組織架構(gòu)等。符合7.4溝通公司有無提供信息安全的資源及建立溝通渠道建立了信息安全溝通程序。符合9.1監(jiān)控、度量，分析和評價針對信息安全績效，建立哪些有效性測量指標？設備檢測、風險指標等。符合10.2持續(xù)改進公司有無建立持續(xù)改進的程序.持續(xù)改進主要表現(xiàn)在在哪些方面？建立持續(xù)改進控制程序。符合A.5信息安全策略A.5.1信息安全的管理方向A.5.1.1信息安全策略信息安全策略集應由管理者定義、批準、發(fā)布并傳達給員工和相關外部方。信息安全方針:“積極防范、嚴密管理、快速響應，持續(xù)改進”。見信息安全手冊符合A.5.1.2信息安全策略的評審信息安全策略應按計劃的時間間隔或當重大變化發(fā)生時進行評審，以確保其持續(xù)的適宜性、充分性和有效性。有制作內(nèi)審管理程序及管理評審評審.首次運行不適用A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責所有的信息安全職責應予以定義和分配。成立了信息安全委員會,有信息安全委員會章程附件信息安全管理職責符合A.6.1.2職責分離分離相沖突的責任及職責范圍，以降低未授權(quán)或無意識的修改或者不當使用組織資產(chǎn)的機會。有規(guī)定總經(jīng)辦、綜合等符合A.6.1.3與政府部門的聯(lián)系應保持與政府相關部門的適當聯(lián)系。建立了相關的聯(lián)系方針符合A.6.1.4與特定利益集團的聯(lián)系應保持與特定利益集團、其他安全論壇和專業(yè)協(xié)會的適當聯(lián)系。有定義，有授權(quán)符合A.6.2移動設備和遠程工作A.6.2.1移動設備策略應采用策略和支持性安全措施來管理由于使用移動設備帶來的風險。通過授權(quán)符合A.6.2.2遠程工作應實施策略和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。符合要求，通過與集團的VPN實現(xiàn)符合

被審核部門：總經(jīng)辦審核員簽字：李海清時間:2018.7.11附錄編號及名稱審核內(nèi)容和方法審核記錄判斷5.3角色、職任和承諾如何在本職范圍內(nèi)明確責任，特別信息安全管理方面的職務？通過崗位職責明確符合6.1處理風險和機遇的行動6.1.1如何策劃風險和機遇6.1.2如何策劃風險評估6.1.3信息安全風險的處置建立了《風險評估控制程序》于信息安全委員賒在3月12日進行了風險評估。符合6.2可實現(xiàn)的信息安全和計劃如何建立安全管理目標和計劃在手冊中有分析，有實現(xiàn)方案符合7.2能力如何確保學習，是否建立了員工能力要求的相關程序職務說明書的能力的要求。符合7.3意識如何在進行信息安全意識的培訓通過培訓，查6，7月的培訓記錄有信息安全意識記錄符合7.5文檔信息化如何進行文檔和記錄的控制?制訂了文件控制程序符合A.7人力資源安全A.7.1任用之前A.7.1.1審查關于所有作用候選者的背景驗證核查應按照相關法律、法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行。見員工聘用管理程序，查有背景調(diào)查符合A.7.1.2任用條款和條件與雇員和承包方人員的合同協(xié)議應聲明他們和組織的信息安全職責。員工有簽訂保密條款符合A.7.2任用中A.7.2.1管理職責管理者應要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對信息安全盡心盡力。有員工信息安全培訓記錄7.18符合A.7.2.2信息安全意識、教育和培訓組織的所有雇員，適當時，包括承包方人員，應受到與其工作職能相關的適當?shù)囊庾R培訓和組織策略及規(guī)程的定期更新培訓。有員工信息安全培訓程序在8月份有召開培訓符合A.7.2.3紀律處理過程應有一個正式的、已傳達的紀律處理過程，來對信息安全違規(guī)的雇員采取措施。有信息安全獎懲管理程序符合A.7.3.任用的終止或變更A.7.3.1任用終止或變更職責應定義信息安全職責和義務在任用終止或變更后保持有效的要求，并傳達給雇員或承包方人員，予以執(zhí)行。見員工離職管理程序，員工有交接手續(xù)，確保離職前的資產(chǎn)歸還。符合A.8資產(chǎn)管理A.8.1對資產(chǎn)負責A.8.1.1資產(chǎn)清單應識別與信息和信息處理設施的資產(chǎn)，編制并維護這些資產(chǎn)的清單有資產(chǎn)清單符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護的資產(chǎn)應分配所有權(quán)。清單有所屬的資產(chǎn)負責人。符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設施有關的資產(chǎn)的可接受使用規(guī)則應被確定、形成文件并加以實施。對資產(chǎn)的管理進行了規(guī)定，見信息安全風險管理程序符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產(chǎn)。有規(guī)定，查員工離職交接記錄符合A.8.2信息分類A.8.2.1信息的分類信息應按照法律要求、價值、關鍵性以及它對未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定符合A.8.2.2信息的標記應按照組織所采納的信息分類機制建立和實施一組合適的信息標記規(guī)程。總經(jīng)辦定期召開培訓符合A.8.2.3信息的處理應按照組織所采納的信息分類機制建立和實施處理資產(chǎn)的規(guī)程。有規(guī)定5個級別。符合A.8.3介質(zhì)處置A.8.3.1可移動介質(zhì)的管理應按照組織所采納的分類機制實施可移動介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應使用正式的規(guī)程可靠并安全地處置。項目部U盤不能使用。符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運送時，應防止未授權(quán)的訪問、不當使用或毀壞。符合要求《介質(zhì)管理程序》符合

被審核部門：業(yè)務部審核員簽字：黃欽松時間:2018.7.12A.8資產(chǎn)管理A.8.1對資產(chǎn)負責A.8.1.1資產(chǎn)清單應識別與信息和信息處理設施的資產(chǎn)，編制并維護這些資產(chǎn)的清單有資產(chǎn)清單符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護的資產(chǎn)應分配所有權(quán)。清單有所屬的資產(chǎn)負責人。符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設施有關的資產(chǎn)的可接受使用規(guī)則應被確定、形成文件并加以實施。對資產(chǎn)的管理進行了規(guī)定，見信息安全風險管理程序符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產(chǎn)。有規(guī)定，查員工離職交接記錄符合A.8.2信息分類A.8.2.1信息的分類信息應按照法律要求、價值、關鍵性以及它對未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定符合A.8.2.2信息的標記應按照組織所采納的信息分類機制建立和實施一組合適的信息標記規(guī)程。總經(jīng)辦定期召開培訓符合A.8.2.3信息的處理應按照組織所采納的信息分類機制建立和實施處理資產(chǎn)的規(guī)程。有規(guī)定5個級別。符合A.8.3介質(zhì)處置A.8.3.1可移動介質(zhì)的管理應按照組織所采納的分類機制實施可移動介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應使用正式的規(guī)程可靠并安全地處置。項目部U盤不能使用。符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運送時，應防止未授權(quán)的訪問、不當使用或毀壞。符合要求《介質(zhì)管理程序》符合被審核部門：研發(fā)部審核員簽字：李海清時間:2018.7.12附錄編號及名稱審核內(nèi)容和方法審核記錄判斷A6信息安全組織是否建立了信息安全委員會，IT人員參加了信息安全委員會嗎?IT人員參與A.8資產(chǎn)管理A.8.1對資產(chǎn)負責A.8.1.1資產(chǎn)清單應識別與信息和信息處理設施的資產(chǎn)，編制并維護這些資產(chǎn)的清單有規(guī)定符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護的資產(chǎn)應分配所有權(quán)。有規(guī)定,新入職員工有背景調(diào)查符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設施有關的資產(chǎn)的可接受使用規(guī)則應被確定、形成文件并加以實施。針對項目資產(chǎn)有規(guī)定。符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產(chǎn)。有規(guī)定,要求歸還門禁卡符合A.8.2信息分類A.8.2.1信息的分類信息應按照法律要求、價值、關鍵性以及它對未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定符合A.8.2.2信息的標記應按照組織所采納的信息分類機制建立和實施一組合適的信息標記規(guī)程。總經(jīng)辦定期召開培訓符合A.8.2.3信息的處理應按照組織所采納的信息分類機制建立和實施處理資產(chǎn)的規(guī)程。有規(guī)定符合A.8.3介質(zhì)處置A.8.3.1可移動介質(zhì)的管理應按照組織所采納的分類機制實施可移動介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應使用正式的規(guī)程可靠并安全地處置。符合要求符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運送時，應防止未授權(quán)的訪問、不當使用或毀壞。符合要求符合A.9訪問控制A.9.1訪問控制的業(yè)務要求A.9.1.1訪問控制策略訪問控制策略應建立、形成文件，并基于業(yè)務和信息安全要求進行評審。本生產(chǎn)區(qū)有專門的保衛(wèi)系統(tǒng)符合A.9.1.2網(wǎng)絡和網(wǎng)絡服務的訪問用戶應僅能訪問已獲專門授權(quán)使用的網(wǎng)絡和網(wǎng)絡服務。有規(guī)定，見用戶訪問管理程序規(guī)定的相關各級系統(tǒng)的應用權(quán)限要求符合A.9.2用戶訪問管理A.9.2.1用戶注冊及注銷應實施正式的用戶注冊及注銷規(guī)程，使訪問權(quán)限得以分配。見《用戶訪問管理程序》《計算程序管理程序》符合A.9.2.2用戶訪問開通應實施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務所有用戶類型的訪問權(quán)限。符合要求,門禁權(quán)限于IT管理人員開通符合A.9.2.3特殊訪問權(quán)限管理應限制和控制特殊訪問權(quán)限的分配及使用。符合要求，部分權(quán)限需要授權(quán)不符合A.9.2.4用戶秘密鑒別信息管理應通過正式的管理過程控制秘密鑒別信息的分配。符合要求符合A.9.2.5用戶訪問權(quán)限的復查資產(chǎn)所有者應定期復查用戶的訪問權(quán)限。有效性檢查，部分人員的權(quán)限會再次檢查符合A.9.2.6撤銷或調(diào)整訪問權(quán)限所有雇員、外部方人員對信息和信息處理設施的訪問權(quán)限應在任用、合同或協(xié)議終止時撤銷，或在變化時調(diào)整。員工離職，IT人員清除用戶的口令，對用戶進行刪除.符合A.9.3用戶職責A.9.3.1使用秘密鑒別信息應要求用戶在使用秘密鑒別信息時，遵循組織的實踐。符合要求符合A.9.4系統(tǒng)和應用訪問控制A.9.4.1信息訪問控制應依照訪問控制策略限制對信息和應用系統(tǒng)功能的訪問?！队嬎銠C管理程序》符合A.9.4.2安全登錄規(guī)程在訪問控制策略下，訪問操作系統(tǒng)和應用應通過安全登錄規(guī)程加以控制?！队嬎銠C管理程序》對網(wǎng)絡的使用、外部連接用戶的身份認證、網(wǎng)絡設備的識別、運程診斷和配置端口的保護、網(wǎng)絡隔離及連接和路由控制等得到了有效控制和實施。符合A.9.4.3口令管理系統(tǒng)口令管理系統(tǒng)應是交互式的，并應確保優(yōu)質(zhì)的口令。測試部的用戶口令，長度有11位。符合A.9.4.4特殊權(quán)限使用工具軟件的使用對于可能超越系統(tǒng)和應用程序控制措施的適用工具軟件的使用應加以限制并嚴格控制。依據(jù)《訪問控制程序》，《計算機管理程序?qū)W(wǎng)絡的使用、外部連接用戶的身份認證、網(wǎng)絡設備的識別、運程診斷和配置端口的保護、網(wǎng)絡隔離及連接和路由控制等得到了有效控制和實施。符合A.9.4.5對程序源代碼的訪問控制應限制訪問程序源代碼依據(jù)《訪問控制程序》，《網(wǎng)絡安全管理規(guī)定》對網(wǎng)絡的使用、外部連接用戶的身份認證、網(wǎng)絡設備的識別、運程診斷和配置端口的保護、網(wǎng)絡隔離及連接和路由控制等得到了有效控制和實施。符合附錄編號及名稱審核內(nèi)容和方法審核記錄判斷A.14系統(tǒng)獲取、開發(fā)和維護A.14.1信息系統(tǒng)的安全需求A.14.1.1信息安全要求分析和說明信息安全相關要求應包括新的信息系統(tǒng)要求或增強已有信息系統(tǒng)的要求按《設計、開發(fā)管理與變更程序》進行項目評審.符合A.14.1.2公共網(wǎng)絡應用服務安全應保護公共網(wǎng)絡中的應用服務信息，以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改?！对O計、開發(fā)管理與變更程序》、《符合A.14.1.3保護應用服務交易應保護涉及應用服務交易的信息，以防止不完整傳送、錯誤路由、未授權(quán)消息變更、未授權(quán)泄露、未授權(quán)消息復制或重放。不適用/A.14.2開發(fā)和支持過程中的安全A.14.2.1安全開發(fā)策略應建立軟件和系統(tǒng)開發(fā)規(guī)則，并應用于組織內(nèi)的開發(fā)。按《《設計、開發(fā)管理與變更程序》、符合A.14.2.2系統(tǒng)變更控制規(guī)程應通過使用正式變更控制程序控制開發(fā)生命周期中的系統(tǒng)變更。制訂了變更控制程序符合A.14.2.3運行平臺變更后應用的技術評審當運行平臺發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。在開發(fā)時考慮平臺的可用性，并做好測試及分布符合A.14.2.4軟件包變更的限制應對軟件包的修改進行勸陰，只限于必要的變更，且對所有的變更加以嚴格控制。不同權(quán)限的軟件包不一樣。符合A.14.2.5安全系統(tǒng)工程原則應建立、記錄和維護安全系統(tǒng)工程原則，并應用到任何信息系統(tǒng)實施工作。查“東方信騰電子檔案管理”有評審資料，有立項可行性分析報告，初期項目計劃，測試計劃符合A.14.2.6安全開發(fā)環(huán)境組織應建立并適當保護系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境，覆蓋整個系統(tǒng)開發(fā)生命周期?！皷|方信騰電子檔案管理”采用項目的方法，由總經(jīng)辦負責搭建平臺符合A.14.2.7外包開發(fā)組織應管理和監(jiān)視外包系統(tǒng)開發(fā)活動。有財務軟件的使用。符合A.14.2.8系統(tǒng)安全測試在開發(fā)過程中，應進行安全功能測試。有測試報告符合A.14.2.9系統(tǒng)驗收測試對于新建信息系統(tǒng)和新版本升級系統(tǒng)，應建立驗收測試方案和相關準則。按測試方案出測試報告，系統(tǒng)測試報告符合A.14.3測試數(shù)據(jù)A.14.3.1系統(tǒng)測試數(shù)據(jù)的保護測試數(shù)據(jù)應認真地加以選擇、保護和控制。按研發(fā)數(shù)據(jù)風險控制及恢復措施.符合

附錄編號及名稱審核內(nèi)容和方法審核記錄判斷A.10密碼學A.10.1密碼控制A.10.1.1使用密碼控制的策略應開發(fā)和實施使用密碼控制措施來保護信息的策略。開發(fā)的軟件會使用加密狗，且使用有政府批準的產(chǎn)品符合A.10.1.2密鑰管理宜開發(fā)和實施貫穿整個密鑰生命周期的關于密鑰使用、保護和生存期的策略。符合要求，在開發(fā)成功，會采用密碼調(diào)用策略符合A.17業(yè)務連續(xù)性管理的信息安全方面A.17.1信息安全連續(xù)性計劃A.17.1.1信息安全連續(xù)性計劃組織應確定不利情況下(例如，一個危機或危難時)信息安全的要求和信息安全管理連續(xù)性。制訂了2018年業(yè)務連續(xù)計劃2符合A.17.1.2實施信息安全連續(xù)性計劃組織應建立、文件化、實施和維護過程、規(guī)程和控制措施，確保在負面情況下要求的信息安全連續(xù)性級別。沒有實施軟件開發(fā)業(yè)務的業(yè)務連續(xù)性不符合A.17.1.3驗證、評審和評價信息安全連續(xù)性計劃組織應定期驗證已制定和實施信息安全業(yè)務連續(xù)性計劃的控制措施，以確保在負面情況下控制措施的及時性和有效性。有驗證符合A.17.2冗余A.17.2.1信息處理設施的可用性信息處理設備應冗余部署，以滿足高可用性需求。查4月25記錄。有巡查記錄。符合

被審核部門：總經(jīng)辦審核員簽字：李海清時間:2017.9.11附錄編號及名稱審核內(nèi)容和方法審核記錄判斷A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全周邊應定義安全周邊和所保護的區(qū)域，包括敏感或關鍵的信息和信息處理設施的區(qū)域。建立了安全區(qū)域管理程序符合A.11.1.2物理入口控制安全區(qū)域應由適合的入口控制所保護，以確保只有授權(quán)的人員才允許訪問。保安對進行人員的控制,符合A.11.1.3辦公室、房間和設施的安全保護為防止自然災難、惡意攻擊或事件，應設計和采取物理保護措施。針對辦公室、房間有相關的保護措施，如滅火設備的配備.符合A.11.1.4外部環(huán)境威脅的安全防護為防止自然災難、惡意攻擊或事件，應設計和采取物理保護措施。滅火設備的配備，煙感系統(tǒng)符合A.11.1.5在安全區(qū)域工作應設計和應用工作在安全區(qū)域的規(guī)程。有規(guī)定《安全區(qū)域管理程序》符合A.11.1.6交接區(qū)安全訪問點(例如交接區(qū))和未授權(quán)人員可進入辦公場所的其他點應加以控制，如果可能，應與信息處理設施隔離，以避免未授權(quán)訪問?！栋踩珔^(qū)域管理程序》、《辦公區(qū)機房管理制度》符合A.11.2設備A.11.2.1設備安置和保護應安置或保護設備，以減少由環(huán)境威脅和危險所造成的各種風險以及未授權(quán)訪問的機會?！缎畔⑻幚碓O施安裝使用管理程序》中規(guī)定了設備的保護符合A.11.2.2支持性設施應保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷。《信息處理設施安裝使用管理程序》符合A.11.2.3布纜安全應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。信息處理設施安裝使用管理程序符合A.11.2.4設備維護設備應予以正確地維護，以確保其持續(xù)的可用性和完整性。信息處理設施安裝使用管理程序,IT人員舊電腦進行統(tǒng)一拆卸。符合A.11.2.5資產(chǎn)的移動設備、信息或軟件在授權(quán)之前不應帶出組織場所。信息處理設施安裝使用管理程序。IT人員舊電腦進行統(tǒng)一拆卸，把硬盤統(tǒng)一收集交于總經(jīng)辦符合A.11.2.6組織場外設備和資產(chǎn)的安全應對組織場所外的設備采取安全措施，要考慮工作在組織場所以外的不同風險。信息處理設施安裝使用管理程序符合A.11.2.7設備的安全處置或再利用包含儲存介質(zhì)的設備的所有項目應進行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或安全地寫覆蓋。總經(jīng)辦記錄電腦報廢單，批準后再進行統(tǒng)一處置。符合A.11.2.8無人值守的設備對掃描儀、PC機、筆記本，網(wǎng)絡設施等在防護、處置、銷毀、維護等管理活動中符合要求的情況。符合A.11.2.9桌面清空及清屏策略查監(jiān)控管理系統(tǒng)服務器符合

A.12操作安全A.12.1文件操作規(guī)程和職責A.12.1.1文件化的操作規(guī)程操作規(guī)程應形成文件并對所有需要的用戶可用。符合要求，有文件控制程序，受控文件清單。符合A.12.1.2變更管理對影響信息安全的組織、業(yè)務過程、信息處理設施和系統(tǒng)等的變更應加以控制。制訂《變更管理程序》編號符合A.12.1.3容量管理資源的使用應加以監(jiān)視、調(diào)整，并作出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。符合要求符合A.12.1.4開發(fā)、測試和運行環(huán)境分離開發(fā)、測試和運行環(huán)境應分離，以減少未授權(quán)訪問或改變運行環(huán)境的風險符合要求，《設計、開發(fā)管理與變更程序》符合A.12.2惡意軟件防護A.12.2.1控制惡意軟件應實施惡意軟件的檢測、預防和恢復的控制措施，以及適當?shù)奶岣哂脩舭踩庾R。IT統(tǒng)一安裝，其他人無權(quán)限安裝軟件符合A.12.3備份A.12.3.1信息備份應按照已設的備份策略，定期備份和測試信息和軟件各部每周備份到規(guī)定的移動硬盤.符合A12.4日志和監(jiān)視A.12.4.1事態(tài)記錄應產(chǎn)生記錄用戶活動、異常情況、故障和信息安全事態(tài)日志，并保持定期評審。查CCTV管理日志，及部門電腦日志正常符合A12.4.2日志信息的保護記錄日志的設施和日志信息應加以保護，以防止篡改和未授權(quán)的訪問。自動保存3個月符合A12.4.3管理員和操作員日志系統(tǒng)管理員和系統(tǒng)操作員的活動應記入日志，保護日志并定期評審。查日志保護，符合要求.符合A12.4.4時鐘同步一個組織或安全域內(nèi)的所有相關信息處理設施的時鐘應使用一參考時間源進行同步。符合要求符合A.12.5運行軟件的控制A.12.5.1在運行系統(tǒng)上安裝軟件應實施規(guī)程來控制在運行系統(tǒng)上安裝軟件。經(jīng)過測試，評審符合A.12.6技術脆弱性管理A.12.6.1技術脆弱性的控制應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當?shù)拇胧﹣硖幚硐嚓P的風險。有分析符合A.12.6.2限制軟件安裝應建立和實施軟件安裝的用戶管理規(guī)則。IT人員統(tǒng)一管理符合A.12.7信息系統(tǒng)審計考慮A.12.7.1信息系統(tǒng)審計控制措施涉及對運行系統(tǒng)驗證的審計要求和活動，應謹慎地加以規(guī)劃并取得批準，以便使造成業(yè)務過程中斷最小化。IT人員統(tǒng)一管理OA系統(tǒng)符合A.15供應商關系A.15.1供應商關系的信息安全A.15.1.1供應商關系的信息安全策略為減緩供應商訪問組織資產(chǎn)帶來的風險，應與供應商協(xié)商并記錄相關信息安全要求。見相關方管理程序符合A.15.1.2處理供應商協(xié)議的安全問題應與每個可能訪問、處理、存儲組織信息、與組織進行通信或為組織提供IT基礎設施組件的供應商建立并協(xié)商所有相關的信息安全要求。見相關方管理程序符合A.15.1.3信息和通信技術供應鏈供應商協(xié)議應包括信息和通信技術服務以及產(chǎn)品供應鏈相關信息安全風險處理的要求。有相關方管理程序符合A.15.2供應商服務交付管理A.15.2.1供應商服務的監(jiān)視和評審組織應定期監(jiān)視、評審和審計供應商服務交付。有定期評審相關方管理程序符合A.15.2.2供應商服務的變更管理應管理供應商服務提供的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務信息、系統(tǒng)和涉及過程的關鍵程度及風險的再評估。有相關方管理程序符合

被審核部門：運維部審核員簽字：蕭煒珊黃欽松時間:2018.7.11附錄編號及名稱審核內(nèi)容和方法審核記錄判斷8運行8.1運行計劃及控制1.本部在工作實際中有哪些涉及信息安全？？

設立了信息安全主要業(yè)務是對項目涉及的文檔進行掃描，并交府掃描文件符合2.有建立本部門的安全管理目標和計劃商業(yè)泄密事件為每年0次符合8.2信息安全評估本部如何開展風險評估？有風險評估的評價結(jié)果吧？參與了風險評估。有客戶的高風險資產(chǎn)為高風險資產(chǎn)，已進行了識別并處理。符合8.3信息安全風險處置本部有風險評估的處理處理情況如何？是否有殘余風險？高風險資產(chǎn)已進行了處置。符合A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責所有的信息安全職責應予以定義和分配。成立了信息安全委員會,有信息安全委員會章程附件信息安全管理職責符合A.6.1.2職責分離分離相沖突的責任及職責范圍，以降低未授權(quán)或無意識的修改或者不當使用組織資產(chǎn)的機會。有規(guī)定總經(jīng)辦、綜合等符合A.6.1.3與政府部門的聯(lián)系應保持與政府相關部門的適當聯(lián)系。建立了相關的聯(lián)系方針符合A.6.1.4與特定利益集團的聯(lián)系應保持與特定利益集團、其他安全論壇和專業(yè)協(xié)會的適當聯(lián)系。有定義，有授權(quán)符合A.6.2移動設備和遠程工作A.6.2.1移動設備策略應采用策略和支持性安全措施來管理由于使用移動設備帶來的風險。本部無移動設備符合A.6.2.2遠程工作應實施策略和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。本部無遠程工作符合A.8資產(chǎn)管理A.8.1對資產(chǎn)負責A.8.1.1資產(chǎn)清單應識別與信息和信息處理設施的資產(chǎn)，編制并維護這些資產(chǎn)的清單有資產(chǎn)清單符合A.8.1.2資產(chǎn)所有權(quán)清單中所維護的資產(chǎn)應分配所有權(quán)。清單有所屬的資產(chǎn)負責人。符合A.8.1.3資產(chǎn)的可接受使用信息及與信息和信息處理設施有關的資產(chǎn)的可接受使用規(guī)則應被確定、形成文件并加以實施。對資產(chǎn)的管理進行了規(guī)定，見信息安全風險管理程序符合A.8.1.4.資產(chǎn)的歸還所有的雇員和外部方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產(chǎn)。有規(guī)定，查員工離職交接記錄符合A.8.2信息分類A.8.2.1信息的分類信息應按照法律要求、價值、關鍵性以及它對未授權(quán)泄露或修改的敏感性予以分類。有規(guī)定,《》符合A.8.2.2信息的標記應按照組織所采納的信息分類機制建立和實施一組合適的信息標記規(guī)程?？偨?jīng)辦定期召開培訓符合A.8.2.3信息的處理應按照組織所采納的信息分類機制建立和實施處理資產(chǎn)的規(guī)程。有規(guī)定5個級別。符合A.8.3介質(zhì)處置A.8.3.1可移動介質(zhì)的管理應按照組織所采納的分類機制實施可移動介質(zhì)的管理規(guī)程。有規(guī)定符合A.8.3.2介質(zhì)的處置不再需要的介質(zhì)，應使用正式的規(guī)程可靠并安全地處置。項目部U盤不能使用。符合A.8.3.3物理介質(zhì)傳輸包含信息的介質(zhì)在運送時，應防止未授權(quán)的訪問、不當使用或毀壞。符合要求《介質(zhì)管理程序》符合A.9訪問控制A.9.1訪問控制的業(yè)務要求A.9.1.1訪問控制策略訪問控制策略應建立、形成文件，并基于業(yè)務和信息安全要求進行評審。本生產(chǎn)區(qū)有專門的保衛(wèi)系統(tǒng)符合A.9.1.2網(wǎng)絡和網(wǎng)絡服務的訪問用戶應僅能訪問已獲專門授權(quán)使用的網(wǎng)絡和網(wǎng)絡服務。有規(guī)定，見用戶訪問管理程序規(guī)定的相關各級系統(tǒng)的應用權(quán)限要求符合A.9.2用戶訪問管理A.9.2.1用戶注冊及注銷應實施正式的用戶注冊及注銷規(guī)程，使訪問權(quán)限得以分配。見《用戶訪問管理程序》《計算程序管理程序》符合A.9.2.2用戶訪問開通應實施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務所有用戶類型的訪問權(quán)限。符合要求,門禁權(quán)限于IT管理人員開通符合A.9.2.3特殊訪問權(quán)限管理應限制和控制特殊訪問權(quán)限的分配及使用。符合要求，部分權(quán)限需要授權(quán)符合A.9.2.4用戶秘密鑒別信息管理應通過正式的管理過程控制秘密鑒別信息的分配。符合要求符合A.9.2.5用戶訪問權(quán)限的復查資產(chǎn)所有者應定期復查用戶的訪問權(quán)限。有效性檢查，部分人員的權(quán)限會再次檢查符合A.9.2.6撤銷或調(diào)整訪問權(quán)限所有雇員、外部方人員對信息和信息處理設施的訪問權(quán)限應在任用、合同或協(xié)議終止時撤銷，或在變化時調(diào)整。員工離職，IT人員清除用戶的口令，對用戶進行刪除.符合A.9.3用戶職責A.9.3.1使用秘密鑒別信息應要求用戶在使用秘密鑒別信息時，遵循組織的實踐。符合要求符合A.9.4系統(tǒng)和應用訪問控制A.9.4.1信息訪問控制應依照訪問控制策略限制對信息和應用系統(tǒng)功能的訪問?！队嬎銠C管理程序》符合A.9.4.2安全登錄規(guī)程在訪問控制策略下，訪問操作系統(tǒng)和應用應通過安全登錄規(guī)程加以控制?！队嬎銠C管理程序》的規(guī)定進行符合A.9.4.3口令管理系統(tǒng)口令管理系統(tǒng)應是交互式的，并應確保優(yōu)質(zhì)的口令?！队嬎銠C管理程序?qū)W(wǎng)絡的使用、外部連接用戶的身份認證、網(wǎng)絡設備的識別、運程診斷和配置端口的保護、網(wǎng)絡隔離及連接和路由控制等得到了有效控制和實施。。符合A.9.4.4特殊權(quán)限使用工具軟件的使用對于可能超越系統(tǒng)和應用程序控制措施的適用工具軟件的使用應加以限制并嚴格控制。依據(jù)《訪問控制程序》，《計算機管理程序?qū)W(wǎng)絡的使用、外部連接用戶的身份認證、網(wǎng)絡設備的識別、運程診斷和配置端口的保護、網(wǎng)絡隔離及連接和路由控制等得到了有效控制和實施。符合A.9.4.5對程序源代碼的訪問控制應限制訪問程序源代碼無符合附錄編號及名稱審核內(nèi)容和方法審核記錄判斷A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全周邊應定義安全周邊和所保護的區(qū)域，包括敏感或關鍵的信息和信息處理設施的區(qū)域。建立了安全區(qū)域管理程序符合A.11.1.2物理入口控制安全區(qū)域應由適合的入口控制所保護，以確保只有授權(quán)的人員才允許訪問。保安對進行人員的控制,符合A.11.1.3辦公室、房間和設施的安全保護為防止自然災難、惡意攻擊或事件，應設計和采取物理保護措施。針對辦公室、房間有相關的保護措施，如滅火設備的配備.符合A.11.1.4外部環(huán)境威脅的安全防護為防止自然災難、惡意攻擊或事件，應設計和采取物理保護措施。滅火設備的配備，煙感系統(tǒng)符合A.11.1.5在安全區(qū)域工作應設計和應用工作在安全區(qū)域的規(guī)程。有規(guī)定《安全區(qū)域管理程序》符合A.11.1.6交接區(qū)安全訪問點(例如交接區(qū))和未授權(quán)人員可進入辦公場所的其他點應加以控制，如果可能，應與信息處理設施隔離，以避免未授權(quán)訪問?！栋踩珔^(qū)域管理程序》、《辦公區(qū)機房管理制度》符合A.11.2設備A.11.2.1設備安置和保護應安置或保護設備，以減少由環(huán)境威脅和危險所造成的各種風險以及未授權(quán)訪問的機會?！缎畔⑻幚碓O施安裝使用管理程序》中規(guī)定了設備的保護符合A.11.2.2支持性設施應保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷?！缎畔⑻幚碓O施安裝使用管理程序》符合A.11.2.3布纜安全應保證傳輸數(shù)據(jù)或支