信息安全内部审核检查表.docx

《信息安全内部审核检查表.docx》由会员分享，可在线阅读，更多相关《信息安全内部审核检查表.docx（40页珍藏版）》请在优知文库上搜索。

1、上海联众网络值息有限公司IS0271:2005信息平安目标与展制检查表ttM审核:批准，二。一三年三月十二日A5平安方针标准条款号标题目标/限制限制理由控制要求审核发觉信息平安方针目标依蠢业务要求以及相关的法律法那为信息平安供应管理指导和支持.信息平安方舒文件限制依据Info-Riskmanager风险评估的结果.总经理是杳确保制定与公司目标一样的消淅的信恩平安方针，并且通过在祖织内发布和维护信息平安方针来表明对信息平安的支持和承诺。信息平安方针在E信息平安管理手册中描述,信息平安管理手册由总羟埋批准发布？管理手册中有信息平安方针信息平安方叶评审限制依照Info-Riskmanager风险评怙

2、的结果，每年管理评审或发生重大改变时是否对伯息平安方针的持续相宜性、充分性和有效性进行泮价，必要时进行修订？管理评审报告a.6信总平安Ia次标准条歆号标题目标/限制控制理由控制要求审核发觉信息平安蛆策目标管理。内部信息平安.信总平安管理承诺限制依据InfoRiskmanager风险评估的结果.总羟理是否承诺建立、实施、运作、监视、许审、保持和改进ISMS,并通过一系列的活动.供应证明。该承诺信息平安管理手册中进行相是否描述？信息平安的协作限制依据InfO-Riskmanager风险评估的结果，公司毡否成立以伯息平安管理者代表、各部门信息平安负成人祖成的跨部门的联席会议,协调信息平安管理工作，对

3、体系运行中存在的问题进行解决.会议由人事行政部负击组织支配并做好会议记录？信息平安职员安排限制依据InfoRiskmanager风险评估的结果.公司是否清晰的确定全部的信息平安职贡,最高管理者授权信息平安管理者代表，全面负成信息平安管理体系的建立、实施与保持工作？对年一项重饕资产指定信息平安说任人。信息处理设备的投权过程限制依据InfO-Riskmanager风隆评估的结果，软件部是否依据运用部门需求提出新的信息处理设施（包括软件）的配词要求，并组枳验收与实施，确保与原有系统的兼容？保密协议限制依据InfoRiskmanager风险评估的结果.本公司是否与正式录用员工在劳动合同中附加有关保密方

4、面的内容条款或塞订S保密协议.员工聘用期满离开公司之前江】提示其对保密所作的承诺？与权威机构的联系限制依据Info-Riskmanager风险评估的结果.人事行政部是否制定规定，具体说明由谁何时与权威机构联系,以及怎样识别是告该刚好报告的可能会违反法律的信恩平安事务？与专业小组的联系限制依据InfoRiskmanager风险评估的结果.软件部是否就计算机信息及通信网络平安问题与眼务供应部门保持联系，以确保和在出现平安事故时尽快实行适当的行动和取得建议？信息平安的独立评审限制依据InfO-Riskmanager风隆评估的结果，人事行政部是否负出组织、策划内部审核依据策划的时间间隔，或者当平安设施

5、发生重大改变时，对组织管理信息平安的方法及其实检状况进行独立评审？外部相关方目标识别外部相关方访问的风险，明确对外部相关方访问展制的要求，并限制外部相关方带来的风险，保持被外部相关方访问、处理、共本、管理的烟蛔信息及信息处理设的平安.与外部相关方有关的风险识别限制依据InfORiSkmanager风险评估的结果.公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问估恩资产和信息处理设施前实施适的限制,并签署规定访问和工作支归条款和条件的才保密协议？处理与顾客相关的平安问题限制依据Info-Riskmanager风险评估的结果.外包费任部门是否是否识别外包活动的风险.

6、明确外包活动的信息平安要求，在外包合同中明确规定信息平安要求,在批准顾客访问组税信息或资产前，是否该处理全部己识别的平安要求？标准条歆号标题目标/限制控制理由控制要求审核发觉资产责任目标对本公司资产（包括餐客襄求保密的数据、软件及产品）进行有效爱护.资产清单限制依甥Info-Riskmanager风a评估的结果，软件部毡否组织各部门识别资产，并依掘里要资产推断准则确定公司的爪要资产,通过风险管理软件，建立重要资产清单B7资产全部权限制依据Info-Riskmanager风险评估的结果.软件部是否组织相关部门识别资产并指定资产负贲人？资产的合理运用限制依据InfoRiskmanager风险评估的

7、结果.是否制定相是否的业务系统是否用笆理制度，用要设得有运用说明书，规定了资产的合理运用规则？运用或访问组织资产的员工、合作方以及第三方用户是否了解与信息处理设施和资源相关的信息和资产方面的限制.并对信息资源的运用,以及发生在其近任下的运用负资？信息分类目标本公司依据信息的敏感性对他患进行分类，明确受拧要求、优先权和等Ab以确保对资产实行适当的爱护.分类指南限制依据InfoRiskmanager风险评估的结果.本公司是否有信息密级规定划分秘级？信息的标识和处理限制依据InfO-Riskmanager风险评估的结果，对于届于企业隐私、企业机密与国家阳私的文件，密级确定部门是否按要求进行适当的标注

8、？A8人力资源平安标准条歆号标题目标/限制控制理由控制要求审核发觉19用前目标对聘用过程进行管理，确保员工、合同方和第三方用户建解其责任,并且能胜任其任务，以降低设被盗窃、欺诈或螟用的风险.角色和职责限制依据Info-Riskmanager风险评估的结果.与信息平安有关的部门的平安职责是否明确现定？崎选限制依据InfoRiskmanager风险评估的结果.人力资源都是否负责时初始录用员工进行实力、信用考察，母年时关键信息平安岗位进行年度考察,对于不符合平安要求的不得录用或进行岗位调掖？雇佣条款和条件限制依据InfORiSkmanag(K风隆评估的结果.公司是否规定了员工、合同方以及第三方的聘用

9、条款和条件?19用期间目标H保全器的员工、合同方和第三方用户知道信息平安或遇和利害关系、他们的职责和义务、并打算好在其正常工作过程中支持忸阳的平安方针，并且前求人为恰谈的风险.审核发觉管理职员限制依据Info-Riskmanager风验评估的结果.公司管理者是否要求员工、合作方以及第三方用户.加强信息平安意识，依据建立的方针和程序来应用平安？信息平安教化和培训限制依甥Info-Riskmanager风a评估的结果，与ISMS有关的全部员工，有关的第三方访问者，是否接受平安道识、方针、程序的培训。方针、程序变更后是否刚好传达到全体员工。人力资源部通过组织实施培训,确保员工平安意识的提高与有实力胜

10、任所担当的信息平安工作？惩戒过程限制依据Info-Riskmanager风险评估的结果.违反组织平安方针和理序的员工公司是否将依据违反程度及造成的影响进行恁罚.您罚在平安破坏经过证明地状况下进行？I1.用中止或改变目标确保员工、合作方以及第三方用户以一种有序的方式离开公司或交更聘用关系.终止责任限制依据InfoRiskmanager风险评估的结果，在员工离职前和第三方用户完成合IfiJ时，是否进行明确终止责任的沟通？资产归还限制依据Info-Riskmanager风险评估的结果.员工离职曳工作变动前,是否办理资产归还手续,然后方能少理移交于续？解除访问权限限制依据Info-Riskmanage

11、r风险评估的结果.员工离职或工作变动阀,是否解除对信息和信息处理设施访问权限,或依据改变作相是否的网整？A9物31与环境平安标准条歆号标题目标/限制控制理由控制要求审核发觉平安区域目标防止对IaiR办公场所和信息的未授权访问、损坏和干扰.是实物平安周界限制依据InfORiSkmanager风险评估的结果.本公司平安区域是否分为一般平安区域与特殊平安区域,特殊平安区域包括机房和监控机房、机要室？O是沏理进入限制限制依据Info-Riskmanager风险评估的结果.进出公司大院是否有门卫保安限制？员工是否凭工作牌进入办公区.是否经过授权的长期访问第三方出入证进入戢授权的工作区域？是办公室、房间和

12、设施的平安限制依据InfoRiskmanager风险评估的结果.特殊平安区域内的办公空、房间和设施是否进行必要的限制，以防止火灾、盗窃或其它形式的危害？是防范外部和环境成位限制依据InfO-Riskmanager风隆评估的结果，机房设备是否安装在距崎、门窗有肯定距离的地方。并具有防莅火灾、水灾、雷击等自然、人为灾难的平安限制措施？是在平安区域工作限制依据InfoRiskmanager风险评估的结果.公司是否建立和关制度，明确规定员工、第三方人员在有关平安区域工作的基本平安要求并要求员工、第三方人员严格遵守？是公共访问、交付和装载区限制依据InfORiSkmanag(K风隆评估的结果.公司是否设

13、立设置前有接待处接恃外来人员前台与特殊平安区域予以隔禹？是设备平安目标防止资产的损失、损坏或丢失及业务活动的中断.设务的定位和爱护限制依据InfoRiskmanager风险评估的结果.设需运用部门是否负货对设需进行定置管理或爱护好,实行措施以降低来自环境戒逼和危害的风险以及未经授权访问的机会？是电缆的平安限制依据Info-Riskmanager风险评估的结果.软件部否依据相关标准对传检线路进行敷设、诩E、维护，防止线路故内？是设备维护限制依据InfO-Riskmanager风隆评估的结果，信息系统设得及用户计算机终端是否由软件部进行维护？是场所外设备的平安限制依据Info-Riskmanage

14、r风险评估的结果.拥有笔记本的部门在其再开规定的区域时，是否经过部门领导授权并对其进行严格限制，防止其丢失和未经授权的访问？是设得的平安处置及再利用限制依期Info-Riskmanager风险评估的结果，含有敏感信息的设备在报废或改做他用时,是否由运用部门是否利用平安的处置方法将设备中存储的敏感信息消除井保存消除记录？是资产转移限制依据InfO-Riskmanager风险评怙的结果，未经授权之前,是否不将设备、信息或物件带到工作场所外？重要信息设备的迁移是否被授权,迁移活动是否被记录？是A.10通信和掾作管理标准条歆号标题目标/限制控制理由控制要求审核发觉掾作程序和职贵目标现保信息处理设备的正一和平安运用作业程序文件化限制依据Info-Ris