ISO IEC 27001-2022信息安全管理体系内部审核检查记录表

ISOIEC27001-2022信息安全管理体系内部审核检查记录表被审核部门：审核时间：编写人：被审核部门确认：管理者代表：审核依据:ISOIEC27001:2022信息安全管理体系要求及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4眦疊■4.14.1理解组织及其环境1、 组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、 组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、 组织管理者是否明确组织的风险管理过程和风险准则？4.24.2理解相关方的需求和期望1、 组织是否识别了与组织信息安全有关的相关方？2、 组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）3哪些要求将通过信息安全管理系统解决？

4.34.3确定信息安全管理体系的范围1、 组织的信息安全管理体系手册中是否有明确管理范围？2、 组织的适用性声明，是否针对实际情况做合理删减？3、 组织对信息安全管理范围和适用性是否定期评审？4、 组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.44.4信息安全管理体系1组织应按照本文件的要求，建立、实施、保持并持续改进信息安全管理体系，包括所需的过程及其相互作用？5领导5.15.1领导和承诺1、 组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、 组织的业务中是否整合了信息安全管理要求？3、 组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、 组织管理者是否在范围内传达了信息安全管理的重要性？5.25.2方针1、 组织制定的信息安全方针是否与组织的业务目标相-致？2、 组织制定的信息安全方针是否与信息安全目标相-致？3、 组织制定的信息安全方针是否可以体现领导的承诺？4、 组织制定的方针是否在信息安全管理手册中体现？5、 组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。

5.35.3组织角色、职责和权限1、 管理者是否在组织内建立并传达了信息安全管理组织架构，并明确其职责和权限？2、 管理者是否在组织内分配了报告信息安全管理体系绩效的职责和权限？3、 组织是否定期审查审批事项、及时更新需授权的审批事项、审批部门、审批人等信息？规划6.16.1应对风险和机会的措施6.1.1总则1、组织是否基于内外部环境和相关方要求等外部环境识别需要应对的风险和改进机会？6.1.2信息安全风险评估1、 组织是否定义并执行了风险评估过程？2、 组织是否定义了风险接受准则？3、 组织是否保留了所有风险评估过程文件？6.1.3信息安全风险处置1、 组织应定义并执行信息安全风险处置过程？2、 组织是否针对风险选择了适当的风险处置措施？3、 风险处置措施是否与适用性声明相匹配？4、 组织是否制订了风险处置计划？5、 风险处置计划、可接受的残余风险是否得到相关负责人的批准？6、 组织是否保留了所有风险处置过程文件？

6.2信息安全目标和规划实现1、 组织是否建立了信息安全目标？2、 信息安全目标与管理方针是否存在关联？3、 信息安全目标是否可测量？4、 组织建立信息安全目标时，是否考虑了信息安全要求、风险评估和风险处置结果？5、 信息安全目标是否在组织内被传达？6、 信息安全目标是否定期更新？7信息安全目标是否被监控？8信息安全目标是否保持文件化信息？6.3变更计划1当组织确定需要变更信息安全管理体系时是否有计划地进行变更？7.1资源1、组织是否为建立、实施、保持和持续改进信息安全管理体系提供了所需的资源？7.2能力1、 组织在关键的信息安全岗位说明书中是否明确了信息安全方面的能力要求？2、 组织是否定期对信息安全岗位人员进行培训？并对其能力进行考核？

7.3意识1、 员工是否了解组织的信息安全方针？2、 员工是否了解信息安全方针对自身的要求？3、 员工是否了解违反信息安全后对自身和组织的影响？7.4沟通1、 组织是否明确有关信息安全体系在内部和外部沟通的需求？（对象、时间、频率等方面）2、 组织对于定期和不定期召开的协调会议，是否会形成会议纪要？7.5文件记录信息7.5.1总则1、 组织定义的文件和记录是否包含了信息安全管理体系所要求的文件和记录？2、 组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录？3、 金融机构总部科技部门制定的安全管理制度是否适用于全机构范围？分支行科技部门制定的安全管理制度是否仅适用于辖内？7.5.2创建和更新1、 组织对创新和更新的文件和记录是否进行了标识？2、 组织对创新和更新的文件和记录在格式、存储介质方面是否有要求？3、 组织对创新和更新的文件和记录是否定期评审和更新？4、 组织对门户网站的信息发布是否有审核、监控等管理机制？

7.5.3文件记录信息的控制1、 组织对自身建立的信息安全管理体系和国际标准所要求的文件记录信息是否予以控制保护？（包括范围、分发、接收、访问、存储、变更、处置等）2、 必要的外部原始文件和记录信息，组织是否同样予以控制保护？3、 组织是否通过正式、有效的方式发布文件？4、 文件发布是否明确发布范围，并进行登记？5、 信息安全管理小组是否定期组织相关部门和人员对现行的信息安全管理体系的适用性和合理性进行评审？运行8.1运行的规划和控制组织是否策划、实施和控制满足要求所需的过程，并通过以下方式实施第6章确定的措施？通过：-建立过程的标准；-根据标准实施过程控制。是否在必要的程度上提供文件化的信息，以确信过程已按计划进行？组织是否控制计划中的变更，并审査意外变更的后果，必要时采取行动减轻任何不利影响？组织是否确保对与信息安全管理体系相关的外部提供的过程、产品或服务进行控制？8.2信息安全是否考虑到6.1.2a）中建立的风险评估执行准则，组织应按计划的

风险评估时间间隔执行信息安全风险评估，当重大变更被提出或发生时也应执行信息安全风险评估？是否保留信息安全风险评估结果的文件化信息？8.3信息安全风险处置是否实施信息安全风险处理计划？是否保留信息安全风险处理结果的文件化信息？9绩效评价9.1监视、测量、分析和评价1、 组织是否建立了有效性测量管理程序？2、 监视和测量的结果是否予以保留？9.2内部审核1、 组织是否建立了内审程序？2、 组织是否按照计划的时间间隔进行了内审？遇到特殊情况，是否增加了内审？3、 内审的材料是否全部得到保存？（审核方案、审核结果等）9.3管理评审1、 组织是否按照计划的时间间隔进行了管审？2、 管审是否考虑了以往管审的措施执行情况、信息安全执行的各方反馈、与信息安全管理体系相关的利害关系方的需求和期望的变化、风险评估结果和风险处置计划的执行状况、持续改进机会等方面？3、 组织是否保留了管理评审的所有记录？10改进

10.1持续改进1、组织是否对信息安全体系的有效性、适宜性、充分性进行持续改进？10.2不符合和纠正措施1、 当发现不符合项时，组织是否采取了纠正措施？2、 组织是否对不符合项进行了评审，防止再次出现？3、 组织对釆取的纠正措施有效性是否进行评审？4、 必要时，组织是否对信息安全管理体系进行变更？信息安全控制措施条款标题审核问题审核对象审核方式审核结果审核记录5组织控制5.1信息安全方针捽制］信息安全方针和特定于主题的政策应由管理层定义、批准、发布、与相关人员和相关利益相关方进行沟通和确认，并在发生重大变化时按计划的时间间隔进行审查。5.2信息安全方面的角色和职责控制根据组织需要为信息安全部门定义和分配信息安全角色和职责。5.3职责的分离控制相互冲突的职责和相互冲突的责任领域应被隔离。5.4管理职责控制管理层应要求所有人员按照组织制定的信息安全政策、特定主题的政策和程序实施信息安全。

5.5与政府部门的联系控制本组织应与有关部门建立并保持联系。5.6与特殊利益集团的联系控制本组织应与特殊利益集团或其他专业安全论坛和专业协会建立并保持联系。5.7威胁情报控制应收集和分析与信息安全威胁有关的信息，以产生威胁情报。5.8项目管理中的信息安全控制将信息安全纳入项目管理。5.9信息清单及其他相关资产清控制应编制和维护信息清单和其他相关资产，包括所有者。5.10可接受的使用信息和其他相控制应确定、记录和执行处理信息和其他相关资产的可接受的使用规则和程序。5.11资产收益控制人员和其他利害关系人应在变更或终止雇佣、合同或协议时归还该组织所拥有的所有资产。5.12信息分类控制根据保密性、完整性、可用性和相关当事人要求，根据组织的信息安全需求进行分类。5.13信息标签控制应根据本组织所采用的信息分类方案，制定和实施一套适当的信息标签程序。

5.14信息传递控制组织内以及组织与其他各方之间的各种转让设施应制定信息传输规则、程序或协议。5.15访问控制控制应根据业务和信息安全要求，建立和实施控制对信息和其他相关资产的物理和逻辑访问的规则。5.16身份管理控制应管理身份的整个生命周期。5.17身份验证信息控制认证信息的分配和管理应由管理流程进行控制，包括告知人员对认证信息的适当处理。5.18访问权限控制应根据组织的访问控制主题政策和规则提供、审查、修改和删除对信息和其他相关资产的访问权。5.19供应商关系中的信息安全控制应定义和实施流程和程序，以管理与使用供应商的产品或服务相关的信息安全风险。5.20解决供应商协议中的信息安全问题控制应根据供应商关系的类型，与各供应商建立并商定相关的信息安全要求。5.21管理信息和通信技术（ICT）供应链中的信白 /v控制应定义和实施流程和程序，以管理与ICT产品和服务供应链相关的信息安全风险。

5.22对供应商服务的监控、审查和变更管理控制组织应定期监测、审查、评估和管理供应商信息安全实践和服务交付的变化。5.23使用云服务的信息安全控制根据组织的信息安全要求，建立云服务的获取、使用、管理和退出流程。5.24信息安全突发事件管理的规划与准备控制组织应通过定义、建立和沟通信息安全事件管理流程、角色和职责，计划和准备信息安全事件的管理。5.25对信息安全事件的评估和决策控制该组织应评估信息安全事件，并决定它们是否要被归类为信息安全事件。5.26响应信息安全事件控制信息安全事件应按照文件化的程序进行响应。5.27从信息安全事件中学习控制利用从信息安全事件中获得的知识，加强和完善信息安全控制。5.28证据的收集控制本组织应建立并实施与信息安全事件有关的证据的识别、收集、获取和保存程序。5.29中断期间的信息安全控制组织应计划如何在中断期间保持适当级别的信息安全。

5.30ICT已准备好业务连续性控制应根据业务连续性目标和连续性要求规划、实施、维护和测试信息通信技术准备情况。5.31法律、法定、法规和合同要求控制与信息安全相关的法律、法律、法规和合同要求以及组织满足这些要求的方法应被确定、记录并保持最新。5.32知识产权控制本组织应实施适当的程序来保护知识产权。5.33记录保护控制保护记录不丢失、销毁、伪造、非法访问和非法释放。5.34个人身份信息的隐私和保护(PII)控制该组织应根据适用的法律法规和合同要求，确定并满足有关保护隐私和保护PII的要求。5.35信息安全的独立审查控制组织管理信息安全的方法及其实施，包括人员、过程和技术，应在计划的时间间隔内或在发生重大变化时进行独立审查。5.36遵守信息安全的策略、规则和标准控制应定期审查对组织的信息安全政策、主题特定政策、规则和标准的遵守情况。5.37文件化的操作程序控制信息处理设施的操作程序应形成文件，并提供给需要的人员。6人员控制

6.1放映控制对所有候选人成为人员的背景验证检查应在加入组织之前进行，并持续考虑适用的法律、法规和道德规范，并与业务要求、要访问的信息的分类和感知的风险成比例。6.2雇佣关系的条款和条件控制雇佣合同协议应当说明人员和组织对信息安全的责任。6.3信息安全意识、教育和培训控制组织人员和相关相关方应接受适当的信息安全意识、教育和培训，并定期更新组织的信息安全政策、具体主题的政策和程序。6.4纪律处分程序控制应正式制定纪律程序并沟通，对违反信息安全政策的人员和其他相关相关方采取行动。6.5终止或变更后的责任控制在终止或变更雇佣后仍然有效的信息安全责任和职责应被定义、执行并传达给相关人员和其他相关方。6.6保密协议或保密协议控制人员和其他相关相关方应对保密或保密协议进行识别、记录、定期审查，并反映组织"对信息保护的需求并签署。6.7远程工作控制当人员远程工作时，应采取安全措施，以保护在组织场所外访问、处理或存储的信息。

6.8信息安全事件报告控制组织应提供机制，让人员通过适当渠道及时报告观察到或可疑的信息安全事件。7物理控制7.1物理安全周长控制安全边界应被定义并用于保护包含信息和其他相关资产的区域。7.2物理输入控制安全区域应由适当的入口控制装置和接入点进行保护。7.3确保办公室、房间和设施控制应设计和实施办公室、房间和设施的物理安全。7.4物理安全监控控制场所应持续监控未经授权的物理访问。7.5防止物理和环境威胁控制应设计和实施防止物理和环境威胁，如自然灾害和对基础设施造成的其他有意或无意的物理威胁。7.6在安全区域工作控制应设计并实施在安全区域工作的安全措施。7.7清除桌子和清除屏幕控制明确纸张和可移动存储介质的桌面规则，明确信息处理设施的屏幕规则。7.8设备选址和保护控制设备应安全放置和保护。

7.9房屋外资产担保控制场外资产应受到保护。7.10存储介质控制存储介质应按照组织的分类方案和处理要求，通过其获取、使用、运输和处置的生命周期进行管理。7.11配套设施控制信息处理设施的故障和其他干扰。7.12布线安全控制携带电力、数据或支持信息服务的电缆应不被拦截、干扰或损坏。7.13设备维护控制设备应得到正确的维护，以确保信息的可用性、完整性和机密性。7.14安全处置或重复使用设备统治应对含有存储介质的设备项目进行验证，以确保在处置或重复使用之前，任何敏感数据和许可软件己被移除或安全覆盖。8技术控制8.1用户端点设备控制在用户终端设备上存储、处理或可访问的信息应受到保护。8.2特权访问权限控制应当限制和管理特权使用权的分配和使用。&3信息访问限制控制应根据既定的关于访问控制的有关专题的具体政策，限制对信息和其他相关资产的访问。

&4访问源代码控制对源代码、开发工具和软件库进行读写管理。&5安全身份验证控制根据信息访问限制和访问控制策略实施安全认证技术和程序。&6容量管理控制应根据当前和预期的容量要求，对资源的使用情况进行监测和调整。8.7防止恶意软件控制对恶意软件的保护应由适当的用户意识来实施和支持。8.8技术漏洞的管理控制获取使用中的信息系统的技术漏洞信息，评估组织暴露的情况，并采取适当措施。8.9配置管理控制硬件的建立、软件、服务和网络，包括安全配置、实施、监控和审查。8.10信息删除控制不再需要时，信息系统、设备或其他信息存储介质中的信息应予以删除。8.11数据屏蔽控制数据掩蔽应根据本组织关于访问控制的特定主题政策和其他相关的特定主题政策，以及业务要求来使用，并考虑到适用的法规。

8.12防止数据泄露控制对处理、存储或传输敏感信息的系统、网络和任何其他设备，应采取数据泄漏预防措施。&13信息备份控制对模板、软件和系统的备份副本，应按照商定的针对特定主题的备份策略进行维护和定期测试。&14信息处理设施的冗余性控制信息处理设施应具有足够的冗余度，以满足可用性要求。8.15日志记录控制应生成、保存、保护和分析的记录活动、异常、故障和其他相关事件的日志。8.16监控活动控制应监测网络、系统和应用程序的异常行为，并采取适当的行动来评估潜在的信息安全事件。8.