ISO_17799_2005_SANS_Audit_Check_List(CN)信息安全管理.doc

iso iec 27002:2005 审计清单 12/01/2019 信息安全管理iso/ iec 27002:2005(iso/ iec 27001:2005)sans audit check listauthor: val thiagarajan b.e., m.comp, ccse, mcse, sfs, its 2319, it security specialist.status: finallast updated: 3rd may 2006owner: sanspermission to use extracts from iso 17799:2005 was provided by standards council of canada, in cooperation with ihs canada. no further reproduction is permitted without prior written approval from standards council of canada. documents can be purchased at www.standardsstore.ca.目录安全方针4信息安全方针4信息安全的组织5内部组织5外部组织6资产管理7对资产的责任7信息分类7人力资源安全8雇佣前8雇佣中8雇佣终止或变更9物理和环境安全9安全区域9设备安全10通讯和操作管理12操作程序和职责12第三方服务交付管理13系统规划与验收13防范恶意代码和移动代码14备份14网络安全管理14介质处置15信息交换15电子商务服务16监督17访问控制18访问控制的业务要求18用户访问管理18用户责任19网络访问控制20操作系统访问控制21应用和信息访问控制22移动计算和远程工作22信息系统的获取、开发和维护23信息系统安全要求23应用的正确处理23加密控制24系统文件安全25开发和支持过程的安全25技术脆弱点管理26信息安全事故管理27报告信息安全事件和弱点27信息安全事故的管理和改进27业务连续性管理28业务连续性管理的信息安全方面28符合性29符合法律法规要求29符合安全方针、标准，以及技术符合性31信息系统审核的考虑因素31参考资料32信息安全管理 iso iec 27002:2005 审计清单审计人员：_ 审计日期：_信息安全管理 iso iec 27002:2005 审计清单参考审计范围、目标和问题结果清单章节条款审计问题发现符合性安全方针1.15.1信息安全方针.1信息安全方针文件l 是否存在经过管理层批准的信息安全方针，发布并传达给所有员工？l 安全方针是否陈述了管理承诺，并且设立了信息安全管理的组织目标？.2信息安全方针的评审l 是否按计划的时间间隔，或者在发生重大变化时评审信息安全方针，以确保方针的持续适合性、充分性和有效性？l 信息安全方针有没有所有者，此人负有经过组织批准的起草、评审和评估安全方针的管理责任？l 有没有制定信息安全方针评审程序，该程序是否包括管理评审的要求？l 有没有考虑/重视管理评审的结果？l 修订的方针有没有得到管理层的批准？信息安全的组织2.16.1内部组织.1管理层对信息安全的承诺管理层有没有积极支持组织内的安全措施。例如清楚明确的方向，可证实的承诺，明确分配和确认信息安全职责。.2信息安全协调组织的各个部门有没有指派具有恰当的角色和职责的代表参与协调信息安全活动？.3信息安全职责分配有没有清晰地识别和定义保护各种资产，以及执行特定安全过程的职责？.4信息处理设施的授权过程有没有定义和实施对组织内任何新的信息处理设施的管理授权程序？.5保密协议l 有没有清楚地定义并有规律地评审组织的保密性需求或用于保护信息的保密协议？l 有没有用合适的法律用词指出保护机密信息的需求？.6与政府部门的联系有没有一个程序描述了在什么情况下，应该由谁联系哪个政府部门，比如公安局、消防局，以及如何报告事故？.7与特殊利益团体的联系有没有与特殊的利益团体比如专业的安全论坛或者安全专家协会保持恰当的联系？.8信息安全的独立评审有没有按照计划的时间间隔，或者在安全实施发生重大改变时，对组织的信息安全管理目标及其实现进行独立评审？2.26.2外部组织.1识别与外部组织相关的风险在外部组织需要访问组织内的信息和信息处理设施时，有没有在授予访问权限前识别访问导致的风险，并采取适当的控制措施？.2与客户接触时强调安全在授予客户对组织的信息或资产的访问权限前，是否确保所有的安全需求得到了满足？.3在第三方协议中强调安全第三方协议中有没有要求在访问、处理、通讯、管理组织的信息或信息处理设施，或者往信息处理设施引入产品或服务时，必须符合所有适用的安全要求？资产管理3.17.1对资产的责任.1资产清单是不是所有的资产都得到识别，有没有维护所有重要资产的清单或者登记表.2资产责任人每个已识别的资产都有责任人，和一个已定义且得到一致同意的安全类别，以及定期审核的访问权限.3资产的可接受使用有没有确定一个信息和资产的可接受使用规定，并实施了该规定3.27.2信息分类.1分类指南有没有根据信息的价值、法律法规的要求、敏感度和重要性分类信息.2信息标识和处理有没有根据组织采用的分类标准，制定一系列标识和处理信息的程序人力资源安全4.18.1雇佣前.1角色和职责l 有没有根据组织的信息安全策略定义并记录员工、承包商和第三方用户的安全角色和职责l 在雇用前过程中有没有就定义的角色和职责与职位的候选人进行明确的沟通.2审查l 有没有根据相关规定对所有职位、合同商和第三方用户候选者进行背景验证审查l 审查有没有包括身份证明书，所声称的学术和专业资质证明，以及独立的身份检验.3雇佣条款和条件l 有没有要求员工、合同商和第三方用户签订保密协议，作为雇佣合同的初始条款l 协议有没有包含组织、员工、第三方用户和合同商的信息安全责任4.28.2雇佣中.1管理职责管理层有没有要求员工、合同商和第三方用户根据组织建立的策略和程序实施安全.2信息安全意识、教育和培训组织的所有员工，合同方和第三方用户，有没有受到与其工作职能相关的适当的安全意识培训和组织方针及程序的定期更新培训.3惩戒过程对于违反安全规定的员工有没有正式的惩戒过程4.38.3雇佣终止或变更.1终止职责有没有清晰规定和分配进行雇佣终止或变更的责任.2归还资产有没有适当的程序确保当雇佣、合同或协议终止时，员工、合同方和第三方用户归还所使用的组织资产.3移除访问权限当雇佣、合同或协议终止时，有没有撤销员工、合同方和第三方用户对信息和信息处理设施的访问权限，或根据变化调整物理和环境安全5.19.1安全区域.1物理安全边界有没有使用物理边界安全设施（例如门卡控制出入的大门、人工接待台等）来保护信息处理服务.2物理进入控制有没有适当的进入控制程序确保只有经过授权的人员才可以访问组织内部区域.3办公室、房间和设施的安全提供信息处理服务的房间有没有上锁或者房内有可锁定的柜子、保险箱.4防范外部和环境威胁l 有没有设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施l 邻近地点有没有潜在的安全威胁.5在安全区域工作有没有设计并实施在安全区域工作的物理保护措施和指南.6公共访问和装卸区域对于装卸或其他未经授权人员可以进入的公共访问区域有没有加以控制，那里的信息处理设施有没有加以隔离以防止非授权的访问5.29.2设备安全.1设备安置和保护有没有保护设备以减少来自环境的威胁或危害，并减少未经授权访问的机会 .2支持性设施l 有没有保护设备免受电力中断或其他支持性设施失效所导致的中断l 有没有采取某些持续供电措施，如多路供电、ups、备用发电机等.3电缆安全l 有没有保护承载数据或支持信息服务的电力和通讯电缆免遭中断或破坏l 对于敏感或关键的系统，有没有采取进一步的安全控制.4设备维护l 有没有正确地维护设备以确保其持续可用性和完整性l 设备是不是按照供应商推荐的服务时间间隔和规范进行维护l 是不是只有经过授权的人员才能进行维护l 有没有保存所有可疑的或实际的故障以及所有预防和纠正措施的记录l 对于需要离场维护的设备有没有进行适当的控制l 设备有没有保险，有没有遵守保险方面的要求.5场外设备安全l 有没有评估场外设备的风险并采取降低风险的控制措施l 在组织外使用信息处理设施有没有得到管理授权.6设备的安全处置或重用有没有检查所有含存储介质的设备，以确保在销毁或重用设备前物理摧毁或者安全重写所有敏感数据或授权软件.7资产转移有没有控制措施，确保未经授权，不能将设备、信息和软件带离工作场所通讯和操作管理6.110.1操作程序和职责.1文件化的操作程序l 操作程序有没有文件化，得到维护且所有需要的用户都可以获得l 有没有把这些文件化程序视为正式的文件，且任何变更须得到管理授权.2变更管理有没有控制所有对信息处理设施和系统的变更6.1.310.1.3职责分离有没有分离职责和区域，以降低未授权修改或滥用组织的信息和服务的机会6.1.410.1.4开发、测试与运营设施的分离有没有分离开发、测试和运营设施。例如，开发和生产软件应该运行在不同的计算机上。开发和生产网络应该互相隔离6.210.2第三方服务交付管理.1服务交付有没有措施确保第三方实施、运行并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级.2第三方服务的监督和评审l 有没有定期对第三方提供的服务、报告和记录进行监视和评审l 有没有定期对第三方服务、报告和记录进行审核6.2.310.2.3管理第三方服务的变更l 有没有管理服务提供的变更，包括保持和改进现有信息安全方针、程序和控制措施l 有没有考虑业务系统的关键程度、涉及的过程和风险的再评估6.310.3系统规划与验收.1容量管理有没有监控容量需求并反应未来的容量要求，以确保拥有足够的处理能力和存储空间.2系统验收l 有没有建立新信息系统、系统升级和新版本的验收准则l 接收系统前有没有进行适当的测试6.410.4防范恶意代码和移动代码.1防范恶意代码有没有制定并实施程序，通过检测、预防和恢复来防范恶意代码，并进行适当的用户意识培训.2防范移动代码l 是不是只可以使用获得授权的移动代码l 配置管理有没有确保授权的移动代码按照安全方针运行l 有没有阻止未经授权的移动代码运行6.510.5备份.1信息备份l 有没有根据既定的备份策略对信息和软件进行备份并定期测试l 所有基本的信息和软件能否在灾难或介质故障后进行恢复6.610.6网络安全管理.1网络控制l 有没有充分管理和控制网络以防范威胁、保持使用网络包括信息传输的系统和应用程序的安全l 有没有实施控制以确保网络上信息的安全，防止未经授权访问所连接的服务.2网络服务安全l 有没有识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中l 有没有对网络服务提供商以安全方式管理商定服务的能力予以确定并定期监督，还应商定审计的权利6.710.7介质处置.1可移动介质的管理l 有没有建立可移动介质的管理程序，如磁带、磁盘、闪存等l 所有的程序和授权级别是否清晰地形成文件.2介质的处置不再需要的介质有没有按照正式的程序进行安全可靠的处置6.7.310.7.3信息处理程序l 有没有处理信息存储的程序l 该程序有没有考虑防范信息的未授权泄露或误用6.7.410.7.4系统文件安全保护系统文件免受未授权的访问6.810.8信息交换.1信息交换策略和程序l 有没有建立正式的交换策略、程序和控制，以保护信息l 这些程序和控制有没有涵盖使用电子通讯设施交换信息.2交换协议l 有没有建立组织和外部组织交换信息和软件的协议l 协议的安全内容有没有反映涉及的业务信息的敏感度6.8.310.8.3运输中的物理介质包含信息的介质在组织的物理边界以外运送时，有没有防止未授权的访问、不当使用或毁坏6.8.410.8.4电子消息有没有保护包含在发送的电子消息中的信息(电子消息包括但不限于电子邮件、电子数据交换（edi）、即时通信)6.8.510.8.5业务信息系统有没有制定并实施策略和程序，以保护与业务信息系统相关联的信息 6.910.9电子商务服务.1电子商务l 有没有保护电子商务中通过公共网络传输的信息，以防止欺诈、合同争议、未授权的访问和修改l 有没有考虑诸如使用密码技术等安全控制l 有没有文件化的协议来支持和贸易伙伴之间的电子商务安排，该协议使双方致力于商定的贸易条款，包括安全问题的细节.2在线交易有没有保护在线交易信息，以防止不完整的传输、路由错误、未经授权的信息更改、未经授权的信息泄露、未经授权的信息复制或重放 6.9.310.9.3公共可用信息有没有保护公共可用信息的完整性，防止未经授权的更改6.1010.10监督0.1审计日志l 有没有产生记录用户活动、意外以及信息安全事件的审计日志，并且按照约定的期限进行保存，以支持将来的调查和访问控制检测l 保留审计日志时应考虑适当的隐私保护措施0.2监视系统的使用l 有没有制定并实施监视信息处理设施系统使用的程序l 有没有定期评审监视活动的结果l 各个信息处理设施的监控级别是否由风险评估决定6.10.310.10.3日志信息保护有没有保护日志设施和日志信息免受破坏和未经授权的访问6.10.410.10.4管理员和操作员日志l 有没有记录系统管理员和系统操作员的活动l 有没有定期评审上述活动日志6.10.510.10.5故障日志l 有没有记录并分析错误日志，并采取适当的措施l 各系统的日志记录级别是否由风险评估决定，并考虑性能的降低6.10.610.10.6时钟同步组织内或同一安全域内的所有信息处理设施的时钟有没有按照约定的正确时间源保持同步(正确设置计算机时钟对于保持审计日志的准确性非常重要)访问控制7.111.1访问控制的业务要求.1访问控制策略l 有没有制定并评审基于业务和安全需求的访问控制策略l 访问控制策略有没有同时考虑物理和逻辑访问控制l 有没有将通过访问控制要满足的业务要求的清晰说明提供给用户和服务提供者7.211.2用户访问管理.1用户注册有没有建立正式的用户注册和解除注册程序，以允许和撤销对所有信息系统和服务的访问 .2特权管理有没有限制并控制信息系统环境下特权的使用和分配，例如根据需要知道原则分配特权，或特权仅在通过正式授权流程后分配 7.2.311.2.3用户口令管理l 有没有通过正式的管理流程控制口令的分配l 有没有要求用户签署一份声明，以保持口令的保密性7.2.411.2.4用户访问权限的评审有没有按计划的时间间隔评审用户访问权限的流程，例如：每三个月评审特殊权限，每六个月评审普通权限7.311.3用户责任.1口令使用有没有要求用户在选择和使用口令时遵循良好的安全惯例 .2无人值守的用户设备有没有让用户和合同商了解保护无人值守设备的安全要求和程序例如：会话结束时登出或设置自动登出，结束时终止会话等7.3.311.3.3桌面及屏幕清空策略l 有没有针对文件、可移动存储介质的桌面清空策略l 有没有针对信息处理设施的屏幕清空策略7.411.4网络访问控制.1网络服务使用策略l 用户是不是只能访问经过明确授权使用的服务l 有没有制定关于使用网络和网络服务的策略.2外部连接用户的鉴别有没有适当的鉴别机制控制远程用户的访问7.4.311.4.3网络设备的识别有没有考虑自动设备识别，将其作为鉴别特定位置及设备连接的方法7.4.411.4.4远程诊断和配置端口保护有没有安全地控制对诊断和配置端口的物理和逻辑访问7.4.511.4.5网络隔离l 有没有隔离网络上的信息服务组、用户和信息系统l 有没有使用安全边界机制如防火墙来隔离网络（业务伙伴或第三方需要访问信息系统）l 有没有考虑把无线网络与内部和专用网络隔离开7.4.611.4.6网络连接控制访问控制策略有没有规定共享网络的网络连接控制，尤其是那些延伸到组织边界之外的网络7.4.711.4.7网络路由控制l 网络控制策略有没有规定路由控制l 路由选择控制是否基于确定的源地址和目的地址检验机制7.511.5操作系统访问控制.1安全登录程序是否通过安全登录程序控制对操作系统的访问.2用户标识和鉴别l 所有用户如操作员、系统管理员和其他技术人员是否有唯一的识别码（用户id）l 有没有选择合适的认证技术验证所宣称的用户身份l 在例外环境下，如果存在明显的业务利益，可以使用共享用户id。对于这种情况，有没有要求额外的控制以维护可核查性7.5.311.5.3口令管理系统有没有口令管理系统以加强口令控制 7.5.411.5.4系统实用工具的使用有没有限制并严格控制能越过系统和应用控制的实用工具的使用7.5.511.5.5会话超时不活动的会话是否在一个设定的不活动周期后关闭(对于某些系统，清空屏幕并防止未授权访问，但不关闭应用或网络会话提供了一种受限制的超时形式)7.5.611.5.6联机时间限制有没有限制对高风险应用程序的连接时间，这类限制应考虑终端安装在高风险位置的敏感应用7.611.6应用和信息访问控制.1信息访问限制有没有根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问.2敏感系统隔离敏感系统有没有使用独立的计算环境，例如运行在特定的计算机上，仅和信任的应用系统共享资源等7.711.7移动计算和远程工作.1移动计算和通讯l 有没有建立正式的策略并采取适当的安全措施，以防范使用移动计算和移动通讯设施的风险l 移动计算和通讯设施包括：笔记本、掌上机、膝上机、智能卡和移动电话l 移动计算策略有没有考虑在不受保护的环境下工作的风险.2远程工作l 有没有制定并实施远程工作的策略、操作计划和程序l 管理层有没有授权和控制远程工作活动，并进行适当的安排信息系统的获取、开发和维护8.112.1信息系统安全要求.1安全要求分析和规范l 新的信息系统或现有信息系统的更新的安全需求有没有详述安全控制要求 l 安全要求和控制有没有反映所涉及信息资产的业务价值和由于安全失败引起的业务损失l 信息安全系统需求与实施安全的过程是否在信息系统项目的早期阶段集成8.212.2应用的正确处理.1输入数据验证l 有没有验证应用系统的输入数据，以确保正确和适当l 有没有考虑下述控制：用于检查错误信息的不同类型的输入，响应确认差错的程序，定义数据输入过程中所涉及的全部人员的职责等.2内部处理控制l 应用程序有没有包含确认检查，以检测任何由于流程错误或故意行为造成的信息出错l 设计和实施应用时有没有确保把由于处理失败导致的完整性被损坏的风险降至最低8.2.312.2.3消息完整性l 有没有识别应用系统中确保和保护信息完整性的要求，识别并实施适当的控制l 有没有进行安全风险评估以决定是否需要信息完整性，并识别实施中最合适的方法8.2.412.2.4输出数据验证有没有验证应用系统的输出数据，以确保存储信息的处理是正确的且与环境相适宜8.312.3加密控制.1使用加密控制的策略l 有没有制定并实施使用加密控制保护信息的策略l 密码策略有没有考虑使用密码控制的管理方法、风险评估结果所要求的保护级别、密钥管理方法、为有效实施而采用的标准等.2密钥管理l 有没有进行密钥管理，以支持组织对密码技术的使用l 有没有保护密钥，防止修改、遗失和损坏l 有没有保护秘密密钥和私有密钥，防止泄露l 有没有对用于生成、存储密钥的设备进行物理保护l 密钥管理系统是否基于一组已商定的标准、程序和方法8.412.4系统文件安全.1操作软件控制有没有建立程序，控制在运营系统之上安装应用软件(降低运营系统损坏的风险).2系统测试数据的保护l 有没有保护并控制系统测试数据l 有没有避免使用包含个人信息或其他敏感信息的运行数据库进行测试8.4.312.4.3程序源代码的访问控制有没有严格控制对程序源代码库的访问8.512.5开发和支持过程的安全.1变更控制程序l 有没有实施严格的控制程序，控制对信息系统变更的实施l 该程序有没有包括风险评估、变更影响分析.2操作系统变更后的应用系统技术评审操作系统变更后，有没有程序或过程评审并测试关键业务应用系统，以确保变更不会对组织的运营或安全产生负面影响8.5.312.5.3软件包变更限制l 不鼓励对软件包进行变更或仅限于必要的变更l 有没有严格控制所有变更8.5.412.5.4信息泄露l 有没有实施控制以防信息泄露l 有没有考虑如下控制：扫描外部介质和通信、在法律法规允许的前提下定期监视个人和系统行为、监控资源使用8.5.512.5.5软件开发外包l 有没有对外包开发的软件进行监控和管理 l 有没有考虑：许可证问题、源代码托管、质量保证的合同要求、安装前测试以检测恶意代码和特洛伊代码等8.612.6技术脆弱点管理.1控制技术脆弱点l 有没有及时获取所使用信息系统的技术脆弱点信息l 有没有评估组织技术脆弱点暴露的风险，并采取适当的措施降低相关风险信息安全事故管理9.113.1报告信息安全事件和弱点.1报告信息安全事件l 有没有通过适当的管理途径尽快报告信息安全事件l 有没有制定并实施正式的信息安全事件报告程序、事故响应和升级程序.2报告信息安全弱点有没有程序要求所有员工、合同方和第三方用户注意并报告系统或服务中发现或疑似的安全弱点9.213.2信息安全事故的管理和改进.1职责和程序l 有没有建立管理职责和程序，以迅速、有效和有序地响应信息安全事故l 有没有监控系统、报警和弱点来检测信息安全事故l 有没有与管理层协商信息安全事故管理的目标并达成一致.2从信息安全事故中学习l 有没有建立识别并量化信息安全事故的类型、数量和费用的机制l 有没有使用从过去信息安全事故评估中获取的信息来识别再发生或重大影响的事故9.2.313.2.3收集证据l 信息安全事故发生后，有没有根据法律规定（无论是民法还是刑法）跟踪个人或组织的行动l 有没有收集、保留事故相关证据，并以符合相关法律的形式提交l 当为了惩罚目的而收集和提交证据时，有没有制定并遵循内部规程业务连续性管理10.114.1业务连续性管理的信息安全方面.1在业务连续性管理过程中包含信息安全l 有没有一个管理程序，阐明组织业务连续性对信息安全的要求l 该程序有没有阐明组织面临的风险，识别业务关键资产，识别事故影响，考虑实施附加的预防性控制，并形成表明了安全需求的业务连续性计划文档.2业务连续性和风险评估有没有识别可能导致业务过程中断的事故，以及这类中断发生的可能性和影响、中断的信息安全后果10.1.314.1.3制定并实施包括信息安全的连续性计划l 有没有开发计划，在业务流程中断或失效后能在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性l 计划有没有考虑鉴别和协调职责、鉴别可接受损失、实施恢复和重建程序、文档化规程、定期测试10.1.414.1.4业务连续性计划框架l 有没有单一的业务连续性计划框架l 有没有维护该框架以确保所有计划的一致性，并识别测试和保持的优先级l 业务连续性计划有没有阐明识别出的信息安全需求10.1.514.1.5bcp的测试、维护和再评估l 有没有定期测试并更新bcp，以确保bcp的更新和有效性l bcp的测试能否确保恢复团队的所有成员及其他相关人员知道该计划，明确他们