信息安全内审检查点表(xls页).xls

控控制制 域域 控控制制点点编编号号信信息息安安全全保保护护要要求求内内审审问问题题答答案案 A5A 5 1 1信息安全策略1信息安全策略文件的制订是否制定并发布了信息安全策略 A5A 5 1 1信息安全策略2信息安全策略文件的有效传达是否向员工通告信息安全策略的内容 A5A 5 1 1信息安全策略3信息安全策略文件的批准信息安全策略是否通过公司管理层的审批 A5A 5 1 2 信息安全策略的评审4信息安全策略文件的评审信息安全策略是否每年进行复审 A6A 6 1 1 信息安全角色和职责5定义信息安全组织架构及职责 是否定义了信息安全的组织架构 并定义了相应 的职责 A6A 6 1 1 信息安全角色和职责6分配个人信息安全职责是否分配了个人信息安全职责 A6A 6 1 2 职责分离7制订职责分离规则是否根据职责分离要求进行岗位人员的分工 A6 A 6 1 3 与政府部门的联系 A 6 1 4 与特定利益集团的联系 8 识别相关的政府机构及特定利 益集团并保持联系联系清单 是否识别并保留相关政府机构等利益相关方的联 系清单 A6A 6 1 5 项目管理中的信息安全9项目中的信息安全问题管理 是否在项目的规划 实施 交付 上线等过程中 考量信息安全的要求和实现 A6A 6 2 1 移动设备策略10 定义并执行移动设备的安全策 略 是否制定并执行了移动终端的安全要求 A6A 6 2 2 远程工作11 制定并执行了远程访问的安全 策略要求 是否对VPN账号的开通进行审批 并且及时回收 过期账号 A6A 6 2 2 远程工作12 制定并执行了远程访问的安全 策略要求 VPN的使用是否符合安全要求 A7A 7 1 1 审查13执行关键岗位新聘员工筛选是否执行了关键岗位新聘员工的背景调查 A7A 7 1 2 任用条款和条件14员工保密协议签订 合同签订是否使所有员工签署了保密协议 合同 A7A 7 2 1 管理责任15 管理层应要求员工遵守公司已 发布的制度要求 在员工KPI中是否涉及信息安全的要求 A7 A 7 2 2 信息安全意识 教育和培 训 16 信息安全意识 教育和培训计 划 是否制定了信息安全意识 教育和培训计划 A7 A 7 2 2 信息安全意识 教育和培 训 17 信息安全意识 教育和培训执 行 是否执行了信息安全意识 教育和培训 A7A 7 2 3 纪律处理过程18 信息安全惩戒规程的制定和执 行 是否执行信息安全惩戒规定 A7A 7 3 1 任用终止或变更职责19终止职责的传达是否向离职员工传达信息安全要求 A7A 7 3 1 任用终止或变更职责20终止职责时的信息安全要求是否按离职流程执行 A8A 8 1 1 资产清单21维护信息系统资产清单是否收集信息资产清单并维持更新 A8A 8 1 2 资产所有权22信息资产所有人 保管人确定资产清单上是否标识了所有人和保管人 A8A 8 1 3 资产的可接受使用23制订资产使用规范是否制定并发布各类资产使用规范 A8A 8 1 4 资产的归还24终止协议时资产返还在员工离职时是否归还所保管的信息资产 A8A 8 1 4 资产的归还25终止协议时资产返还在外包员工离职时是否归还所保管的信息资产 A8A 8 2 1 信息的分类26对信息资产进行分类是否执行信息资产的分级分类 A8 A 8 2 2 信息的标记 A 8 2 3 信息的处理 27制订并执行信息资产标示规则是否对打印类文件进行分级标识 A8 A 8 2 2 信息的标记 A 8 2 4 信息的处理 28制订并执行信息资产标示规则是否对机房的设备进行标识 A8A 8 3 1 可移动介质的管理29移动介质使用移动介质的使用是否遵循公司的安全标准 A8A 8 3 2 介质的处置30介质处理流程是否执行存储介质的处置过程 A8A 8 3 3 物理介质传输31介质保护如何保护介质 A9A 9 1 1 访问控制策略32制定并评审访问控制策略是否制定访问控制策略并定期进行评审 A9A 9 1 2 网络和网络服务的访问33制定并评审网络服务使用策略是否制定网络服务使用策略并定期进行评审 A9 A 9 2 1 用户注册及注销 A 9 2 2 用户访问开通 34 用户注册及注销 用户访问开通 是否有用户注册及注销和访问开通的管理 A9A 9 2 3 特殊访问权限管理35对特权账号进行管理 特权管理的管理是否遵循 特权账户不得共享 按需提供 A9A 9 2 4 用户秘密鉴别信息管理36密码保护 是否在发送账户密码信息 令牌等的过程中采用 保护措施 A9A 9 2 5 用户访问权限的复查37权限复查是否定期对权限进行了审阅 A9A 9 2 6 撤销或调整访问权限38 离职 转岗员工的访问权限撤销 和调整 是否及时清除离职员工的权限或调整专岗员工的 权限 A9A 9 3 1 使用秘密鉴别信息39密码保护 是否在终端或共享文件系统中保存明文的密码信 息 A9A 9 4 1 信息访问控制40信息访问限制策略 应用系统是否制订了信息访问限制策略并执行 是否定期进行权限审核 A9A 9 4 2 安全登录规程41安全登录策略的执行 当用户在规定的时间内以内未执行任何操作时 系统是否强制退出或锁定界面 A9A 9 4 3 密码管理系统42密码策略是否对密码的复杂度进行要求 长度超过8位 A9A 9 4 3 密码管理系统43密码策略 是否实现了密码输入5次后自动锁定策略 且锁 定时间不少于15分钟 A9A 9 4 3 密码管理系统44密码策略是否实现了初始密码强制修改功能 A9A 9 4 4 系统工具的使用45系统工具的使用限制 是否在使用具有特权访问权限的系统工具 脚本 前进行审批 并保留使用记录 A9A 9 4 5 对程序源代码的访问控制46对源代码的访问进行限制使用何种方式保护源代码 A10A 10 1 1 使用密码控制的策略47制订密码使用策略是否制定并维护更新密码使用策略 A10A 10 1 1 使用密码控制的策略48实施密码使用策略 是否在系统的开发或获取过程中对需要密码控制 的系统制订密码使用策略 A10A 10 1 2 密钥管理49密匙管理 是否制定并遵循密钥管理的规定 包括清单 使 用记录 维护记录 有效期等 A11A 11 1 1安全区域50安全区划分是否制订规则划分了安全区域 A11 A 11 1 2 物理入口控制 A 11 1 3 办公室 房间和设施的安 全保护 51 制订安全区保护要求并采取安 全保护措施 办公区是否制订并执行安全区域保护要求 包括 门禁 摄像监控 外来人员控制等 A11 A 11 1 2 物理入口控制 11 1 5 在安全区域工作 11 1 6 交接区安全 52 制订安全区保护要求及工作规 范 机房是否制订并执行安全保护要求 包括门禁控 制 安检 摄像监控 机房内操作规范等 A11A 11 1 2 物理入口控制53制订安全区保护要求机房出入是否按要求审批并保留相应记录 A11 A 11 1 4 外部和环境威胁的安全防 护 54 制订防止自然灾难 恶意攻击 的保护措施 是否有防火 放爆措施 A11A 11 2 1 设备安置和保护55防止环境对设备造成损害 是否采取环境保护措施对机房内的设备进行保护 如防水 防静电 防雷 恒温恒湿等 A11A 11 2 2 支持性设施56避免支持性设施失效 机房是否制订了市电 UPS 消防 空调等支持 设施维护计划并执行 A11A 11 2 3 布缆安全57保护电源和通信布缆安全 是否采取了适当的控制措施对电源和通信布缆进 行保护 并分开布线 A11A 11 2 4 设备维护58 维护设备确保其可用性和完整 性 是否制订服务器 网络设备 安全设备 终端等 维保计划并执行 A11 A 11 2 5 资产的移动 A 11 2 6 组织场外设备和资产的安 全 59资产转移申请 资产外带或转移安置地点时是否经过了流程得到 了了批准并进行了记录 包括资产外借 A11A 11 2 7 设备的安全处置或再利用60设备存储介质的处置参见A 8 3 2 A11A 11 2 8 无人值守的用户设备61 是否有位于数据中心以外的机柜 IDF 弱电间 电信机房 管控措施如何 A11A 11 2 9 清空桌面和屏幕策略62桌面清理和清屏策略制订是否有桌面清理和清屏策略制订 A12A 12 1 1 文件化的操作程序63定制文件化的操作指引 是否定制主机 网络 应用 数据库的配置 维 护操作指引并按要求执行 A12A 12 1 2 变更管理65变更管理控制 是否严格按照变更流程评估 审批 操作 验证 记录 A12A 12 1 2 变更管理66变更管理控制 数据库直接修改操作是否严格按照变更流程评估 审批 操作 记录 A12A 12 1 3 容量管理67容量监控和规划 是否对主机 存储 网络等的使用情况进行监控 并根据预警情况设计实施解决方案 A12 A 12 1 4 开发 测试和运行环境分 离 68隔离开发 测试和运营环境是否隔离开发 测试和运营环境 A12 A 12 1 4 开发 测试和运行环境分 离 69隔离开发 测试和运营环境是否做到开发测试人员无运维帐号 A12A 12 2 1 控制恶意软件70对恶意代码及移动代码控制 是否部署了终端防病毒软件并开启了检查功能 防病毒软件进行了定期的更新 A12A 12 2 1 控制恶意软件71对恶意代码及移动代码控制 是否部署了服务器防病毒软件并开启了检查功能 防病毒软件进行了定期的更新 A12A 12 3 1 信息备份72信息备份管理 是否有备份策略的制订 备份的实施 验证和备 份记录的保护 A12A 12 3 1 信息备份73信息备份管理终端的备份信息是否按照要求放在公共盘 A12A 12 4 1 事态记录74日志记录是否定义日志收集的范围以及内容 A12A 12 4 2 日志信息的保护75日志备份和访问控制 是否执行了日志的保密性 完整性和可用性保护 措施 A12A 12 4 1 事态记录76日志监控及预警是否日志进行分析和监控预警 A12A 12 4 3 管理员和操作员日志77管理员操作日志是否保存管理员操作日志并进行定期的审阅 A12A 12 4 3 管理员和操作员日志78管理员操作日志 是否保存网络的管理员操作日志并进行定期的审 阅 A12A 12 4 4 时钟同步79时钟同步设定是否按要求进行时钟同步的设定 A12A 12 5 1 在运行系统上安装软件80运行系统软件安装申请在重要系统上软件安装是否遵循变更流程 A12A 12 6 1 技术脆弱性的控制81技术漏洞管理是否定义漏洞管理流程并遵照执行 A12A 12 6 2 限制软件安装82限制软件安装是否回收终端的管理员权限 A12A 12 6 1 技术脆弱性的控制83信息系统审计的控制 是否审计人员所需的系统权限和数据获取都经过 批准 A13A 13 1 1 网络控制84网络控制是否定制并维护网络控制保护相关的要求 A13A 13 1 1 网络控制85网络控制 防火墙端口的开启是否经过变更审批 且配置符 合安全管理要求 A13A 13 1 1 网络控制86网络控制 无线局域网的管理是否定遵循网络控制保护相关 的要求 如接入审批 接入双因素验证 加密方 式设定 非公开SSID隐藏 管理端口设定等 A13A 13 1 1 网络控制87网络控制 互联网上载权限是否经过审批 公司员工上互联 网是否经过审批 A14A 13 1 2 网络控制88网络控制 员工外发邮件权限是否经过审批并按要求进行邮 件抄送 A13A 13 1 2 网络服务安全89网络服务的安全 对供应商提供的网络服务提出安全相关的要求 如网络连通率 故障响应水平等 A13A 13 1 3 网络隔离90网络隔离实施 是否实施了网络隔离 不同功能和密级网络的隔 离 物理或逻辑 A13A 13 2 1 信息传递策略和规程91信息交换策略制订是否制定并维护信息交换策略相关制度 A13A 13 2 2 信息传递协议92交换协议签订和信息交换方是否签订了协议 A13A 13 2 3 电子消息发送94电子消息中的信息保护是否对邮件中的敏感信息进行加密处理 A13A 13 2 4 保密性或不泄露协议95保密协议 要求的识别和评审是否对保密协议进行评审 A14A 14 1 1 信息安全要求分析和说明96安全需求分析是否在系统设计阶段确定信息安全需求 A14A 14 1 2 公共网络应用服务安全97公共网络应用的安全管理是否制定有外部接口的应用服务的安全要求 A14A 14 1 3 保护应用服务交易98在线交易的安全管理无 A14A 14 2 1 开发安全策略99建立开发安全策略文件是否建立并维护开发安全相关规则制度 A14A 14 2 2 系统变更控制规程100 系统变更控制 是否对开发的变更保留版本 并通过变更流程 经过测试后再上线 A14 A 14 2 3 运行平台变更后应用的技 术评审 101 操作系统环境变更控制当底层系统平台变更时 是否遵循变更流程 A14A 14 2 4 软件包变更的限制102 软件包变更控制是否软件包的变更严格控制 经过严格的审批 A14A 14 2 5 安全系统工程原则103 建立 记录和维护安全系统工 程原则 涉密系统的数据是如何保存 A14A 14 2 6 安全开发环境104 建立并适当保护系统开发和集 成工作的安全开发环境 开发环境是否实施网络隔离 病毒防护 数据防 泄漏等安全措施 A14A 14 2 7外包开发105 外包软件开发安全控制 对外包开发的软件是否有相关的安全要求 并在 验收时确认已实现 A14A 14 2 8 系统安全测试106 实施系统安全测试 开发需求阶段识别的安全识别是否通过安全测试 并保留记录 A14A 14 2 9 系统验收测试107 实施系统验收测试是否实施系统的验收测试并保留记录 A14A 14 3 1 系统测试数据的保护108 测试数据的脱敏是否对有敏感信息的测试数据进行脱敏 A15 A 15 1 1 供应商关系的信息安全策 略 A 15 1 2 处理供应商协议的安全问 题 109 识别供应商相关安全要求 是否在选商及签订的合同中体现通用的供应商相 关的信息安全要求 A15A 15 1 3 信息和通信技术供应链110 信息和通信技术服务以及产品 供应链相关信息安全风险处理 针对信息和通信技术服务相关的供应商 如果这 类供应商将部分服务分包给其他供应商 是否考 虑并评估相关的信息安全风险和要求 A15A 15 2 1 供应商服务的监视和评审 111 服务过程监督和检查是否有在供应商服务过程中执行监督和检查 A15A 15 2 2 供应商服务的变更管理112 对供应商服务的变更进行管理 当供应商提供的服务发生变更是否 是否进行信 息安全方面的风险考量或安全需求识别 A16A 16 1 1 职责和规程113 建立管理职责和规程是否建立了安全事件处理的职责和规程 A16 A 16 1 2 报告信息安全事态 A 16 1 3 报告信息安全弱点 114 报告信息安全事件 是否对信息安全的事态 弱点 事件报告保留记 录 A16A 16 1 4 评估和确定信息安全事态 115 信息安全事件等级判断是否根据要求对信息安全事件进行分级 A16A 16 1 5 信息安全事件响应116 执行信息安全事件响应流程 是否按照信息安全事件响应流程处理信息安全事 件并保留记录 A16A 16 1 6 对信息安全事件的总结117 事件总结是否对安全事件进行总结 A16A 16 1 7 证据的收集118 证据收集是否有安全事件处理证据收集的过程 A17 A 17 1 1 信息安全的连续性计划 A 17 1 2 实施信息安全连续性计划 119 确定信息安全的连续性要求并 设计方案 在各类风险场景的业务连续性计划 应急方案中 是否包含信息安全的要求 A17A 17 1 2 实施信息安全连续性计划 120 实施信息安全连续性计划 是否按照应急预案的需求进行建设和演练 并保 留记录 A17 A 17 1 3 验证 评审和评价信息安 全连续性计划 121 验证 评审和评价信息安全连 续性计划 目前的基础设施建设及应急预案能否实现业务连 续性计划 A17A 17 2 1 信息处理设施的可用性122 信息处理设备宜冗余部署 目前主机 网络 数据库 应用的部署是否满足 业务或系统的高可用要求 A18 A 18 1 1 可用法律及合同要求的识 别 123 识别适用的法律法规是否识别了适用的法律法规 A18A 18 1 2 知识产权 IPR 124 知识产权使用的合规性是否所有使用的软件产品均有合法lisence A18A 18 1 3 保护记录125 记录保护的合规性 交易 财务等数据是否按照法律法规要求在系统 中保存 A18A 18 1 4 隐私和个人身份信息保护 126 数据保护和个人信息的隐私 是否按照公司的要求 在内部使用和对外披露过 程中保护个人隐私信息 A18A 18 1 5 密码控制措施的规则127 密码控制措施应遵从相关的协 议 法律和法规 使用的密码产品是否符合国家标准 A18A 18 2 1 独立的信息安全评审128 执行信息安全评审 是否定期或在发生重大组织架构变更时对信息安 全策略 制度进行评审并保留记录 A18A 18 2 2 符合安全策略和标准129 信息安全过程和规程评审 是否定期评审安全流程和要求符合现状的要求 如管理评审 A18A 18 2 3 技术符合性评审130 技术漏洞扫描计划和实施是否制定了漏洞 弱点扫描计划并执行 备备注注说说明明检检查查流流程程和和记记录录抽抽检检方方式式要要求求文文档档名名称称 检查信息安全管理制度发布记录演示验证 ISMS信息安全管理 体系手册 检查向全员通告信息安全安全管理制度 已发布 演示验证 ISMS信息安全管理 体系手册 检查信息安全管理制度批准的书面记录演示验证 ISMS信息安全管理 体系手册 检查信息安全管理制度的评审更新记录演示验证 ISMS信息安全管理 体系手册 1 确认信息安全组织架构 2 确认组织架构里的各部门已定义了相 应的职责 演示验证 ISMS信息安全组织 管理制度 访问员工是否知晓期本人的信息安全职 责 如对资产的识别 设备的保护 病 毒防护 门卡使用 安全事故的报告等 抽样核实 ISMS信息安全组织 管理制度 确认岗位设计是否满足 审批与执行的 职责分离 敏感重要操作的操作与复核 分离 管理与审计分离 开发测试与生 产运营分离 OS网络与生产运营分离等 抽样核实 ISMS信息安全组织 管理制度 1 是否有利益相关方联系方式清单 2 是否有联系活动的记录 演示验证 ISMS信息安全组织 管理制度 1 获取项目清单 2 检查在项目的整个过程中 信息安全 要求相关问题的记录 如安全需求 安 全功能 安全测试等 演示验证 ISMS信息安全组织 管理制度 1 检查移动终端的开机密码复杂度要求 以及锁定策略 2 确认远程数据擦除功能已生效 3 检查网络连接状态 抽样核实 ISMS信息安全组织管 理制度 ISMS终端安全管理 制度 1 检查VPN账号的申请审批表 2 检查VPN账号是否存在转岗岗 过期 未删除的情况 抽样核实 ISMS终端安全管理制 度 ISMS员工异地办公管 理制度 1 确认VPN账号登录时是否需要双因素 认证 2 测试VPN账号登录后能否使用复制 剪切 粘贴及截屏功能 3 测试VPN账号登录后是否能上传下载 文件 抽样核实 ISMS终端安全管理制 度 ISMS员工异地办公管 理制度 是否执行了背调 检查新进关键岗位员工背景调查的完整 性 选取关键岗位新员工 抽样检查是 否有背景调查记录 抽样核实 ISMS人力资源安全管 理程序 是否签署NDA 检查保密协议签署的完整性 选取新员 工清单或从所有员工的名单中抽样检查 是否有保密协议未签署的状况 抽样核实 ISMS人力资源安全管 理程序 是否有员工信息安全KPI 检查员工的KPI指标 是否包含信息安全 方面的要求 抽样核实 ISMS人力资源安全管 理程序 确认培训计划演示验证 ISMS人力资源安全管 理程序 培训记录 实施日期 培训内容 教材 参加人员 演示验证 ISMS信息安全培训制 度 检查信息安全惩戒通告演示验证 ISMS人力资源安全管 理程序 检查是否签署商业秘密保密义务提醒书抽样核实 ISMS人力资源安全管 理程序 检查确认离职确认表单抽样核实 ISMS人力资源安全管 理程序 1 确认资产清单内容完整 2 确认定期更新记录 3 是否定期的将组内的资产变化信息更 新给中心的管理人 演示验证 ISMS信息资产管理制 度 确认资产的所有人和保管人被清楚的标 识 并且和实际情况相符 演示验证 ISMS信息资产管理制 度 确认资产使用规范已经发布演示验证 ISMS信息资产管理制 度 检查离职员工资产归还记录 如文件 钥匙 终端 数据资料等 抽样核实 ISMS信息资产管理制 度 检查外包员工离开时是否归还 移交使 用的终端 门禁卡等资产 抽样核实 ISMS信息资产管理制 度 1 检查信息资产清单中是否有分类分级 的标识 2 抽查绝密 机密的信息在终端 移动 设备上保存时是否加密 抽样核实 ISMS信息资产管理制 度 确认绝密 机密信息 打印件 复印件 传真件 上是否有明确的文件标识 抽样核实 ISMS信息资产管理制 度 检查机房内的设备 线缆 确认其上的 标识符合标准的要求 抽样核实 ISMS物理与环境安全 管理制度 1 检查移动介质的权限以及相应的审批 记录 2 检查权限过期是否及时删除 3 确认在 只读 权限下文件不能通过 移动介质读取出来 抽样核实 ISMS存储介质管理制 度 1 检查报废资产清单 确认是否有需要 销毁的介质 2 检查销毁介质记录表 核对是否对需 销毁的介质按要求进行的销毁处置 丢 弃 7次擦写 物理损坏 抽样核实 ISMS存储介质管理制 度 介质是否有加密机制 抽样核实 ISMS存储介质管理制 度 1 确认已发布的访问控制策略文件 2 检查发布的文件的评审更新记录 在 最近一年内是否有评审或更新 演示验证 ISMS访问控制管理 制度 1 确认已发布的网络服务使用策略文件 2 检查发布的文件的评审更新记录 在 最近一年内是否有评审或更新 演示验证 ISMS访问控制管理 制度 1 检查某系统 应用的用户账号清单 2 抽查其中的用户账户是否通过申请审 批 3 检查已离职员工的账户是否及时删除 抽样核实 ISMS访问控制管理 制度 1 获取各系统 应用特权账号清单 2 访谈各系统 应用拥有特权账户的人 员 包括人员数量及账号的使用情况 3 核对人员和清单 确认是否存在账号 共享情况 访谈 ISMS访问控制管理 制度 访谈或检查账户密码在传输过程中是否 存在密码明文情况 是否有用户签收记 录 演示验证 ISMS访问控制管理 制度 抽查系统 应用的访问权限审阅记录抽样核实 ISMS访问控制管理 制度 1 获取离职或转岗员工清单 2 抽查是否有离职或转岗人员的用户权 限没有被及时清除或调整 抽样核实 ISMS访问控制管理 制度 通过脚本执行文件搜索 检查是否有明 文的密码文档 抽样核实 ISMS访问控制管理 制度 抽查是否有系统存在所有用户权限完全 一致的情况 抽样核实 ISMS访问控制管理 制度 现场观察员工登录系统 应用成功后 在 30分钟无动作后后 系统是否自动退出 现场观察 ISMS密码管理制度 终端安全管理制 度 现场观察员工登录终端 系统 应用时输 入的密码 是否超过8位 是否都是数字 现场观察ISMS密码管理制度 现场观察员工登录密码输入错误5次后 系统自动锁定 锁定时间不少于15分钟 现场观察ISMS密码管理制度 1 抽查具有可视化的配置的系统 应用 确认初始密码强制修改功能已启用 2 使用弱密码扫描工具进行扫描 抽样核实ISMS密码管理制度 检查中控机上的脚本的使用是否通过变 更流程申请 并保留记录 抽样核实 ISMS访问控制管理 制度 源代码的check in check out抽样核实 ISMS软件开发管理 制度 检查是否有密码安全控制的策略 演示验证ISMS密码管理制度 检查在需求书 概要设计文档中是否考 虑了密码使用策略 抽样核实密码设计规定 无 1 检查公共区域与办公区域是明显的隔 断 2 检查机房环境是否有不同的安全区域 划分 现场观察 ISMS物理与环境安 全管理制度 1 检查办公区域的出入口是否有门禁控 制 可防止无卡人员进入 2 在办公区域出入口位置是否安装摄像 监控 3 在公司内部 员工是否佩带可以识别 身份的门卡 外来人员是否有明显的标 识 4 外来人员的进入是否经过审批或者需 要有人陪同 现场观察 ISMS物理与环境安 全管理制度 1 检查机房的出入口是否有门禁控制 包括人员 货物出入口 2 进入机房前是否经过安检 确保不允 许带入的物品隔离在外 如摄像机 3 在机房出入口及内部区域是否有摄像 监控 4 机房交接区是否进行安检 是否有防 止无关人员进入的保护措施 5 在机柜笼子入口处是否有单独门禁控 制 6 检查是否有机房内操作规范文件发布 或粘贴在机房内 7 是否能在机房内拍照 喝水等 现场观察 ISMS物理与环境安 全管理制度 1 在进入机房是是否核对身份 是否记 录人员信息及出入时间 2 摄像监控记录是否保留超过30天 抽样核实 ISMS物理与环境安 全管理制度 1 检查办公区域是否有水喷淋消防系统 2 检查办公区域是否有防爆措施 3 检查机房区域是否有气体消防系统 4 检查机房区域是否有防爆 防恶意事 件隔离处理措施 5 检查机房建筑物的抗震指数 演示验证 ISMS物理与环境安 全管理制度 环安 中心相关制度 1 检查是否有防静电措施 2 检查是否有防水措施 3 检查是否有防雷防静电措施 4 检查是否有精密空调实现恒温恒湿 5 检查是否有以上防护措施的报警系统 演示验证 陆金所机房管理制度 数据中心及机房安全 管理标准 出入管理 1 检查UPS 消防系统 精密空调系统的 是否按要求进行维保并保留记录单 2 确认维保时间为非交易时间 抽样核实 ISMS物理与环境安 全管理制度 1 检查是否在桥架中布线 是否存在飞 线 2 检查强 弱电桥架是否分开 是否有 足够的距离 3 检查光纤和铜缆线是否分开布线 现场观察 ISMS物理与环境安 全管理制度 检查设备是否按照要求进行维保并保留 记录单 抽样核实 ISMS物理与环境安 全管理制度 1 确认设备 介质 软件载体外带 外 借 转移安置地址时时 是否经过审批 并核准 主要是机房设备 抽样核实 ISMS物理与环境安 全管理制度 确认房间内外是否落实管控要求 是采 取安装摄像头等措施 现场观察 ISMS物理与环境安 全管理制度 1 在现场确认屏幕锁定的情况 2 桌面上是否保留敏感信息文档 现场观察 ISMS物理与环境安 全管理制度 确认已发布的各团队的操作指引演示验证各工作指导书 1 获取所有的变更记录单 2 抽查是否要求的变更操作有完成的评 估 审批 操作 验证等记录保留 3 抽查是否有双人复核记录 4 抽查是否有在变更范围内的操作未走 变更流程 抽样核实OA变更管理流程 1 获取所有的数据库直接修改变更记录 单 2 抽查是否要求的变更操作有完成的评 估 审批 操作记录保留 3 确认是否审批至领导 抽样核实IT变更发布管理程序 1 检查主机 存储 网络等的容量监控 界面 2 检查是否有容量报警信息 并检查是 否有针对报警信息的处理解决措施或方 案 演示验证ISMS操作管理制度 查看网络拓扑图 并查看防火墙策略 确认各环境已分离 仅保留必要的服务 端口 演示验证ISMS操作管理制度 获取运行环境各系统的账号权限清单 查看是否有开发部人员的账号 确认其 需求审批的合理性 演示验证ISMS操作管理制度 1 确认所有生产 开发终端已实现防病 毒功能 2 确认病毒库当日更新 抽样核实 ISMS计算机病毒防 治管理制度 ISMS操作管理制度 1 确认规定的生产服务器已实现防病毒 功能 2 确认病毒库更新为最近一周 抽样核实 ISMS计算机病毒防 治管理制度 ISMS操作管理制度 1 获取系统 应用的备份策略 2 检查是否按照备份策略进行备份 3 检查备份恢复测试记录 演示验证 IT数据备份管理程 序 查看公共盘的存取现场观察 IT数据备份管理程 序 1 检查各团队的安全日志收集范围表信 息 2 检查是否按要求进行日志收集 演示验证 ISMS系统日志管理 制度 1 检查远程日志服务器的账号权限分配 都经过审批且确认其必要性 2 检查日志的完整性 3 检查远程日志服务器的操作日志 确 认无删除 修改等操作记录 现场观察 ISMS系统日志管理 制度 1 检查是否对日志进行分析 2 检查是否按要求处理预警信息 演示验证 ISMS系统日志管理 制度 1 确认管理员操作日志已被收集 2 检查日志审阅记录及结果 演示验证 ISMS系统日志管理 制度 1 确认网络管理员操作日志已被收集 包括对修改网络设备配置参数 启动 停 止服务和开通 关闭策略等重要动作 2 日志保留至少一年 检查日志审阅记录及结果 演示验证 ISMS系统日志管理 制度 1 检查相关联的系统 设备是否保持时钟 一致 2 检查远程日志服务器的时钟设定是否 与日志源设备 系统保持一致 现场观察 ISMS系统日志管理 制度 检查系统软件安装的变更记录抽样核实ISMS操作管理制度 1 确认漏洞与安全补丁管理流程的已发 布并保持更新 2 检查是否3个月一次发布的漏洞扫描结 果 3 检查相关的漏洞及补丁处理文档 抽样核实ISMS操作管理制度 1 确认收回所有终端的管理员权限 2 安装软件需通过申请审批 抽样核实ISMS操作管理制度 1 获取各系统的账号权限清单 检查是 否有存在为审计而创建的账号 检查其 审批记录 2 检查与外部审计单位签订的保密协议 演示验证ISMS操作管理制度 检查网络相关的安全制度的发布通知及 更新版本 演示验证 ISMS 访问管理制度 ISMS通讯管理制度 1 检查防火墙配置 是否禁止以下策略 a Windows共享端口 b FTP端口 c Telnet端口 d NFS服务端口 e R系列服务端口 如rsh rlogon等 f 除终端管理服务器 堡垒机等 到生 产服务器的远程管理端口 如3389 22 等 g DMZ到其他区域的远程管理端口 如3389 22等 2 检查防火墙的端口开通是否经过变更 流程并保留记录 演示验证 ISMS 访问管理制度 ISMS通讯管理制度 1 检查非公司员工接入无线网是否经过 审批 2 检查无线网加密是否采用AES或WPA2加 密算法 3 检查无线登录时是否使用MAC及账户认 证 4 检查非公共的SSID是否隐藏 5 测试是否能通过无线网登录管理网络 设备 6 测试无线设备是否修改默认密码 现场观察 无线网络安全管理标 准 1 拥有上载权限的员工是否经过审批确 保其需求的合理性 2 公司员工连接互联网是否经过审批确 保其需求的合理性 演示验证 ISMS 访问管理制度 ISMS通讯管理制度 1 抽查机密性文档是否都经过审批 3 抽查是否外发邮件都抄送所在领导 演示验证 ISMS通讯管理制度 检查网络设备 安全设备 网络安全服 务 网络链路等合同文件中是否有相关 的可用性 保密性等服务要求 演示验证 ISMS通讯管理制度 1 是否在不同网络区域之间设置ACL 2 进行网络的渗透测试 抽样核实 ISMS访问控制管理 制度 检查信息交换策略相关文档的发布通知 及更新版本 演示验证 ISMS通讯管理制度 检查和信息交换涉及第三方签订的合同 确认是否有职责描述 保密等条款 抽样核实 ISMS通讯管理制度 抽查敏感信息在发送电子邮件时是否进 行加密 抽样核实 ISMS通讯管理制度 ISMS电子邮件管理制 度 检查保密协议的评审更新记录演示验证 ISMS员工信息安全管 理制度 ISMS供应商信息安全 管理制度 ISMS客户信息资产管 理制度 检查需求书或需求分析书模板演示验证 ISMS软件开发管理 制度 检查有外部接口的应用服务的安全要求 文档的发布及更新版本 演示验证 ISMS软件开发管理 制度 检查开发安全相关制度的发布通知及更 新版本 演示验证 ISMS软件开发管理 制度 检查开发变更相关的发版的版本记录 测试记录 变更流程的各项记录 抽样核实 ISMS软件开发管理 制度 IT变更发布管理程 序 检查与系统平台变更相关的变更记录 侧重于方案评估 审批 测试 验证等 记录 抽样核实 ISMS软件开发管理 制度 检查软件包变更相关的审批记录抽样核实 ISMS软件开发管理 制度 涉密系统架构访谈 ISMS软件开发管理 制度 1 检查开发环境的网络拓扑图及设备配 置 或进行网络渗透 2 检查开发环境是否实施病毒防护措施 3 测试开发环境是否能防止敏感信息外 泄 抽样核实 ISMS软件开发管理 制度 1 获取外部开发软件清单及项目文档 2 抽查是否提出安全要求 并有相关的 安全测试 验收报告 抽样核实 ISMS软件开发管理 制度 检查安全功能测试报告抽样核实 ISMS软件开发管理 制度 检查系统的验收测试报告抽样核实 ISMS软件开发管理 制度 检查从生产环境传输出的测试数据的清 洗脱敏记录 抽样核实 ISMS软件开发管理 制度 1 检查项目选商阶段的供应商资格评选 结果 2 获取供应商合同 3 检查是否合同中包含通用的信息安全 要求 如保密协议 遵守公司要求等 抽样核实 ISMS供应商信息安 全管理制度 检查相关的风险分析记录或检查合同中 是否描述相关信息安全风险和要求 抽样核实 ISMS供应商信息安 全管理制度 检查监督检查记录演示验证 ISMS供应商信息安 全管理制度 检查供应商服务变更时的风险评估或安 全需求识别记录 演示验证 ISMS供应商信息安 全管理制度 检查信息安全事件管理流程的发布记录 及更新版本 演示验证 ISMS信息安全事件 管理程序 检查信息安全的事态 弱点 事件报告 保留记录 演示验证 ISMS信息安全事件 管理程序 检查安全事件记录里是否包含分级信息演示验证 ISMS信息安全事件 管理程序 检查信息安全事件处理记录演示验证 ISMS信息安全事件 管理程序 检查信息安全事件总结记录演示验证 ISMS信息安全事件 管理程序 检查信息安全事件处理过程中收集的证 据 抽样核实 ISMS信息安全事件 管理程序 1 获取业务连续性计划 各场景的应急 预案 2 确认业务连续性计划 应预案是否包 含信息安全管理连续性要求 抽样核实 ISMS业务连续性管 理程序 1 获取演练计划 2 检查演练记录 演示验证 ISMS业务连续性管 理程序 1 获取演练报告 2 评估目前业务连续性信息方面的要求 能否实现 抽样核实 ISMS业务连续性管 理程序 评估确认主机 网络 数据库 应用的 部署是否满足业务或系统的高可用要求 访谈 ISMS业务连续性管 理程序 检查法律法规清单列表演示验证 ISMS符合性管理制 度 抽查终端 服务器上是否装有非授权软 件 抽样核实 ISMS符合性管理制 度 1 确认法律法规要求的记录类型 保存 期限及保护要求 2 检查目前记录的备份 归档 保留情 况是否满足要求 现场观察 ISMS符合性管理制 度 1 扫描终端和文件服务器 检查是否有 个人隐私信息的使用不合要求 2 检查是否有个人隐私信息被泄露的安 全事件 现场观察 ISMS符合性管理制度 ISMS个人信息保护管 理制度 检查使用的密码产品都有国家发布的许 可证 演示验证 ISMS符合性管理制 度 检查一年内的信息安全策略 制度进行 评审记录 演示验证 ISMS符合性管理制 度 检查一年内的管理评审记录或其他流程 评审记录 演示验证 ISMS符合性管理制 度 1 检查3个月一次的漏洞扫描报告 2 检查渗透测试报告 演示验证 ISMS符合性管理制 度 合合规规检检查查对对象象 OACIM 研发中 心 人力行 政中心 环安中 心 InfraPIEAMESAutoITSM 已发布的信息安全管理制度x 信息安全管理制度发布通告xxxxxxxxx 信息安全管理制度发布流程审批 记录 x 信息安全管理制度年度评审记录 及结论 或版本更新记录 xxxxxxxxx 信息安全组织架构及职责的文档xxxxxxxxx 各部门员工xxxxxxxxx 各部门岗位清单 系统角色清单xxxxxxxxx 政府机构等利益相关方的联系清 单 以及联系活动的相关记录 x 项目清单 项目过程文档xxxxxx 所有权归公司的移动终端xxxx VPN账号清单 账号审批表xxx VPN账号使用者远程登录后测试xxx 新进关键岗位员工清单及其背景 调查记录 x 新员工清单及其劳动合同xx 员工KPI描述xx 信息安全培训计划xx 信息安全培训记录xx 信息安全方面的惩戒通告xx 离职IT员工清单及商业秘密保密 义务提醒书 x 离职IT员工清单及离职确认表单xxxxxxx 信息资产清单xxxxxxxxx 信息资产清单xxxxxxxxx 资产使用要求文档的发布记录 如桌面终端安全标准 移动终端 安全标准 文档安全管理标准 员工外发邮件权限管理流程 x 离职IT员工清单及离职确认表单xxx 供应商信息安全指导书xxxxxxxxx 信息资产清单 抽查员工终端和 移动设备 xxxxxxxxx 绝密 机密的纸质文件xxx 机房设备 线缆上的标签x 移动介质使用权限的审批记录单xxxxxxxxx 报废资产清单 销毁介质记录表xxx 介质加密工具 流程xxx 访问控制标准 信息系统账号管 理流程的发布通告 文档的年度 评审记录及结论 或版本更新记 录 xxxxxx 无线网络安全管理标准 防火墙 策略管理标准 程访问安全标准 的发布通告 文档的年度评审记 录及结论 或版本更新记录 x 系统 应用帐号清单 账户申请审 批记录 离职员工清单 xxxxxx 特权账号清单 系统 应用管理员xx 账户密码传输记录 令牌等用户 签收记录 xx 访问权限审阅记录xxxxxx 离职或转岗员工清单 系统 应用 帐号及访问权限清单 如生产环 境域账户 堡垒机账号 开发环 境域账户 OA域账号等 xxxxxx 保存在终端或