信息安全管理体系内部审核检查表总

信息安全管理体系内部审核检查表 被审核部门： 领导层审核员签字：第二组 序号附录编号及名称审核内容和方法审核记录合格性判断1A.5安全方针1.1A.5.1信息安全方针A.5.1.1 信息安全方针文件 1.2A.5.1.2评审和评价 A.6信息安全组织A.6.1内部组织A.6.1.1 信息安全的管理承诺A.6.1.2 信息安全协调A.6.1.3 信息安全职责分配A.6.1.4 信息处理设备的授权过程A.6.1.5 保密协议A.6.1.6 与权威机构的联系A.6.1.7 与专业的利益团体保持联系A.6.1.8信息安全的独立评审A.6.2外部组织A.6.2.1 关于外部组织风险的识别A.6.2.2 与顾客接触时强调安全A.6.2.3 第三方合同中的安全要求A.7资产分类和控制A.7.1资产责任A.7.1.1 资产清单A.7.1.2资产所有者关系A.7.1.3 可接受的资产使用准则 A.7.2信息分类A.7.2.1 分类指南A.7.2.2 信息的标识和处理A.8人力资源安全A.8.1雇用前A.8.1.1 任务和职责A.8.1.2 人员考察A.8.1.3 雇用条款和条件A.8.2雇用期间A.8.2.1 管理职责A.8.2.2 信息安全意识、教育与培训 A.8.2.3 惩戒A.8.3雇佣的终止或变更A.8.3.1 终止职责A.8.3.2 资产归还A.8.3.3 撤销访问权限A.9物理和环境安全A.9.1安全区域A.9.1.1 物理安全周边A.9.1.2 物理入口控制A.9.1.3 办公室、房间和设施安全保护A.9.1.4外部和环境的威胁的安全防护A.9.1.5 在安全区域工作A.9.1.6 公共访问、交接区A.9.2设备安全A.9.2.1 设备的安置和保护A.9.2.2 支持性设施（如供电）A.9.2.3 电缆安全A.9.2.4 设备维护A.9.2.5 场外的设备的安全A.9.2.6 设备的安全处置或重复使用A.9.2.7 资产迁移A.10通信和操作管理A.10.1操作程序和职责A.10.1.1 文件化操作程序A.10.1.2 变更管理A.10.1.3 职责分离A.10.1.4 开发、测试和运营设施的分离A.10.2第三方服务交付管理A.10.2.1 服务交付A.10.2.2 监控和评审第三方服务A.10.2.3 管理第三方服务的变更A.10.3系统规划与验收A.10.3.1 容量管理A.10.3.2 系统A.10.4防范恶意代码和移动代码A.10.4.1 防范恶意代码A.10.4.2 防范移动代码A.10.5备份A.10.5.1 信息备份A.10.6网络安全管理A.10.6.1 网络控制A.10.6.2 网络服务的安全A.10.7媒体处置A.10.7.1 可移动计算媒体的管理A.10.7.2 媒体的处置A.10.7.3信息处理程序A.10.7.4 系统文档安全A.10.8信息交换A.10.8.1 信息交换策略和程序A.10.8.2 交换协议A.10.8.3物理媒体传输A.10.8.4 电子信息A.10.8.5 业务信息系统A.10.9电子商务服务A.10.9.1 电子商务A.10.9.2 在线交易A.10.9.3 公共可用信息A.10.10 监视 NOA.11访问控制A.11.1访问控制的业务要求A.11.1.1 访问控制策略A.11.2用户访问管理A.11.2.1 用户注册、A.11.2.2 特权管理A.11.2.3 用户口令管理A.11.2.4 用户访问权的评审A.11.3用户责任A.11.3.1 口令的使用A.11.3.2 无人值守的用户设备A.11.3.3 清理桌面及清除屏幕策略A.11.4网络访问控制A.11.4.1 网络服务使用策略A.11.4.2 外部连接的用户鉴别A.11.4.3 网络设备的识别A.11.4.4 远程诊断和配置端口保护A.11.4.5 网内隔离A.11.4.6网络连接控制A.11.4.7 网络路由控制A.11.5操作系统访问控制A.11.5.1 安全登陆程序A.11.5.2 用户标识和鉴别A.11.5.3 口令管理系统A.11.5.4 系统实用程序使用A.11.5.5 终端时限A.11.5.6 连接时间的限制A.11.6应用系统和信息访问控制A.11.6.1 信息访问限制A.11.6.2 敏感系统隔离A.11.7移动计算和远程工作A.11.7.1 移动式计算 A.11.7.2 远程工作A.12信息系统获取、开发和维护 NOA13信息安全事件管理A.13.1报告信息事件和弱点A.13.1.1 报告信息安全事件A.13.1.2 报告信息安全弱点A.13.2信息安全事件的管理和改进A.13.2.1 职责和程序A.13.2.2 从信息安全事故中学习A.13.2.3 收集证据业务持续性管理A.14.1业务持续性管理的信息安全方面A.14.1.1 在业务连续性管理过程中包含信息安全A.14.1.2 业务持续性和风险评估A.14.1.3 开发并实施包括信息安全的持续性计划A.14.1.4 业务持续性计划框架A.14.1.5 业务持续性计划的测试、保持和再评估A.15符合性A.15.1与法律法规要求的符合性A.15.1.1 识别适用法规A.15.1.2 知识产权（IPR）A.15.1.3 组织记录保护A.15.1.4 个人信息的数据保护和隐私A.15.1.5 预防信息处理设施的误用A.15.1.6 密码控