信息安全系统管理系统体系内部审核检查表总

1、实用标准文档信息安全管理体系内部审核检查表被审核部门：领导层 审核员签字：第二组序 号附录编号及 名称审核内容和方法审核记录合格性判断1A.5安全方针1.1A.5.1信息安全方针A.5.1.1 信息安全方针文件是否存在经过管理层批准的信息安全方针，发 布并梅达给所有员工？ 安全方斜是否陈述了管理承诺，井旦设立了信 息安全管理的组龈目标？1.2A.5.1.2评审和评价 昆黄政寸划剪町间间隔，骤者在女生胤K变化 时评审信息安全方针，以确保方针的持续适合 性、充分性和有效性？ 信息安全方针有没有所有者.此人负有经皿 织批率的起草*评审和评估安全力图的管理费 任？ 有没有制定信息安全方针坪审程序，该程

2、序是 否包括管理评审的要求？ 有没有考虑/重视管理评审的结果？ 修订的方针有没有得到管理层的批准？A.6/息安全组织A.6.1内部组织A.6.1.1 信息安全的管理承诺管理炭有没有积极支诗组织内的安全措施.例如清 蔑明蝴的方向，可证实的承诺，明愉分配和勘认解 息安全职责.A.6.1.2信息安全协调抵促的各个部门有没有指具仲恰当的角色和职！ 的代表禽与擀例信息安全活动？A.6.1.3 信息安全职责分配有没有定义和实施对组织内任何新的信息处理设施 的管理授权程序？A.6.1.4 信息处理设备的授权过程肓没冉定义利文施对组织内任何新的信息处可粒施 的管理授权程序？A.6.1.5 保密协议可没有清楚地

3、定又升有规律地评审级织的保出 性芾求或用于保护信息的保密协议？有没有无合适的法律用词指出保护机密信息的 需求？A.6.1.6 与权威机构的联系肓设有一个程序描述了在什么情况下.应该由谁联 点哪个政府都门,比如公安局、消防碎，以及如何 擢告事故？A.6.1.7 与专业的利益团体保持联系有没钻特殊的糠团体颇专业般全法坛瞬 安加拗会保持梏醐赫？A.6.1.8信息安全的独立评审有没有按照计划的时间间隔,或者在安全实施发生 盛大改变时，对组织前信息安全管理目标及R实现 进行独立评审？A.6.2外部组织A.6.2.1 关于外部组织风险的识别在外部坦织需要访问组织内的信息和信息处理设施 时，有没有在授予访问

4、权限前退的访向导致的风 密 井枭取适当的控制措镰?A.6.2.2与顾客接触时强调安全在校T,客户对组织的信息或资产的访问权限前，是 否嘀保所有的安全需求得到了满足?A.6.2.3 第三方合同中的安全要求第三方协设中有没仃要求在访问、处理、通讯、管 理线织的信息或信息处理设施,或者往信息处理设 施引入产品或服务时,必须符合所有适用的安全要 求？A.7资产分类和控制A.7.1资产责任A.7.1.1资产清单是小是曲白-的侨产再存刊识批.有没不儒沪听科里 要资产的清单或者党记表A.7.1.2资产所有者关系学个已眼别的党严都订苴任人，和一个已足又_L1也 到一致同意的安全类别，吸及定期审核的访问权累A.

5、7.1.3可接受的资产使用准则布设有确定一个信息和铤产的可搔堂使用划定1升实施了该规定A.7.2信息分类A.7.2.1分类指南华没灯根据信息的价值、法律法规的要求.敏感度 和重要性分类信息A.7.2.2 信息的标识和处理有没有根据组龈采用的分类标准，制定一系列摊诙 和处理信息的程序A.8人力资源安全A.8.1雇用前A.8.1.1 任务和职责有没有根据组织的信息安全策略定义并记录员 工，承包商和第三方用户的安全甭色和职责在屈用曲过程中有没有就;旨义的咕包和吃完与 职位的候选人进行明确的沟通A.8.1.2 人员考察用出白照第怕天网足刈加官联位、审问阀刑凿 三方用户候选者进行背景验证审查市吉有没有包

6、括身馀证明书所声称的学术相 号业贵版证明，以及独立的身份检验A.8.1.3 雇用条款和条件有没有要求员工、合同商和第三方用户签订保 密协议,作为雇佣合同的初始条款游说有没有包含组织.员二、第三方用户和合 同商的信息安全费任A.8.2雇用期间A.8.2.1管理职责管理层内没白要求员工、合同商和第三方用户根据 组织建立的策潞和卷序实施安全A.8.2.2 信息安全意识、教育与培训组织的所有员工，合同方和第三方用户，有没有受 到与其工作职能相关的适当的安全意识培训和组钮 方针及程序的定期更新培训A.8.2.3 惩戒对于违反安全规定的员工有没有正式的娓戒过程A.8.3雇佣的终止或 艾更A.8.3.1 终

7、止职责有没有清啮规定和分配进行雇佣终止或变更的贵任A.8.3.2资产归还没有举当的程序确保当雇佣.合同或愤双终止时.员工-合同方和第三方用户归还所使用的组织 资产A.8.3.3 撤销访问权限当雇悌.合同或协议终止时，有没有撤销员工、合 同方和第三方用户对信息和信息处理设施的访问权 眼，或根据变化调整A.9物理和环境安全A.9.1安全区域A.9.1.1 物理安全周边有没有使用坳理边界安全设施（例如门管控制出入 的大门、人工接待台等）来保护信息处理账处A.9.1.2 物理入口控制育没有适当的进入控制程序痈保只有经过授权的人 员才可以访问鳗织内部区域A.9.1.3 办公室、房间和设施安全保护提供信息

8、处理服务的房间有没有上锁或者房内仃可 锁定的柜K保险箱A.9.1.4外部和环境的威胁的安全防护有没有设计井实施针盗火灾、水灾、地震、爆 烽、睡乱和其他形式的自然或K为灾唯的浏理 保护措旃领近地点有没有潜在的安全威胁A.9.1.5在安全区域工作H没有设计并突底在安全区域工作的物理保妒措施和指南A.9.1.6 公共访问、交接区对于装卸或其他未经授权人员可以进入的公共访问 区域有没有加吸控制，那里的信息处理设施有没有 加以隔离以防止非授权的访问A.9.2A.9.2.1设备的安置和保护设备安全用&有保炉过蓄以减少来自讣境的威助或施寻，并 减少未经搜枚访间的机会A.9.2.2 支持性设施（如供电

9、）有没有保护设备免受电力中研或其4蚊特性设施失效所导致的中断有没有采取某些持续供电播腼，如多路供电.UPS.备用发电机等A.9.2.3电缆安全白没有保护承鼓数据或支持信息服势的电力和 通讯电级免遭中断或破坏对于敏感或关键的索统.白没有采取进一珏的 安全控制A.9.2.4设备维护有没有正确地维护设短以丽保其持续可用性和完整性设备是不是按照供应商推荐的服务时间间隔和 城范进行维护是小是“有经过授权的人员才能进行维护有没有保存所有可疑的或实际笏故障以及所有 秋防和纠正措施的记录对于普苣离场雍护的设各有没有进行适当的控 制费备有没有保险，有没有迪守保险方面的要求A.9.2.5 场外的设备的安全何役可评

10、伍场外设备的同脸升米取脚低风苣的控制措施在生织外使用信息处理设施勾没有得到管坦授 根A.9.2.6设备的安全处置或重复使用行投行检打所有软存储介顼首设箱,以硼依在田毁 或重用设备前物理建见或者安全重写所有教感救据 或授权软件A.9.2.7 资产迁移有没勺控利措施,晡依未经授校，不能将设备、信 息和软件带离工作场所A.10通信和操作管理A.10.1操作程序和职 责A.10.1.1 文件化操作程序操作程序有没有文件化，偎到维护且所有薪费 的用户棉田以获得有没有把这些文件化程序视为正式的文件，旦 任何变更须得到管理授权A.10.1.2 变更管理有没有控制所有对信息处理设施和系统的变更A.10.1.3

11、职责分离有没有分离职或和区域，以降低未授权修改或溜用 组织的信息和服务的机会A.10.1.4 开发、测试和运营设施的分离有没有分高开发、测试和运营设俺，例如.开发和 生产软件庇该运行在不同的计算机上.开发和生产 网络应愎互相隔离A.10.2第三方服务交 付管理A.10.2.1 服务交付有没启措施照保第三方实施*运行并保持第二疔服 务交付协议中包含的安全控制、服务定义和交付箸 级A.10.2.2 监控和评审第二方服务有没有定期对第三方提供的服外、报节和记录 进行监视和评审有没有定期村第三方服务、报告和记录进行审 核A.10.2.3 管理第二方服务的变更有没有苦理服并提供为变更，包括保持和改进 现

12、有信息安全方针、程序和控制措施有没有考虑业务系统的美能程度、涉及的过程 和风险的再评估A.10.3系统规划与验 收A.10.3.1 容量管理有没有监控容量需求并反应未来的容量要求，以输 保棚有足镭的处理能力和存徜空闾A.10.3.2 系统目没闫建立新信息系统、系蜕升破和新版本的 的收准则楂收系就前有没有进行适当的测试A.10.4防范恶意代码 和移动代码A.10.4.1 叱恶:« 码有没有刮定并实施杵序，通过检测、预防和恢其来 防范恶意优玛，并进行适当的用户苴典培训A.10.4.2防范移动代码是不是只可以使用萩得授杈的移动代码配置筐理有没苜境保授权的移动代得嵌照安全方针运行有没有阻止未

13、经授权的移动代码运行A.10.5备份A.10.5.1 信息备份百没仃根据既定的备份策潞息信息和软件进行 番粉并定期测试所有基本的信息和软件能否在灾耶或介质故障 后进行恢豆A.10.6网络安全管理A.10.6.1 网络控制有没有充俗管理和控制网络艮防范威胁.保持 使用网络包括信息传输的系垸和应用程序的安有没有失精控制以确保网络上信息的安全，防 止未经授权访问所起接的服务A.10.6.2 网络服务的安全有没有识别所有网络服务的安全特性、服务等 级和管理强求,并包含在网络服势协较中有没有对网络服务提供商以安全方式管理商定 服务的能力予以确定并定期祗警，诬应商定审 计的权利A.10.7媒体处置A.10

14、.7.1 可移动计算媒体的管理有没有建立可移动介质的管理程序,如瞄带.磁盘工内存等所行的程序和授权缎别是否清嘛地形成文件A.10.7.2 媒体的处置不再需要相介:正仃没可接照正式的程序进行安全可 报的处置A.10.7.3信息处理程序有没有处理信息存情的程序读程序有没有考虑防范信息的未授权漫露或误 用A.10.7.4 系统文档安全 保护系统文件免壹未授权的访问A.10.8信息交换A.10.8.1信息交换策略和程序仃没有建立正式的交换策略、程序和控制，以保护信息这些桎序和控制守没仃泄菰使用电子通讯设髓交换信息A.10.8.2交换协议有没有建立蛆织和外部组织交奥信息和软件的 格议胡设的安全内容有没有

15、反映涉及的业务信息的 看感度A.10.8.3物理媒体传输包含信息力介质在组织的物盘边界以外运送时r育 没有防止未授权的访问、不当哽定或毁坏A.10.8.4 电子信息行没有保护包含在发送的电子消怠中的信息（电/消息包括但不限于电于那件，电数据交换（EDD、即时通信）A.10.8.5业务信息系统育没h制定并实施策略和程序，以保护与业务信息 系统相关脆的信息A.10.9电子商务服务A.10.9.1电子商务有没有保护电子商务中通过公共网络传输的信 息.以防止欺诈、合同争议、未授权的访问和 修改A.10.9.2 在线交易有没有保护在线交易信息，以防止不完整的传输、 整由错误、未经授权的信息更改、未竺授权

16、的信息 池露、未经授杈的信息复制或重放A.10.9.3 公共引用信息甘没有保护公共可用信息的完整性，防止未姓授杈 的更改A.10.10 监视 NOA.11访问控制A.11.1A.11.1.1 访问控制策略访问控制的业务要求有没有制定并评审基于业努和安全府求的访问 控制第略访问控制策咯有没有同M考虑物理和速转协同 控制畲没有耨遇过访问控蒯要潴足的寸k答要求的清 徜说期提供给用户和服务提供考A.11.2用户访问管理A.11.2.1 用户注册、有没有建立止式为印尸注册和解除注协程序，以元 许和撤精对所有信息系统和服务的访向A.11.2.2 特权管理有没有限制并控制信息系统环境.下特权的使.用和分 配

17、，例如根据需要知道原则分配特权，或持杈仅在 通过正式授权潞程后分配有没有限制并控制信息系流环境下特权的使用和分 配，例如根据需黎知道原则分配特板.或特权仅在 通过正式授权流程后分配A.11.2.3用户口令管理有没有道过正式的背鲤流程控制n令的分配有没有要求用户签帮一份声明,以保持口令的 保密性A.11.2.4 用户访问权的评审为没有按计叫的时间间隔评审用户访问权限的流 程.例如.每三个月评审持殊权限，耳六个月评审 普通权限A.11.3用户责任A.11.3.1 口令的使用什没有要求用户在选择和使用口令时道循良好的安 全惯例A.11.3.2 无人值守的用户设备n没TTU用户和合同赭了解保护无人值守

18、设条的支 全要求和程序嗣如；会话造束时登出或设置日到登出，结束时涔 止会话等A.11.3.3 清理桌面及清除屏幕策略有没白.针龙文件.可移动存储介质的桌面清空策略何没有针点信息处理设施的屏幕清空策略A.11.4网络访问控制A.11.4.1网络服务使用策略用户是不是乂能访问签过明确授权使用的服务 有没有制定关于使用网络和网络服务的策凿A.11.4.2外部连接的用户鉴别有没有适当的饕别机制控制远程用户的访问A.11.4.3网络设备的识别行没向考虑自动设备正引，将其作为鉴别特定位置 及设备连接的方法A.11.4.4远程诊断和配置端口保护有没有安全地控制时渗断和配置瑞口的物理和遗皆 访问A.11.4.

19、5 网内隔目没甘隔离网密上的信息服务组,用户和信息 系统仃没有使用交全边界机匍如防火墙来隔潮网络 （业务M俘域第三方芾要访问信息系统）仃没打考虑把无线网爆与内部和专用网络隔离 并A.11.4.6网络连接控制访向控制策略有没有规定共享网络的网络连接控 制牝其是那些延伸到组织边界之外的网络A.11.4.7 网络路由控制网络控制策略有没有规定路由控网K由选择控匐是否基于南定的泥地址和目的地 址检物机制网络控制策略有没有规定路由控制路由选择控制是否基于朝定的源地址和目的地 赳检物机制A.11.5操作系统访问 控制A.11.5.1 安全登陆程序是否迪过玄全登录程序控劭对操作系统的访问A.11.5.2 用

20、户标识和鉴别所有用户如操作巾、系统管理员和其他技术人 员是否有唯一的识别码（用户ID）有没有选择合适的认证技术验证所宣称的回户 身份在例外环境下，如果存荏明显的业务利益，可 以使用共享用户U1；对产这种情沅，百设有耍 求额外的控制以楚护可核查性A.11.5.3口令管理系统有没有P令管理系统以加强口令控制A.11.5.4 系统实用程序使用有没有限制并产格控制能就过系统和应用控制的实 用工具的使用A.11.5.5 终端时限不活动的会话是否布一个设定的不活动周期后关闭（对于某些系统，清空屏幕并防止未授权访问，但不关闭病用或网络会争提供了一W受限制的超时形式）A.11.5.6 连接时间的限制有没有限制

21、对高风唆应用程序的连接时间.这类限 制应考虑鬟端安装在高风险位置的眼感应用A.11.6应用系统和信 息访问控制A.11.6.1 信息访问限制有没有根据规定的访问控制策略，限制用户和支持 人员对信息和应用系统功能的访问A.11.6.2 敏感系统隔离败感系统有没有使用独立的计算环境,例如运行在 特定的计算机上.便和信任的应用系统共享资源等政感系统有没有使用独立的计算环境，例如运行在 特定的计尊机上，仅和信任的应用系统共享资源等A.11.7移动计算和远 程工作A.11.7.1 移动式计算白没有建立正式的策略并采取适当的安全措施,以防於受用法创计算利传创通讯凌施的风险移动讦算和通讯设罐包括：籍记本，掌

22、二机、 膝上机,智能卡和移动电活移动计算施略有没有寿等在不受保护的环境下 工作的风险A.11.7.2 远程工作有没有制定并实施远程工作的策略，操作评划 和程序管理层有没有校权和控制远程工作活劭,并进 行适当的安持A.12信息系统获取、开发和维护NOA. 13信息安全事件管理A.13.1报告信息事件A.13.1.1报告信息安全事件内没目通过适当的管理途径尽快报仅信息安全事件和弱点有涉有匣定并实施正式的信息安全事件赧吉程 序、事故响曲和升级程序A.13.1.2报告信息安全弱点有没有程序要求所育员工、合同方和第三方用户注 意并报告系统或服务中发现或疑似的安全弱点A.13.2信息安全事件 的管理和改进

23、A.13.2.1 职责和程序有没肓建立首理职责和程序,以运速、有效和 有序地响应信息安全事故有没有监控系统、报警和痛点来槌测信息安全 事故有没有与管理层协商信息安全事故管理的目标 并达成一致A.13.2.2 从信息安全事故中学习tn没有建立飒别并量化信息安全事故的类型，数量和费用的机制有没有使用从过去信息安全事故评估中获取的 信息来识别珥发生或重大影响的事故A.13.2.3 收集证据信息安全事故发生，后.有没有根据法律规定 （无论是民法还是刑法）跟踪个人或组税的行动有没有收集、保密事我相关证据，并以符合相关法律的形式提交当为了密罚口的而收集和旌交正据时，有没有 制定并遵循内部规程业务持续性管理

24、A.14.1A.14.1.1在业务连续性管理过程中包含信息业务持续性管安全理的信息安全方回有没有 T管理程序,何项阻织业努连就性对 信息安全的要求读程序有没有阐明组织面临的风险，识别业务 关键资产.识别事故彩响.考虑实施附加好预 防蚀挖桐，并形成表明了安全箫求的业务连续 性计划女植A.14.1.2业务持续性和风险评估有没有识别可能导致业务过程中断的事故，以及这 类中断发生的问能性和褂响、中断的信息安全后果A.14.1.3 开发并实施包括/息安全的持续性计划有没有开发计划，在业务流程中断或失效后能 在要求的时间内和要求的等空;保持和恢星运 营并确保信息的可用性讨划有没有考虑鉴别和协调职责、饕别可

25、接受 损失、实施帙复和重建程序、文档化规程、皂 期测试A.14.1.4 业务持续性计划框架有没有隼一的业务连线性计划也果有没有维护该框架以丽保所有计划的一致性，并设别都1减和保持的优先领业界连续性i划有没肓阐明识机邑的信息安全 需求A.14.1.5 业务持续，住计划的测试、保持和再评 估有没有定期恻试弁更新风R 以嫌保BCP的 更新和有效性UCP的加试能否确保恢豆团队的所有成员及其 他相关人员知道该计划，明确他们在业务连续 性和信息安全中的责任，知道计划启动后他门 的角色A.15符合性A.15.1与法律法规要 求的符合性A.15.1.1识别适用法规对每一个信息系统和组织而言，所有相关的注 律、法规和合同要求.以及为满足这些要求组 织所采用的厅注，应明雁地定义形成文件并 保持更新有没有定义并文件化满是这些要求的特定控伸1 和个人职责A.15.1.2 知识产权（IPR）有没有制定并实施程序，以函保在使用与知谟 产权有关奶材科精与肓软件产品时符合法律法 规和合同要求有没有考虑如下控司;发布知诚产权符合性策 略，获取软件的程序，垂护软件版权的意识， 维护所有权的证明，符合软件的限断性条款A.15.1.3 组