3 内审检查表_1管理层-ISO27001信息安全

1、内部审核检查表 编号：ISMS-D-03-3 第 7 页 共 7 页 受审核部门/场所：管理层 陪同人： 审核人：、 审核时间：20XX年5月20日 条款号核 查 问 题符合性核 查 说 明4.组织环境4.1 理解组织及其环境组织是否确定与其意图相关且影响其达到ISMS预期结果能力的外部和内部情况？4.2 理解相关方的需求和期望组织是否确定：a) 与 ISMS 有关的相关方？b) 这些相关方的信息安全要求？4.3 明确信息安全管理体系的范围组织是否通过确定ISMS的边界和适用性来建立其范围？组织在确定范围时是否考虑：a) 在 4.1 中涉及的外部和内部因素？b) 在 4.2 中涉及的要求？c)

2、 组织活动与其他组织的活动之间的接口和依赖关系？ d) 该范围是否为可获得的存档信息？4.4 信息安全管理体系组织是否根据本国际标准的要求，建立，实施，保持和持续改进一个信息安全管理体系？5 领导5.1 领导和承诺最高管理者是否通过以下方式来证明其在ISMS方面的领导力和承诺：a) 确保已经为信息安全管理体系制定了方针和目标并确保方针和目标与组织的战略方向是一致的？b) 确保信息安全管理体系的要求纳入组织的业务过程中？c) 确保信息安全管理体系所需的资源可用？d) 就信息安全管理的有效性和符合 ISMS 要求的重要性进行传达？e) 确保信息安全管理体系达到预期结果？f) 指导和支持员工为 IS

3、MS 的有效性作贡献？g) 推动持续改进？h) 支持其他相关管理角色在其职责领域内展示其领导作用和承诺。？5.2 方针最高管理者是否建立信息安全方针？该方针：a) 符合组织的宗旨；b) 包含信息安全目标（见 6.2）或为信息安全目标的制定提供框架；c) 包含满足适应信息安全要求的承诺；d) 包含对 ISMS 进行持续改进的承诺；信息安全方针是否：e) 为可获得的存档信息？f) 在组织内部传达？适当时使相关方能够获得？5.3 组织角色、职责和权力最高管理者是否该确保相关角色的职责和权限在组织内部被授权和传达？最高管理者应分配职责和职权以：a) 确保信息安全管理体系符合本国际标准的要求？b) 向最

4、高管理者报告 ISMS 的绩效？6 计划6.1 处置风险和机遇 6.1.1总则当进行ISMS策划时，组织是否考虑4.1提到的因素和4.2提到的要求？并确定需要应对的风险和机会以：a) 确保信息安全管理体系能够达到预期结果；b) 防止或减少不良影响；c) 实现持续改进；组织是否策划：d) 应对风险和机会的措施？e) 如何：1） 将这些措施在 ISMS 的过程中进行整合和实施？2） 评估这些措施的有效性？6.1.2信息安全风险评估组织是否定义并应用一个信息安全风险评估的过程？过程要：a) 建立和保持信息安全风险准则，包括：1） 风险接受准则？2） 执行信息安全风险评估的准则？b) 确保重复进行的信

5、息安全风险评估活动能够产生一致的，有效的和可比较的结果？c) 识别信息安全风险：1） 应用信息安全风险评估过程以识别信息安全管理体系范围内与信息的保密性，完整性和可用性丧失有关的风险？2） 识别风险的责任人？d) 分析信息安全风险：1） 评估是否在 6.1.2 c) 1)部分所识别的风险发生时可能的后果？2） 评估 6.1.2 c) 1)部分所识别的风险发生的现实可能性？3） 确定风险的级别？e) 评价信息安全风险：1） 将风险分析的结果与 6.1.2 a)中所建立的风险准则进行比较？2） 对分析后的风险进行优先级的排序以进行风险处置？组织是否保留信息安全风险评估过程的存档信息？6.1.3信息

6、安全风险处置组织是否定义和应用一个信息安全风险处置的过程以：a) 在考虑风险评估结果的基础上，选择适当的信息安全风险处置选项？b) 确定实施已选择的信息安全风险处置选项所需要的所有控制措施？c) 将 6.1.3 b)中选择的控制措施与附录 A 中的控制措施进行比较以确认没有任何必要的控制措施被遗漏？d) 准备一个适用性声明SOA，其中要包括必要的控制措施(见 6.1.3 b) and c)并进行调整，决定是否实施它们，以及对附录A中的控制措施进行删减？e) 制定一个信息安全风险处置计划？f) 获得风险责任人对风险处置计划以及接受剩余信息安全风险的审批？组织是否保留信息安全风险处置过程的存档信息

7、？6.2 信息安全目标的计划和实现组织是否在相关的职能和层级建立信息安全目标？信息安全目标应：a) 与信息安全方针保持一致；b) 是可测量的（如果可行）；c) 考虑适用的信息安全要求，以及风险评估和风险处置的结果；d) 被传达；e) 适当时被更新；组织应保留信息安全目标的存档信息；当计划如何达成其信息安全目标时，组织是否确定：f) 要做什么？g) 需要什么资源？h) 谁将负责？i) 什么时候完成？j) 怎样评估结果？7 支持7.1 资源组织是否确定并提供建立、实施、保持和持续改进ISMS所需的资源？7.4 沟通组织是否确定与ISMS有关的内部和外部沟通的需求？包括：a) 沟通的内容；b) 沟通

8、的时机；c) 沟通的对象；d) 由谁沟通；e) 沟通所依据的过程；8 实施8.1 运行计划和控制组织是否通过以下方式策划、实施和控制为满足要求所需要的过程，并实施6.1中所确定的措施？组织是否实施计划以达到6.2中确定的信息安全目标？组织是否为了确定过程按计划进行，在必要的范围内保留存档信息？组织是否控制计划内的变更以及评审非预期的变更带来的结果，必要时采取行动减轻负面影响？组织是否确保外包过程的受控？8.2 信息安全风险评估是否按照计划的时间间隔或当重大变化发生时进行信息安全风险评估？是否保留信息安全风险评估结果的存档信息？8.3 信息安全风险处置是否实施信息安全风险处置计划？是否保留信息安

9、全风险处置结果的存档信息？9 绩效评价9.1 监视、测量、分析和评价是否评价 ISMS 绩效和 ISMS 的有效性？a) 需要被监视和测量的内容，包括信息安全过程和控制措施；b) 监视、测量、分析和评价方法，确保得到有效的结果；注：选择的方法宜产生可比较和可再现的有效结果；c) 何时进行监视和测量；d) 谁应进行监视和测量；e) 何时进行监视和测量结果的分析和评价；f) 谁应对这些结果进行分析和评价。是否保留适当的存档信息作为监视和测量结果的证据？9.2 内部审核是否按计划的时间间隔进行内部审核？提供的信息是否满足以下要求：a) 符合：1) 组织自身对 ISMS 的要求；2) 本标准的要求。b

10、) 得到有效的实施和保持。c) 策划、建立、实施和保持一个或多个审核方案，包括频次、方法、职责、策划要求和报告。审核方案应考虑到所关注过程的重要性和以往审核的结果；d) 确定每次审核的审核准则和范围；e) 审核员的选择和审核的执行应确保审核过程的客观性和公正性；f) 确保审核结果被报告给相关管理层；g) 保留执行审核方案和审核结果的存档信息作为证据。9.3 管理评审是否按计划的时间间隔评审组织的 ISMS，以确保其持续适宜、充分和有效？是否考虑以下内容：a) 以往管理评审措施的状态；b) 与信息安全管理体系有关的外部和内部因素的变化；c) 信息安全绩效的反馈，包括以下方面的趋势：1) 不符合项

11、及纠正措施；2) 监视和测量结果；3) 审核结果；4) 信息安全目标完成情况。d) 相关方的反馈；e) 风险评估结果和风险处置计划的状态；f) 持续改进的机会输出是否包括与持续改进机会相关的决定以及对 ISMS 变更的需求？是否保留存档信息作为管理评审结果的证据？A.5 信息安全方针A.5.1 信息安全管理指引目标：依据业务要求和相关法律法规提供管理指导并支持信息安全A.5.1.1信息安全方针信息安全方针是否由管理者制定、批准、发布并传达给员工和外部相关方？A.5.1.2信息安全方针的评审是否计划的时间间隔或当重大变化发生时进行信息安全方针的评审，以确保持续的适宜性、充分性和有效性？A.6信息

12、安全组织A.6.1 内部组织目标： 建立管理框架以发起和控制组织内信息安全的实施和运行。A.6.1.1信息安全角色和职责所有的信息安全职责是否定义并分配？A.8.2 信息分类目标：依照信息重要性分级，确保信息受到分级保护。A.8.2.1信息分级是否依照其对组织的价值，法律要求，敏感性和关键性分类？A.8.2.2信息的标记根据组织采用的信息分类方案，是否制定并实施一套信息标记流程？A.8.2.3资产处置根据组织采用的信息分类方法，是否制定并实施一套资产处理流程？A.10 加密技术A.10.1 加密控制目标：使用加密控制适当有效的保护信息的机密性、真实性和完整性。A.10.1.1加密使用控制政策：是否制定和实施信息保护加密控制策略？A.10.1.2密钥管理：是否制定和实施密钥的使用，保护，使用期策略并贯穿其整个生命周期？A.17.1 信息安全的连续性目标：信息安全的连续性应嵌入组织的业务连续性管理体系（BCMS）A.17.1.1信息安全连续性策划组织是否确定其在不利情况下的信息安全和信息安全管理的连续性要求，如在危机或灾难时？A.17.