ISMS-4032-内审检查表-Checklist-研发部

有限公司——20年度内审检查受审部门研发部审核员印峰审核日期2012年12月20日审核依据IS0/IEC2001:200ISO/IEC2002:200信息安全管理体系文件、适用性声明覆盖条款.2,.2.1,.2.2,，.2,.王五，;A.1.1,A.1.王五~A.1.,A,A,A,A,A,A,A1王五,A1，A1;序号审核项目及过程标准条款审核事实记录审核结论合格/不合格1谈谈自己平时主要工作，对本部门信息安全的认识，是否了解公司的信息安全方针和目标？受审代表回答在信息安全体系中负责内部网络安全管理和技术运营维护；本公司的信息安全方针为：信息安全，人人有责；遵守法规，持续改进。方针、目标发布在公司对内WEB公告上或者张贴于公司宣传栏；符合2详细描述一下公司的风险评估方法和风险处置过程.对识别的信息和资产是否都有指定的责任人维护？识别了信息和资产面临的哪些风险，是否包含了外部风险，为处理这些风险公司提供了哪些资源，处理效果如何？.a-dA.2软件实施部按照《信息安全风险评估管理程序》和《信息安全风险评估指南》组织各部门按业务流程识别所有信息资产，形成《信息资产识别评价表》，并明确资产负责人。根据《信息资产识别评价表》和风险评估指南识别对应资产所面临的威胁和脆弱性并予以赋值。根据风险评估模型查表得知安全事件的损失=F(资产重要程度，脆弱性赋值)、安全事件发生的可能性=L(脆弱性，威胁赋值)和风险值=R(安全事件的损失，安全事件发生的可能性)，编制《信息安全风险评估报告》，《信息安全不可接受风险处理计划》作为其附件是对不可风险接受资产的处置办法，当信息资产增添或报废时，软件实施部组织资产使用部门应对《信息资产识别评价表》和《重要信息资产清单》进行修订。识别外部各方访问、处理、管理、通信的风险，明确对外部各方访问控制的要求，并采取措施控制外部各方带来的风险。符合王五移动设备（笔记本电脑、U盘），尤其是在公司外使用设备的使用的规定是否有？A...1）A.U盘为公司公用U盘，不得携带私人移动设备进入办公区域。移动介质的使用有登记。本公司建立实施《信息处理设备管理程序》..，对笔记本电脑的移动办公实施有效可行的安全管理。符合本部门哪些人负有信息处理设备有关的信息和资产的安全职责？各自是否了解自身的责任？A.1.公司设立信息安全管理者代表，全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人（《信息资产识别评价表》。）与ISMS有关各部门的信息安全职责在《信息安全管理手册》附录中予以描述，关于具体岗位的信息安全活动的职责在《计算机应用管理及相关岗位工作标准》附录中予以明确。符合对于新购买的设备有没有授权过程？有没有信息设备领用登记表？是否存在使用个人计算机等处理公司业务，对其如何控制？A.1.软件实施部参与对信息处理设施的供方技术评价与跟踪。软件实施部分别对各自负责管理的信息系统，根据使用者需求提出新设施（包括软件）的采购技术规格，进行技术选型，并组织验收，确保与原系统的兼容。明确信息处理设施的使用部门接受新设施的信息安全负责人为软件实施部经理，软件实施部人员需要讲解新设施的正确使用方法。公司规定软件实施部不允许使用私人计算机用于办公。符合本公司的信息是否有分类?（外来文件、电子文档、人事记录等），分类依据是什么？根据公司要求的分类要求如何对信息进行标识？是否识别了哪些信息为本部门需要保密的信息和软件系统？使用这些保密信息时怎么保证信息安全？A.1.A.A..2本公司的信息按照敏感性划分为：公开信息、受控信息、企业秘密三级。对于属于企业秘密与国家秘密的文件（无论任何媒体），密级确定部门按《密级控制程序》的要求进行适当的标注；公开信息不需要标注，其余均标注受控或秘密。信息的使用、传输、存储等处理活动按《信息资产密级管理程序》等进行控制。本部门需要保护的秘密和受控信息有：标书、已完成项目资料、正在实施项目资料，图纸等；符合公司员工、第三方等在正式任用前是否进行背景验证清楚自己的安全角色和职责，将双方的信息安全职责写进劳动合同或承包合同？日常工作中是否有人考核本部门的信息安全规定执行情况？本部门是否接受过适当的信息安全意识培训和公司信息安全规定更新的培训？是否了解违反公司信息安全的处罚制度？是否了解在任用结束或者转岗后员工、第三方的安全要求和法律职责义？所有的员工、承包方在离职或协议终止时，是否要求归还资产和的访问权的撤销？A对聘用过程进行管理，确保员工、合同方和第三方用户理解其责任，并且能胜任其任务，以降低设施被盗窃、欺诈或误用的风险。综合管理部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。所有员工须遵守公司有关信息安全管理的规章制度，保守本公司秘密（包括顾客秘密）与国家秘密。综合管理部负责对初始录用员工进行能力、信用考察，每年对关键信息安全岗位进行年度考察，对于不符合安全要求的不得录用或进行岗位调整。在《劳动合同》中明确规定保密的义务及违约的责任。确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，并且减少人为错误的风险。公司管理者要求员工、合作方以及第三方用户加强信息安全意识，依据建立的方针和程序来应用安全，服从公司管理，当有其他的管理制度与信息安全管理制度冲突时，首选信息安全管理制度执行。与ISMS有关的所有员工，有关的第三方访问者，应该接受安全意识、方针、程序的培训。方针、程序变更后应及时传达到全体员工。违背组织安全方针和程序的员工，公司将根据违反程度及造成的影响进行处罚，处罚在安全破坏经过证实地情况下进行。处罚的形式包括精神和物质两方面。确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。在员工离职前和第三方用户完成合同时，应进行明确终止责任的沟通。再次沟通保密协议和重申是否有竞业禁止要求等。员工离职或工作变动前，应办理资产归还手续，然后方能办理移交手续。员工离职或工作变动前，应解除对信息和信息处理设施访问权限，或根据变化作相应的调整。符合对信息处理设备：计算机，传真机，打印机，复印机等使用、备份、设备维护、介质处理、机房管理、邮件服务使用的规定形成文件以确保所有需要的用户可用？使用和管理的职责是否区分开？对信息处理设备的变更（增加计算机、位置变动），操作系统、应用软件的变更是否有控制？（潜在影响的评估）A...1A.1本公司按照信息安全方针的要求，建立并实施文件化的作业程序，文件化程序的控制执行《文件管理程序》。对信息处理设施、软件等方面的更改实施严格控制。在更改前评估更改所带来的潜在影响，正式更改前履行更改审批手续，并采取必要的措施确保不成功更改的恢复。信息处理设施更改控制执行《信息处理设备管理程序》与《变更管理程序》。为防止未授权的更改或误用信息或服务的机会，按以下要求进行职责分配：a)网络管理系统管理职责与操作职责分离；b)信息安全审核具有独立性。符合本部门接触的有哪些第三方人员，如何管控其信息安全？A.2本部门接触的第三方为电信提供的网络服务、电脑供应商。对第三方的服务的交付，包括协议规定的安全安排、服务定义以及服务管理等方面进行管理和验收。确保第三方保持充分的服务能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务交付的连贯性。本部门有专门的人员跟踪管理第三方服务，确保第三方分配的职责符合协议要求。对协议要求，特别是安全要求的符合性进行监控得到充分可用的资源和技术技能支持。对第三方服务更改的管理过程需要考虑：a)组织的更改，包括加强当前提供的服务，开发新应用程序和系统，修改和更新方针及程序，解决信息安全事件，提高安全性的新控制。b)第三方服务的更改，包括更改和加强网络，使用新技术，更改服务设施的物理位置，更改供应商。符合是否根据公司的未来中期发展有识别出本公司的系统安全或者服务的潜在瓶颈及对关键人员的依赖，并且据此编制容量规划？A.王五.1软件实施部负责对信息网络系统的容量（CPU利用率、内存和硬盘空间大小、传输线路带宽、监控录像容量）需求进行监控，并对将来容量需求进行策划，适当时机进行容量扩充。并编写《系统容量规划》。对引进的或版本升级新的设备（网站服务器）、软件（操作系统、应用软件）、系统ERP是否有定义验收准则（是否考虑到对现有系统的影响），并且在验收前进行适当的测试？A.王五.2新系统、系统升级接收前，系统验收部门明确接收准则，经测试合格后方可正式运行，并保存测试记录及验收报告。软件实施部负责办公管理系统、电话/网络通讯与办公系统、管家婆软件的验收。符合是否规定要求本公司员工计算机终端安装杀毒软件？使用查杀、杀毒软件定期更新，对全员进行病毒防范意识的培训？A..2.2软件实施部为控制恶意软件的主管部门，负责提供防范恶意软件的技术工具并对技术工具进行实时升级，各部门具体负责本部门的恶意软件预防控制工作。a)技术工具的应用及其升级要求；b)查杀病毒的周期；c)预防恶意软件意识培训；d)预防恶意软件的一般要求；e)对重要系统的防范恶意软件的特殊要求；f)发生恶意软件的侵害应急措施。授权使用移动代码时，配置应该确保已授权移动代码的运行符合明确定义的安全方针，未经授权的移动代码应该被阻止执行。符合1王五本公司识别了有哪些信息和软件需要备份？是否有信息备份策略（备份方式，备份频率等），并且定期备份和测试信息和软件？出示备份记录A.本公司根据风险评估的结果对重要数据库、软件等进行备份。软件实施部为全公司信息备份提供技术支持，各部门按照《重要信息备份管理程序》要求进行备份。本部门涉及要备份的信息有：以完成项目方案设计，正在施工文档。符合1公司存在哪些网络服务（因特网接入、入侵检测系统、FTP服务，VPN服务），这些服务是内部提供还是外包？对这些服务提供商的服务级别、安全特性是否在协议中确定？A.本公司网络安全控制措施包括：a)公司内部划分不同的网段，构建vlan逻辑分离；b)对网络设备定期维护；c)对交换机等实施安全配置管理；d)对用户访问网络实施授权管理；e)实施有效的安全策略；g)对系统的变更进行严格控制；h)对网络的运行情况进行监控；i)对网络设备的变更进行控制；j)对网络系统管理与操作人员的管理。软件实施部根据组织的安全策略，识别现有的网络服务，明确规定网络服务安全属性值，由授权的网络系统安全管理员进行参数配置与维护管理。符合1对可移动介质的如何管理？是否有使用登记？对于不再需要的介质，如何处置？按照公司的信息分类机制，如何控制储存在介质中的信息的处理（访问，分发，拷贝）？对系统（操作系统、应用系统）文件的保护措施？A.可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告，各部门按其管理权限并根据风险评估的结果对其实施有效的控制。媒体移动的记录予以保持。对于含有敏感信息或重要信息的介质在不需要或再使用时，介质处置部门按照《信息系统硬件管理规定》的要求，采取安全可靠处置的方法将其信息清除。本公司与信息安全有关的系统文件包括：a)系统操作手册；b)关键商业作业流程；c)网络系统拓扑结构图；d)访问授权说明书及授权登记表；e)ISMS体系文件；f)监视系统网络图；g)其它系统文件。各部门对部门的系统文件，无论以何种介质形式存在，应按以下要求予以进行控制：a)系统文件应存放可靠的地点；b)系统文件的访问应按访问授权的规定进行；c)属于敏感信息的系统文件应按《密级控制程序》规定进行标注与管理。符合1在公司内以及公司外使用（发送，交换，接收，存储）信息或软件的控制A.在与顾客进行数据与软件交换的过程中签订相关的安全控制协议：明确双方的安全责任与安全交接方式；如果有要求，采用加密方式传输数据。本公司不使用EDI和小区广播。为避免被传送的介质在传送（运输）过程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、不完整或不可用，负责介质（包括保密产品的运输）传送的部门采用以下方法进行控制：a)选择适宜的安全传送方式，对保密产品运输供方进行选择与评价，并与之签订保密协议；b)保持传送活动记录。基于业务及管理的需要，及减少企业秘密被泄露与防范计算机病毒的原则，本公司建立了电子邮件安全使用的策略，并将该策略传达到所有员工予以执行。本公司有内部电子邮件系统，只有授权的用户履行审批手续才可以使用。本公司建立的办公自动化是以单机为基础，不存在业务的交互式连接，对其控制依赖人员的意识和经验技能，其中纸质文件按照密级和文件管理程序加以控制，减少信息的泄露及越权滥用。符合1本部门是否有电子商务？通过因特网发布公司信息？发布前是否审查合法性？A.本公司目前不存在电子商务（无电子交易），本条款不适用。1对计算机、服务器、防火墙或应用软件的是否有日志记录？信息处理设备的故障是否被记录，并且分析和采取措施？计算机、网络设备、电话、传真机、服务器等设备是否进行时间同步以确保在发生信息安全事件后准确记录时间？A.公司内部监控是由专人进行出入登记。公司所有的信息处理设施其日志处于打开状态，做审计时的证据。监控部门按照规定周期对对监控结果进行评审，确保用户只执行被明确授权的活动。发现异常事件应采取必要的措施并实施。实施控制，防止对日志记录设施的未经授权的更改和出现操作问题．管理员和操作员的日志应该包括：a)事情（成功或失败）发生的时间；b)事情的有关信息（如：操作的文件）或故障信息；c)涉及哪一个账号以及哪一个管理员或操作员；d)涉及哪一个过程。规定了用户或系统程序报告的有关信息处理系统的问题如何记录，以及清楚的规定了如何处理报告的故障。公司用网络时间协议保持所有服务器与主时钟同步。保持本地时间与世界标准时间（UTC）一致。符合1是否有文件规定每个员工的访问权限，抽查员工是否了解？（对服务器，对某办公室，对保密的信息，源程序等）A.1A..1A..1本公司基于以下原则制定文件化的访问控制策略（在《用户访问控制程序》中描述），明确规定访问的控制要求，在《物理逻辑访问权限说明书》中规定各软件访问控制规则和每个用户或用户组的访问权力，访问规则的制定基于以下方面考虑：a)每个业务应用的安全要求；b)在不同系统与网络间，访问控制与信息分类策略要保持一致；c)数据和服务访问符合有关法律和合同义务的要求；d)对各种访问权限的实施管理。本公司建立并网络服务安全策略，以确保网络服务安全与服务质量。根据本公司管理要求和访问策略，向授权的用户提供访问信息和应用系统功能。用户访问公司信息和应用系统功能的授权执行《用户访问控制程序》。符合20对于信息系统（服务器、FTP、ERP系统、OA系统、财务系统，计算机，VSS系统）服务的使用有没有用户注册和注销规程？对信息系统的访问有没有对特殊权限（VSS读写权限区分，FTP查看权限）的分配进行管理？描述一下信息系统的用户口令发放流程？是不是定期检查信息系统的所有用户权限，是否有离职未撤销，岗位变更未变更相应权限，或者特权用户的适宜性？A.2根据访问控制策略及《物理逻辑访问权限说明书》确定的访问规则，访问权限综合管理部门对用户（包括第三方用户)进行书面访问授权，若发生以下情况，对其访问权将从系统中予以注销：a)内部用户雇佣合同终止时；b)内部用户因岗位调整不再需要此项访问服务时；c)第三方访问合同终止时；d)其它情况必须注销时。特权分配以“使用需要”（Need-to-use)和“事件紧跟”(Event-by-event)为基础，即需要时仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后将被收回，确保特权拥有者的特权是工作所需要的且不存在富裕的特权（最小特权原则)。网络系统管理员、安全员拥有特权，只有经过书面授权，其特权才被认可。当特权拥有者因公出差或其它原因暂时离开工作岗位时，特权部门负责人应对特权实行紧急安排，将特权临时转交可靠人员，以保证系统正常运行；当特权拥有者返回工作岗位时，及时收回特权；特权的交接应有可靠安全的方法。各系统管理员按以下过程对被授权访问该系统的用户口令予以分配：a)管理员根据入职员工的工作岗位分配相关临时口令。b)当用户忘记口令时，可由系统管理员帮其找回或重新分配安全的口令。c)禁止将口令以无保护的形式存储在计算机系统内。软件实施部管理执行《用户口令管理规定》。用户访问权限主管部门每半年对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结应予以保持。符合21是否使员工了解在使用计算机口令，服务器口令，OA系统、财务软件口令等密码的时候要遵循哪些要求？抽查验证。对于服务器在没有人看守的时候有没有措施进行保护？对于办公桌上的重要纸质文件，含重要信息的可移动U盘，电脑桌面上的电子文件在用户离开时如何保护？抽查验证。A.王五A..王五本公司在《用户访问控制程序》中明确规定了口令安全选择与使用要求，所有用户须严格遵守。实施口令定期变更策略。本公司在《用户访问控制程序》和《信息处理设备管理程序》中覆盖了对无人值守设备的安全要求和规程，以及对于实现这种保护所负有的职责。本公司在中制定清除桌面、清除屏幕的策略并实施，各部门负责人负责监督。各部门员工自觉履行该策略的日常实施。软件实施部实施口令管理，通过技术手段提供有效的、互动的设施以确保口令质量。除非一次性的口令系统，通过操作系统的强制措施要求用户定期变更口令。抽查软件实施部电脑，桌面存放太多文件，其中包含有密级敏感的数据，没有执行清空桌面策略不符合22对于网络设备（路由器，交换机等）的端口是否进行了保护，以识别接入网络的设备？有没有对于网络设备预留的诊断端口和配置端口的保护措施？对于含有公司敏感信息的网络是否隔与其他网络隔离，无线网络与内部和专用网络是否隔离？对于网络路由如何控制？用户的连接因特网能力、文件传输、电子邮件、电子消息的发送通过什么手段控制？A.本公司不设立无线网络，有线网络连接时，需要使用固定IP，采用路由器的日志监控连接的用户身份。对端口保护采用物理的方法。为确保本公司网络安全，采用逻辑方式进行网络隔离：a)通过路由器将内部网络与外部网络实施逻辑隔离；b)研发网络与其他网络逻辑隔离。软件实施部根据访问控制策略的要求限制用户的连接能力。例如通过网络网关来控制，网关的安全设置与组织的访问控制策略保持一致。软件实施部应根据网络安全要求，采用硬件或软件的手段，基于源地址和目的地址的检查机制，对路由实施控制。符合2王五登陆计算机是否有密码控制？对计算机的操作是否可以追踪到责任人？描述一下口令发放过程？A..王五.1对可能修改操作系统的工具使用有没有限制（优化大师，超级兔子，系统配置工具等）?对于服务器若用户超过规定时间无任何操作是否会被断开连接？对于服务器若用户在规定时间内操作仍未结束是否会被断开连接？A.本公司通过路由技术手段提供安全的系统登录程序。用户有唯一的识别符（USERID），以便用户单独使用时，能查处活动的个人责任。用户ID由系统管理员根据授权的规定予以设置，如果多个用户共用一个识别符（USERID），须由访问授权主管部门授权。软件实施部实施口令管理，通过技术手段提供有效的、互动的设施以确保口令质量。通过操作系统的强制措施要求用户定期变更口令。软件实施部门应对系统实用程序（SystemUtilityProgram）的使用进行限制和严格控制，只有经过授权的系统管理员才可以使用实用程序，如优化大师，超级兔子等。各系统管理员在其管理的终端处于不活动时，应利用锁屏（LOCKSCREEN）清除屏幕，以防止非授权的访问，但不关闭应用或网络话路。对于财务系统的负责人要求在离开时应锁定或注销系统。使用预先定义的时隙，例如对批文件传输。或定期的短期交互会话；将连机时间限于正常的办公时间；符合2本公司是否有移动计算机使用规定？对在组织场所外工作（携带计算机到客户现场开发，并且从远程访问本公司的内部信息）要做哪些保护措施？A.本公司建立实施《信息处理设备管理程序》，对笔记本电脑的移动办公实施有效可行的安全管理，笔记本电脑的使用需有授权的过程。本公司建立《远程工作控制程序》，对远程工作场地合适的保护，以防范设备和信息被窃、信息的未授权泄露、对组织内部系统的未授权远程访问或设施滥用，目前不存在远程工作形式。符合2对于购买的软件或者委托开发的软件是否在合同中明确对安全的要求，并且要求在验收时进行测试？对于输入应用系统的数据是否有校验（姓名、地址、税率、测试数据等）对应用软件处理后输出的数据如何验证其合理性？A.1A.2软件实施部在进行新系统开发或系统更新时，首先对系统进行分析，根据业务功能要求及信息安全要求明确规定控制要求，包括：a)系统的安全特性；b)对现有的系统安全影响；c)设计过程中的安全控制要求。系统（软件）本身的功能及安全特性在设计开发输入时明确提出，并进行评审。其他应用系统开发由软件实施部按照《系统开发与维护管理程序》执行。系统开发应明确应用系统输入数据确认的要求，以确保输入数据正确和恰当。各部门应用系统的操作人员对输入到系统内的数据进行认真核对，对于关键或重要数据的输入，由相应的作业流程所规定的人员进行确认。系统开发应考虑系统内部数据确认检查的要求，以查处数据处理过程的错误。利用人员经验来进行识别信息的真实性与完整性；在操作过程中防止输入数据被截取或修改。在架构上采用HTTP方式传输数据，该协议带有验证消息完整性功能。系统开发应考虑应用系统输出数据确认的要求，以确保对贮存的信息处理的正确和环境相适应。各部门应用系统的操作人员应对应用系统输出的数据进行认真核对，对于关键或重要的输出数据，应由相应的作业流程所规定的人员进行确认。符合2是否了解对应用软件的变更规定？(