《bs7799安全审计列表》由会员分享,可在线阅读,更多相关《bs7799安全审计列表(30页珍藏版)》请在金锄头文库上搜索。
1、BS 7799安全审计列表审计人员姓名:_ 审计日期:_信息安全管理标准BS7799安全审计列表标识审计项目审计结果序号标准章节标准章节内容审计问题审计结果差距分析1安全策略1.13.1信息安全策略1.1.13.1.1信息安全策略文档是否有经管理层批准、发布并同所有员工讨论过认为合适的信息安全策略?策略是否说明了管理层的责任及组织管理信息安全的方法?1.1.23.1.2检查与评估是否有根据规定的检查过程负责维护检查安全策略的负责人?过程能否确保对于任何影响原始评估基础的变更(例如重大安全事件、新漏洞,或组织或技术基础架构变更),都会有检查?2安全组织2.14.1信息安全架构2.1.14.1.1
2、管理信息安全论坛是否有管理论坛,确保在组织内明确指导和支持安全积极性?2.1.24.1.2信息安全的协调是否有组织各相关部门管理代表的跨职责部门论坛,以协调实现信息安全控制?2.1.34.1.3信息安全责任的分配是否明确规定了保护个人资产和执行特定安全过程的职责?2.1.44.1.4信息处理设备的授权步骤是否有合适的管理授权过程来授权任何新的信息处理工具?这应包括软件、硬件类所有新的工具。2.1.54.1.5信息安全专家的意见是否能在合适的时候获得专家的信息安全建议?可能需要明确人员来协调内部知识和经验,确保一致性,并在做安全决策时提供帮助。2.1.64.1.6组织之间的合作是否同执法部门、管
3、理部门、信息服务商和电信运营商保持适当的联系,确保在发生安全事件时能立即采取合适的措施并获得建议?2.1.74.1.7信息安全的独立复审是否定期独立的检查安全策略的执行?这是为了确保组织实践能正确的反映出策略,策略是可行的、有效的。2.24.2第三方访问的安全2.2.14.2.1确认第三方访问的风险是否识别出第三方接入所带来的风险?是否实施了恰当的安全控制?是否确定了接入的类型并将其归类?接入原因是否合理?是否识别出在外工作的第三方合同商所带来的安全风险?是否执行了恰当的风险控制?2.2.24.2.2第三方合同的安全要求是否有包含或参考了所有安全要求的正式合同,确保遵守组织的安全策略和标准?2
4、.34.3外包服务2.3.14.3.1外包合同的安全要求组织在外包全部或部分信息系统、网络和/或桌面环境的管理和控制时,是否在同第三方的合同中说明了安全要求?合同应说明如何满足法律要求,怎样维护和测试组织资产的安全性,审计的权力,物理安全事件,在灾难事件中如何维护服务的可用性。3资产分类与控制3.15.1资产的使用说明3.1.15.1.1资产清单是否维护了每个信息系统重要资产的清单或登记?是否每个确认的资产都有所有者?是否定义并认可了安全分类?是否确认了资产的地点?3.25.2信息分类3.2.15.2.1分类的指南是否有合适的信息分类方案或指导?这可以帮助确定如何处理和保护信息。3.2.25.
5、2.2信息标注及处理是否根据组织通过的信息分类方案,确定合适的信息分类和处理流程?4人员安全4.16.1岗位定义及资源分配的安全4.1.16.1.1岗位责任的安全在需要的时候是否记录了组织信息安全策略中列出的安全职责?这应包括实现或维护安全策略的一般职责,以及保护特殊资产或特殊安全过程或行为扩展出的特定职责。4.1.26.1.2人事过滤及策略在永久编制员工应聘时是否对其展开调查?这应包括:性格调查、其声称的学术或专业资格的确认、独立的身份调查。4.1.36.1.3保密协议在开始雇佣员工的条款和条件中,是否要求他们签署保密协议或不泄漏协议?协议是否涵盖了信息处理工具和组织资产的安全? 4.1.4
6、6.1.4雇佣条款雇佣的条款和条件中是否包括员工在信息安全中的职责?在必要的时候,雇佣结束后这些职责仍应持续一段规定的时间。4.26.2用户培训4.2.16.2.1信息安全教育及培训组织的所有员工的相关第三方用户是否能受到适当的信息安全培训,并定期更新组织策略和流程?4.36.3安全事件及失常的反应措施4.3.16.3.1报告安全事件是否有正规的报告流程,通过适当的管理渠道尽快报告安全事件?4.3.26.3.2报告安全的弱点用户是否有正规的报告流程或指导,报告系统或服务中的安全弱点或威胁?4.3.36.3.3报告系统的故障是否建立了报告软件故障的流程?4.3.46.3.4吸取教训是否有计算和监
7、控事件和故障类型、数量及成本的机制?4.3.56.3.5处罚程序对于违反了组织安全策略和流程的员工,是否有正规的惩罚过程?这样的过程可以做为对可能不遵守安全流程员工的威慑。5物理与环境的安全5.17.1安全区域5.1.17.1.1物理安全边界是否部署了物理边界安全设备保护信息处理服务?这类安全设备包括门禁、墙壁、有人的前台等等。5.1.27.1.2物理入口的控制门禁是否仅允许经授权的人员进入组织各区域?5.1.37.1.3保护办公室、房间及设备是否锁闭了提供信息处理服务的房间,或在房间安装了可锁闭的隔段或保险箱?信息处理服务是否能防范自然或人为的灾难?临近的区域是否存在潜在的威胁?5.1.47
8、.1.4在安全地带工作信息仅应基于“必须知道”的基础。对第三方或在安全区域内工作的人员是否有安全控制?5.1.57.1.5隔离的交付及装载地方传输区域和信息处理区域是否彼此隔离,以防非授权访问?信息仅应基于“必须知道”的基础。对第三方或在安全区域内工作的人员是否有安全控制?5.27.2设备的安全5.2.17.2.1设备的放置及保护是否执行了风险评估判断这些区域的安全性?设备是否安放在合适的地点,以将不必要访问工作区的可能性降至最低?是否隔离了需要特殊保护的设备以降低所需保护的总体级别?是否采取控制降低偷窃、火灾、爆炸、烟雾、水、灰尘、振动、化学影响、电力供应接口、电磁辐射、洪水等潜在威胁的风险
9、?对在信息处理服务附近进食、饮水、吸烟是否有策略?是否监控了可能对信息处理工具有负面影响的环境情况?5.2.27.2.2电力的供应是否使用永久电力供应(例如多路供应、不间断电源(UPS)、备用发电机等)保护设备免于电力供应失败所带来的后果?5.2.37.2.3电缆线路的安全传输数据或支持信息服务的电力和通讯电缆是否得到保护,免于被拦截或破坏所带来的后果?对敏感信息或关键信息是否有额外的安全控制?5.2.47.2.4设备的维护是否按照供应商推荐的服务时间间隔和说明维护设备?是否仅由经授权的人员进行维护?是否维护了记录所有可疑或实际错误以及所有防范和修正措施的日志?在将设备运离工作地点期间,是否对
10、其实施了适当的控制?如果已为设备投保,是否满足了保险要求?5.2.57.2.5设备离开大厦的安全在组织范围外使用任何信息处理设备是否都经过了管理部门的授权?是否为在组织范围外使用的设备提供了与在组织内同等的或更多的安全性?5.2.67.2.6设备的安全清除或重用是否物理破坏或安全覆盖了包含有敏感信息的存储设备?5.37.3一般控制5.3.17.3.1整理桌子及清除屏幕的策略是否启用了计算机自动锁屏工具?当计算机处于无人值守状态后一段可以锁定屏幕。是否建议员工在无人照顾纸质文档,媒体形式的保密资料时,要锁好这些资料?5.3.27.3.2财物的搬迁未经适当的授权是否可以带走设备,信息或软件?是否执
11、行抽检或定期审计,以查明未经授权带出财产?个人是否了解这类抽查或定期审计?6通讯与操作的管理6.18.1操作流程与职责6.1.18.1.1规范操作细则公司是否制定了诸如备份、设备维护等的安全操作流程? 这些流程是否文档化并已被实施使用?6.1.28.1.2变更控制在生产系统上运行的所有程序是否都要遵守严格的变更控制(比如,对这些生产程序的任何变更都要经过变更控制授权)?是否能对生产程序的任何变更维护审计记录?6.1.38.1.3安全事件响应程序是否有意外事件管理流程来处理安全事件?上述流程是否明确了意外事件管理职责,迅速有序的响应安全事件?上述流程是否明确了从拒绝服务到破坏机密性等不同类型的事
12、件,以及处理这些事件的方法?是否维护了有关意外事件的审计追踪和记录,是否采取了积极措施以防事件的再次发生?6.1.48.1.4责任分开制职责及职责范围是否隔离以降低非授权修改或滥用信息/服务的可能性?6.1.58.1.5开发、测试与运行设备的分离开发和测试设备是否同运营设备隔离?比如,开发软件应同生产软件运行在不同的计算机上。如果必要的话,开发和生产网络也应隔离。6.1.68.1.6外包服务管理信息处理设备是否由外部公司或签约方(第三发)管理?是否同第三发协商,事先识别出诸如管理方面的风险?是否在合同中写入的适当的控制?是否需要获得企业和应用所有者的许可?6.28.2系统的规划和验收6.2.1
13、8.2.1系统规划是否监控性能要求,并预期今后的性能需求?这是为了确保有充足的处理能力及存储空间。举例:监控关键服务器上的硬盘空间,内存,CPU。6.2.28.2.2系统验收是否为系统接受新的信息系统、升级和新版本建立了标准?在接受之前是否执行了适当的测试?6.38.3恶意软件的防护6.3.18.3.1控制恶意软件对使用恶意软件是否有控制?安全策略是否解决了有关软件发布的问题,比如禁止使用未经授权的软件?是否有验证警示公告的流程,以验证所有有关使用恶意软件的警示公告都是精确的、能够提供资讯的?是否在计算机中安装了防病毒软件,检查并隔离/删除任何计算机或媒介中的病毒?是否定期升级软件特征库以检测最新的病毒?是否对所有从不可信任网络到组织内的通讯都执行了病毒检测?举例:检测邮件、邮件附件及WEB、FT
