{安全管理套表}信息安全内部审核检查表

《{安全管理套表}信息安全内部审核检查表》由会员分享，可在线阅读，更多相关《{安全管理套表}信息安全内部审核检查表（34页珍藏版）》请在金锄头文库上搜索。

1、安全管理套表信息安全内部审核检查 表 安全管理套表信息安全内部审核检查 表 标准条款号标题目标 /控制 控制理由控制要求审核发现 A.5.1A.5.1信息安全方针信息安全方针目标目标依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。 A.5.1.1信息安全方针文件控制根据 Info-Riskmanager 风 险评估的结果。 总经理是否确保制定与公司目标一致的清 晰的信息安全方针， 并且通过在组织内发布 和维护信息安全方针来表明对信息安全的 支持和承诺。 信息安全方针在 信息安全管 理手册中描述， 信息安全管理手册由 总经理

2、批准发布？ 管理手册中有 信息安全方针 A.5.1.2信息安全方针评审控制根据 Info-Riskmanager 风 险评估的结果。 每年管理评审或发生重大变化时是否对信 息安全方针的持续适宜性、 充分性和有效性 进行评价，必要时进行修订？ 管理评审报告 A.6 信息安全组织A.6 信息安全组织 标准条款号标题目标 /控制 控制理由控制要求审核发现 A.6.1A.6.1信息安全组织信息安全组织目标目标管理组织内部信息安全。管理组织内部信息安全。 A.6.1.1信息安全管理承诺控制根据 Info-Riskmanager 风 险评估的结果。 总经理是否承诺建立、实施、运作、监视、 评审、保持和改进

3、 ISMS，并通过一系列的 活动，提供证实。该承诺信息安全管理手 册中进行相是否描述？ A.6.1.2信息安全的协作控制根据 Info-Riskmanager 风 险评估的结果。 公司是否成立以信息安全管理者代表、 各部 门信息安全负责人组成的跨部门的联席会 议， 协调信息安全管理工作， 对体系运行中 存在的问题进行解决。 会议由人事行政部负 责组织安排并做好会议记录？ A.6.1.3信息安全职责分配控制根据 Info-Riskmanager 风 险评估的结果。 公司是否清楚的确定所有的信息安全职责。 最高管理者授权信息安全管理者代表， 全面 负责信息安全管理体系的建立、 实施与保持 工作？

4、对每一项重要资产指定信息安全责任人。 A.6.1.4信息处理设备的授 权过程 控制根据 Info-Riskmanager 风 险评估的结果。 软件部是否根据使用部门需求提出新的信 息处理设施（包括软件）的配置要求，并组 织验收与实施，确保与原有系统的兼容？ A.6.1.5保密协议控制根据 Info-Riskmanager 风 险评估的结果。 本公司是否与正式录用员工在劳动合同中 附加有关保密方面的内容条款或签订 保密 协议 。员工聘用期满离开公司之前，是否 提醒其对保密所作的承诺？ A.6.1.6与权威机构的联系控制根据 Info-Riskmanager 风 险评估的结果。 人事行政部是否制定

5、规定， 详细说明由谁何 时与权威机构联系， 以及怎样识别是否该及 时报告的可能会违背法律的信息安全事件？ A.6.1.7与专业小组的联系控制根据 Info-Riskmanager 风 软件部是否就计算机信息及通信网络安全 问题与服务提供部门保持联系， 以确保和在 险评估的结果。出现安全事故时尽快采取适当的行动和取 得建议？ A.6.1.8信息安全的独立评 审 控制根据 Info-Riskmanager 风 险评估的结果。 人事行政部是否负责组织、策划内部审核， 根据策划的时间间隔， 或者当安全设施发生 重大变化时， 对组织管理信息安全的方法及 其实施情况进行独立评审？ A.6.2A.6.2外部

6、相关方外部相关方目标目标识别外部相关方访问的风险，明确对外部相关方访问控制的要求， 并控制外部相关方带来的风险，保持被外部相关方访问、处理、共 享、管理的组织信息及信息处理设施的安全。 识别外部相关方访问的风险，明确对外部相关方访问控制的要求， 并控制外部相关方带来的风险，保持被外部相关方访问、处理、共 享、管理的组织信息及信息处理设施的安全。 A.6.2.1与外部相关方有关 的风险识别 控制根据 Info-Riskmanager 风 险评估的结果。 公司是否识别外部相关方对信息资产和信 息处理设施造成的风险， 并在批准外部相关 方访问信息资产和信息处理设施前实施适 当的控制， 并签署规定访问

7、和工作安排条款 和条件的保密协议？ A.6.2.2处理与顾客相关的 安全问题 控制根据 Info-Riskmanager 风 险评估的结果。 外包责任部门是否是否识别外包活动的风 险， 明确外包活动的信息安全要求， 在外包 合同中明确规定信息安全要求。 在批准顾客 访问组织信息或资产前， 是否该处理所有已 识别的安全要求？ A.7 资产管理A.7 资产管理 标准条款号标题目标控制理由控制要求审核发现 /控制 A.7.1A.7.1资产责任资产责任目标目标对本公司资产（包括顾客要求保密的数据、软件及产品）进行有效 保护。 对本公司资产（包括顾客要求保密的数据、软件及产品）进行有效 保护。 A.7.

8、1.1资产清单控制根据 Info-Riskmanager 风 险评估的结果。 软件部是否组织各部门识别资产， 并根据重 要资产判断准则确定公司的重要资产， 通过 风险管理软件，建立重要资产清单？ A.7.1.2资产所有权控制根据 Info-Riskmanager 风 险评估的结果。 软件部是否组织相关部门识别资产并指定 资产负责人？ A.7.1.3资产的合理使用控制根据 Info-Riskmanager 风 险评估的结果。 是否制定相是否的业务系统是否用管理制 度， 重要设备有使用说明书， 规定了资产的 合理使用规则？ 使用或访问组织资产的员工、 合作方以及第 三方用户是否了解与信息处理设施和

9、资源 相关的信息和资产方面的限制。 并对信息资 源的使用，以及发生在其责任下的使用负 责？ A.7.2A.7.2信息分类信息分类目标目标本公司根据信息的敏感性对信息进行分类，明确保护要求、优先权 和等级，以确保对资产采取适当的保护。 本公司根据信息的敏感性对信息进行分类，明确保护要求、优先权 和等级，以确保对资产采取适当的保护。 A.7.2.1分类指南控制根据 Info-Riskmanager 风 险评估的结果。 本公司是否有信息密级规定划分秘级？ A.7.2.2信息的标识和处理控制根据 Info-Riskmanager 风 险评估的结果。 对于属于企业秘密、 企业机密与国家秘密的 文件， 密

10、级确定部门是否按要求进行适当的 标注？ A.8 人力资源安全A.8 人力资源安全 标准条款号标题目标 /控制 控制理由控制要求审核发现 A.8.1A.8.1聘用前聘用前目标目标对聘用过程进行管理，确保员工、合同方和第三方用户理解其责任， 并且能胜任其任务，以降低设施被盗窃、欺诈或误用的风险。 对聘用过程进行管理，确保员工、合同方和第三方用户理解其责任， 并且能胜任其任务，以降低设施被盗窃、欺诈或误用的风险。 A.8.1.1角色和职责控制根据 Info-Riskmanager 风 险评估的结果。 与信息安全有关的部门的安全职责是否明 确规定？ A.8.1.2筛选控制根据 Info-Riskman

11、ager 风 险评估的结果。 人力资源部是否负责对初始录用员工进行 能力、 信用考察， 每年对关键信息安全岗位 进行年度考察， 对于不符合安全要求的不得 录用或进行岗位调整？ A.8.1.3雇佣条款和条件控制根据 Info-Riskmanager 风 险评估的结果。 公司是否规定了员工、 合同方以及第三方的 聘用条款和条件？ A.8.2A.8.2聘用期间聘用期间目标目标确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关审核发现 系、他们的职责和义务、并准备好在其正常工作过程中支持组织的 安全方针，并且减少人为错误的风险。 系、他

12、们的职责和义务、并准备好在其正常工作过程中支持组织的 安全方针，并且减少人为错误的风险。 A.8.2.1管理职责控制根据 Info-Riskmanager 风 险评估的结果。 公司管理者是否要求员工、 合作方以及第三 方用户， 加强信息安全意识， 依据建立的方 针和程序来应用安全？ A.8.2.2信息安全教育和培 训 控制根据 Info-Riskmanager 风 险评估的结果。 与 ISMS 有关的所有员工，有关的第三方访 问者，是否接受安全意识、方针、程序的培 训。 方针、 程序变更后是否及时传达到全体 员工。 人力资源部通过组织实施培训， 确保 员工安全意识的提高与有能力胜任所承担 的信

13、息安全工作？ A.8.2.3惩戒过程控制根据 Info-Riskmanager 风 险评估的结果。 违背组织安全方针和程序的员工公司是否 将根据违反程度及造成的影响进行处罚， 处 罚在安全破坏经过证实地情况下进行？ A.8.3A.8.3聘用中止或变化聘用中止或变化目标目标确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。 确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。 A.8.3.1终止责任控制根据 Info-Riskmanager 风 险评估的结果。 在员工离职前和第三方用户完成合同时， 是 否进行明确终止责任的沟通？ A.8.3.2资产归还控

14、制根据 Info-Riskmanager 风 险评估的结果。 员工离职或工作变动前， 是否办理资产归还 手续，然后方能办理移交手续？ A.8.3.3解除访问权限控制根据 Info-Riskmanager 风 险评估的结果。 员工离职或工作变动前， 是否解除对信息和 信息处理设施访问权限， 或根据变化作相是 否的调整？ A.9 物理与环境安全A.9 物理与环境安全 标准条款号标题目标 /控制 控制理由控制要求审核发现 A.9.1A.9.1安全区域安全区域目标目标防止对组织办公场所和信息的未授权访问、损坏和干扰。防止对组织办公场所和信息的未授权访问、损坏和干扰。是 A.9.1.1实物安全周界控制根

15、据 Info-Riskmanager 风 险评估的结果。 本公司安全区域是否分为一般安全区域与 特别安全区域， 特别安全区域包括机房和监 控机房、机要室？ 。 是 A.9.1.2物理进入控制控制根据 Info-Riskmanager 风 险评估的结果。 进出公司大院是否有门卫保安控制？ 员工是否凭工作牌进入办公区。 是否经过授 权的长期访问第三方 出入证 进入被授权 的工作区域？ 是 A.9.1.3办公室、房间和设 施的安全 控制根据 Info-Riskmanager 风 险评估的结果。 特别安全区域内的办公室、 房间和设施是否 进行必要的控制， 以防止火灾、 盗窃或其它 形式的危害？ 是 A

16、.9.1.4防范外部和环境威 胁 控制根据 Info-Riskmanager 风 险评估的结果。 机房设备是否安装在距墙、 门窗有一定距离 的地方。并具有防范火灾、水灾、雷击等自 然、人为灾害的安全控制措施？ 是 A.9.1.5在安全区域工作控制根据 Info-Riskmanager 风 险评估的结果。 公司是否建立相关制度， 明确规定员工、 第 三方人员在有关安全区域工作的基本安全 要求， 并要求员工、 第三方人员严格遵守？ 是 A.9.1.6公共访问、交付和 装载区 控制根据 Info-Riskmanager 风 险评估的结果。 公司是否设立设置前台接待处接待外来人 员，前台与特别安全区域予以隔离？ 是 A.9.2A.9.2设备安全设备安全目标目标防止资产的损失、损坏或丢失及业务活动的中断。防止资产的损失、损坏或丢失及业务活动的中断。 A.9.2.1设备的定位和保护控制根据 Info-Riskmanager 风 险评估的结果。 设备使用部门是否负责对设备进行定置管 理或保护好， 采取措施以降低来自环境威胁 和危害的风险以及未经授权访问的机会？ 是 A.9.2.3电