《ISO177992005SANSAuditCheckList(CN)信息安全管理》由会员分享,可在线阅读,更多相关《ISO177992005SANSAuditCheckList(CN)信息安全管理(32页珍藏版)》请在金锄头文库上搜索。
1、ISO IEC 27002:2005 审计清单 4/08/2009 信息安全管理ISO/ IEC 27002:2005(ISO/ IEC 27001:2005)SANS Audit Check ListAuthor: Val Thiagarajan B.E., M.Comp, CCSE, MCSE, SFS, ITS 2319, IT Security Specialist.Status: FinalLast updated: 3rd May 2006Owner: SANSPermission to use extracts from ISO 17799:2005 was provided b
2、y Standards Council of Canada, in cooperation with IHS Canada. No further reproduction is permitted without prior written approval from Standards Council of Canada. Documents can be purchased at www.standardsstore.ca.目录安全方针4信息安全方针4信息安全的组织5内部组织5外部组织6资产管理7对资产的责任7信息分类7人力资源安全8雇佣前8雇佣中8雇佣终止或变更9物理和环境安全9安全区
3、域9设备安全10通讯和操作管理12操作程序和职责12第三方服务交付管理13系统规划与验收13防范恶意代码和移动代码14备份14网络安全管理14介质处置15信息交换15电子商务服务16监督17访问控制18访问控制的业务要求18用户访问管理18用户责任19网络访问控制20操作系统访问控制21应用和信息访问控制22移动计算和远程工作22信息系统的获取、开发和维护23信息系统安全要求23应用的正确处理23加密控制24系统文件安全25开发和支持过程的安全25技术脆弱点管理26信息安全事故管理27报告信息安全事件和弱点27信息安全事故的管理和改进27业务连续性管理28业务连续性管理的信息安全方面28符合性
4、29符合法律法规要求29符合安全方针、标准,以及技术符合性31信息系统审核的考虑因素31参考资料32信息安全管理 ISO IEC 27002:2005 审计清单审计人员:_ 审计日期:_信息安全管理 ISO IEC 27002:2005 审计清单参考审计范围、目标和问题结果清单章节条款审计问题发现符合性安全方针1.15.1信息安全方针1.1.15.1.1信息安全方针文件l 是否存在经过管理层批准的信息安全方针,发布并传达给所有员工?l 安全方针是否陈述了管理承诺,并且设立了信息安全管理的组织目标?1.1.25.1.2信息安全方针的评审l 是否按计划的时间间隔,或者在发生重大变化时评审信息安全方
5、针,以确保方针的持续适合性、充分性和有效性?l 信息安全方针有没有所有者,此人负有经过组织批准的起草、评审和评估安全方针的管理责任?l 有没有制定信息安全方针评审程序,该程序是否包括管理评审的要求?l 有没有考虑/重视管理评审的结果?l 修订的方针有没有得到管理层的批准?信息安全的组织2.16.1内部组织2.1.16.1.1管理层对信息安全的承诺管理层有没有积极支持组织内的安全措施。例如清楚明确的方向,可证实的承诺,明确分配和确认信息安全职责。2.1.26.1.2信息安全协调组织的各个部门有没有指派具有恰当的角色和职责的代表参与协调信息安全活动?2.1.36.1.3信息安全职责分配有没有清晰地
6、识别和定义保护各种资产,以及执行特定安全过程的职责?2.1.46.1.4信息处理设施的授权过程有没有定义和实施对组织内任何新的信息处理设施的管理授权程序?2.1.56.1.5保密协议l 有没有清楚地定义并有规律地评审组织的保密性需求或用于保护信息的保密协议?l 有没有用合适的法律用词指出保护机密信息的需求?2.1.66.1.6与政府部门的联系有没有一个程序描述了在什么情况下,应该由谁联系哪个政府部门,比如公安局、消防局,以及如何报告事故?2.1.76.1.7与特殊利益团体的联系有没有与特殊的利益团体比如专业的安全论坛或者安全专家协会保持恰当的联系?2.1.86.1.8信息安全的独立评审有没有按
7、照计划的时间间隔,或者在安全实施发生重大改变时,对组织的信息安全管理目标及其实现进行独立评审?2.26.2外部组织2.2.16.2.1识别与外部组织相关的风险在外部组织需要访问组织内的信息和信息处理设施时,有没有在授予访问权限前识别访问导致的风险,并采取适当的控制措施?2.2.26.2.2与客户接触时强调安全在授予客户对组织的信息或资产的访问权限前,是否确保所有的安全需求得到了满足?2.2.36.2.3在第三方协议中强调安全第三方协议中有没有要求在访问、处理、通讯、管理组织的信息或信息处理设施,或者往信息处理设施引入产品或服务时,必须符合所有适用的安全要求?资产管理3.17.1对资产的责任3.
8、1.17.1.1资产清单是不是所有的资产都得到识别,有没有维护所有重要资产的清单或者登记表3.1.27.1.2资产责任人每个已识别的资产都有责任人,和一个已定义且得到一致同意的安全类别,以及定期审核的访问权限3.1.37.1.3资产的可接受使用有没有确定一个信息和资产的可接受使用规定,并实施了该规定3.27.2信息分类3.2.17.2.1分类指南有没有根据信息的价值、法律法规的要求、敏感度和重要性分类信息3.2.27.2.2信息标识和处理有没有根据组织采用的分类标准,制定一系列标识和处理信息的程序人力资源安全4.18.1雇佣前4.1.18.1.1角色和职责l 有没有根据组织的信息安全策略定义并
9、记录员工、承包商和第三方用户的安全角色和职责l 在雇用前过程中有没有就定义的角色和职责与职位的候选人进行明确的沟通4.1.28.1.2审查l 有没有根据相关规定对所有职位、合同商和第三方用户候选者进行背景验证审查l 审查有没有包括身份证明书,所声称的学术和专业资质证明,以及独立的身份检验4.1.38.1.3雇佣条款和条件l 有没有要求员工、合同商和第三方用户签订保密协议,作为雇佣合同的初始条款l 协议有没有包含组织、员工、第三方用户和合同商的信息安全责任4.28.2雇佣中4.2.18.2.1管理职责管理层有没有要求员工、合同商和第三方用户根据组织建立的策略和程序实施安全4.2.28.2.2信息
10、安全意识、教育和培训组织的所有员工,合同方和第三方用户,有没有受到与其工作职能相关的适当的安全意识培训和组织方针及程序的定期更新培训4.2.38.2.3惩戒过程对于违反安全规定的员工有没有正式的惩戒过程4.38.3雇佣终止或变更4.3.18.3.1终止职责有没有清晰规定和分配进行雇佣终止或变更的责任4.3.28.3.2归还资产有没有适当的程序确保当雇佣、合同或协议终止时,员工、合同方和第三方用户归还所使用的组织资产4.3.38.3.3移除访问权限当雇佣、合同或协议终止时,有没有撤销员工、合同方和第三方用户对信息和信息处理设施的访问权限,或根据变化调整物理和环境安全5.19.1安全区域5.1.1
11、9.1.1物理安全边界有没有使用物理边界安全设施(例如门卡控制出入的大门、人工接待台等)来保护信息处理服务5.1.29.1.2物理进入控制有没有适当的进入控制程序确保只有经过授权的人员才可以访问组织内部区域5.1.39.1.3办公室、房间和设施的安全提供信息处理服务的房间有没有上锁或者房内有可锁定的柜子、保险箱5.1.49.1.4防范外部和环境威胁l 有没有设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施l 邻近地点有没有潜在的安全威胁5.1.59.1.5在安全区域工作有没有设计并实施在安全区域工作的物理保护措施和指南5.1.69.1.6公共访问和装卸区域对于
12、装卸或其他未经授权人员可以进入的公共访问区域有没有加以控制,那里的信息处理设施有没有加以隔离以防止非授权的访问5.29.2设备安全5.2.19.2.1设备安置和保护有没有保护设备以减少来自环境的威胁或危害,并减少未经授权访问的机会 5.2.29.2.2支持性设施l 有没有保护设备免受电力中断或其他支持性设施失效所导致的中断l 有没有采取某些持续供电措施,如多路供电、UPS、备用发电机等5.2.39.2.3电缆安全l 有没有保护承载数据或支持信息服务的电力和通讯电缆免遭中断或破坏l 对于敏感或关键的系统,有没有采取进一步的安全控制5.2.49.2.4设备维护l 有没有正确地维护设备以确保其持续可
13、用性和完整性l 设备是不是按照供应商推荐的服务时间间隔和规范进行维护l 是不是只有经过授权的人员才能进行维护l 有没有保存所有可疑的或实际的故障以及所有预防和纠正措施的记录l 对于需要离场维护的设备有没有进行适当的控制l 设备有没有保险,有没有遵守保险方面的要求5.2.59.2.5场外设备安全l 有没有评估场外设备的风险并采取降低风险的控制措施l 在组织外使用信息处理设施有没有得到管理授权5.2.69.2.6设备的安全处置或重用有没有检查所有含存储介质的设备,以确保在销毁或重用设备前物理摧毁或者安全重写所有敏感数据或授权软件5.2.79.2.7资产转移有没有控制措施,确保未经授权,不能将设备、信息和软件带离工作场所通讯和操作管理6.110.1操作程序和职责6.1.110.1.1
