ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx

上传人:夺命阿水 文档编号:365176 上传时间:2023-04-28 格式:DOCX 页数:33 大小:133.40KB
返回 下载 相关 举报
ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx_第1页
第1页 / 共33页
ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx_第2页
第2页 / 共33页
ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx_第3页
第3页 / 共33页
ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx_第4页
第4页 / 共33页
ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全年度内部审核计划+检查表+内审报告全套资料.docx(33页珍藏版)》请在课桌文档上搜索。

1、年度内部审核计划编号:ISMS-D-03-1审核日期:2020年5月审核目的:验证本公司的ISMS是否符合IS0IEC27001:2013版,以及公司信息安全管理体系文件的要求,信息安全管理体系是否得到有效实施,是否具备申请第三方IS0IEC27001:2013认证注册的条件。被审核部门:信息安全管理体系所涉及的部门和过程审核依据:ISO/IEC27001:2013;公司ISMS体系手册、文件审核方法:按部门审核。备注:编制/日期:2020-5-5审批/日期:2020-5-5内部审核计划表编号:ISMS-D-03-21.审核目的:验证本公司的ISMS是否符合ISOIEC27001:2013版,

2、以及公司信息安全管理体系文件的要求,信息安全管理体系是否得到有效实施,是否具备申请第三方IS0IEC27001:2005认证注册的条件。2.审核依据:IS0/IEC27001:2013;公司ISMS体系手册、文件3.审核范围:信息安全管理体系所涉及的部门和过程4.审核时间:2020.5.208:00-17:005.审核组成员:*6.现场审核期间被审核方有关人员参加下列活动:首、末次会议:最高管理者及管理者代表和审核有关的管理人员参加。审核活动:按审核日程安排,被审核方有关人员在本岗位。7.审核安排:日期时间安排审核部门审核条款审核人员09-208:00-10:00首次会议全体人员10:00-1

3、6:00总经理,管理者代表,信息安全委员会A.6.1.1,4,5,6,7.1,7.4,8,9,A.5,A.6.1,A.8.2,A.10.1,A17BC人力资源部A.6.1.1,7.5,10,A.7,A.8,A.9.2,A.10.1,A.1L1,A.11.2,A.12.2,A.12.3,A.13.2,A.16.1.1,A.16.1.2,A16.1.3,A.18A.7.1,7.2,7.3C信息管理部A.6.1.1,6.L8,A.6.2,A.8.1,A.8.3,A.9,A.10,A.11.2,A.12.1-A.l2.7,A.13,A.14.1,A.14.2A.14.3,A.16B人力资源部A.6.1

4、.1,A.8.1,A.8.3,A.9.2,A.12.2,A.12.3,A13,A.16.1.1-A.16.1.3A.15B信息管理部A.6.1.1,A8.1,A.8.3,A.9.2,A.12.3,A16.1.1-A.16.1.3B财务部A.6.1.1,A.8.1,A.8.3,A.9.2,A.12.3,A.16.1.1-A.16.1.3C16:00-16:30审核组总结16:30-16:50与受审核方交换意见16:50-17:00末次会议编制:审核:批准:日期:2020.1.10内部审核检查表编号:ISMSD-033第3页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月

5、20日条款号核查问题符合性核查说明4.组织环境4.1理解组织及其环境组织是否确定与其意图相关且影响其达到ISMS预期结果能力的外部和内部情况?4.2理解相关方的需求和期望组织是否确定:a)与ISMS有关的相关方?b)这些相关方的信息安全要求?4.3明确信息安全管理体系的范围组织是否通过确定ISMS的边界和适用性来建立其范围?组织在确定范围时是否考虑:a)在4.1中涉及的外部和内部因素?b)在4.2中涉及的要求?c)组织活动与其他组织的活动之间的接口和依赖关系?d)该范围是否为可获得的存档信息?4.4信息安全管理体系组织是否根据本国际标准的要求,建立,实施,保持和持续改进一个信息安全管理体系?5

6、领导5.1领导和承诺最高管理者是否通过以下方式来证明其在ISMS方面的领导力和承诺:a)确保已经为信息安全管理体系制定了方针和目标并确保方针和目标与组织的战略方向是一致的?b)确保信息安全管理体系的要求纳入组织的业务过程中?c)确保信息安全管理体系所需的资源可用?0就信息安全管理的有效性和符合ISMS要求的重要性进行传达?e)确保信息安全管理体系达到预期结果?f)指导和支持员工为ISMS的有效性作贡献?g)推动持续改进?h)支持其他相关管理角色在其职责领域内展示其领导作用和承诺。?5.2方针最高管理者是否建立信息安全方针?该方针:a)符合组织的宗旨:内部审核检查表编号:ISMSQO33第4页共

7、32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明b)包含信息安全目标(见6.2)或为信息安全目标的制定提供框架;c)包含满足适应信息安全要求的承诺;d)包含对ISMS进行持续改进的承诺:信息安全方针是否:e)为可获得的存档信息?f)在组织内部传达?适当时使相关方能够获得?5.3组织角色、职责和权力最高管理者是否该确保相关角色的职责和权限在组织内部被授权和传达?最高管理者应分配职责和职权以:a)确保信息安全管理体系符合本国际标准的要求?b)向最高管理者报告ISMS的绩效?6计划6.1处置风险和机遇6.L1总则当进行ISMS策划时,组织是否

8、考虑4.1提到的因素和4.2提到的要求?并确定需要应对的风险和机会以:a)确保信息安全管理体系能够达到预期结果;b)防止或减少不良影响;c)实现持续改进:组织是否策划:d)应对风险和机会的措施?e)如何:1) 将这些措施在ISMS的过程中进行整合和实施?2) 评估这些措施的有效性?6.L2信息安全风险评估组织是否定义并应用一个信息安全风险评估的过程?过程要:a)建立和保持信息安全风险准则,包括:内部审核检查表编号:ISMSQO33第5页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明1) 风险接受准则?2) 执行信息安全风险评估的准则

9、?b)确保重复进行的信息安全风险评估活动能够产生一致的,有效的和可比较的结果?c)识别信息安全风险:D应用信息安全风险评估过程以识别信息安全管理体系范围内与信息的保密性,完整性和可用性丧失有关的风险?3) 识别风险的责任人?d)分析信息安全风险:1) 评估是否在6.1.2c)D部分所识别的风险发生时可能的后果?2) 评估6.1.2c)1)部分所识别的风险发生的现实可能性?3) 确定风险的级别?e)评价信息安全风险:1) 将风险分析的结果与6.1.2a)中所建立的风险准则进行比较?2) 对分析后的风险进行优先级的排序以进行风险处置?组织是否保留信息安全风险评估过程的存档信息?6.1.3信息安全风

10、险处置组织是否定义和应用一个信息安全风险处置的过程以:a)在考虑风险评估结果的基础上,选择适当的信息安全风险处置选项?b)确定实施已选择的信息安全风险处置选项所需要的所有控制措施?c)将6.1.3b)中选择的控制措施与附录中的控制措施进行比较以确认没有任何必要的控制措施被遗漏?d)准备一个适用性声明SOA,其中要包括必要的控制措施(见6.1.3b)andc)并进行调整,决定是否实施它们,以及对附录A中的控制措施进行删减?e)制定一个信息安全风险处置计划?f)获得风险责任人对风险处置计划以及接受剩余信息安全风险的审批?内部审核检查表编号:ISMSQO33第6页共32页受审核部门/场所:管理层陪同

11、人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明组织是否保留信息安全风险处置过程的存档信息?6.2信息安全目标的计划和实现组织是否在相关的职能和层级建立信息安全目标?信息安全目标应:a)与信息安全方针保持一致:b)是可测量的(如果可行);c)考虑适用的信息安全要求,以及风险评估和风险处置的结果;d)被传达;e)适当时被更新:组织应保留信息安全目标的存档信息;当计划如何达成其信息安全目标时,组织是否确定:f)要做什么?g)需要什么资源?h)谁将负责?i)什么时候完成?j)怎样评估结果?7支持7.1资源组织是否确定并提供建立、实施、保持和持续改进ISMS所需的资源?7.4沟

12、通组织是否确定与ISMS有关的内部和外部沟通的需求?包括:a)沟通的内容:b)沟通的时机;c)沟通的对象;d)由谁沟通:e)沟通所依据的过程:8实施内部审核检查表编号:ISMSQO33第7页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明8.1运行计划和控制组织是否通过以下方式策划、实施和控制为满足要求所需要的过程,并实施6.1中所确定的措施?组织是否实施计划以达到6.2中确定的信息安全目标?组织是否为了确定过程按计划进行,在必要的范围内保留存档信息?组织是否控制计划内的变更以及评审非预期的变更带来的结果,必要时采取行动减轻负面影响?

13、组织是否确保外包过程的受控?8.2信息安全风险评估是否按照计划的时间间隔或当重大变化发生时进行信息安全风险评估?是否保留信息安全风险评估结果的存档信息?8.3信息安全风险处置是否实施信息安全风险处置计划?是否保留信息安全风险处置结果的存档信息?9绩效评价9.1监视、测量、分析和评价是否评价ISMS绩效和ISMS的有效性?a)需要被监视和测量的内容,包括信息安全过程和控制措施;b)监视、测量、分析和评价方法,确保得到有效的结果:注:选择的方法宜产生可比较和可再现的有效结果;c)何时进行监视和测量;d)谁应进行监视和测量:e)何时进行监视和测量结果的分析和评价:f)谁应对这些结果进行分析和评价。是

14、否保留适当的存档信息作为监视和测量结果的证据?9.2内部审核是否按计划的时间间隔进行内部审核?提供的信息是否满足以下要求:a)符合:1)组织自身对ISMS的要求;内部审核检查表编号:ISMSQO33第8页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明2)本标准的要求。b)得到有效的实施和保持。c)策划、建立、实施和保持一个或多个审核方案,包括频次、方法、职责、策划要求和报告。审核方案应考虑到所关注过程的重要性和以往审核的结果:d)确定每次审核的审核准则和范围:e)审核员的选择和审核的执行应确保审核过程的客观性和公正性;f)确保审核结

15、果被报告给相关管理层;g)保留执行审核方案和审核结果的存档信息作为证据。9.3管理评审是否按计划的时间间隔评审组织的ISMS,以确保其持续适宜、充分和有效?是否考虑以下内容:a)以往管理评审措施的状态;b)与信息安全管理体系有关的外部和内部因素的变化:c)信息安全绩效的反馈,包括以下方面的趋势:1)不符合项及纠正措施;2)监视和测量结果;3)审核结果:4)信息安全目标完成情况。d)相关方的反馈:e)风险评估结果和风险处置计划的状态;f)持续改进的机会输出是否包括与持续改进机会相关的决定以及对ISMS变更的需求?是否保留存档信息作为管理评审结果的证据?A.5信息安全方针A.5.1信息安全管理指引

16、目标:依据业务要求和相关法律法规提供管理指导并支持信息安全内部审核检查表编号:ISMSD-033第9页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明A.5.1.1信息安全方针信息安全方针是否由管理者制定、批准、发布并传达给员工和外部相关方?A.5.1.2信息安全方针的评审是否计划的时间间隔或当重大变化发生时进行信息安全方针的评审,以确保持续的适宜性、充分性和有效性?A.6信息安全组织A.6.1内部组织目标:建立管理框架以发起和控制组织内信息安全的实施和运行。A.6.1.1信息安全角色和职责所有的信息安全职责是否定义并分配?A.8.2

17、信息分类目标:依照信息重要性分级,确保信息受到分级保护。A.8.2.1信息分级是否依照其对组织的价值,法律要求,敏感性和关键性分类?.8.2.2信息的标记根据组织采用的信息分类方案,是否制定并实施一套信息标记流程?A.8.2.3资产处置根据组织采用的信息分类方法,是否制定并实施一套资产处理流程?A.10加密技术A.10.1加密控制目标:使用加密控制适当有效的保护信息的机密性、真实性和完整性。A.10.1.1加密使用控制政策:是否制定和实施信息保护加密控制策略?A.10.L2密钥管理:是否制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期?A.17.1信息安全的连续性目标:信息安全的连续

18、性应嵌入组织的业务连续性管理体系(BCMS)A.17.1.1信息安全连续性策划组织是否确定其在不利情况下的信息安全和信息安全管理的连续性要求,如在危机或灾难时?A.17.1.2实施信息安全连续性组织是否建立,记录,实施,维护过程、程序、控制措施,以保持在不利情况下信息安全连续性要求的等级?A.17.1.3验证,评审和评价信息安全连续性组织是否定期验证其建立和实施的信息安全连续性控制措施,以确保他们在不利情况下是有效和生效的?A.17.2冗余目标:确保信息处理设施的可用性。A.17.2.1信息处理设施的可用性信息处理设施是否当实施足够的冗余,以满足可用性需求?第10页共32页内部审核检查表编号:

19、ISMSD033受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明7支持7.2能力组织是否通过以下措施保证人员能力:a)根据绩效影响,确定其管理下的工作人员应具备的必要能力?b)确保人员在适当的教育、培训和实践经验的基础上能够胜任?c)在适用的情况下,采取措施以获得必要的能力,并评估所采取措施的有效性?d)保留适当的存档信息作为能力的证据?7.3意识在组织管理下的工作人员是否了解:a)信息安全方针?b)他们对ISMS有效性的贡献,包括改进信息安全管理绩效带来的益处?c)不符合ISMS要求的后果?7.5文档要求7.5.1总则信息安全管理体系是否包

20、括:a)本标准所要求的存档信息?b)由组织确定的为实现ISMS绩效而必须的存档信息?7.5.2创建和更新在创建和更新存档信息时,是否满足以下要求?a)标识和描述(如标题、日期、作者或编号);b)格式(例如语言、软件版本、图形)、介质(例如纸质、电子的);c)对适宜性和充分性的评审和审批。7.5.3存档信息的管理ISMS和本国际标准所要求的存档信息是否受控?a)在需要使用的地点和时间是可用的和适宜的;b)得到切实的保护(例如丧失保密性、使用不当或失去完整性)。内部审核检查表编号:ISMS-D-03-3第11页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核

21、查问题符合性核查说明适当时,组织应采取以下措施对存档信息进行控制:C)分发、访问,获取和使用:d)存储和保存,包括保护可读性;e)变更控制(例如版本控制);f)保留和处置;在ISMS的策划和运行中所必须的外来存档信息是否被识别和控制?IO改进10.1不符合项和纠正措施当不符合发生时,组织是否:a)对不符合做出反馈,并且,适当时:1)采取措施进行控制和纠正;2)对结果进行处理。b)评估为消除不符合的原因所采取措施的需求,为了防止不符合在别处出现或再现,可采取下列方法:1)评审不符合;2)确定引起不符合的原因;3)确定是否存在或有可能出现类似不符合;c)实施需要的任何措施:d)评审所采取的任何纠正

22、措施的有效性:e)必要时,对ISMS进行变更。纠正措施是否与所遇到不符合的影响程度相适应?组织是否保留下列存档信息作为证据:f)不符合的性质和任何所采取的后续措施;受审核部内部审核检查表编号:ISMSD0331门/场所:管理层陪同人:审核人:*审核时间:2020年5月第12页共32页20日条款号核查问题符合性核查说明g)各项纠正措施的结果。10.2持续改进是否持续改进ISMS的适宜性、充分性和有效性?A.6信息安全组织A.6.1内部组织目标:建立管理框架以发起和控制组织内信息安全的实施和运行。A.6.Ll信息安全角色和职责所有的信息安全职责是否定义并分配?A.7人力资源安全A.7.1任用前目标

23、:确保雇员和承包方人员理解其职责,并适合其考虑承担的角色。A.7.L1审查是否按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行?A.7.L2任用条款和条件雇员和承包方人员的合同协议应声明他们和组织的信息安全职责?A.7.2任用中目标:确保展员和承包方人员知悉并遵守他们的信息安全职责。A.7.2.1管理职责是否要求所有雇员和承包方人员按照组织已建立的方针策略和规程对信息安全尽心尽力?A.7.2.2信息安全意识、教育和培训组织的所有雇员,适当时,包括承包方人员是否受到与其工作职能相关的适当的意识教育和培训以及组织方针策略和规程的定期更新培训?A.7.2.3纪律处理过程

24、对于信息安全违规的雇员,是否有一个正式的已传达的纪律处理过程?A.7.3任用终止和变更目标:作为任用变化或终止过程的一部分保护组织的利益。A.7.3.1终止或改变任用职责在任用终止或变化后是否仍保持有效的信息安全职责和义务应被定义、传达给雇员或承包方人员并执行?A.8资产管理A.8.1资产的责任目标:实现和保持对组织资产的适当保护。.8.Ll资产清单是否确定与信息和信息处理设施相关的资产,编制并维护资产清单?A.8.L2资产责任人是否明确清单中的资产应有资任人?A.8.1.3资产的可接受使用与信息处理设施有关的信息和资产可接受使用规则是否被确定、形成文件,并加以实施?A.8.L4资产归还所有的

25、雇员和第三方人员,在终止任用、合同或协议时,是否归还他们使用的所有组织信息资受审核部内部审核检查表编号:ISMSD0331门/场所:管理层陪同人:审核人:*审核时间:2020年5月第13页共32页20日条款号核查问题符合性核查说明产?A.8.2信息分类目标:依照信息重要性分级,确保信息受到分级保护。A.8.2.1信息分级是否依照其对组织的价值,法律要求,敏感性和关键性分类?A.8.2.2信息的标记根据组织采用的信息分类方案,是否制定并实施一套信息标记流程?A.8.2.3资产处置根据组织采用的信息分类方法,是否制定并实施一套资产处理流程?A.8.3介质处理目标:为了防止存储在介质上的信息被未经授

26、权的披露,修改,删除或破坏。A.8.3.1可移动介质的管理是否根据组织采用的分类方法来执行可移动介质管理流程?A.8.3.2介质的处置不再需要的介质,是否使用正式的规程可靠并安全地处置?A.8.3.3物理介质的传输在传输过程中,包含信息的介质是否加以保护,防止未经授权的访问,滥用或损坏?A.9访问控制A.9.2用户访问管理目标:确保授权用户访问系统和服务,并防止未授权的访问。A.9.2.1用户的注册和注销是否实施一套正式的注册与注销的流程,来用户访问权限的分配?A.9.2.2用户访问的提供是否为所有系统和服务中的所有类型用户的访问权限,实施一套分配和回收的流程?A.9.2.3特权管理是否限制和

27、控制特殊权限的分配及使用?.9.2.4用户秘密认证信息的管理是否使用正式的管理流程来控制秘密认证信息的分配?A.9.2.5用户访问权的复查资产所有者是否当定期审查用户的访问权限?A.9.2.6移除或调整访问权限当合同或协议终止后,是否删除或调整所有工作人员和外部人员用户信息和信息处理设施的访问权限?A.10加密技术A.10.1加密控制目标:使用加密控制适当有效的保护信息的机密性、真实性和完整性。A.10.1.1加密使用控制政策是否制定和实施信息保护加密控制策略?A.10.1.2密钥管理是否制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期?A.11物理和环境安全A.11.1安全区域目标

28、:阻止对组织场所和信息的未授权物理访问、损坏和干扰。A.ILLl物理安全边界是否设置和使用安全边界来保护包含敏感信息,关键信息和信息处理设施的区域?受审核部内部审核检查表编号:ISMSD0331门/场所:管理层陪同人:审核人:*审核时间:2020年5月第14页共32页20日条款号核查问题符合性核查说明A.11.1.2物理入口控制安全区域是否由适合的入口控制所保护,以确保只有授权的人员才允许访问?A.11.1.3办公室,房间和设施的安全保护是否为办公室、房间和设施设计并采取物理安全措施?A.IL1.4外部和环境威胁的安全防护是否设计并采取物理安全措施来防范自然灾害,恶意攻击或事故?A.U.L5在

29、安全区域工作是否设计和应用用于安全区域工作的物理保护措施和指南?AJLL6交付和装载区域访问点(例如交接区)和未授权人员可进入办公场所的其他点是否加以控制,如果可能,是否与信息处理设施隔离,以避免未授权访问?A.11.2设备安全目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.11.2.1设备的安置和保护是否妥善安置及保护设备,以减少来自环境的威胁与危害以及未经授权的访问?AJL2.2支持性设备是否保护设备使其免于支持性设施的失效而引起的电源故障和其他中断?A.11.2.3布缆安全是否保护传输数据或支持信息服务的电力及通讯电缆,免遭拦截或破坏?A.11.2.4设备维护设备是

30、否予以正确地保护,以确保其持续的可用性和完整性?A.11.2.5资产的移动设备、信息或软件在带出组织之前是否授权?.11.2.6组织场所外设备和资产的安全是否对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险?A.H.2.7设备的安全处置和再利用包含储存介质的设备的所有项目是否进行核查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖?A.11.2.8无人值守的用户设备是否确保无人值守的用户设备有适当的保护?A.IL2.9清空桌面和屏幕策略是否采取清空桌面上的文件、可移动存储介质的策略和清空信息处理设备屏幕的策略?X发现电脑标号H006未执行清屏策略A.12操作安全

31、A.12.2防范恶意软件目标:确保信息和信息处理设施不受恶意软件侵害。A.12.2.1控制恶意软件是否实施恶意软件的检测、预防和恢复的控制措施,以及适当的提高用户安全意识?A.12.3备份目标:防止数据丢失。A.12.3.1信息备份是否根据既定的备份策略第份信息,软件和系统映像,并定期测试?A.13.2信息传输目标:维护组织与任何外部实体的信息传输安全。A.13.2.1信息传输的策略和程序是否建立正式的传输策略,流程和控制措施,以保证所有类型的通信设施间的信息传输安全?A.13.2.2信息传输协议是否建立组织与外部方传输商业信息的安全传输协议?内部审核检查表编号:ISMSQo33第15页共32

32、页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明A.13.2.3电子消息涉及电子消息的信息是否适当保护?A.13.2.4保密或不泄露协议是否确定组织信息保护需要的保密性或不泄露协议的要求,定期审查并记录?A.16信息安全事件管理A.16.1信息安全事件的管理和改进目标:确保一致和有效的方法来管理信息安全事件,包括对事态和弱点的沟通。A.16.1.1职责和程序是否建立管理职责和程序,以确保快速、有效和有序地响应信息安全事件?A.16.1.2报告信息安全事态信息安全事态是否尽可能快地通过适当的管理渠道进行报告?A.16.1.3报告信息安全弱点是

33、否要求使用组织信息系统和服务的所有员工和合同人员,记录并报告任何他们观察到的或可疑的系统或服务中的安全弱点?A.18符合性A.18.1法律和合同规定的符合性A.18.11识别适用的法律和合同的要求对每个信息系统和组织而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织所采取的方法,是否加以明确地定义,形成文件,并保持更新?A.18.12知识产权(IPR)是否实施适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同要求?A.18.13记录的保护记录是否按照法律,法规,合同和业务需求受到保护,以免遭受损失,破坏,篡改,未经授权的访问和擅自发布?A.18.

34、14个人信息与隐私保护适用时,是否依照相关的法律、法规和合同条款的要求,确保隐私和个人可识别信息的保护?A.18.15加密控制措施法规使用密码控制措施是否遵从相关的协议、法律和法规?A.18.2信息安全评审目标:确保信息安全设施依照组织的策略和程序运行和实施。A.18.2评审1信息安全独立组织管理信息安全的方法及实施(例如信息安全的控制目标、控制措施、策略、过程和规程)是否按照计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审?.18.2和标准2符合安全策略管理者是否定期审查其职责范围内的信息处理和规程被正确的执行,以确保符合安全策略、标准和其他安全要求?A.18.23技术

35、符合性检查信息系统是否被定期检查是否符合组织信息安全策略和标准?内部审核检查表编号:ISMS-D-03-3第16页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明6计划6.1处置风险和机遇6.L1总则当进行ISMS策划时,组织是否考虑4.1提到的因素和4.2提到的要求?并确定需要应对的风险和机会以:a)确保信息安全管理体系能够达到预期结果;b)防止或减少不良影响;c)实现持续改进:组织是否策划:d)应对风险和机会的措施?e)如何:1) 将这些措施在ISMS的过程中进行整合和实施?2) 评估这些措施的有效性?6.L2信息安全风险评估组织

36、是否定义并应用一个信息安全风险评估的过程?过程要:a)建立和保持信息安全风险准则,包括:1) 风险接受准则?2) 执行信息安全风险评估的准则?b)确保重复进行的信息安全风险评估活动能够产生致的,有效的和可比较的结果?c)识别信息安全风险:D应用信息安全风险评估过程以识别信息安全管理体系范围内与信息的保密性,完整性和可用性丧失有关的风险?3) 识别风险的责任人?d)分析信息安全风险:1)评估是否在6.1.2c)1)部分所识别的风险发生时可能的后果?内部审核检查表编号:ISMS-D-03-3第17页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性

37、核查说明2) 评估6.1.2c)1)部分所识别的风险发生的现实可能性?3) 确定风险的级别?e)评价信息安全风险:1) 将风险分析的结果与6.1.2a)中所建立的风险准则进行比较?2) 对分析后的风险进行优先级的排序以进行风险处置?组织是否保留信息安全风险评估过程的存档信息?6.1.3信息安全风险处置组织是否定义和应用一个信息安全风险处置的过程以:a)在考虑风险评估结果的基础上,选择适当的信息安全风险处置选项?b)确定实施已选择的信息安全风险处置选项所需要的所有控制措施?c)将6.1.3b)中选择的控制措施与附录A中的控制措施进行比较以确认没有任何必要的控制措施被遗漏?d)准备一个适用性声明S

38、OA,其中要包括必要的控制措施(见6.1.3b)andc)并进行调整,决定是否实施它们,以及对附录A中的控制措施进行删减?e)制定一个信息安全风险处置计划?D获得风险责任人对风险处置计划以及接受剩余信息安全风险的审批?组织是否保留信息安全风险处置过程的存档信息?8实施8.1运行计划和控制组织是否通过以下方式策划、实施和控制为满足要求所需要的过程,并实施6.1中所确定的措施?组织是否实施计划以达到6.2中确定的信息安全目标?组织是否为了确定过程按计划进行,在必要的范围内保留存档信息?组织是否控制计划内的变更以及评审非预期的变更带来的结果,必要时采取行动减轻负面影响?组织是否确保外包过程的受控?内

39、部审核检查表编号:ISMS-D-03-3第18页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明8.2信息安全风险评估是否按照计划的时间间隔或当重大变化发生时进行信息安全风险评估?是否保留信息安全风险评估结果的存档信息?8.3信息安全风险处置是否实施信息安全风险处置计划?是否保留信息安全风险处置结果的存档信息?A.6信息安全组织A.6.1内部组织目标:建立管理框架以发起和控制组织内信息安全的实施和运行。A.6.L1信息安全角色和职责所有的信息安全职贲是否定义并分配?A.6.2移动设备和远程办公目标:确保远程工作和使用移动设备的安全。A

40、.6.2.1移动设备策略是否采用策略和支持安全措施,以管理使用移动设备引起的风险?A.6.2.2远程工作是否实施策略和支持安全措施,保护在远程工作站点的信息访问、处理或存储?A.8资产管理A.8.1资产的责任目标:实现和保持对组织资产的适当保护。A.8.1.1资产清单是否确定与信息和信息处理设施相关的资产,编制并维护资产清单?A.8.L2资产责任人是否明确清单中的资产应有责任人?A.8.L3资产的可接受使用与信息处理设施有关的信息和资产可接受使用规则是否被确定、形成文件,并加以实施?.8.1.4资产归还所有的雇员和第三方人员,在终止任用、合同或协议时,是否归还他们使用的所有组织信息资产?A.8

41、.3介质处理目标:为了防止存储在介质上的信息被未经授权的披露,修改,删除或破坏。A.8.3.1可移动介质的管理是否根据组织采用的分类方法来执行可移动介质管理流程?.8.3.2介质的处置不再需要的介质,是否使用正式的规程可匏并安全地处置?A.8.3.3物理介质的传输在传输过程中,包含信息的介质是否加以保护,防止未经授权的访问,滥用或损坏?A.9访问控制A.9.1访问控制的业务需求目标:限制访问信息和信息处理设施。.9.1.1访问控制策略是否建立一个访问控制策略,并基于业务和访问的安全要求进行评审?内部审核检查表编号:ISMS-D-03-3第19页共32页受审核部门/场所:管理层陪同人:审核人:*审核时间:2020年5月20日条款号核查问题符合性核查说明A.9.1.2网络和网络服务的访问控制是否只提供用户已授权的网络访问与网络服务?A.9.2用户访问管理目标:确保授权用户访问系统和服务,并防止未授权的访问。A.9.2.1用户的注册和注销是否实施套正式的注册与注销的流程,来用户访问权限的分配?A.9.2.2用户访问的提供是否为所有系统和服务中的所有类型用户的访问权限,实施一套分配和回收的流程?A.9.2.3特权管理

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号