ISO27001-2013内审检查表范例

ISO27001-2013内审检查表,,,,,

适用条款,,审核问题,审核方式,审核发现,审核结果

标准款项,标题,,,,

4,组织环境,,,,

4.1,4.1理解组织及其环境,管理者代表是否了解公司的业务以及行业环境,访谈,,

4.2,4.2理解相关方的需求和期望,检查组织是否了解客户合同中的需求,访谈,,

4.3,4.3确定信息安全管理体系的范围,"检查组织的信息安全管理体系手册中是否有明确管理范围

检查组织的适用性声明，是否针对实际情况做合理删减",访谈,,

4.4,4.4信息安全管理体系,检查组织是否有正式的信息安全管理体系制度,抽样,,

5,领导,,,,

5.1,5.1领导和承诺,组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。,访谈,,

5.2,5.2方针,是否有文件化的管理方针,现场观察,,

5.3,5.3组织角色、职责和权限,是否建立了的信息安全管理组织，并明确其职责及权限,访谈,,

6,规划,,,,

6.1,6.1应对风险和机会的措施,,,,

,6.1.1总则,检查组织是否建立正式的风险评估流程,现场观察,,

,6.1.2信息安全风险评估,是否建立了风险接受准则,现场观察,,

,,风险评估实施情况,现场观察,,

,,抽样最新一次风险评估内容，检查风险是否识别了责任人，风险级别,现场观察,,

,6.1.3信息安全风险处置,检查组织的风险处置计划，风险是否都有风险责任人审批，风险处置方式。,现场观察,,

,6.2信息安全目标和规划实现,检查组织是否建立信息安全目标，信息安全目标与管理方针是否存在关联,现场观察,,

7,支持,,,,

,7.1资源,组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。,访谈,,

,7.2能力,检查组织在岗位说明书中明确信息安全方面的能力要求,现场观察,,

,,检查组织的培训计划，是否有信息安全方面的培训内容,现场观察,,

,7.3意识,随机访谈各部门员工5人，了解其是否知晓最新的信息安全管理体系及相关制度。,访谈,,

,7.4沟通,了解组织与相关方沟通的方式，频率以及沟通的记录,访谈,,

8,运行,,,,

,8.1运行的规划和控制,检查内容详见A5-A18,,,

9,绩效评价,,,,

,9.1监视、测量、分析和评价,检查组织是否有体系有效性测量流程,现场观察,,

,9.2内部审核,检查组织是否建立了内审流程,现场观察,,

,,检查最新的内审活动，是否包含检查清单、检查过程是否有效，对不符项的关闭情况,,,

,9.3管理评审,检查公司的管评计划,,,

,,检查公司最新的管评活动记录,,,

10,改进,,,,

,10.1不符合和纠正措施,检查内容同9.19.2,,,

A.5,安全方针,,,,

A.5.1,信息安全管理方向,,,,

A.5.1.1,信息安全方针,组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。,现场观察,,

A.5.1.2,信息安全方针的评审,获取组织管理评审相关记录，检查管理评审会议中，是否对信息安全方针的达成情况进行了评审。,,,

A.6,信息安全组织,,,,

A.6.1,内部组织,,,,

A.6.1.1,信息安全的角色和职责,是否所有的组织成员都明确自己的信息安全职责?以及对自己信息安全职责的明确程度?信息安全职责的分配是否与信息安全方针文件相一致?,现场观察,,

A.6.1.2,与监管机构的联系,检查体系制度中，是否明确指定了与监管机构联系的部门或负责人,现场观察,,

A.6.1.3,与特殊利益团体的联系,与第三方接洽是否考虑了安全性？是否对相关资质和背景进行考察？,现场观察,,

A.6.1.4,项目管理中的信息安全,"抽样检查本年度已实施完成的项目或正在实施的任意一个项目。

检查项目管理过程中，是否依照组织信息安全管理制度相关要求进行安全管理",现场观察,,

A.6.1.5,职责分离,"检查组织的岗位职责表，检查是否明确定义了职责说明。

检查是否有不兼容岗位设置说明；

检查系统开发、系统测试、系统运维是否由不同人员担任。",现场观察,,

A.6.2,移动设备和远程办公,,,,

A.6.2.1,移动设备策略,"检查公司信息安全管理制度中是否明确的制定了移动设备的安全管理策略；

随机抽样3台移动设备，检查设备的安全管控措施是否与制度相符。",现场观察,,

A.6.2.2,远程办公,检查公司信息安全管理制度中是否明确的制定了远程办公的管理策略；,现场观察,,

A.7,人力资源安全,,,,

A.7.1,任用之前,,,,

A.7.1.1,筛选,随机抽样4名新入职员工的入职材料，检查员工入职前，背景调查的相关记录.,现场观察,,

A.7.1.2,任用的条款及条件,检查这4名新入职员工的劳动合同及是否签署了保密协议。,现场观察,,

A.7.2,任用中,,,,

A.7.2.1,管理职责,随机抽样5名员工，检查是否了解其工作职责。,抽样,,

A.7.2.2,信息安全意识，教育和培训,"获取组织年度的培训计划；

检查年度培训计划中是否包含了信息安全意识培训；

获取当年度信息安全培训的签到表、培训记录",现场观察,,

A.7.2.3,纪律处理过程,"检查组织是否制定了奖惩规则；

获取当年奖惩记录",抽样,,

A.7.3,任用的终止或变化,,,,

A.7.3.1,任用终止或变化的责任,"获取当年离职离岗或转岗人员清单；

随机抽样四份离职或转岗记录，检查所有控制环节是否都被有效实施；",抽样,,

A.8,资产管理,,,,

A.8.1,对资产负责,,,,

A.8.1.1,资产清单,"获取组织的信息资产清单；

检查信息资产清单是否每年都进行更新；",现场观察,,

A.8.1.2,资产责任人,"检查资产清单中各类信息资产是否都指定了责任人；

抽样5份重要的信息资产，验证已定义的信息资产责任人是否与实际相符；",现场观察,,

A.8.1.3,资产的允许使用,了解组织重要系统或数据是否定义了访问规则；检查系统及数据访问的审批或授权记录。,现场观察,,

A.8.2,信息分类,,,,

A.8.2.1,信息的分类,"检查信息资产相关制度，组织是否已定义了资产分类分级的标准；

检查信息资产清单，各类信息资产是否依照规则进行了分类和分级；",现场观察,,

A.8.2.2,信息的标记,随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级,现场观察,,

A.8.2.3,资产的处理,检查信息资产相关制度，制度中是否已明确制定了资产的处理措施；,现场观察,,

A.8.2.4,资产的归还,随机抽取本年度4份离职单，查看物品归还情况,抽样,,

A.8.3,介质处理,,,,

A.8.3.1,可移动介质的管理,现场观察移动存储使用和管控与制度是否相符；,现场观察,,

A.8.3.2,介质的处置,"检查是否建立介质消磁管理办法，并按要求定期进行回顾与更新；

抽查4份介质报废的审批及处置记录",抽样,,

A.8.3.3,物理介质传输,"存有重要信息的介质传送时有哪些策略

抽样策略的实施情况",抽样,,

A.9,访问控制,,,,

A.9.1,访问控制的业务要求,,,,

A.9.1.1,访问控制策略,"检查组织是否建立了系统的访问控制策略；

是否建立了安全或重要区域的访问控制措施",现场观察,,

A.9.1.2,网络服务的使用政策,检查组织是否建立了网络安全域访问控制策略；,现场观察,,

A.9.2,用户访问管理,,,,

A.9.2.1,用户注册和注销,"检查账户开通管控情况：

抽样2份重要业务系统用户帐号开通审批记录

抽样4份新员工帐号开通申请记录",抽样,,

A.9.2.2,特权管理,"检查特权账户授权、使用管控情况：

抽样3份重要系统特权账户授权审批记录

检查特权账户使用是否符合制度要求",抽样,,

A.9.2.3,用户秘密认证信息的管理,检查组织用户口令管理策略，是否对口令生成、发送、变更等环节制定了控制措施。,抽样,,

A.9.2.4,用户访问权的复查,抽样2套重要的服务器用户帐号及权限复查记录；检查账户及权限复查工作是否满足制度要求,抽样,,

A.9.2.5,移除或调整访问权限,随机检查2个重要系统账户清单，检查今年离职用户的账户是否被删除或冻结,抽样,,

A.9.3,用户职责,,,,

A.9.3.1,秘密认证信息的使用,随机检查3名员工电脑，要求其现场登录，观察输入的密码长度及复杂程度,抽样,,

A.9.4,系统和应用程序的访问控制,,,,

A.9.4.1,信息访问限制,"1.公司各类信息是否制定了相应的访问控制措施

2.现场抽查访问控制措施的有效性",抽样,,

A.9.4.2,安全登录程序,检查公司系统登录程序，是否做到输入密码时，不显示密码。密码连续输错N次自动锁定；系统不操作一定时长后自动退出等功能。,抽样,,

A.9.4.3,口令管理系统,"检查域控的密码策略，检查密码设置的长度、复杂程度、修改周期是否符合制度要求；；

随机抽查2个重要系统的用户密码管理策略，检查密码设置的长度、复杂程度、修改周期是否符合制度要求；",抽样,,

A.9.4.4,特权实用程序的使用,抽查公司域控、重要系统中是否存在特权实用程序，这些程序的安全使用是否得到相应的审批,抽样,,

A.9.4.5,程序源码的访问控制,"检查源程序访问控制制度和措施

抽查源程序控制措施，检查其是否符合制度要求",抽样,,

A.10,密码学,,,,

A.10.1,密码控制,,,,

A.10.1.1,密码使用控制政策,检查公司是否制定了加密策略，包括加密的对象、加密的方法、解密的方法等。,抽样,,

A.10.1.2,密钥管理,检查公司对密钥生命是否制定了控制措施。,抽样,,

A.11,物理和环境安全,,,,

A.11.1,安全区域,,,,

A.11.1.1,物理安全边界,重要安全区域是否隔离？,现场观察,,

A.11.1.2,物理入口控制,"现场抽样3份设备进出单

检查职场、机房进出记录?",抽样,,

A.11.1.3,办公室，房间和设施的安全保护,现场查看办公室的防火\防盗措施，检查职场大门是否常闭,抽样,,

A.11.1.4,外部和环境威胁的安全防护,周遍环境的检查(灭火设备、危险物品存放),抽样,,

A.11.1.5,在安全区域工作,"安全区域是否有明确的管控措施

检查是否有员工违背安全区域管控措施的行为",抽样,,

A.11.1.6,交付和交接区,"前台的检查(检查记录是否完备)前台脱岗,保安脱岗.",抽样,,

A.11.2,设备,,,,

A.11.2.1,设备安置和保护,检查设备是否按照要求放在适当的位置?（灭火器材、服务器）,抽样,,

A.11.2.2,支持性设备,检查核心设备是否安置了足够的支持设施（防火、防水、防潮、防断电、防雷电、防盗窃等）,抽样,,

A.11.2.3,布缆安全,检查强电与弱电电缆是否分开部署,抽样,,

A.11.2.4,设备维护,"检查机房巡检记录，

获取UPS、精密空调、消防设施的维护记录；

验证设备维护是否依照制度的要求及频率实施",抽样,,

A.11.2.5,资产的移动,与相关人员访谈，了解资产移动的控制措施；,抽样,,

A.11.2.6,场外设备和资产安全,检查相关制度，是否明确制定了场外设备管控措施；,抽样,,

A.11.2.7,设备的安全处置或再利用,随机抽样下架设备数据清理的记录,抽样,,

A.11.2.8,无人值守的用户设备,现场观察机房中的服务器是否锁屏，机房门是否常闭,现场观察,,

A.11.2.9,清除桌面和清屏策略,随机抽样3名离开工位的员工，观察工位上是否有敏感信息，电脑是否在一定时间内自动锁频,现场观察,,

A.12,操作安全,,,,

A.12.1,操作程序和职责,,,,

A.12.1.1,文件化的操作程序,"检查3份重要系统或设备的操作或维护手册

形成的文件程序是否符合要求?（备份、日志、重置维护等）",抽样,,

A.12.1.2,变更管理,抽样3个重要系统的变更记录?,抽样,,

A.12.1.3,容量管理,"是否对重要设备、系统的容量（CPU、内存、硬盘、网络带宽等）进行了监控？

现场检查监控报警是否都被处置，及处置记录",抽样,,

A.12.1.4,开发，测试和运行环境的分离,"现场检查开发、测试和生产网络是否互通；

开发、测试和生产人员是否为同一人员。",抽样,,

A.12.2,恶意软件防护,,,,

A.12.2.1,控制恶意软件,"抽样5台办公终端，检查是否统一安装了公司规定的防病毒软件；

检查病毒库是否为最新的。",抽样,,

A.12.3,备份,,,,

A.12.3.1,信息备份,"获取备份策略；

依照备份策略，随机抽样3份备份，检查备份记录及备份文件存放情况；

依照备份策略，随机抽样3份备份恢复记录；",抽样,,

A.12.4,记录和监控,,,,

A.12.4.1,事件日志,"日记记录表的检查

抽查重要系统、核心网络设备的日志审计记录（日志检查表）",抽样,,

A.12.4.2,日志信息的保护,检查检查重要系统日志防护措施，是否保障日志不被随意删除、篡改,抽样,,

A.12.4.3,管理员和操作员日志,随机抽取3份重要系统或设备的管理员操作日志审核记录,抽样,,

A.12.4.4,时钟同步,抽查3台系统设备的时间，确定是否保持一致,抽样,,

A.12.5,操作软件的控制,,,,

A.12.5.1,操作系统软件的安装,检查生产系统软件安装的审批记录；,抽样,,

A.12.6,技术漏洞管理,,,,

A.12.6.1,技术漏洞的管理,抽查公司漏洞扫描记录及处置记录,抽样,,

A.12.6.2,限制软件安装,"检查是否有软件白名单或黑名单

随机抽样3台办公终端，查看是否可以随意安装软件

检查抽样的办公终端，查看是否存在违规软件",抽样,,

A.12.7,信息系统审计考虑,,,,

A.12.7.1,信息系统审计控制,获取上一年度审核计划及审批记录,访谈,,

A.13,通信安全,,,,

A.13.1,网络安全管理,,,,

A.13.1.1,网络控制,检查一台核心防火墙的规则策略，是否与公司网络控制策略相符；,抽样,,

A.13.1.2,网络服务的安全,检查公司网络设备及安全设备的策略是否能有效的限制和防护网络服务,抽样,,

A.13.1.3,网络隔离,"获取网络拓扑图；

了解安全域或网段划分策略；

检查隔离网段间是否能互连；",访谈,,

A.13.2,信息传输,,,,

A.13.2.1,信息传输的策略和程序,"检查组织对敏感信息制定了传输和控制策略；

现场查看，传输控制措施的实施情况；",抽样,,

A.13.2.2,信息传输协议,检查组织是否制定了信息传输协议使用策略及要求；,现场观察,,

A.13.2.3,电子消息,检查组织是否制定了电子邮件、及时通信工具的使用策略；,现场观察,,

A.13.2.4,保密或不泄露协议,随机抽查3位研发人员的保密协议，查看协议中是否明确保密要求。,抽样,,

A.14,系统获取，开发和维护,,,,

A.14.1,信息系统的安全要求,,,,

A.14.1.1,安全需求分析和规范,"获取本年度已完成或正在实施的软件开发项目清单；

获取组织系统开发规程，检查开发规程中，是否明确各类系统开发时信息安全的设计要求；

获取一个项目的需求及开发文档，检查文档中是否有信息安全相关的需求及开发设计；",抽样,,

A.14.1.2,保护公共网络上的应用服务,检查公司官网信息变更控制内容,现场观察,,

A.14.1.3,保护应用服务交易,检查网络交易类应用服务系统，在数据交换、网络连接等方面是否制定了控制措施；,现场观察,,

A.14.2,开发和支持过程中的安全,,,,

A.14.2.1,安全开发策略,检查公司是否建立了开发策略,抽样,,

A.14.2.2,变更控制程序,"检查新系统上线审批记录；

检查新系统变更审批记录；",抽样,,

A.14.2.3,操作平台变更后对应用的技术评估,获取生产系统操作系统升级记录，检查升级前的评估测试记录；,抽样,,

A.14.2.4,软件包变更的限制,检查组织是否建立了系统开发软件包变更控制措施；,抽样,,

A.14.2.5,系统开发程序,检查组织是否建立了系统开发程序及过程,抽样,,

A.14.2.6,安全的开发环境,"现场检查开发环境是否与办公环境物理分隔

观察开发网络控制措施的有效性",抽样,,

A.14.2.7,外包开发,检查组织是否制定了外包开发策略。,抽样,,

A.14.2.8,系统安全性测试,抽取已上线系统的安全测试报告,抽样,,

A.14.2.9,系统验收测试,抽取系统验收报告及各项测试报告,抽样,,

A.14.3,测试数据,,,,

A.14.3.1,测试数据的保护,检查生产数据脱敏记录；,现场观察,,

A.15,供应关系,,,,

A.15.1,供应关系的安全,,,,

A.15.1.1,供应关系的信息安全策略,检查组织是否建立了供应商信息安全管理策略,访谈,,

A.15.1.2,供应商协议中的安全,"获取本年度供应商清单；

随机抽取3份供应商合同及保密协议，检查合同或保密协议中是否明确了信息安全方面的要求。",抽样,,

A.15.1.3,信息和通信技术供应链,检查与通信供应商签署合同中，是否明确了网络线路的可用性要求,访谈,,

A.15.2,供应商服务交付管理,,,,

A.15.2.1,监测和审查供应商服务,"了解供应商考核方式

随机抽查3份供应商考核记录；",抽样,,

A.15.2.2,供应商服务变更管理,"了解供应商服务变更管理策略；

随机抽查1份供应商服务内容变更及变更审批的记录",抽样,,

A.16,信息安全事件管理,,,,

A.16.1,信息安全事件管理和持续改进,,,,

A.16.1.1,职责和程序,检查公司有无明确定义信息安全事件处置流程和职责,访谈,,

A.16.1.2,报告信息安全事态,"了解信息安全事件上报流程；

获取信息安全事件上报记录",访谈,,

A.16.1.3,报告信息安全弱点,访谈任意1名员工，观察其是否了解可疑安全事件上报流程,访谈,,

A.16.1.4,评估和确定信息安全事态,随机抽取2份信息安全事件处置记录，检查事件评估及处置记录是否齐全，是否符合制度要求,访谈,,

A.16.1.5,信息安全事件响应,检查信息安全事件处置记录，查看事件相应及处置时间是否如何制度要求,访谈,,

A.16.1.6,回顾信息安全事故,抽样当年信息安全事件总结记录,访谈,,

A.16.1.7,收集证据,检查信息安全事件处置记录，查看事件处置过程中，是否对证据进行保留和收集