ISO27001 2022版内审检查表+内审记录（分部门）

信息安全管理体系内审检查表编号：JP-ISNS-06/1受审核部门管理层审核员XX审核日期20XX.4.1审核准则ISO/IEC27001:2022，体系文件、适用法律法规审核条款检查内容检查结果4.1理解组织及其环境公司是否有部门简介，并能充分反应公司内部情况，如：背景、经营范围、财务表现、规模及设施、人力资源能力、技术优势、知识等（内部因素）及涉及法律法规和专利技术、市场占有率、主要合作伙伴及同行的影响、物理边界、信息渠道（外部因素）？符合4.2理解相关方的需求和期望公司是否收集相关方需求及期望(上级及主要供方及客户)包括：顾客对信息安全的要求；已与顾客或外部供应商达成的合同；行业规范及标准；和社区团体或非政府组织的协议；法规法案；备忘录；许可，执照或其他授权形式；监管机构发布的制度；条约，公约及草案；和公共机构及顾客的协议；组织要求；自愿原则或行为规范；自愿标示或环境承诺；组织契约合同的承担义务；不符合（查公司未识别相关方的需求和期望）4.3确定信息安全管理体系范围公司是否有一个定义ISMS范围的过程？有没有明确的体系范围和边界？是否有对任何范围的删减？符合4.4信息安全管理体系公司形成完整的体系文件公司性体系文件描述适用于公司实际情况符合5.1领导力和承诺是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进，做出承诺的过程？管理者提供承诺的证据是否包括以下内容：a) 制定ISMS方针；b) 确保建立ISMS目标和计划；c) 建立信息安全的角色和职责；d) 向该组织传达满足信息安全目标与符合信息安全方针的重要性、法律责任和持续改进的需要；e) 提供足够的资源；f) 决定接受风险的准则和风险的可接受级别准则；g) 确保ISMS内审的执行和ISMS管理评审的执行。符合5.2方针公司是否有一个ISMS方针文件？公司的ISMS方针文件是否满足以下要求：1)包括信息安全的目标框架、信息安全工作的总方向和原则；2)考虑业务要求、法律法规的要求和合同要求；3)与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。符合5.3组织的角色，职责和权限公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？是否有颁布令和授权令？符合6.1应对风险和机会的措施公司是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇；1．公司在策划信息安全管理体系时，是否考虑内部和外部因素？2．公司在策划信息安全管理体系时，是否有理解相关方需求？公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。3．应对风险和机遇的措施是否得到实施和评价措施的有效性？符合6.2信息安全目标和实现规划管理层信息安全目标是否：1)包括信息安全的目标框架、信息安全工作的总方向和原则；2)考虑业务要求、法律法规的要求和合同要求；3)与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。符合7.1资源公司是否有对为满足信息安全管理体系要求的人力资源、材料、能力、信息、设施等进行评估？2、公司是否识别各种现有制约，即为减少不良影响或达成目标需要什么，以及需要什么措施？符合7.4沟通1）最高管理者应确保在组织内建立适当的沟通过程，并确保对质量/环境/职业健康安全体系的有效性进行沟通。各职能层次间的沟通是如何开展的？对信息沟通的职责和方法以及对重大事件、问题的沟通是如何开展的？

2）是否使用了恰当的沟通形式？开展的情况，信息是否被有效的利用？

3）沟通的内容是否能促进组织质量活动协调和质量/环境/职业健康安全体系过程及其有效性？

如何策划内外部沟通的过程？

有哪些记录来证明？外部信息交流的内容？正面的？负面的（如投诉）？是否及时给出清晰回复？是否涉及绩效的改进？符合9.1监视、测量、分析和评价公司确定的需要监视和测量的对象包括：定义如何测量所选控制措施的有效性，即要有一个“测量所选控制措施有效性”的过程；规定如何使用这些测量措施，对控制措施的有效性进行测量(或评估)；据此，管理者和员工就可以确定所选控制措施是否实现原计划的控制目标，或实现的程度。2)通过纠正、纠正措施、预防措施、改进计划、简单的统计分析保持信息安全/环境/职业健康安全管理体系持续改进的有效性，并确定了信息安全目标/过程绩效指标及监视和测量方法，考核频次。公司在管理手册中对监视、测量、分析和改进过程进行了策划，对确保信息安全/环境/职业健康安全管理体系的适宜性、产品信息安全的符合性及应用数据分析等方式来实现对信息安全/环境/职业健康安全管理体系的改进和提高进行了策划，并在实际工作中通过日常的监视和测量对发现的问题及时进行分析、解决，并建立了相应的信息流过程，就有关信息安全、环境、职业健康安全绩效进行内部和外部信息交流符合9.3管理评审公司是否定期召开管理评审？并在管理评审中确定体系的运行是否适宜、充分和有效，并与组织的战略方向一致？管理评审输入资料是否满足要求？是否包括以为管理评审采取措施的情况？环境目标的实现程度？组织环境绩效方面的信息？资源的充分性？来自相关方的有关信息交流？应对风险和机遇采取的措施是否有效？有无改进的机会？管理评审输出资料是否满足要求？并保留形成文件的信息？体系改进有关的信息？环境目标为实现时需要采取的措施？改进管理体系与其他业务过程融合的机遇？任何与组织战略方向相关的结论？符合10.2持续改进公司是否通过多种途径，持续改进ISMS的有效性持，包括：1) 使用信息安全方针；2) 使用安全目标；3) 使用审核结果；4) 使用监视事件的分析；5) 使用纠正措施与预防措施；6）使用管理评审。符合10.3不符合及纠正措施是否有一个确保采取措施，消除不符合ISMS要求的原因的过程？当不符合情况发生时，是否依据制定的措施进行及时纠正？纠正完成后纠正效果是否经过验证有效？是否形成相应的记录？符合A.5.1信息安全策略总经理是否确保制定与公司目标一致的清晰的信息安全方针，并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述，《信息安全管理手册》由总经理批准发布？符合A.5.2信息安全的角色和责任信息安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调？符合A.5.3职责分离公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表，全面负责信息安全管理体系的建立、实施与保持工作？对每一项重要资产指定信息安全责任人符合A5.4管理层责任管理者是否要求雇员、承包方人员和第三方人员，按照该组织已建立的方针和程序负起安全责任？组织的所有雇员，（适当时，也要包括承包方人员和第三方人员），是否受到与其工作职能相关的适当的意识培训和方针策略以及规程的定期更新培训;对于安全违规的雇员，是否有一个正式的纪律处理过程？符合A5.25信息安全事件的评估和决策是否要求信息系统和服务的所有员工、合同方和第三方用户都需要报告他们观察到的或怀疑的系统或服务中的任何安全弱点？是否对信息安全事态进行评估，以决定他们是否被归类为信息安全事件？符合A5.26应对信息安全事故信息安全事故发生时，是否积极采取应对措施？所采取措施应对信息安全事件无效时是否及时进行调整？是否建立有效制度应对信息安全事故？符合A5.27从信息安全事故中吸取教训对于信息安全事件是否按照已建立的职责和规程，快速、有效、有序的响应？对于已处理的信息安全事故是否组织人员对事故的原因进行分析并制定防止再次发证的规定？是否对信息安全事件处理过程进行回顾分析，并优化处理过程？符合A5.35信息安全独立审查是否制定信息安全独立审查相关制度，以确保信息安全审查职能部门不受相关利益方因素干扰？符合A5.36信息安全策略、规则和标准的遵从性是否定期审查是否符合组织的信息安全策略、专题策略、规则和标准？符合

信息安全管理体系内审检查表编号：JP-ISNS-06/2受审核部门管理部审核员XXX审核日期20XX.4.1审核准则ISO/IEC27001:2022，体系文件、适用法律法规审核条款检查内容检查结果5.3组织的角色，职责和权限公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？是否有颁布令和授权令？符合6.2信息安全目标和实现规划综合管理部信息安全目标是否：1)包括信息安全的目标框架、信息安全工作的总方向和原则；2)考虑财务要求、法律法规的要求和合同要求；3)与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。符合7.2能力是否对从事影响信息安全管理活动的部门、层次、岗位人员进行了识别，对各类人员所需的教育、培训、技能和经验提出了要求？针对需求是否提出了培训计划（包括特殊工种、工作人员）或采取其他措施并组织实施？通过何种方式宣传/培训确保员工意识到所从事活动的相关性和重要性，并为实现信息安全管理目标做出贡献？是否适当地保存了教育、培训、技能、经验的记录？看培训需求是否合理？是否按计划实施？通过查相关记录验证计划完成情况，抽查相关培训和评价记录。与绩效有关的人员和与合规性有关的人员的能力要求有哪些？

能力要求描述中有无对人员适当的教育、培训或经历要求，确保员工能够胜任？

有无相应措施获得所需能力，如何评价措施有效性？

有无相应的记录证明人员能力？符合7.3意识1、公司员工及各相关方是否知晓公司信息安全方针、信息安全目标2、公司员工及各相关方是否明确“可接受”产品和“不合格”产品和服务的知识和理解。以及当产品和服务不满足规范时，该如何去做。3、公司是否信息安全体系有相关沟通过程。现场观察员工是否知晓管理体系方针和目标？员工是否知晓其对管理体系的贡献？

员工是否知晓不符合管理体系要求的后果？符合7.4沟通最高管理者应确保在组织内建立适当的沟通过程，并确保对质量/环境/职业健康安全体系的有效性进行沟通。各职能层次间的沟通是如何开展的？对信息沟通的职责和方法以及对重大事件、问题的沟通是如何开展的？

2）是否使用了恰当的沟通形式？开展的情况，信息是否被有效的利用？

3）沟通的内容是否能促进组织质量活动协调和质量/环境/职业健康安全体系过程及其有效性？

如何策划内外部沟通的过程？

有哪些记录来证明？外部信息交流的内容？正面的？负面的（如投诉）？是否及时给出清晰回复？是否涉及绩效的改进？符合7.5形成文件的信息7.5.1总则公司是否按标准要求和按公司情况形成质量管理体系文件信息？并保持和保留这些文件信息？

如何进行文件的分发、存储、更新、保留和处置等？

如何识别外部文件，文件是如何保管的？文件是否有标识和说明？文件都有哪些形式？是否经过评审和批准？

记录控制程序是否完整，是否有可操作性？程序文件是否为有效版本？记录控制程序是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定？记录控制情况如何？记录的形成与质量活动是否同步进行？与本组织的记录有哪些？与受审核部门有关记录有哪些？是否有保存期的规定？记录是否按档案管理规范的要求处理和管理？符合7.5.2创建和更新是否规定了文件的保管办法？

是否规定了评审文件的有效性？

是否规定了失效文件的处置、管理办法？

所有文件是否字迹清楚？标识是否明确？

文件发布前是否得到授权人的批准？是否均注明制定或修订日期？

文件的查找是否方便？文件的保管是否有效？文件化信息内容是否完整？版本是否有效？

文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定？

文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些？与受审核部门有关的记录有哪些？是否有保存期的规定？文件修改后是否重新批准？识别修改状态的方法是什么？使用时是否都使用适应文件的有效版本？

文件化信息是否按档案管理规范的要求处置和管理?符合7.5.3文件记录信息的控制文件化信息内容是否完整？版本是否有效？

文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定？

文件化信息的形成与活动是否同步进行。与本组织有关的文件化信息有哪些？与受审核部门有关的记录有哪些？是否有保存期的规定？文件修改后是否重新批准？识别修改状态的方法是什么？使用时是否都使用适应文件的有效版本？

文件化信息是否按档案管理规范的要求处置和管理？符合8.1运行规划和控制公司有哪些运行控制？有无明确运行准则？对变更的控制？异常情况的评审？产品设计开发的输出的有关信息中是否包括生产周期每一阶段的信息安全要求？采购过程的控制？对外部供方的控制的类型与程度？运输、交付、使用、最终处置等？符合8.2信息安全风险评估1）是否识别公司织ISMS范围内的资产及其责任人；2)识别资产所面临的威胁；3)是否识别可能被威胁利用的脆弱点；4)是否识别资产保密性、完整性和可用性的丧失造成的影响。符合8.3信息安全风险处置是否有一个用于识别和评价风险处理选择措施的过程？这个过程是否包括采用适当的控制措施、接受风险、避免风险、转移风险四种选择可能；实施风险处置计划并按计划实施？符合9.2内部审核1）公司是否定期进行内部审核？2）内部审核的频次和结果是否满足部门体系运行要求？符合A.5.2信息安全的角色和责任信息安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调？符合A.5.3职责分离公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表，全面负责信息安全管理体系的建立、实施与保持工作？对每一项重要资产指定信息安全责任人符合A5.4管理层责任管理者是否要求雇员、承包方人员和第三方人员，按照该组织已建立的方针和程序负起安全责任？组织的所有雇员，（适当时，也要包括承包方人员和第三方人员），是否受到与其工作职能相关的适当的意识培训和方针策略以及规程的定期更新培训;对于安全违规的雇员，是否有一个正式的纪律处理过程？符合A5.5与职能机构的联系是否制定规定，详细说明由谁何时与政府机构联系，以及怎样识别是否该及时报告的可能会违背法律的信息安全事件？符合A5.6与特定相关方的联系组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系？符合A5.7威胁情报是否定期与机构、特殊利益团体、安全专家组和专业协会联系以获取信息安全最新法规及当下多发信息安全事故原因等相关威胁情报？符合A5.9信息和其他相关资产的清单是否识别信息以及与信息和信息处理设施相关的其他资产，并编制和维护这些资产的清单？符合A5.10信息和其他相关资产的可接受的使用与信息处理设施有关的信息和资产的可接受使用规则，是否确定形成了文件并加以实施？符合A5.11资产返还所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，是否归还他们使用的所有组织资产？符合A5.12信息分类信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类？符合A5.13信息标签是否按照所采纳的分类机制建立和实施一组合适的信息标记规程？符合A5.19供应商关系中的信息安全是否与供应商协商并记录信息安全的要求，以减少供应商访问信息资产带来的风险？符合A5.20解决供应商协议中的信息安全问题是否与供应商建立并协商所有信息安全相关要求，并实施？符合A5.21管理ICT供应链中的信息安全供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险符合A5.22供应商服务的监控、审查和变更管理对供应商提供的服务、报告和记录，是否定期的进行监视、评审和审核？符合A5.24规划和准备管理信息安全事故是否建立管理责任和规程，以确保快速、有效和有序地响应信息安全？符合A5.25信息安全事态的评估与决策是否对信息安全事态进行评估，以决定他们是否被归类为信息安全事件？符合A5.26信息安全事件响应对于信息安全事件是否按照已建立的职责和规程，快速、有效、有序的响应？符合A5.27从信息安全事件中学习是否有一套能够量化和监视信息安全事件的类型、数量和代价的机制？符合A5.28收集证据在整个系统开发生命周期的系统开发和集成工作中，是否建立了适当的安全开发环境？符合A5.30关于业务连续性的ICT准备为了解决组织的业务持续性所需的信息安全要求，组织是否开发和维持一个用于整个组织的业务持续性管理过程？和计划？是否按照程序和控制的要求，实施了信息安全连续性管理过程和计划？符合A5.31法律、法规、监管和合同对每一个信息系统和组织，适用的所有相关法律法规和合同要求，以及为满足这些要求组织所采用的方法，都明确地进行了定义，形成了文件并保持更新？符合A5.32知识产权在使用具有知识产权的材料和具有所有权的软件产品时，为了符合法律、法规和合同要求，组织是否实施了适当的规程？符合A5.33记录保护为了满足法律、法规、合同和业务要求，是否防止重要的记录遗失、毁坏和伪造？符合A5.34隐私和个人可识别信息保护是否有依照相关的法律法规要求和合同要求，确保数据保护和隐私？符合A5.37文件化的操作程序控制操作规程应形成文件，并对所需用户可用符合A6.1筛选对所有任用的候选者、承包方人员和第三方人员，是否按照相关法律法规、道德规范、业务要求、被访问的信息类别和已察觉的风险，进行背景调查和验证？符合A6.2雇佣条款和条件雇员、承包方人员和第三方人员是否签署了任用合同的条款和条件（这些条款和条件应声明他们和组织的信息安全职责符合A6.3信息安全意识、教育和培训组织的所有雇员，（适当时，也要包括承包方人员和第三方人员），是否受到与其工作职能相关的适当的意识培训和方针策略以及规程的定期更新培训?符合A6.4纪律程序对于安全违规的雇员，是否有一个正式的纪律处理过程？符合A6.5雇佣关系终止或变更后的责任任用终止或任用变更的职责是否清晰地做出了定义和分配？符合A6.6保密或不披露协议保密协议是否得到识别和定期评审？（查看保密协议）符合A7.1物理安全边界是否有用于保护包含信息和信息处理设施的区域的安全周边（如墙、门禁卡或受管理的接待台等屏障）？符合A7.2物理入口为了确保只有已被授权人员才允许访问，安全区域是否通过合适的入口控制措施加以保护？（现场检查访问记录，并可能测试用户进入安全区域的符合性。）符合A7.3保护办公室、房间和设施是否为办公室、房间和设施设计并采取物理安全措施？（现场检查办公室、房间和设施的保护情况）符合A7.4物理安全监控对由火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的损害，是否设计与采取了物理保护措施？（现场检查针对外部威胁和环境威胁的安全防护情况）符合A7.5抵御物理和环境威胁采取了物理保护措施？（现场检查针对外部威胁和环境威胁的安全防护情况）符合A7.6在安全区域工作是否设计和应用了用于安全区域工作的物理保护和指南？（现场检查安全区域的保护状况）符合A7.7桌面清理和屏幕清理是否采取清空桌面文件，可移动存储介质的策略和清空信息处理设施屏幕的策略？（现场检查用户的清空桌面和屏幕设置）符合A7.10存储介质是否有适当的可移动介质的管理程序？对于不再需要的介质，是否使用正式的程序可靠并安全地处置？当包含信息的介质在组织的物理边界以外运送时，是否有防范未授权的访问、不当使用或毁坏的措施？符合A8.1用户终端设备无论什么类型的用户，在对其分配或撤销所有系统和服务的权限时，是否有一个正式的用户访问开通流程？符合A8.7防范恶意软件是否有对恶意代码的控制措施（包括恶意代码的监测、预防和恢复）？是否有适当的提高用户安全意识的规程？符合信息安全管理体系内审检查表编号：JP-ISNS-06/4受审核部门工程部审核员XXX审核日期20XX.4.1审核准则ISO/IEC27001:2022，体系文件、适用法律法规审核条款检查内容检查结果5.3组织的角色，职责和权限公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？是否有颁布令和授权令？符合6.2信息安全目标和实现规划运营支持部信息安全目标是否：1)包括信息安全的目标框架、信息安全工作的总方向和原则；2)考虑财务要求、法律法规的要求和合同要求；3)与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。符合8.1运行规划和控制公司有哪些运行控制？有无明确运行准则？对变更的控制？异常情况的评审？产品设计开发的输出的有关信息中是否包括生产周期每一阶段的信息安全要求？采购过程的控制？对外部供方的控制的类型与程度？运输、交付、使用、最终处置等？符合8.2信息安全风险评估1）是否识别公司织ISMS范围内的资产及其责任人；2)识别资产所面临的威胁；3)是否识别可能被威胁利用的脆弱点；4)是否识别资产保密性、完整性和可用性的丧失造成的影响。符合8.3信息安全风险处置是否有一个用于识别和评价风险处理选择措施的过程？这个过程是否包括采用适当的控制措施、接受风险、避免风险、转移风险四种选择可能;实施风险处置计划并按计划实施？符合A5.7威胁情报是否定期与机构、特殊利益团体、安全专家组和专业协会联系以获取信息安全最新法规及当下多发信息安全事故原因等相关威胁情报？符合A5.8项目管理中的信息安全组织是否对其管理信息安全的方法与实践（及信息安全控制目标与控制措施、方针、过程和程序），按既定的时间间隔（或当安全实施发生重大变化时）进行独立评审？符合A5.9信息和其他相关资产的清单是否识别信息以及与信息和信息处理设施相关的其他资产，并编制和维护这些资产的清单？符合A5.11资产返还所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，是否归还他们使用的所有组织资产？符合A5.14信息传递为了保护通过使用各种类型的通信设施的信息交换，是否有正式的交换策略、规程和控制措施？符合A5.15访问控制访问控制策略是否建立并形成文件？

是否基于业务和访问的安全要求进行评审？是否对网络进行分区域管理？或用户是否仅能访问已获专门授权使用的服务？是否有正式的用户注册与注销程序，授权和撤销对所有信息系统和服务的访问？（对系统有访问权限的员工或签约员工进行抽样检查）无论什么类型的用户，在对其分配或撤销所有系统和服务的权限时，是否有一个正式的用户访问开通流程？是否限制和控制特殊权限的分配及使用？所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权，是否在任用、合同或协议终止时，删除，或在变化时调整？用户对信息和应用系统功能的访问，是否依照已确定的访问控制策略进行限制？资产所有者应定期对用户的访问权进行复查？符合A5.16身份管理是否有正式的用户注册与注销程序，授权和撤销对所有信息系统和服务的访问？（对系统有访问权限的员工或签约员工进行抽样检查）是否开发和实施使用密码控制措施来保护信息的策略？符合A5.17鉴别信息是否要求用户在选择和使用安全鉴别信息时，如口令，遵循良好的安全习惯？符合A5.18访问权限是否限制和控制特殊权限的分配及使用？资产所有者应定期对用户的访问权进行复查？所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权，是否在任用、合同或协议终止时，删除，或在变化时调整？用户对信息和应用系统功能的访问，是否依照已确定的访问控制策略进行限制？访问操作系统是否通过安全登录规程加以控制？口令管理系统是否交互式的并能够确保优质的口令？对于可能超越系统和应用程序控制措施的实用工具的使用，是否加以限制并严格控制？是否限制访问程序源代码？符合A5.23使用云服务的信息安全供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险？符合A5.29中断期间的信息安全为了解决组织的业务持续性所需的信息安全要求，组织是否开发和维持一个用于整个组织的业务持续性管理过程？和计划？符合A5.33记录保护为了满足法律、法规、合同和业务要求，是否防止重要的记录遗失、毁坏和伪造？符合A5.35信息安全独立审查是否制定信息安全独立审查相关制度，以确保信息安全审查职能部门不受相关利益方因素干扰？符合A5.36信息安全策略、规则和标准的遵从性是否定期审查是否符合组织的信息安全策略、专题策略、规则和标准？符合A6.7远程工作组织是否开发和实施有关控制远程工作活动的策略、操作计划和规程？符合A6.8报告信息安全事件是否建立了对安全事件做出快速、有效和有序反应的职责和程序？是否有适当的途径报告信息安全事态符合A7.2物理入口为了确保只有已被授权人员才允许访问，安全区域是否通过合适的入口控制措施加以保护？（现场检查访问记录，并可能测试用户进入安全区域的符合性。）符合A7.7桌面清理和屏幕清理是否采取清空桌面文件，可移动存储介质的策略和清空信息处理设施屏幕的策略？（现场检查用户的清空桌面和屏幕设置）符合A7.8设备安置和保护设备的安置或保护，是否在可减少由环境威胁和危险所造成的各种风险以及未授权访问的机会？（现场检查设备的安置和保护情况，并可能需要系统测试保护措施是否适当符合A7.9场外资产的安全对于组织场所的设备，是否考虑了工作在组织场所以外的不同风险，而采取安全措施？（可能测试组织场所外的设备安全状况，如移动设备的加密）符合A7.10存储介质是否有适当的可移动介质的管理程序？对于不再需要的介质，是否使用正式的程序可靠并安全地处置？当包含信息的介质在组织的物理边界以外运送时，是否有防范未授权的访问、不当使用或毁坏的措施？符合A7.11支持性设施对于支持性设施的失效而引起的电源故障和其它中断，设备是否能够免于受到影响？（现场检查并可能需要测试支持性设施的保护措施）A7.12布线安全是否可以保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或者损坏？（现场检查供电和通信电缆的布线状况）符合A7.13设备维护为了确保设备持续的可用性和完整性，对设备是否予以正确的维护？符合A7.14设备的安全作废或再利用为了确保在处置之前，任何敏感信息和注册软件已经被删除或安全地写覆盖，是否对包含储存介质的设备的所有项目进行核查？（现场检查并可能测试设备处置或重用情况）符合A8.1用户终端设备无论什么类型的用户，在对其分配或撤销所有系统和服务的权限时，是否有一个正式的用户访问开通流程？符合A8.2特殊访问权是否限制和控制特殊权限的分配及使用？符合A8.3信息访问约束用户对信息和应用系统功能的访问，是否依照已确定的访问控制策略进行限制？符合A8.4获取源代码是否限制访问程序源代码？符合A8.5安全身份认证访问操作系统是否通过安全登录规程加以控制？N/AA8.6容量管理为了确保所需要的系统性能，是否对资源的使用进行监视和调整，并对未来的容量需求做出规划？（可能需要测试系统性能和资源容量）符合A8.7防范恶意软件是否有对恶意代码的控制措施（包括恶意代码的监测、预防和恢复）？是否有适当的提高用户安全意识的规程？符合A8.8技术漏洞的管理是否及时了解和获得有关现有信息系统的技术脆弱性信息？对信息系统的技术脆弱性是否进行评价，并采取处理相关的风险的适当措施？符合A8.9配置管理1.是否综合地计划变更和配置管理;2.是否定义了配置管理与财务管理流程的接口;3.是否明确定义了哪些项目应被作为配置项进行记录和管理？4.是否明确定义了每个配置项应该记录什么信息;5.每个配置项该记录的信息中是否包括了：a.配置项关系、b.进行有效管理所需的相关文档6.配置管理是否提供相应机制对所有可标识的服务和基础设施组件的版本进行：识别、控制、跟踪？符合A8.10信息删除所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，是否归还他们使用的所有组织资产？符合A8.11数据遮盖是否在网络上对信息服务、用户和信息系统进行遮盖控制？符合A8.12防止数据泄漏在整个系统开发生命周期的系统开发和集成工作中，是否建立了适当的安全开发环境？符合A8.13信息备份是否按照已设的备份策略，定期备份和测试信息和软件？（推荐测试信息备份和恢复过程，如尝试一次恢复操作）符合A8.14信息处理设备的冗余信息处理设施是否有足够的冗余，以确保可用性的要求？符合A8.15日志是否对用户活动、异常情况、故障和信息安全事态的审计日志进行记录？并定期对事件日志进行评审？符合A8.16活动监测是否对用户活动、异常情况、故障和信息安全事态的审计日志进行记录？并定期对事件日志进行评审？符合A8.17时钟同步组织或安全域内的所有相关信息处理设施的时钟，是否使用已设的精确时间源进行同步？符合A8.18特权实用程序的使用对于可能超越系统和应用程序控制措施的实用工具的使用，是否加以限制并严格控制？符合A8.19在操作系统上安装软件在运行系统上安装软件方面，是否有程序或控制措施？符合A8.20网络安全为了防止威胁的发生，维护使用网络的系统和应用程序的安全?符合A8.21网络服务的安全性是否有网络服务协议，网络服务协议是否包括安全特性、服务级别以及所有网络服务的管理要求？符合A8.22网络隔离是否在网络上对信息服务、用户和信息系统进行隔离控制？符合A8.23网站过滤是否在网络上对信息服务、用户和信息系统进行隔离控制？符合A8.24密码学的使用是否开发和实施使用密码控制措施来保护信息的策略？是否有密钥管理以支持组织使用密码技术？符合A8.25安全开发生命周期是否有建立软件或系统的开发规则？符合A8.26应用程序安全要求在开发或采购应用程序时，应识别、详述和审批信息安全要求对信息系统的变更控制方