ISO27001信息安全管理体系内审检查表(含记录)

ISO27001信息安全管理体系内审检查表被审核部门管理层审核成员：****陪同人员：****审核日期2021年3月10日审核主题4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.1、6.2、7.1、9.3、10.1、10.2、A.5.1、A.6.1、A.12.2检查要素/条款检查事项检查记录符合项观察项不符合项4.14.24.34.4组织环境-总经理详细介绍了公司总体情况，包括公司建立的理念，愿景，描述了客户、政府机关、相关协会、团体、法律法规等相关方对公司的期望与要求。具体见信息安全管理手册企业概况。-总经理明确了公司信息安全管理体系覆盖的物理范围与业务范围。物理范围为：深圳市************，业务范围为：计算机应用软件的研发及运行维护。√5.15.2领导和承诺方针--信息安全方针，信息安全目标和计划得以实施；信息安全的角色和职责均已明确；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运作、监视、评审、保持并改进，决定接受风险的准则和风险的可接受等级；√5.3组织角色、职责和权限建立信息安全的角色和职责——提供《信息安全管理手册》总经理定义与分配了公司各个部门的不同岗位人员的日常职责与在各管理体系中负担的职责，职责划分基本能够满足要求。总经理有向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。√7．1资源的提供——主持管理评审，授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。——总经理为管理体系顺畅进行提供资源支持，包括设备相应的增加计划，人员增加计划，财务支出支出、培训支持等等。√9.3ISMS管理评审——本次是制定体系实施以来的第一次管理评审计划。√A5.1信息安全方针文件信息安全方针包含在信息安全管理手册中，由总经理批准、发布并传递给所有相关方。√ISO27001信息安全管理体系内审检查表被审核部门综合管理部审核成员：*****陪同人员：*****审核日期2021年3月10日审核主题6.1、7.2、7.3、7.4、7.5、8.1、8.2、8.3、9.1、9.2、A.6.1.1、A.6.1.2、A.7、A.8、A.9、A.11、A.12、A.13、A.15.A.16、A.17、A.18核查要素/条款核查事项核查记录符合项观察项不符合项6.18.18.2应对风险和机会的措施运行的规划和控制信息安全风险评估前期策略了风险评估准则、风险评估规范根据风险评估方法进行了风险评估。√6.28.3信息安全目标和规划实现信息安全风险处置制定了信息安全目标：确保每年重大信息安全事件（事故）发生次数为零。目标通过一年来的运行和保持，得到完成。信息安全不可接受风险处理计划，提供“不可接受风险处理检查表”。√7.27.37.4能力意识沟通人力行政部通过制定培训计划、招聘新员工、聘请外部专家指导等方式确保组织人员有胜任信息安全职责的能力。人力行政部通过培训、会议、标语宣贯等方式培养员工的信息安全意识。人力行政部负责与组织内外部各相关方的沟通，沟通方包括客户、政府机关、内部员工等，沟通方式包括公函、会议、电子邮件、电话等等。√7.5文件记录信息公司编制管理手册、SOA适用性声明1套，35个程序文件，信息安全记录96个；明确了方针和目标管理手册、适用性声明；形成35个程序信息安全管理体系运行所必须的程序文件所需提供的记录96个，包括《信息安全风险评估报告》、《信息安全风险处置计划》目前《适用性声明》√9.2内部审核内审情况：2018年7月12日实施了内审检查活动，相关的记录完整。√A.6.1.1信息安全的角色和职责人力行政部：（1）负责管理体系的建立、实施、保持、测量和改进。（2）负责文件控制、记录控制、内部审核的组织、管理评审的组织实施和体系的改进。（3）负责本公司保密工作的管理。（4）负责安全区域的保卫管理部门，负责安全区域的管理。（5）负责部门的资产登记及评价、风险评估。（6）负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。（7）对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。（8）负责协调各部门的定岗定编工作；提出相关岗位人员配置的建议。（9）制定员工培训与开发计划，建立培训与开发体系包括人员聘用管理、任职培训、保密协议签署、员工的能力、专业技能培训、学历教育培训、综合素质培训等，并制订相应管理制度。（10）建立和完善薪酬体系；制订员工福利政策；员工绩效管理；协助行政管理部制订员工绩效管理的相关制度，并组织实施。（11）负责员工各项保险和住房公积金帐户的申报和管理；负责员工考勤、休假管理。（12）负责员工劳动合同管理、员工离职管理、员工人事档案管理。（13）本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。√A.6.1.2《信息安全管理手册》，公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。√A7.1.1A7.1.2A7.2.1A7.2.2A7.2.3A7.3.1审查任用条款和条件管理职责信息安全教育和培训纪律处理过程任用终止或变更职责人力行政部负责初始录用员工进行能力、信用考察，每年对关键信息安全岗位进行年度考察，对于不符合安全要求的不得录用或进行岗位调整。在《劳动合同》中明确规定了保密的义务及违约的责任。10月份开展了信息安全相关的培训，查看《培训签到表》具备《信息安全奖惩制度》，并按制度执行。具备《人力资源管理程序》，并按制度执行。√A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。对每一项信息资产，根据《信息安全风险管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。有《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、人员、经验。——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人——提供了资产归还的记录表。√A.8.3.1A.8.3.2A.8.3.3可移动介质的管理介质的处置物理介质传输提供可移动介质授权使用清单1份。——有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、行政批示、经办人。——目前无介质处置。√A.9.1.1A.9.1.2访问控制策略网络和网络服务的访问网络划分为三个网段，内网使用固定IP,入网需要申请，并绑定MAC地址。现场查《网络安全配置表》，符合要求。提供了《开通外网申请表》符合√A.9.2.1A.9.2.2A.9.2.3A.9.2.4A.9.2.5A.9.2.6用户注册及注销用户访问开通特殊访问权限管理用户秘密鉴别信息管理用户访问权限的复查撤销或调整访问权限对于任何权限的改变(包括权限的创建、变更以及注销)，须由管理员操作。提供金蝶K3系统用户列表1份。特权分配仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后应被收回，确保特权拥有者的特权是工作需要的且不存在富裕的特权。各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令，口令必须至少要含有6位以上字母+数字。查：普通用户只能访问被授权的服务，对计算机系统的访问权都被限制。√A.9.3.1使用秘密鉴别信息公司范围的计算机登录口令要求6位以上。抽查了4台PC机，口令符合要求√A.9.4.1A.9.4.2A.9.4.3A.9.4.4A.9.4.5信息访问控制安全登录规程口令管理系统特殊权限实用工具软件的使用对程序源代码的访问控制——用户不得访问或尝试访问未经授权的网络、系统、文件和服务。——现场测试，审核员通过访问网络上的PC机，有用户名，密码，试图随意输入密码3次，均无法登陆。——所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改等。——没有安装实用工具。——公司没有软件开发，只有网站服务采用托管形式，由第三方公司负责运营。——提供《网站维护协议》，合同有效日期从2014年4月30日至2015年4月29日，条款一，规定服务方所应承担的业务与遵守的规定；条款五，规定了双方的法律责任与处理办法√A.10.1.1A.10.1.2使用密码控制的策略密钥管理公司的密码控制是由银行提供的加密机。由银行专员到公司内导入密钥。√A.11.1.1A.11.1.2A.11.1.3A.11.1.4A.11.1.5A.11.1.6物理安全周边物理入口控制办公室、房间和设施的安全保护外部环境威胁的安全防护在安全区域工作交接区安全——现场查公司大门设有接待处——现场查《外来人员来访登记表》，登记信息包含：来访人员姓名，时间，单位，身份证，事由，被访人√A.11.2.1A.11.2.2A.11.2.3A.11.2.4A.11.2.5A.11.2.6A.11.2.7A.11.2.8A.11.2.9设备安置和保护支持性设施布缆安全设备维护资产的移动组织场外设备和资产的安全设备的安全处置或在利用无人值守的用户设备清空桌面和屏幕策略——公司机房外包给第三方进行管理。——提供服务器每周检查记录。——现场查公司目前没有组织场所外的信息处理设备使用。——含有敏感信息的设备在报废或该做他用时，由使用部门应利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录。对旧机器的硬盘砸坏，物理破坏后。公司目前未发生设备处置。——提供电子设备领用签字单。有申请人、主管签字和日期。——桌面均能保持干净√A.12.1.1A.12.1.2A.12.1.2A.12.1.4文件化的操作规程变更管理容量管理开发、测试和运行环境分离——程序文件34个——现场了解目前没有信息系统的变更。——提供服务器容量监控记录。有服务器、硬件配置、总容量、已用空间、剩余空间。每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录。——现场查公司目前无软件开发和测试活动，目前使用的信息系统由供应商负责安装测试，√A.12.2.1控制恶意软件——使用360杀毒软件、金山杀毒软件。——资产编号00007刘*,00015李**,00001陈*台式机，使用360杀毒，360卫士。√A.12.3.1信息备份——没有对综合管理部将设计开发资料进行数据备份√A.12.4.1A.12.4.2A.12.4.3A.12.4.4事态记录日志信息的保护管理员和操作员日志时钟同步——现场查公司通过门卫进行进出登记记录，保安7*24小时值班，进入办公大楼有前台，前台负责公司职员的考勤，现场查有打卡机，同时负责外来人员监控。——现场查只有系统管理员有权察看日志，服务器均开启管理员和操作员日志。——现场查公司的电脑设置为与Internet时间自动校对，未连接网络的电脑定期校对电脑时间。√A.12.5.1在运行系统上安装软件——对软件在作业系统的执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权，否则严禁私自安装任何软件。现场查目前安装软件统一管理安装。√A.12.6.1A.12.6.2 技术脆弱性的控制限制软件安装计算机安装了360安全卫士，自动扫描系统漏洞，人力行政部申意——系统应用程序的使用进行限制和严格控制，并规定授权的使用者等，只有经过授权的系统管理员才可以使用实用工具，现场查服务器上没有安装实用工具。√A.12.7.1信息系统审计控制措施——漏洞扫描工具使用JP1，只有信息系统课系统管理员有权限使用。——内部使用360杀毒软件对个人计算机进行病毒查杀√A.13.1.1A.13.1.2A.13.1.3网络控制网络服务安全网络隔离——提供《网络拓扑图》，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。公司内部的计算机，只有授权的可以上外网，其他的都不能访问外网，现场查连网情况未发现异常。——公司路由器放置于机房内，目前划分为3个网段。——为确保公司网络安全，采用逻辑方式进行外部网络隔离，内网与外网物理隔离。现场查财务部内电脑没有连接网络。√A.13.2.1A.13.2.2A.13.2.3A.13.2.4信息传递策略和规程信息传递协议电子消息发送保密性或不泄露协议对信息交流应作适当的防范，严禁在无保密措施的通信设备及计算机网络中传递企业秘密。——客户通过企业邮箱Email，通过内部腾讯通。——现场查公司的电子邮件目前只用于公司内部信息交换、对外发送公开的报价单。内部通过腾讯通进行交换文件。√A.15.1.1A.15.1.2A.15.1.3供应商关系的信息安全策略处理供应商协议的安全问题信息和通信技术供应链——与供应商签订年度协议，有安全保密协议，有双方负责人签字，合同专用章，√A.15.2.1A.15.2.2供应商服务的监视和评审供应商服务的变更管理——提供第三方评审记录表。——查《采购合同书》，规定了对于服务方所提供服务的要求细则重要事项条款：规定了对于服务方违约的处理办法符合。第三方服务的更改，包括更改和加强网络，使用新技术，更改服务设施的物理位置，更改供应商。——目前没有第三方服务的变更。√A.16.1.1A.16.1.2A.16.1.3A.16.1.4A.16.1.5A.16.1.6A.16.1.7职责和规程报告信息安全事态报告信息安全弱点评估和确定信息安全事态信息安全事件响应对信息安全事件的总结证据的收集安全事情、事故一经发生，事情、事故发现者、责任者应立即向网管报告，网管应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前没有计算机中病毒情况，未发生安全事件。各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。填写安全弱点报告在《信息安全事件报告表》中，包括以下内容：1）安全弱点的原因，2）安全弱点的预防处置措施及改进计划，3）安全弱点报告提交给信息安全管理小组；√A.17.1.1A.17.1.2A.17.1.2信息安全连续性计划实施信息安全连续性计划验证、评审和评价信息安全连续性计划公司建立并实施管理程序，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。——该部门编制《业务持续性管理实施计划》，由信息安全管理者代表批准，以便在重要系统发生中断或故障后，实施持续性管理计划，以保证系统或作业中断的及时恢复。——现场查本部门对业务连续性的敏感度不高，对于由于各种原因造成的业务中断，采用数据备份恢复方案，在顾客可容忍的时间范围内能恢复业务的正常办理。——现场查《业务持续性管理实施计划》中有影响的关键生产作业或管理过程。——现场提供《业务持续性管理实施计划和框架》，符合要求。每半年制定一次。有序号、系统名称、影响的关键生产作业或管理过程、故障或灾难、系统恢复与应急措施、系统回复时限要求、对公司业务活动的影响、责任部门/人。——现场提供《ISMS-业务持续性管理计划评审报告》，符合要求。√A.17.2.1信息处理设施的可用性目前公司的服务器在部署时，有考虑到容量上的要求，现场查硬盘容量≥40%，CPU占用小于50%。√A.18.1.1A.18.1.2A.18.1.3A.18.1.4A.18.1.5可用法律及合同要求的识别知识产权（IPR）保护记录隐私和个人身份信息保护密码控制措施的规则提供内有关法律法规适用性的识别要求。定期与执法机关等人力行政部门联络，及时收集与信息安全管理有关法律、法规和其它信息。提供法律法规标准清单。——提供了法规法律符合性的评价记录。针对信息安全风险及相关法规要求，明确本单位的执行现状进行评价。——与软件部开发人签订《知识产权协议书》，在工作期间获得的发明创造、专利，产权归公司所有。——个人计算机、服务器系统软件均购买正版软件，Windows操作系统、OFFICE软件都是统一采购，每年有检查授权数量。——公司的所有记录有专门的文控人员负责管理。——纸质文件各部负责保管。普通的工作记录存放在部门里，每年进行销毁，有销毁记录。——记录均是文档柜存放，有铁皮文档柜，有锁，现场查钥匙存放在钥匙盒内。有专用的文件夹有标识。——每台个人电脑均设有口令，并定期修改，员工档案存放在人力行政部档案柜内，需要调阅时，需填写人事档案借单，经人事科审批，有批准手续。——人事部有门禁、考勤系统，现场查看只有人事部的人员有访问权限。——财务部的财务系统由统一管理，只有财务人员有帐号和权限。√A.18.2.1A.18.2.2A.18.2.3独立的信息安全评审符合安全策略和标准技术符合性评审有各部门的负责人，和信息安全担当组成。内部审核活动应包括对各信息系统的技术性审核，内部审核组至少拥有一名具有一定信息安全技术的内部专家，技术性审核应在被监督的情况下进行。如有特殊情况将安排2次内审。——提供《信息安全体系推进联络表》，内有IT方面专家——《内审管理程序》、《管理评审控制程序》——漏洞扫描工具使用JP1，只有信息系统管理员有权限使用。——内部使用趋势杀毒软件对个人计算机进行病毒查杀。√

ISO27001信息安全管理体系内审检查表被审核部门技术部审核成员：*****陪同人员：*****审核日期2021年3月10日审核主题A.6.1.1，A6.1.5，A.6.2，A.8.1A.9.3，A.9.4.1，A.9.4.2，A.12.1，A.12.2，A.12.3，A.12.5，A.12.6，A.12.7，A.14，A.16.1.2，A.16.1.3检查要素/条款检查事项检查记录符合项观察项不符合项A.6.1.1信息安全的角色和职责技术部：（1）负责软硬件产品的设计和开发工作。（2）负责公司软硬件设计开发过程中信息安全管理。（3）负责配合销售完成运维服务的用户交流、售前支持工作。（4）负责部门的资产登记及评价、风险评估。（5）负责软硬件文档的管理。（6）负责信息系统接收测试。（7）项目的组织协调工作，确定项目人员并对所承担项目的质量负责。（8）负责软硬件开发过程，包括制定项目进度、组织需求分析、概要设计、测试以及验收。（9）负责开发人员的管理与保密工作。（10）本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。√A6.1.5项目管理中的信息安全抽查由技术部负责的开发项目，该项目合同中有规定对信息安全的相关条款，包括保密、遵守相关法律等的要求。项目的项目文档中有“项目风险评估表”，内容包括对该项目的风险的识别、评价与响应措施等。√A.6.2.1移动设备策略执行《计算机管理程序》《介质及信息交换管理程序》等文件，公司的设备设施，带出公司需要经过登记，批准后才能带出。√A.6.2.2远程工作执行《远程工作管理程序》规定了远程接入的要求，其中包括接入区域的标识、设备标识、远程接入主体及授权、远程访问授权、远程接入的安全要求等。VPN进行远程管理，根据职位需求，分配。√A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还资产识别情况；有对公司内现有资产做了识别——提供，重要信息资产清单序号、名称、位置、用途、部门、责任人、"保密性赋值C"、"完整性赋值I"、"可用性赋值A" 、资产价值、"重要程度"、备注。——重要度选择：综合分值在7分以上的为重要资产。——资产的允许使用，综合管理中心制定相应的业务系统应用管理制度，重要设备有使用说明书，规定了资产的合理使用规则。——人员离职后有进行资产移交，见A8.3内容。基本符合。√A.9.3.1A.9.4.1A.9.4.2使用秘密鉴别信息信息访问控制安全登录规程公司范围的计算机登录口令要求6位以上，包含字母数字。抽查了技术部5台PC机，口令符合要求。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。现场测试，审核员通过访问网络上的PC机，有用户名，密码，试图随意输入密码3次，均无法登陆。√A12.1.1A12.2.2A12.2.3A12.2.4文件化的操作规程变更管理容量管理开发、测试和运行环境的分离制定“信息处理设施管理程序”，规定对信息处理设施的采购、测试、验收、安装调试等过程的制度，从而对信息处理设施的管理进行控制。“信息处理设施管理程序”中有对信息处理设施变更的过程控制方法。提供服务器容量监控记录。有服务器、硬件配置、总容量、已用空间、剩余空间。每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录技术部的开发、测试、运行服务器都是分开的。√A12.2A12.3恶意软硬件防范备份公司范围内使用360杀毒软硬件。公司规定每月应至少检查漏洞一次，查杀病毒一次。抽查技术部三台电脑，上次漏洞检查和病毒查杀时间在本周内，符合要求技术部的源代码为公司重要信息资产，源代码备份在公司SVN服务器上，备份频率为每天，且有专人负责保管、检查。√A12.5A12.6A12.7确保运行系统的完整性防止对技术脆弱性的利用信息系统审计的考虑“信息系统开发与维护管理程序”中有规定对信息系统在安装时候的可靠性、完整性的严格控制。“信息系统开发与维护管理程序”中有对用户安装软硬件及识别、评价、应对技术脆弱性的控制。在技术部对信息系统进行审计活动的时候，会考虑对业务过程的影像，并将影响最小化。√A.14.1.1A.14.1.2A.14.1.3信息安全要求分析和说明公共网络应用服务安全保护应用服务交易——现场查公司主要按照客户安全要求及所提供样本来开发软硬件产品。公司通过应用系统进行日常办公、生产经营管理，公司建立并实施相应系统的安全使用策略和应用管理，以保护与业务信息系统互联相关的信息，减少系统造成的信息泄露。。——现场查看公司网站内没有电子商务方面的页面。√A.14.2.1A.14.2.2A.14.2.3A.14.2.4A.14.2.5A.14.2.6A.14.2.7A.14.2.8A.14.2.9安全开发策略系统变更控制规程运行平台变更后应用的技术评审软硬件包变更的限制安全系统工程原则安全开发环境外包开发系统安全测试系统验收测试——有填写变更记录表。为使信息系统的损害降至最小，对公司内系统和软硬件的更改，须进行适当的测试与评审，经公司领导批准后予以实施。操作系统及应用系统的升级须经过系统主管部门测试、评审与批准后方可进行。——提供《信息系统获取、维护控制程序》——目前公司没有操作系统变更。当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对应用程序的作业或安全措施无不利影响。——现场查暂无软硬件变更，更改部门在实施前进行风险评估，确定必须的控制措施，保留原始软硬件，并在完全一样的复制软硬件上进行更改，更改实施前须得到系统主管部门的授权。——公司目前购买的都是安装程序，没有外包软硬件开发。√A.14.3.1系统测试数据的保护——公司有软硬件开发，现场查公司测试数据有进行保护。√A16.1.1A16.1.2报告信息安全事态报告信息安全弱点公司建立“信息安全事件管理程序”，规定了员工发现信息安全事件和信息安全弱点的上报流程。通过对技术部员工的访谈，该部门员工对此程序熟悉。√

ISO27001信息安全管理体系内审检查表被