内审检查表技术部

内审检查表被审核部门技术部审核成员：张小波陪同人员：严玉成审核日期2020年3月10日审核主题A.6.1.1，A6.1.5，A.6.2，A.8.1A.9.3，A.9.4.1，A.9.4.2，A.12.1，A.12.2，A.12.3，A.12.5，A.12.6，A.12.7，A.14，A.16.1.2，A.16.1.3检查要素/条款检查事项检查记录符合项观察项不符合项A.6.1.1信息安全的角色和职责技术部：（1）负责软硬件产品的设计和开发工作。（2）负责公司软硬件设计开发过程中信息安全管理。（3）负责配合销售完成运维服务的用户交流、售前支持工作。（4）负责部门的资产登记及评价、风险评估。（5）负责软硬件文档的管理。（6）负责信息系统接收测试。（7）项目的组织协调工作，确定项目人员并对所承担项目的质量负责。（8）负责软硬件开发过程，包括制定项目进度、组织需求分析、概要设计、测试以及验收。（9）负责开发人员的管理与保密工作。（10）本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。√A6.1.5项目管理中的信息安全抽查由技术部负责的开发项目，该项目合同中有规定对信息安全的相关条款，包括保密、遵守相关法律等的要求。项目的项目文档中有“项目风险评估表”，内容包括对该项目的风险的识别、评价与响应措施等。√A.6.2.1移动设备策略执行《计算机管理程序》《介质及信息交换管理程序》等文件，公司的设备设施，带出公司需要经过登记，批准后才能带出。√A.6.2.2远程工作执行《远程工作管理程序》规定了远程接入的要求，其中包括接入区域的标识、设备标识、远程接入主体及授权、远程访问授权、远程接入的安全要求等。VPN进行远程管理，根据职位需求，分配。√A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还资产识别情况；有对公司内现有资产做了识别——提供，重要信息资产清单序号、名称、位置、用途、部门、责任人、"保密性赋值C"、"完整性赋值I"、"可用性赋值A" 、资产价值、"重要程度"、备注。——重要度选择：综合分值在7分以上的为重要资产。——资产的允许使用，综合管理中心制定相应的业务系统应用管理制度，重要设备有使用说明书，规定了资产的合理使用规则。——人员离职后有进行资产移交，见A8.3内容。基本符合。√A.9.3.1A.9.4.1A.9.4.2使用秘密鉴别信息信息访问控制安全登录规程公司范围的计算机登录口令要求6位以上，包含字母数字。抽查了技术部5台PC机，口令符合要求。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。现场测试，审核员通过访问网络上的PC机，有用户名，密码，试图随意输入密码3次，均无法登陆。√A12.1.1A12.2.2A12.2.3A12.2.4文件化的操作规程变更管理容量管理开发、测试和运行环境的分离制定“信息处理设施管理程序”，规定对信息处理设施的采购、测试、验收、安装调试等过程的制度，从而对信息处理设施的管理进行控制。“信息处理设施管理程序”中有对信息处理设施变更的过程控制方法。提供服务器容量监控记录。有服务器、硬件配置、总容量、已用空间、剩余空间。每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录技术部的开发、测试、运行服务器都是分开的。√A12.2A12.3恶意软硬件防范备份公司范围内使用360杀毒软硬件。公司规定每月应至少检查漏洞一次，查杀病毒一次。抽查技术部三台电脑，上次漏洞检查和病毒查杀时间在本周内，符合要求技术部的源代码为公司重要信息资产，源代码备份在公司SVN服务器上，备份频率为每天，且有专人负责保管、检查。√A12.5A12.6A12.7确保运行系统的完整性防止对技术脆弱性的利用信息系统审计的考虑“信息系统开发与维护管理程序”中有规定对信息系统在安装时候的可靠性、完整性的严格控制。“信息系统开发与维护管理程序”中有对用户安装软硬件及识别、评价、应对技术脆弱性的控制。在技术部对信息系统进行审计活动的时候，会考虑对业务过程的影像，并将影响最小化。√A.14.1.1A.14.1.2A.14.1.3信息安全要求分析和说明公共网络应用服务安全保护应用服务交易——现场查公司主要按照客户安全要求及所提供样本来开发软硬件产品。公司通过应用系统进行日常办公、生产经营管理，公司建立并实施相应系统的安全使用策略和应用管理，以保护与业务信息系统互联相关的信息，减少系统造成的信息泄露。。——现场查看公司网站内没有电子商务方面的页面。√A.14.2.1A.14.2.2A.14.2.3A.14.2.4A.14.2.5A.14.2.6A.14.2.7A.14.2.8A.14.2.9安全开发策略系统变更控制规程运行平台变更后应用的技术评审软硬件包变更的限制安全系统工程原则安全开发环境外包开发系统安全测试系统验收测试——有填写变更记录表。为使信息系统的损害降至最小，对公司内系统和软硬件的更改，须进行适当的测试与评审，经公司领导批准后予以实施。操作系统及应用系统的升级须经过系统主管部门测试、评审与批准后方可进行。——提供《信息系统获取、维护控制程序》——目前公司没有操作系统变更。当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对应用程序的作业或安全措施无不利影响。——现场查暂无软硬件变更，更改部门在实施前进行风险评估，确定必须的控制措施，保留原始软硬件，并在完全一样的复制软硬件上进行更改，更改实施前须得到系统主管部门的授权。——公司目前购买的都是安装程序，没有外包软硬件开发。√A.14.3.1系统测试数据的保护—