ISMS4032内审检查表Checklist研发部.docx
- 文档编号:1439343
- 上传时间:2022-10-22
- 格式:DOCX
- 页数:18
- 大小:26.69KB
ISMS4032内审检查表Checklist研发部.docx
《ISMS4032内审检查表Checklist研发部.docx》由会员分享,可在线阅读,更多相关《ISMS4032内审检查表Checklist研发部.docx(18页珍藏版)》请在冰豆网上搜索。
ISMS4032内审检查表Checklist研发部
有限公司——20年度内审检查
受审部门
研发部
审核员
印峰
审核日期
2012年12月20日
审核依据
IS0/IEC2001:
200ISO/IEC2002:
200
信息安全管理体系文件、适用性声明
覆盖条款
.2,.2.1,.2.2,,.2,.王五,;
A.1.1,A.1.王五~A.1.,A,A,A,A,A,A,A1王五,A1,A1;
序号
审核项目及过程
标准条款
审核事实记录
审核结论
合格/不合格
1
谈谈自己平时主要工作,对本部门信息安全的认识,是否了解公司的信息安全方针和目标?
A.1.1
受审代表回答
在信息安全体系中负责内部网络安全管理和技术运营维护;本公司的信息安全方针为:
信息安全,人人有责;遵守法规,持续改进。
方针、目标发布在公司对内WEB公告上或者张贴于公司宣传栏;
符合
2
详细描述一下公司的风险评估方法和风险处置过程.对识别的信息和资产是否都有指定的责任人维护?
识别了信息和资产面临的哪些风险,是否包含了外部风险,为处理这些风险公司提供了哪些资源,处理效果如何?
A.1.1
A.1.2
.2.1
.2.2a-d
A.2
软件实施部按照《信息安全风险评估管理程序》和《信息安全风险评估指南》组织各部门按业务流程识别所有信息资产,形成《信息资产识别评价表》,并明确资产负责人。
根据《信息资产识别评价表》和风险评估指南识别对应资产所面临的威胁和脆弱性并予以赋值。
根据风险评估模型查表得知安全事件的损失=F(资产重要程度,脆弱性赋值)、安全事件发生的可能性=L(脆弱性,威胁赋值)和风险值=R(安全事件的损失,安全事件发生的可能性),编制《信息安全风险评估报告》,《信息安全不可接受风险处理计划》作为其附件是对不可风险接受资产的处置办法,当信息资产增添或报废时,软件实施部组织资产使用部门应对《信息资产识别评价表》和《重要信息资产清单》进行修订。
识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要求,并采取措施控制外部各方带来的风险。
符合
王五
移动设备(笔记本电脑、U盘),尤其是在公司外使用设备的使用的规定是否有?
A...1)
A.
U盘为公司公用U盘,不得携带私人移动设备进入办公区域。
移动介质的使用有登记。
本公司建立实施《信息处理设备管理程序》..,对笔记本电脑的移动办公实施有效可行的安全管理。
符合
本部门哪些人负有信息处理设备有关的信息和资产的安全职责?
各自是否了解自身的责任?
A.1.
公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。
对每一项重要信息资产指定信息安全责任人(《信息资产识别评价表》。
)
与ISMS有关各部门的信息安全职责在《信息安全管理手册》附录中予以描述,关于具体岗位的信息安全活动的职责在《计算机应用管理及相关岗位工作标准》附录中予以明确。
符合
对于新购买的设备有没有授权过程?
有没有信息设备领用登记表?
是否存在使用个人计算机等处理公司业务,对其如何控制?
A.1.
软件实施部参与对信息处理设施的供方技术评价与跟踪。
软件实施部分别对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,进行技术选型,并组织验收,确保与原系统的兼容。
明确信息处理设施的使用部门接受新设施的信息安全负责人为软件实施部经理,软件实施部人员需要讲解新设施的正确使用方法。
公司规定软件实施部不允许使用私人计算机用于办公。
符合
本公司的信息是否有分类?
(外来文件、电子文档、人事记录等),分类依据是什么?
根据公司要求的分类要求如何对信息进行标识?
是否识别了哪些信息为本部门需要保密的信息和软件系统?
使用这些保密信息时怎么保证信息安全?
A.1.
A.2.1
A.2.2
A.
A..2
本公司的信息按照敏感性划分为:
公开信息、受控信息、企业秘密三级。
对于属于企业秘密与国家秘密的文件(无论任何媒体),密级确定部门按《密级控制程序》的要求进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。
信息的使用、传输、存储等处理活动按《信息资产密级管理程序》等进行控制。
本部门需要保护的秘密和受控信息有:
标书、已完成项目资料、正在实施项目资料,图纸等;
符合
公司员工、第三方等在正式任用前是否进行背景验证清楚自己的安全角色和职责,将双方的信息安全职责写进劳动合同或承包合同?
日常工作中是否有人考核本部门的信息安全规定执行情况?
本部门是否接受过适当的信息安全意识培训和公司信息安全规定更新的培训?
是否了解违反公司信息安全的处罚制度?
是否了解在任用结束或者转岗后员工、第三方的安全要求和法律职责义?
所有的员工、承包方在离职或协议终止时,是否要求归还资产和的访问权的撤销?
A
对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。
综合管理部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。
所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾客秘密)与国家秘密。
综合管理部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。
在《劳动合同》中明确规定保密的义务及违约的责任。
确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。
公司管理者要求员工、合作方以及第三方用户加强信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。
与ISMS有关的所有员工,有关的第三方访问者,应该接受安全意识、方针、程序的培训。
方针、程序变更后应及时传达到全体员工。
违背组织安全方针和程序的员工,公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行。
处罚的形式包括精神和物质两方面。
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
在员工离职前和第三方用户完成合同时,应进行明确终止责任的沟通。
再次沟通保密协议和重申是否有竞业禁止要求等。
员工离职或工作变动前,应办理资产归还手续,然后方能办理移交手续。
员工离职或工作变动前,应解除对信息和信息处理设施访问权限,或根据变化作相应的调整。
符合
对信息处理设备:
计算机,传真机,打印机,复印机等使用、备份、设备维护、介质处理、机房管理、邮件服务使用的规定形成文件以确保所有需要的用户可用?
使用和管理的职责是否区分开?
对信息处理设备的变更(增加计算机、位置变动),操作系统、应用软件的变更是否有控制?
(潜在影响的评估)A...1
A.1
本公司按照信息安全方针的要求,建立并实施文件化的作业程序,文件化程序的控制执行《文件管理程序》。
对信息处理设施、软件等方面的更改实施严格控制。
在更改前评估更改所带来的潜在影响,正式更改前履行更改审批手续,并采取必要的措施确保不成功更改的恢复。
信息处理设施更改控制执行《信息处理设备管理程序》与《变更管理程序》。
为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配:
a)网络管理系统管理职责与操作职责分离;
b)信息安全审核具有独立性。
符合
本部门接触的有哪些第三方人员,如何管控其信息安全?
A.2
本部门接触的第三方为电信提供的网络服务、电脑供应商。
对第三方的服务的交付,包括协议规定的安全安排、服务定义以及服务管理等方面进行管理和验收。
确保第三方保持充分的服务能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务交付的连贯性。
本部门有专门的人员跟踪管理第三方服务,确保第三方分配的职责符合协议要求。
对协议要求,特别是安全要求的符合性进行监控得到充分可用的资源和技术技能支持。
对第三方服务更改的管理过程需要考虑:
a)组织的更改,包括加强当前提供的服务,开发新应用程序和系统,修改和更新方针及程序,解决信息安全事件,提高安全性的新控制。
b)第三方服务的更改,包括更改和加强网络,使用新技术,更改服务设施的物理位置,更改供应商。
符合
是否根据公司的未来中期发展有识别出本公司的系统安全或者服务的潜在瓶颈及对关键人员的依赖,并且据此编制容量规划?
A.王五.1
软件实施部负责对信息网络系统的容量(CPU利用率、内存和硬盘空间大小、传输线路带宽、监控录像容量)需求进行监控,并对将来容量需求进行策划,适当时机进行容量扩充。
并编写《系统容量规划》。
对引进的或版本升级新的设备(网站服务器)、软件(操作系统、应用软件)、系统ERP是否有定义验收准则(是否考虑到对现有系统的影响),并且在验收前进行适当的测试?
A.王五.2
新系统、系统升级接收前,系统验收部门明确接收准则,经测试合格后方可正式运行,并保存测试记录及验收报告。
软件实施部负责办公管理系统、电话/网络通讯与办公系统、管家婆软件的验收。
符合
是否规定要求本公司员工计算机终端安装杀毒软件?
使用查杀、杀毒软件定期更新,对全员进行病毒防范意识的培训?
A.
.2.2
软件实施部为控制恶意软件的主管部门,负责提供防范恶意软件的技术工具并对技术工具进行实时升级,各部门具体负责本部门的恶意软件预防控制工作。
a)技术工具的应用及其升级要求;
b)查杀病毒的周期;
c)预防恶意软件意识培训;
d)预防恶意软件的一般要求;
e)对重要系统的防范恶意软件的特殊要求;
f)发生恶意软件的侵害应急措施。
授权使用移动代码时,配置应该确保已授权移动代码的运行符合明确定义的安全方针,XX的移动代码应该被阻止执行。
符合
1王五
本公司识别了有哪些信息和软件需要备份?
是否有信息备份策略(备份方式,备份频率等),并且定期备份和测试信息和软件?
出示备份记录
A.
本公司根据风险评估的结果对重要数据库、软件等进行备份。
软件实施部为全公司信息备份提供技术支持,各部门按照《重要信息备份管理程序》要求进行备份。
本部门涉及要备份的信息有:
以完成项目方案设计,正在施工文档。
符合
1
公司存在哪些网络服务(因特网接入、入侵检测系统、FTP服务,VPN服务),这些服务是内部提供还是外包?
对这些服务提供商的服务级别、安全特性是否在协议中确定?
A.
本公司网络安全控制措施包括:
a)公司内部划分不同的网段,构建vlan逻辑分离;b)对网络设备定期维护;c)对交换机等实施安全配置管理;d)对用户访问网络实施授权管理;e)实施有效的安全策略;
g)对系统的变更进行严格控制;h)对网络的运行情况进行监控;i)对网络设备的变更进行控制;j)对网络系统管理与操作人员的管理。
软件实施部根据组织的安全策略,识别现有的网络服务,明确规定网络服务安全属性值,由授权的网络系统安全管理员进行参数配置与维护管理。
符合
1
对可移动介质的如何管理?
是否有使用登记?
对于不再需要的介质,如何处置?
按照公司的信息分类机制,如何控制储存在介质中的信息的处理(访问,分发,拷贝)?
对系统(操作系统、应用系统)文件的保护措施?
A.
可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告,各部门按其管理权限并根据风险评估的结果对其实施有效的控制。
媒体移动的记录予以保持。
对于含有敏感信息或重要信息的介质在不需要或再使用时,介质处置部门按照《信息系统硬件管理规定》的要求,采取安全可靠处置的方法将其信息清除。
本公司与信息安全有关的系统文件包括:
a)系统操作手册;b)关键商业作业流程;c)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS4032 检查表 Checklist 研发部