ISO27001-2013信息安全管理体系内部审核检查表.docx
- 文档编号:94375
- 上传时间:2022-10-02
- 格式:DOCX
- 页数:29
- 大小:50.50KB
ISO27001-2013信息安全管理体系内部审核检查表.docx
《ISO27001-2013信息安全管理体系内部审核检查表.docx》由会员分享,可在线阅读,更多相关《ISO27001-2013信息安全管理体系内部审核检查表.docx(29页珍藏版)》请在冰豆网上搜索。
IS027001-2013信息安全管理体系内部审核检查表'
被审核部门:
审核时间:
2020.01.06
编写人:
被审核部门代表确认:
内审员:
管理者代表:
审核依据:
18027001:
2013及法律法规要求
条款
标题
审核问题
审核对象
审核方式
审核结果
审核记录
4
组织环境
4.1
4.1理解组织及其环境
1、 组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?
2、 组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?
3、 组织管理者是否明确组织的风险管理过程和风险准则?
4.2
4.2理解相关方的需求和期望
1、 组织是否识别了与组织信息安全有关的相关方?
2、 组织是否明确了这些相关方与信息安全有关要求?
(包括法律法规要求和合同要求)
4.3
4.3确定信息安全管理体系的范围
1、 组织的信息安全管理体系手册中是否有明确管理范围?
2、 组织的适用性声明,是否针对实际情况做合理删减?
3、 组织对信息安全管理范围和适用性是否定期评审?
4、 组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?
4.4
4.4信息安全管理体系
1、 组织是否建立、实施、保持、持续改进信息安全管理体系制度?
2、 信息安全制度有安全策略、管理制度、操作规程等构成?
5
领导
5.1
5.1领导和承诺
1、 组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?
2、 组织的业务中是否整合了信息安全管理要求?
3、 组织为实施信息安全管理,是否投入了必要的资源?
(人、财、物)
4、 组织管理者是否在范围内传达了信息安全管理的重要性?
5.2
5.2方针
1、 组织制定的信息安全方针是否与组织的业务目标相一致?
2、 组织制定的信息安全方针是否与信息安全目标相一致?
3、 组织制定的信息安全方针是否可以体现领导的承诺?
4、 组织制定的方针是否在信息安全管理手册中体现?
5、 组织制定的方针是否已经传达给全体员工?
并且在适当的时候也传达给第三方。
5.3
5.3组织角色、职责和权限
1、 管理者是否在组织内建立并传达了信息安全管理组织架构,并明确其职责和权限?
2、 管理者是否在组织内分配了报告信息安全管理体系绩效的职责和权限?
3、 组织是否定期审查审批事项、及时更新需授权的审批事项、审批部门、审批人等信息?
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
1、组织是否基于内外部环境和相关方要求等外部环境识别需要应对的风险和改进机会?
6.1.2信息安全
风险评估
1、 组织是否定义并执行了风险评估过程?
2、 组织是否定义了风险接受准则?
3、 组织是否保留了所有风险评估过程文件?
6.1.3信息安全风险处置
1、 组织应定义并执行信息安全风险处置过程?
2、 组织是否针对风险选择了适当的风险处置措施?
3、 风险处置措施是否与适用性声明相匹配?
4、 组织是否制订了风险处置计划?
5、 风险处置计划、可接受的残余风险是否得到相关负责人的批准?
6、 组织是否保留了所有风险处置过程文件?
6.2信息安全目标和规划实现
1、 组织是否建立了信息安全目标?
2、 信息安全目标与管理方针是否存在关联?
3、 信息安全目标是否可测量?
4、 组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和风险处置结果?
5、 信息安全目标是否在组织内被传达?
6、 信息安全目标是否定期更新?
7
支持
7.1资源
1、组织是否为建立、实施、保持和持续改进信息安全管理体系提供了所需的资源?
7.2能力
1、 组织在关键的信息安全岗位说明书中是否明确了信息安全方面的能力要求?
2、 组织是否定期对信息安全岗位人员进行培训?
并对其能力进行考核?
7.3意识
1、 员工是否了解组织的信息安全方针?
2、 员工是否了解信息安全方针对自身的要求?
3、 员工是否了解违反信息安全后对自身和组织的影响?
7.4沟通
1、 组织是否明确有关信息安全体系在内部和外部沟通的需求?
(对象、时间、频率
等方面)
2、 组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5文卡
:
记录信息
7.5.1总则
1、 组织定义的文件和记录是否包含了信息安全管理体系所要求的文件和记录?
2、 组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录?
3、 金融机构总部科技部门制定的安全管理制度是否适用于全机构范围?
分支行科技部门制定的安全管理制度是否仅适用于辖内?
7.5.2创建和更新
1、 组织对创新和更新的文件和记录是否进行了标识?
2、 组织对创新和更新的文件和记录在格式、存储介质方面是否有要求?
3、 组织对创新和更新的文件和记录是否定期评审和更新?
4、 组织对门户网站的信息发布是否有审核、监控等管理机制?
7.5.3文件记录信息的控制
1、 组织对自身建立的信息安全管理体系和国际标准所要求的文件记录信息是否予以控制保护?
(包括范围、分发、接收、访问、存储、变更、处置等)
2、 必要的外部原始文件和记录信息,组织是否同样予以控制保护?
3、 组织是否通过正式、有效的方式发布文件?
4、 文件发布是否明确发布范围,并进行登记?
5、 信息安全管理小组是否定期组织相关部门和人员对现行的信息安全管理体系的适用性和合理性进行评审?
8
运行
8.1运行的规划和控制
检查内容详见A5-A18
8.2信息安全风险评估
评估内容见6.1.2
8.3信息安全风险处置
评估内容见6.1.3
9
绩效评价
9.1监视、测量、分析和评价
1、 组织是否建立了有效性测量管理程序?
2、 监视和测量的结果是否予以保留?
9.2内部审核
1、 组织是否建立了内审程序?
2、 组织是否按照计划的时间间隔进行了内审?
遇到特殊情况,是否增加了内审?
3、 内审的材料是否全部得到保存?
(审核方案、审核结果等)
9.3管理评审
1、 组织是否按照计划的时间间隔进行了管审?
2、 管审是否考虑了以往管审的措施执行情况、信息安全执行的各方反馈、风险评估结果和风险处置计划的执行状况、持续改进机会等方面?
3、 组织是否保留了管理评审的所有记录?
10改进
10.1不符合和纠
正措施
1、 当发现不符合项时,组织是否采取了纠正措施?
2、 组织是否对不符合项进行了评审,防止再次出现?
3、 组织对采取的纠正措施有效性是否进行评审?
4、 必要时,组织是否对信息安全管理体系进行变更?
10.2持续改进
1、组织是否对信息安全体系的有效性、适宜性、充分性进行持续改进?
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
1、 信息安全的方针和策略是否被定义并文件化?
(查看手册)
2、 方针和策略是否由管理者批准?
(查看批准文件)
3、 方针和策略是如何发布并传达给员工和相关外部方的?
(查看相关记录)
A.5.1.2
信息安全方针的评审
1、 组织的信息安全方针和策略是否定义专人维护?
(查看职责定义文件)
2、 组织的信息安全方针和策略是否按计划的时间间隔或者当组织发生重大变化时进行评审?
评审时是否考虑了评审的结果?
(查看评审记录)
3、 对于组织评审后新修订的信息安全方针和策略,是否得到管理者的批准?
(查看批准文件)
A.6
信息安全组织
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
1、 组织是否具有信息安全角色和职责定义文件?
组织是否定义了关键事务岗位,并要求关键事务岗位必须多人共同管理?
2、 访谈人员,了解是否所有的组织成员都明确自己的信息安全职责?
3、 信息安全职责的分配是否与信息安全方针文件相一致?
4、 组织是否定义了信息安全代表?
5、 每一个资产是否定义了责任人?
6、 组织是否组建了信息安全领导小组?
小组成员是否由机构领导、业务和技术部门负责人组成?
是否将协调本机构和辖内信息安全管理工作、决策本机构和辖内重大信息安全事宜等职责分配给信息安全领导小组?
7、 是否设立科技风险审计岗?
是否将信息科技审计制度和流程的实施、制定和执行信息科技审计计划、对信息科技整个生命周期和重大事件进行审计等职能分配到科技风险审计岗?
1、 各类资产清单
2、 岗位职责说明书
A.6.1.2
与监管机构的联
系
1、 是否具有与监管机构联系的清单?
2、 清单上是否具备联系人、联系方式、联系缘由等信息?
1、与政府部门的联系清单
A.6.1.3
与特殊利益团体的联系
1、 是否具有与特殊利益团体联系的清单?
(电信公司、专业的安全公司、安全组织
等)
2、 清单上是否具备联系单位、联系人、联系方式、合作内容等信息?
1、与特殊利益团体的联系清单
A.6.1.4
项目管理中的信息安全
1、抽样检查本年度巳实施完成的项目或正在实施的任意3个项目,检查项目管理过程中,是否依照组织信息安全管理制度相关要求进行安全管理?
(查看项目的安全目标、项目进行前的风险评估、项目过程中的信息安全控制记录等)
1、 项目(任意3个项目)安全要求需求
2、 项目(任意3个项目)风险评估
3、 项目(任意3个项目)过程中的任意安全控制记录
A.6.1.5
职责分离
1、 检查组织的岗位职责表,检查是否明确定义了职责说明?
2、 检查是否有不兼容岗位设置说明?
3、 检查系统开发、系统测试、系统运维是否由不同人员担任?
授权和实施的人员是否分离?
1、岗位职责说明书
A.6.2
移动设备和远程办公
A.6.2.1
移动设备策略
1、 组织是否制订了移动介质管理程序?
(移动介质包括移动存储介质和移动通讯设备)
2、 随机抽样移动设备,检查该设备的安全管控措施是否与制度相符?
(查看相关记录,如清单、使用登记等)
3、 当发生移动介质被盗或丢失时,是否建立了一个符合法律、保险和组织其他安全要求的规定?
4、 如有必要,是否对使用移动设备的人员安排了对应的培训,以提高安全意识?
(查询培训记录)
5、 对于移动通讯设备,组织是否考虑了无线网络弱点和数据备份的风险?
(检查移动介质管理程序)
1、 移动设备清单
2、 移动设备领用、使用记录
3、 移动设备安全使用的培训记录
A.6.2.2
远程办公
1、 组织是否制订了远程办公管理程序?
2、 如何保护在远程工作地点被访问、处理或者存储数据的安全?
(查看远程工作管
理程序)
3、 对于拨号接入用户是否采用数字证书认证机制?
是否对该用户数量进
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 2013 信息 安全管理 体系 内部 审核 检查表