信息安全內(nèi)審checklist_第1頁(yè)
信息安全內(nèi)審checklist_第2頁(yè)
信息安全內(nèi)審checklist_第3頁(yè)
信息安全內(nèi)審checklist_第4頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余1頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、審查內(nèi)容審查要點(diǎn)檢查時(shí)間審核結(jié)果發(fā)現(xiàn)是否開(kāi)展了信息安全的檢查活動(dòng)?有安全檢查記錄或者報(bào)告,和改善記錄1,是否制定了資產(chǎn)清單,包含了所有的客戶信息資產(chǎn),包括 服務(wù)器,個(gè)人電腦,網(wǎng)絡(luò)設(shè)備,支持設(shè)備,人員,數(shù)據(jù)?2,對(duì)這些資產(chǎn)清單是否有定期的更新?1 .確認(rèn)資產(chǎn)清單正確2 .確認(rèn)更新記錄3 .客戶的資產(chǎn)的保護(hù)上面的資產(chǎn)清單上是否標(biāo)識(shí)了所有人和保管人?(要點(diǎn):確認(rèn)資產(chǎn)的所有人和保管人被清楚的標(biāo)識(shí), 并且和實(shí)際情況相符)是否按客戶文檔的密級(jí)規(guī)則進(jìn)行了適當(dāng)?shù)谋Wo(hù)確認(rèn)對(duì)于機(jī)密信息(電子文檔,打印文檔),限定范圍 的信息(電子文檔,打印文檔)是否有明確標(biāo)識(shí)。根據(jù)需要,確認(rèn)限定范圍,附帶標(biāo)識(shí),制定日期,制定者。

2、是否使所有員工和信息安全相關(guān)人員簽署了保密協(xié)議/合同?是否有信息安全意識(shí)、教育和培訓(xùn)計(jì)劃?確認(rèn)培訓(xùn)計(jì)劃是否執(zhí)行了信息安全意識(shí)、教育和培訓(xùn)?培訓(xùn)記錄(實(shí)施日期,培訓(xùn)內(nèi)容 /教材,參加人員)是否制定了信息安全懲戒規(guī)程?是否執(zhí)行了信息安全懲戒?郵件用戶是否清除了?抽查是否有離職人員的用戶權(quán)限沒(méi)有被清除門禁權(quán)限是否清除了 ??jī)?nèi)部OA權(quán)限是否清除了?抽查是否有離職人員的用戶權(quán)限沒(méi)有被清除SVN/CC/VSS權(quán)限是否清除了?部門服務(wù)器的權(quán)限是否清除 了?(要點(diǎn):實(shí)地檢查是否有離職員工 /轉(zhuǎn)出員工的訪問(wèn) 權(quán)限沒(méi)有被清除)是否制訂規(guī)則劃分了安全區(qū)域?確認(rèn)風(fēng)險(xiǎn)評(píng)估時(shí)是否劃分了安全區(qū)域等級(jí)是否執(zhí)行了安全區(qū)域劃分規(guī)

3、則?對(duì)不同等級(jí)的區(qū)域是否有相應(yīng)措施,措施是否被執(zhí) 行是否制訂安全區(qū)域出入規(guī)則?1 .在公司內(nèi)部,員工是否佩帶可以識(shí)別身份的門 卡。2 .機(jī)房,實(shí)驗(yàn)室是否有出入管制規(guī)則審查內(nèi)容審查要點(diǎn)檢查時(shí)間審核結(jié)果發(fā)現(xiàn)是否執(zhí)行了安全區(qū)域出入規(guī)則(前臺(tái)接待,機(jī)房,實(shí)驗(yàn)室訪 問(wèn)控制)?安裝了防盜設(shè)施。(機(jī)房大門的上鎖,ID卡的識(shí)別裝置進(jìn)入,離開(kāi)的管理),實(shí)驗(yàn)室進(jìn)出是否有管理記錄是否定期執(zhí)行門/窗等人口安全檢查?檢查記錄是否定義了公共訪問(wèn)/交接區(qū)域?確認(rèn)定義文件是否監(jiān)控了公共訪問(wèn)和交接區(qū)域?實(shí)地查看是否有監(jiān)控措施服務(wù)器是否得到了妥善的安置和防護(hù)?1 .重要的服務(wù)器放在安全的區(qū)域(如機(jī)房)2 .是否有UPS3 .溫度

4、和濕度合適個(gè)人電腦是否得到了安置和防護(hù)?1 .筆記本安裝PoinSec,配有物理鎖2 .所有電腦使用密碼屏幕保護(hù)3 .不用的筆記本是否放入帶鎖的柜中。是否制訂服務(wù)器維護(hù)計(jì)劃?確認(rèn)計(jì)劃內(nèi)容SecurelD是否被管理確認(rèn)是否掌握遠(yuǎn)距離訪問(wèn)用戶及SecurelD的信息。設(shè)備處置是否經(jīng)過(guò)了申請(qǐng)?(設(shè)備維修,銷毀等)確認(rèn)修理及報(bào)廢時(shí)的 HDD的對(duì)應(yīng)方法。設(shè)備處置是否經(jīng)過(guò)了管理審批記錄服務(wù)器,網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的變更是否經(jīng)過(guò)了管理?變更申請(qǐng)記錄是否進(jìn)行了防病毒軟件的部署確認(rèn)部門系統(tǒng)和個(gè)人 PC的手都已經(jīng)部署并且狀態(tài)正 常。是否有及時(shí)的防病毒軟件的升級(jí)對(duì)防病毒軟件的是否進(jìn)行了檢查 ?(執(zhí)行一次檢查)備份策略制訂

5、是否有備份策略的制訂?部門中的重要系統(tǒng),確認(rèn)定 期備份的流程及記錄。備份實(shí)施是否有備份的實(shí)施?備份驗(yàn)證是否有備份的驗(yàn)證備份保護(hù)是否有備份保護(hù)是否實(shí)施了網(wǎng)絡(luò)控制是否有網(wǎng)絡(luò)訪問(wèn)方面的限制審查內(nèi)容審查要點(diǎn)檢查時(shí)間審核結(jié)果發(fā)現(xiàn)是否對(duì)網(wǎng)絡(luò)服務(wù)的安全進(jìn)行了控制I.Web訪問(wèn)服務(wù)的安全2.Mail服務(wù)的安全是否有移動(dòng)介質(zhì)清單的管理1 .是否有管理清單2 .記錄重要信息的外部存貯介質(zhì)(例如:外置硬盤, CD,DVD,U盤,PCMCIA移動(dòng)存儲(chǔ)卡,存儲(chǔ)備份資料用 的備份設(shè)備等),是否被保管在帶鎖的文件柜中?是否有移動(dòng)介質(zhì)報(bào)廢管理1 .報(bào)廢的申請(qǐng)和審批記錄2 .確認(rèn)文本文件的廢棄方法。3 .確認(rèn)是否將含有重要信息

6、的文本文件就此扔在 垃圾箱中或扔在可回收資源的箱子中。4 .確認(rèn)是否將垃圾箱和可回收資源的箱子放在安 全的場(chǎng)所。5 .打印機(jī)上是否留有文件沒(méi)有被取走系統(tǒng)文件是否得到了保護(hù)1 .檢查其訪問(wèn)權(quán)限設(shè)定。2 .是否有備份是否有信息交換策略制訂確認(rèn)項(xiàng)目或其他敏感信息是否在發(fā)送前經(jīng)過(guò)授權(quán)者確認(rèn),是否經(jīng)過(guò)信息所有人(如 PM的授權(quán)?和信息交換方是否簽訂了協(xié)議和交換涉及方簽訂NDA物理介質(zhì)傳輸是否得到了保護(hù)1 .檢查包裝合理性2 .搬運(yùn)方法合理性是否按照公司規(guī)程實(shí)施了電子信息交換確認(rèn)是否有電子郵件使用規(guī)則,和實(shí)施情況(如發(fā) 送重要文件時(shí)是否有文件加密等)是否按照公司規(guī)程實(shí)施業(yè)務(wù)信息互聯(lián)1 .互聯(lián)網(wǎng)使用的檢查。

7、2 .戶(FX/XC)之間的互聯(lián)是否有訪問(wèn)控制,權(quán)限分 配規(guī)則審查內(nèi)容審查要點(diǎn)檢查時(shí)間審核結(jié)果發(fā)現(xiàn)是否有訪問(wèn)控制方針制訂如果有文件共享請(qǐng)確認(rèn):1 .確認(rèn)是否設(shè)置了全員都可以訪問(wèn)的權(quán)限。2 .確認(rèn)對(duì)于長(zhǎng)時(shí)間不使用的人員是否暫停其帳號(hào)。3 .確認(rèn)共享文件的訪問(wèn)權(quán)限范圍。4 .所有對(duì)PC的訪問(wèn)都有密碼保護(hù)是否對(duì)訪問(wèn)控制方針進(jìn)行了評(píng)審是否有定期的Review是否有用戶注冊(cè)的管理1.確認(rèn)用戶賬號(hào)是否有申請(qǐng)書。確認(rèn)用戶ID及主要訪問(wèn)的清單,要求刪除的用戶或訪問(wèn)權(quán)限是否及時(shí)修改。確認(rèn)處理申請(qǐng)的記錄。是否有特權(quán)管理的管理如果訪問(wèn)控制清單等是以紙張形式打印出來(lái)的,確 認(rèn)是否保管在上鎖的地方。電子文檔是否保管在只

8、有管理者才能打開(kāi)的場(chǎng)所。是否有口令的管理有沒(méi)有將口令寫在便條上,或者告知他人是否定期對(duì)權(quán)限進(jìn)行了審核定期審核記錄是否制定了口令策略管理人員的密碼設(shè)定。是否有員工號(hào)等容易推斷的密碼。1個(gè)帳號(hào)是否有多個(gè)用戶。密碼是否記錄在便條上。密碼為6位英文數(shù)字以上。是否執(zhí)行了口令策略是否實(shí)施了網(wǎng)絡(luò)隔離(不同功能和密級(jí)網(wǎng)絡(luò)的隔離,物理或 邏輯)?1 .是否有隔離區(qū)2 .從隔離區(qū)外是否可以訪問(wèn)區(qū)內(nèi)網(wǎng)絡(luò)資源是否對(duì)網(wǎng)絡(luò)連接實(shí)施了控制接入網(wǎng)絡(luò)前是否經(jīng)過(guò)IM或者ISM的安全檢查是否實(shí)施了網(wǎng)絡(luò)路由控制是否制訂了信息訪問(wèn)限制策略訪問(wèn)策略定義文件是否執(zhí)行了信息訪問(wèn)限制策略對(duì)照文件實(shí)地觀察實(shí)施情況審查內(nèi)容審查要點(diǎn)檢查時(shí)間審核結(jié)果發(fā)現(xiàn)是否

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論