信息安全內(nèi)審checklist

1、【精品文檔】如有侵權(quán)，請聯(lián)系網(wǎng)站刪除，僅供學習與交流信息安全內(nèi)審checklist審查要點檢查時間審核結(jié)果發(fā)現(xiàn)是否開展了信息安全的檢查活動？有安全檢查記錄或者報告，和改善記錄1，是否制定了資產(chǎn)清單，包含了所有的客戶信息資產(chǎn)，包括服務器，個人電腦，網(wǎng)絡設(shè)備，支持設(shè)備，人員，數(shù)據(jù)？2，對這些資產(chǎn)清單是否有定期的更新？ 1. 確認資產(chǎn)清單正確2. 確認更新記錄3. 客戶的資產(chǎn)的保護上面的資產(chǎn)清單上是否標識了所有人和保管人？（要點：確認資產(chǎn)的所有人和保管人被清楚的標識，并且和實際情況相符）是否按客戶文檔的密級規(guī)則進行了適當?shù)谋Ｗo確認對于機密信息(電子文檔，打印文檔),限定范圍的信息(電子文檔，打印文檔

2、)是否有明確標識。根據(jù)需要，確認限定范圍，附帶標識，制定日期，制定者。是否使所有員工和信息安全相關(guān)人員簽署了保密協(xié)議/合同？是否有信息安全意識、教育和培訓計劃？確認培訓計劃是否執(zhí)行了信息安全意識、教育和培訓？培訓記錄（實施日期，培訓內(nèi)容/教材,參加人員）是否制定了信息安全懲戒規(guī)程？是否執(zhí)行了信息安全懲戒？郵件用戶是否清除了？抽查是否有離職人員的用戶權(quán)限沒有被清除門禁權(quán)限是否清除了？內(nèi)部OA權(quán)限是否清除了？抽查是否有離職人員的用戶權(quán)限沒有被清除SVN/CC/VSS權(quán)限是否清除了？部門服務器的權(quán)限是否清除了？（要點：實地檢查是否有離職員工/轉(zhuǎn)出員工的訪問權(quán)限沒有被清除）是否制訂規(guī)則劃分了安全區(qū)域？

3、確認風險評估時是否劃分了安全區(qū)域等級是否執(zhí)行了安全區(qū)域劃分規(guī)則？對不同等級的區(qū)域是否有相應措施，措施是否被執(zhí)行是否制訂安全區(qū)域出入規(guī)則？1. 在公司內(nèi)部，員工是否佩帶可以識別身份的門卡。2. 機房，實驗室是否有出入管制規(guī)則是否執(zhí)行了安全區(qū)域出入規(guī)則（前臺接待，機房，實驗室訪問控制）？安裝了防盜設(shè)施。（機房大門的上鎖，ID卡的識別裝置進入，離開的管理），實驗室進出是否有管理記錄是否定期執(zhí)行門/窗等入口安全檢查？檢查記錄是否定義了公共訪問/交接區(qū)域？確認定義文件是否監(jiān)控了公共訪問和交接區(qū)域?實地查看是否有監(jiān)控措施服務器是否得到了妥善的安置和防護？1. 重要的服務器放在安全的區(qū)域（如機房）2. 是否

4、有UPS3. 溫度和濕度合適個人電腦是否得到了安置和防護？1. 筆記本安裝PoinSec,配有物理鎖 2. 所有電腦使用密碼屏幕保護3. 不用的筆記本是否放入帶鎖的柜中。是否制訂服務器維護計劃？確認計劃內(nèi)容SecureID是否被管理確認是否掌握遠距離訪問用戶及SecureID的信息。設(shè)備處置是否經(jīng)過了申請？（設(shè)備維修，銷毀等）確認修理及報廢時的HDD的對應方法。設(shè)備處置是否經(jīng)過了管理審批記錄服務器，網(wǎng)絡和應用系統(tǒng)的變更是否經(jīng)過了管理？變更申請記錄是否進行了防病毒軟件的部署確認部門系統(tǒng)和個人PC的手都已經(jīng)部署并且狀態(tài)正常。是否有及時的防病毒軟件的升級對防病毒軟件的是否進行了檢查?(執(zhí)行一次檢查）

5、備份策略制訂是否有備份策略的制訂？部門中的重要系統(tǒng)，確認定期備份的流程及記錄。備份實施是否有備份的實施？備份驗證是否有備份的驗證備份保護是否有備份保護是否實施了網(wǎng)絡控制是否有網(wǎng)絡訪問方面的限制是否對網(wǎng)絡服務的安全進行了控制1.Web訪問服務的安全2.Mail 服務的安全是否有移動介質(zhì)清單的管理1. 是否有管理清單2. 記錄重要信息的外部存貯介質(zhì)(例如：外置硬盤，CD,DVD,U盤，PCMCIA移動存儲卡，存儲備份資料用的備份設(shè)備等)，是否被保管在帶鎖的文件柜中？是否有移動介質(zhì)報廢管理1. 報廢的申請和審批記錄1. 確認文本文件的廢棄方法。2. 確認是否將含有重要信息的文本文件就此扔在垃圾箱中或

6、扔在可回收資源的箱子中。3. 確認是否將垃圾箱和可回收資源的箱子放在安全的場所。4. 打印機上是否留有文件沒有被取走系統(tǒng)文件是否得到了保護1. 檢查其訪問權(quán)限設(shè)定。2. 是否有備份是否有信息交換策略制訂確認項目或其他敏感信息是否在發(fā)送前經(jīng)過授權(quán)者確認，是否經(jīng)過信息所有人（如PM）的授權(quán)？和信息交換方是否簽訂了協(xié)議和交換涉及方簽訂NDA物理介質(zhì)傳輸是否得到了保護1. 檢查包裝合理性2. 搬運方法合理性是否按照公司規(guī)程實施了電子信息交換確認是否有電子郵件使用規(guī)則，和實施情況（如發(fā)送重要文件時是否有文件加密等）是否按照公司規(guī)程實施業(yè)務信息互聯(lián)1. 互聯(lián)網(wǎng)使用的檢查。2. 戶（FX/XC)之間的互聯(lián)是

7、否有訪問控制，權(quán)限分配規(guī)則是否有訪問控制方針制訂如果有文件共享請確認：1. 確認是否設(shè)置了全員都可以訪問的權(quán)限。2. 確認對于長時間不使用的人員是否暫停其帳號。3. 確認共享文件的訪問權(quán)限范圍。3. 所有對PC的訪問都有密碼保護是否對訪問控制方針進行了評審是否有定期的Review是否有用戶注冊的管理1. 確認用戶賬號是否有申請書。確認用戶ID及主要訪問的清單，要求刪除的用戶或訪問權(quán)限是否及時修改。確認處理申請的記錄。是否有特權(quán)管理的管理如果訪問控制清單等是以紙張形式打印出來的，確認是否保管在上鎖的地方。電子文檔是否保管在只有管理者才能打開的場所。是否有口令的管理有沒有將口令寫在便條上，或者告知他人是否定期對權(quán)限進行了審核定期審核記錄是否制定了口令策略管理人員的密碼設(shè)定。是否有員工號等容易推斷的密碼。1個帳號是否有多個用戶。密碼是否記錄在便條上。密碼為6位英文數(shù)字以上。是否執(zhí)行了口令策略是否實施了網(wǎng)絡隔離（不同功能和密級網(wǎng)絡的隔離，物理或邏輯）？1. 是否有隔離區(qū)2. 從隔離區(qū)外是否可以訪問區(qū)內(nèi)網(wǎng)絡資源是否對網(wǎng)絡連接實施了控制接入網(wǎng)絡前是否經(jīng)過IM或者ISM的安全檢查是否實施了網(wǎng)絡路由控制是否制訂了信息訪問限制策略訪問策略定義文件是否執(zhí)行了信息訪問限制策略對照文件實地觀察實施情況是否對訪問策略進行了審核審核