2022年ISO27001信息安全管理體系全套內(nèi)部審核記錄

1、2022年IS027001信息安全管理體系全套內(nèi)部審核記錄目錄信息安全內(nèi)部審核報告內(nèi)部信息安全管理體系審核方案內(nèi)部信息安全審核計劃首末次會議記錄內(nèi)部信息安全審核檢查表內(nèi)部審核記錄表（現(xiàn)場）內(nèi)部審核記錄表（文件）&內(nèi)部審核不符合項報告IS027001:2013信息安全管理體系內(nèi)部審核報告審核目的：檢查公司信息安全管理體系是否符合IS027001:2013的要 求及有效運行。審核依據(jù)：IS027001:2013標(biāo)準(zhǔn)、信息安全手冊、程序文件、相關(guān)法律法規(guī)、 合同及適用性聲明等。審核范圍：IS027001:2013手冊所要求的相關(guān)活動及部門。審核時間：2022年6月6日1、現(xiàn)場審核情況概述本次審核按信

2、息安全手冊及內(nèi)部審核管理程序要求，編制了 內(nèi)審計劃及實施計劃并按計劃進(jìn)行了實施。審核小組由4人組成，各分別按要求編制了內(nèi)部審核檢查表； 內(nèi)審計劃事先也送達(dá)受審核部門。審核組在各部門配合下，按審核計 劃，分別到部門、現(xiàn)場，采用面談、現(xiàn)場觀察、抽查信息安全體系文 件及信息安全體系運行產(chǎn)生的記錄等方法，進(jìn)行了抽樣調(diào)查和認(rèn)真細(xì) 致的檢查。審核組審核了包括管理層、各有關(guān)職能部等4個職能部 門。審核員發(fā)現(xiàn)的不合格項己向受審部門有關(guān)人員指明，并由他們確 認(rèn)，審核員還就不合格項與受審部門商討了糾正措施和方法。本次審 核共提出不符合報告共4份，其中行政部3項，研發(fā)部1項。所涉及 的條款詳見內(nèi)審不符合項（NC）報

3、告2、體系綜合評價a）最高管理者帶動員工對滿足顧客和法律法規(guī)要求的重要性具有明 確的認(rèn)識，能履行其承諾，管理職責(zé)明確，重視并參與對信息安 全管理體系的建立、保持和推動持續(xù)改進(jìn)活動。員工能準(zhǔn)確答出 公司信息安全方針和目標(biāo)，體現(xiàn)了全員參與。但個別職能部門信 息安全活動和人員中有責(zé)任不到位的情況。b）建立的信息安全方針和信息安全目標(biāo)適合于組織的特點，在組織 內(nèi)得到溝通和理解，信息安全目標(biāo)基本有可測量性；但部分信息 安全分目標(biāo)的適宜性需進(jìn)一步修改，并應(yīng)對測算方法作進(jìn)一步改 善；3、審核發(fā)現(xiàn)信息安全管理體系文件的建立和實施經(jīng)現(xiàn)場審核時，其適宜性、 充分性和有效性基本滿足要求；各部門信息安全體系文件基本能

4、適應(yīng) 各自業(yè)務(wù)的需求。但在本次內(nèi)審中仍發(fā)現(xiàn)一些存在問題：a.行政部:檢査行政部某電腦 密碼設(shè)置過于簡單，密碼長度及復(fù)雜度不符合公司規(guī)定的要求。b.研發(fā)部：抽査研發(fā)部某電腦，桌面存放太多文件，其中包含有密級敏感 的數(shù)據(jù)，沒有執(zhí)行清空桌面策略。4、信息資產(chǎn)識別充分。重要信息資產(chǎn)評價正確5、信息安全威脅辨識充分，根據(jù)威脅對重要信息資產(chǎn)的風(fēng)險理解清 晰，控制措施得當(dāng)，檢驗方式科學(xué)合理。6、內(nèi)審的策劃、間隔和實施范圍、深度及驗證是適宜的；7、糾正、預(yù)防措施對防止不合格再發(fā)生基本滿足要求。8、內(nèi)審的策劃、間隔和實施范圍、深度及驗證是適宜的；9、公司能過對信息資產(chǎn)、過程的監(jiān)視和測量，不合格品控制，內(nèi)審、 管

5、理評審，糾正、預(yù)防措施，數(shù)據(jù)分析等有系統(tǒng)的獲得與信息安全有 直接關(guān)系的信息，進(jìn)行分析并用于持續(xù)改進(jìn)信息安全管理體系的有效 性。但各部門存在沒有按規(guī)定的方法付諸實施的需要改進(jìn)現(xiàn)象。10、對于體系運行有效性及符合性作如下總結(jié)：a）公司建立并持續(xù)正常運行信息安全管理體系基本滿足 IS027001:2013標(biāo)準(zhǔn)的要求，有能力證明自身的信息安全管理， 能向顧客證明管理是有效的。b）公司文件化信息安全體系基本得到實施，發(fā)展趨勢總的來說是好 的，但發(fā)展仍不平衡，特別是在適用性聲明中明確管理的過程控 制中仍有差距，各部門程序文件或作業(yè)文件還存在某些描述與實際運行不符的情況。C）公司信息安全方針和信息安全目標(biāo)基

6、本得到實現(xiàn)，現(xiàn)有信息安全 體系是有效的。d）初步具備了自我發(fā)現(xiàn)自我改進(jìn)的能力，但建立的持續(xù)改進(jìn)實施的 還不充分。e）通過本次內(nèi)審，我們審核組認(rèn)為公司的信息安全管理體系基本符 合IS027001:2013標(biāo)準(zhǔn)要求，信息安全手冊、程序文件、適用性 聲明文件，能夠得以有效的實施，可以看岀，體系的運行是基本 符合的、有效的，能滿足信息安全策劃的要求。今后將根據(jù)實際 需要重新規(guī)劃和調(diào)整部分體系文件，使得更能符合公司實際所需 的信息安全活動的開展。11、跟蹤驗證方式請存在不合格項的受審部門制定糾正措施，并將實施效果及證實 資料，于6刀10日前提交審核組進(jìn)行書面驗證。12、其他事項:a）體系運行以體系文件為

7、依據(jù)，建議各部門對本部門員工要經(jīng)常宣 講體系文件，使各項信息安全活動都能按體系文件的要求執(zhí)行， 納入標(biāo)準(zhǔn)的軌道，保證體系運行的持續(xù)有效。各部門要根據(jù)不合 格報告舉一反三，把存在問題擺出來，責(zé)任到人，考核到人，限 期完成。而不僅僅是在紙面上進(jìn)行整改。真正把慣標(biāo)工作落在實 處，提高組織的管理水平。b）信息安全文件和記錄是體系運行的重要依據(jù)，各部門都要重視。 建議各部門把程序文件所列的信息安全記錄的表式逐一整理，在 實際運行中逐項落實，糾正原來不符合要求的表式，對所發(fā)的文 件和所收到的文件按程序規(guī)定，進(jìn)行簽發(fā)、收錄登記，使文件和 記錄盡快趨于完善。c）對控制目標(biāo)的測量雖有良好的評價結(jié)果，但測量深度有

8、待進(jìn)一步 加強，各分管職能人員要經(jīng)常深入檢查控制措施的落實情況，以 形成良好的習(xí)慣，促使管理工作上臺階。d）進(jìn)一步建立和健全自我教育、自我評審、自我改進(jìn)、自我完善的 機制，經(jīng)常對照體系文件與己有關(guān)的條款，查錯堵漏。內(nèi)部審核 是抽樣的，不是所有不合格項都能被觀察到，各部門對不合格項 糾正時要做到舉一反三，對己發(fā)現(xiàn)的不合格項，要抓緊制定糾正 措施。e）在貫徹落實標(biāo)準(zhǔn)方面，各部門還有待進(jìn)一步加強培訓(xùn)力度。各部門與信息安全體系有關(guān)的各個環(huán)節(jié)的管理人員和操作人員，都要 針對性地學(xué)習(xí)與已有有關(guān)的文件內(nèi)容，找出目前工作與信息安全體系 文件要求的差距，進(jìn)行整改。只要我們針對些次審核中開岀的不合格 報告，認(rèn)真分

9、析原因，舉一反三的制定糾正措施，采取積極而不是應(yīng) 付的，切實而不形式的，迅速而不是拖的態(tài)度來實施糾正措施，在經(jīng) 過整改后，相信整個公司的信息安全體系運行達(dá)到完美狀態(tài)。表格編號：Q3-HR-011 B/02022年度IS027001:2013信息安全管理體系內(nèi)部審核方案1、審核目的：審核公司信息安全管理體系是否符合規(guī)定的要求，評價信息安全管理體 系運行效果是否符合IS027001:2013標(biāo)準(zhǔn)要求，通過審核借以完善和改進(jìn)安 全管理體系。2、審核范圍:IS027001:2013所要求的相關(guān)活動及有關(guān)職能部門3、審核準(zhǔn)則：IS027001:2013標(biāo)準(zhǔn)、法律法規(guī)要求及客戶要求、能源手冊、程序文件及其

10、 他有關(guān)文件、記錄表格。4、審核計劃：部門/月份123456789101112管理層（含管代）業(yè)務(wù)部采購部研發(fā)部生產(chǎn)部品管部行政部圖例說明：N 區(qū)兇 計 劃 審核已進(jìn)行 糾正措施已制定 糾正措施已驗證編帝g： 審核： 扌比準(zhǔn)：日期： 日期： 日期：表格編號：Q3-HR-005 B/0IS027001:2013內(nèi)部審核計劃審核目的審核本公司的信息安全管理體系是否符合規(guī)定的要求，評價能源管理體系運行效果是否符合IS027001:2013標(biāo)準(zhǔn)要求，通過審核借以完善和改進(jìn)信息安全管理體系。審核性質(zhì)內(nèi)部審核審核范圍IS027001:2013所要求的相關(guān)活動及有關(guān)職能部門.包括：管理者代表，生產(chǎn)部 及各車

11、間，技術(shù)部，行政部，采購部，業(yè)務(wù)部，倉庫，品管部，模具車間等審核依據(jù)IS027001:2013標(biāo)準(zhǔn)、法律法規(guī)要求及客戶要求、信息安全管理手冊、程序文件 及其他有關(guān)文件、記錄表格。審核組組長：AA組員：BB, CC, DD審核日期2022年6月6日日期時間第一組文件審核（AA, CC）第二組現(xiàn)場審核（BB）4月11日8:30-9:00首次會議9:00-9:30業(yè)務(wù)部生產(chǎn)部各車間現(xiàn)場（五金，拋光、注塑）9:30-11:00生產(chǎn)部生產(chǎn)部各車間現(xiàn)場（裝配包裝生產(chǎn)線）11:00-11:30采購部模具車間及工廠周邊11:30-12:00行政部三個倉庫（包含3個庫存出.倉抽樣）12:00-14:00中午休息

12、14:00-15:00研發(fā)部質(zhì)量：研發(fā)部及樣板房環(huán)境：飯?zhí)盟奚峄瘜W(xué)品倉危網(wǎng)倉15:00-17:00品管部品管部17:00-17:20審核組內(nèi)部溝通17:20-17:50末次會議內(nèi)部審核日程安排計劃編制人：（審核組長）批準(zhǔn)人：（管理者代表）日期：年月日日期：年月 日表格編號：Q3-HR-006 B/0內(nèi)審首次/末次會議簽到表首次會議末次會議序號參加人員簽名部門職位日期序號參加人員簽名部門職位日期表格編號：Q3-HR-007 B/0文件編號：GD-S4-0182022年IS027001-2013信息安全管理體系內(nèi)審檢查表審核日期：2022. 06.06適用條款審核問題審核方式審核記錄審核結(jié)果體系

13、條款標(biāo)題4組織環(huán)境4.14. 1理解組織及其環(huán)境管理者代表是否了解公司的業(yè)務(wù)以及行業(yè)環(huán)境訪談4.24. 2理解相關(guān)方的需求和期望檢查組織是否了解客戶合同中的需求訪談4.34.3確定信息安全管理體系的范圍檢查組織的信息安全管理體系手冊中是否有明確管理范圍檢查組織的適用性聲明，是否針對實際 情況做合理刪減訪談4.44.4信息安全管理體系檢查組織是否有正式的信息安全管理體系制度抽樣5領(lǐng)導(dǎo)5.15. 1領(lǐng)導(dǎo)和承諾組織是否制定了明確的信息安全方針和 目標(biāo)，這些方針和目標(biāo)與公司的業(yè)務(wù)是 否相關(guān)。訪談5.25.2方針是否有文件化的管理方針現(xiàn)場觀察5.35.3組織角色、職責(zé)和權(quán)限是否建立了的信息安全管理組織，

14、并明確其職責(zé)及權(quán)限訪談6規(guī)劃6.16.1應(yīng)對風(fēng)險和機會的措施6. 1. 1總則檢查組織是否建立正式的風(fēng)險評估流程現(xiàn)場觀察6. 1.2信息安全風(fēng)是否建立了風(fēng)險接受準(zhǔn)則現(xiàn)場觀察險評估風(fēng)險評估實施情況現(xiàn)場觀察抽樣最新一次風(fēng)險評估內(nèi)容，檢查風(fēng)險是否識別了責(zé)任人，風(fēng)險級別現(xiàn)場觀察6. 1. 3信息安全風(fēng)險處置檢查組織的風(fēng)險處置計劃，風(fēng)險是否都有風(fēng)險責(zé)任人審批，風(fēng)險處置方式?，F(xiàn)場觀察6.2信息安全目標(biāo)和規(guī)劃實現(xiàn)檢查組織是否建立信息安全目標(biāo)，信息安全目標(biāo)與管理方針是否存在關(guān)聯(lián)現(xiàn)場觀察7支持7. 1資源組織應(yīng)確定并提供建立、實施、保持和 持續(xù)改進(jìn)信息安全管理體系所需的資 源。訪談7.2能力檢查組織在崗位說明書

15、中明確信息安全方面的能力要求現(xiàn)場觀察檢查組織的培訓(xùn)計劃，是否有信息安全方面的培訓(xùn)內(nèi)容現(xiàn)場觀察7.3意識隨機訪談各部門員工5人，了解其是否 知曉故新的信息安全管理體系及相關(guān)制 度。訪談7.4溝通了解組織與相關(guān)方溝通的方式，頻率以及溝通的記錄訪談運行8. 1運行的規(guī)劃和控制檢查內(nèi)容詳見A5-A189績效評價9. 1監(jiān)視、測量、分析和評價檢查組織是否有體系有效性測量流程現(xiàn)場觀察9.2內(nèi)部審核檢查組織是否建立了內(nèi)審流程現(xiàn)場觀察檢查最新的內(nèi)審活動，是否包含檢查清 單、檢查過程是否有效，對不符項的關(guān) 閉情況9. 3管理評審檢查公司的管評計劃檢查公司最新的管評活動記錄10改進(jìn)10. 1不符合和糾正措施檢查內(nèi)

16、容同9. 1 9.2A. 5安全方針A. 5.1信息安全管理方向A. 5. 1. 1信息安全方針組織是否制定了明確的信息安全方針和 目標(biāo)，這些方針和目標(biāo)與公司的業(yè)務(wù)是 否相關(guān)?，F(xiàn)場觀察A. 5. 1.2信息安全方針的評審獲取組織管理評審相關(guān)記錄，檢查管理 評審會議中，是否對信息安全方針的達(dá) 成情況進(jìn)行了評審。A. 6信息安全組織A. 6.1內(nèi)部組織A. 6. 1. 1信息安全的角色和職責(zé)是否所有的組織成員都明確自己的信息 安全職責(zé)？以及對自己信息安全職責(zé) 的明確程度？信息安全職責(zé)的分配是否 與信息安全方針文件相一致？現(xiàn)場觀察A. 6. 1.2與監(jiān)管機構(gòu)的聯(lián)系檢查體系制度中，是否明確指定了與監(jiān)管

17、機構(gòu)聯(lián)系的部門或負(fù)責(zé)人現(xiàn)場觀察A. 6. 1.3與特殊利益團(tuán)體的聯(lián)系與第三方接洽是否考慮了安全性？是否對相關(guān)資質(zhì)和背景進(jìn)行考察？現(xiàn)場觀察A. 6. 1.4項目管理中的信息安全抽樣檢查本年度已實施完成的項目或正在實施的任意一個項目。檢查項目管理過程中，是否依照組織信 息安全管理制度相關(guān)要求進(jìn)行安全管理現(xiàn)場觀察A. 6. 1.5職責(zé)分離檢查組織的崗位職責(zé)表，檢查是否明確定義了職責(zé)說明。檢查是否有不兼容崗位設(shè)置說明；檢查系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)運維是否由不同人員擔(dān)任。現(xiàn)場觀察A. 6.2移動設(shè)備和遠(yuǎn)程辦公A. 6. 2.1移動設(shè)備策略檢查公司信息安全管理制度中是否明確 的制定了移動設(shè)備的安全管理策略

18、； 隨機抽樣3臺移動設(shè)備，檢查設(shè)備的安 全管控措施是否與制度相符?，F(xiàn)場觀察A. 6. 2. 2遠(yuǎn)程辦公檢査公司信息安全管理制度中是否明確的制定了遠(yuǎn)程辦公的管理策略；現(xiàn)場觀察A.7人力資源安全A. 7.1任用之前A. 7. 1. 1篩選隨機抽樣4名新入職員工的入職材料， 檢查員工入職前，背景調(diào)查的相關(guān)記錄.現(xiàn)場觀察A. 7. 1.2任用的條款及條件檢查這4名新入職員工的勞動合同及是否簽署了保密協(xié)議?，F(xiàn)場觀察A. 7.2任用中A. 7. 2.1管理職責(zé)隨機抽樣5名員工，檢查是否了解其工作職責(zé)。抽樣A. 7. 2. 2信息安全意識，教育和培訓(xùn)獲取組織年度的培訓(xùn)計劃；檢查年度培訓(xùn)計劃中是否包含了信息安

19、全意識培訓(xùn)；現(xiàn)場觀察獲取當(dāng)年度信息安全培訓(xùn)的簽到表、培訓(xùn)記錄A. 7. 2. 3紀(jì)律處理過程檢查組織是否制定了獎懲規(guī)則；獲取當(dāng)年獎懲記錄抽樣A. 7.3任用的終止或變化A. 7. 3.1任用終止或變化的責(zé)任獲取當(dāng)年離職離崗或轉(zhuǎn)崗人員清單；隨機抽樣四份離職或轉(zhuǎn)崗記錄，檢查所有控制環(huán)節(jié)是否都被有效實施；抽樣A.8資產(chǎn)管理A. & 1對資產(chǎn)負(fù)責(zé)A. & 1. 1資產(chǎn)清單獲取組織的信息資產(chǎn)清單；檢查信息資產(chǎn)淸單是否每年都進(jìn)行更新；現(xiàn)場觀察A. 8. 1.2資產(chǎn)責(zé)任人檢查資產(chǎn)淸單中各類信息資產(chǎn)是否都指定了責(zé)任人；抽樣5份重要的信息資產(chǎn)，驗證己定義 的信息資產(chǎn)責(zé)任人是否與實際相符；現(xiàn)場觀察A. & 1.3

20、資產(chǎn)的允許使用了解組織重要系統(tǒng)或數(shù)據(jù)是否定義了訪 問規(guī)則；檢查系統(tǒng)及數(shù)據(jù)訪問的審批或 授權(quán)記錄?，F(xiàn)場觀察A. & 2信息分類A. & 2. 1信息的分類檢查信息資產(chǎn)相關(guān)制度，組織是否已定義了資產(chǎn)分類分級的標(biāo)準(zhǔn)；檢查信息資產(chǎn)清單，各類信息資產(chǎn)是否 依照規(guī)則進(jìn)行了分類和分級；現(xiàn)場觀察A. & 2. 2信息的標(biāo)記隨機抽樣5份電子文檔以及紙質(zhì)文件檢查文件中是否明確標(biāo)記了保密等級現(xiàn)場觀察A. & 2. 3資產(chǎn)的處理檢查信息資產(chǎn)相關(guān)制度，制度中是否已明確制定了資產(chǎn)的處理措施；現(xiàn)場觀察A. & 2. 4資產(chǎn)的歸還隨機抽取本年度4份離職單，查看物品歸還情況抽樣A. 8.3介質(zhì)處理A. & 3.1可移動介質(zhì)的管

21、理現(xiàn)場觀察移動存儲使用和管控與制度是否相符；現(xiàn)場觀察A. & 3. 2介質(zhì)的處置檢査是否建立介質(zhì)消磁管理辦法，并按要求定期進(jìn)行回顧與更新；抽査4份介質(zhì)報廢的審批及處置記錄抽樣A. 8. 3. 3物理介質(zhì)傳輸存有重要信息的介質(zhì)傳送時有哪些策略抽樣策略的實施情況抽樣-訪問控制A. 9.1訪問控制的業(yè)務(wù)要求A. 9. 1. 1訪問控制策略檢查組織是否建立了系統(tǒng)的訪問控制策略；是否建立了安全或重要區(qū)域的訪問控制 措施現(xiàn)場觀察A. 9. 1.2網(wǎng)絡(luò)服務(wù)的使用政策檢查組織是否建立了網(wǎng)絡(luò)安全域訪問控制策略；現(xiàn)場觀察A. 9.2用戶訪問管理A. 9. 2. 1用戶注冊和注銷檢查賬戶開通管控情況：抽樣2份重要業(yè)

22、務(wù)系統(tǒng)用戶帳號開通審批記錄抽樣4份新員工帳號開通申請記錄抽樣A. 9. 2. 2特權(quán)管理檢查特權(quán)賬戶授權(quán)、使用管控情況： 抽樣3份重要系統(tǒng)特權(quán)賬戶授權(quán)審批記抽樣錄檢查特權(quán)賬戶使用是否符合制度要求A. 9. 2. 3用戶秘密認(rèn)證信息的管理檢查組織用戶口令管理策略，是否對口 令生成、發(fā)送、變更等環(huán)節(jié)制定了控制 措施。抽樣A. 9. 2. 4用戶訪問權(quán)的復(fù)查抽樣2套重要的服務(wù)器用戶帳號及權(quán)限 復(fù)查記錄：檢查賬戶及權(quán)限復(fù)查工作是 否滿足制度要求抽樣A. 9. 2. 5移除或調(diào)整訪問權(quán)限隨機檢査2個重要系統(tǒng)賬戶清單，檢查今年離職用戶的賬戶是否被刪除或凍結(jié)抽樣A. 9.3用戶職責(zé)A. 9. 3. 1秘密認(rèn)

23、證信息的使用隨機檢査3名員工電腦，要求其現(xiàn)場登錄，觀察輸入的密碼長度及復(fù)雜程度抽樣A. 9.4系統(tǒng)和應(yīng)用程序的訪問控制A. 9. 4. 1信息訪問限制公司各類信息是否制定了相應(yīng)的訪問控制措施現(xiàn)場抽查訪問控制措施的有效性抽樣A. 9. 4. 2安全登錄程序檢查公司系統(tǒng)登錄程序，是否做到輸入 密碼時，不顯示密碼。密碼連續(xù)輸錯N 次自動鎖定；系統(tǒng)不操作一定時長后自 動退出等功能。抽樣A. 9. 4. 3口令管理系統(tǒng)檢查域控的密碼策略，檢查密碼設(shè)置的 長度、復(fù)雜程度、修改周期是否符合制 度要求；隨機抽查2個重要系統(tǒng)的用戶密碼管理 策略，檢查密碼設(shè)置的長度、復(fù)雜程度、 修改周期是否符合制度要求；抽樣A.

24、 9. 4. 4特權(quán)實用程序的使抽查公司域控、重要系統(tǒng)中是否存在特抽樣用權(quán)實用程序，這些程序的安全使用是否 得到相應(yīng)的審批A. 9. 4. 5程序源碼的訪問控制檢查源程序訪問控制制度和措施抽查源程序控制措施，檢查其是否符合制度要求抽樣A. 10密碼學(xué)A. 10.1密碼控制A. 10. 1.1密碼使用控制政策檢査公司是否制定了加密策略，包括加 密的對象、加密的方法、解密的方法等。抽樣A. 10. 1.2密鑰管理檢査公司對密鑰生命是否制定了控制措 施。抽樣A. 11物理和環(huán)境安全A. 11.1安全區(qū)域A. 11. 1.1物理安全邊界重要安全區(qū)域是否隔離？現(xiàn)場觀察A. 11. 1.2物理入口控制現(xiàn)場

25、抽樣3份設(shè)備進(jìn)出單 檢查職場、機房進(jìn)出記錄？抽樣A. 11. 1.3辦公室，房間和設(shè)施的安全保護(hù)現(xiàn)場查看辦公室的防火防盜措施，檢查職場大門是否常閉抽樣A. 11. 1.4外部和環(huán)境威脅的安全防護(hù)周遍環(huán)境的檢查（滅火設(shè)備、危險物品存 放）抽樣A. 11. 1.5在安全區(qū)域工作安全區(qū)域是否有明確的管控措施檢查是否有員工違背安全區(qū)域管控措施的行為抽樣A. 11. 1.6交付和交接區(qū)前臺的檢查（檢查記錄是否完備）前臺脫 崗，保安脫崗.抽樣A. 11.2設(shè)備A. 11.2.1設(shè)備安置和保護(hù)檢查設(shè)備是否按照要求放在適當(dāng)?shù)奈恢?？（滅火器材、服?wù)器）抽樣A. 11.2.2支持性設(shè)備檢查核心設(shè)備是否安置了足夠的

26、支持設(shè) 施（防火、防水、防潮、防斷電、防雷 電、防盜竊等）抽樣A. 11.2.3布纜安全檢查強電與弱電電纜是否分開部署抽樣A. 11.2.4設(shè)備維護(hù)檢查機房巡檢記錄，獲取UPS、精密空調(diào)、消防設(shè)施的維護(hù)記錄；驗證設(shè)備維護(hù)是否依照制度的要求及頻率實施抽樣A. 11.2.5資產(chǎn)的移動與相關(guān)人員訪談，了解資產(chǎn)移動的控制措施；抽樣A. 11.2.6場外設(shè)備和資產(chǎn)安全檢查相關(guān)制度，是否明確制定了場外設(shè)備管控措施；抽樣A. 11.2.7設(shè)備的安全處置或再利用隨機抽樣下架設(shè)備數(shù)據(jù)清理的記錄抽樣A. 11.2.8無人值守的用戶設(shè)備現(xiàn)場觀察機房中的服務(wù)器是否鎖屏，機房門是否常閉現(xiàn)場觀察A. 11.2.9清除桌面

27、和清屏策略隨機抽樣3名離開工位的員工，觀察工 位上是否有敏感信息，電腦是否在一定 時間內(nèi)自動鎖頻現(xiàn)場觀察A. 12操作安全A. 12.1操作程序和職責(zé)A. 12. 1.1文件化的操作程序檢查3份重要系統(tǒng)或設(shè)備的操作或維護(hù)手冊形成的文件程序是否符合要求？（備份、抽樣日志、重置維護(hù)等）A. 12. 1.2變更管理抽樣3個重要系統(tǒng)的變更記錄？抽樣A. 12. 1.3容量管理是否對重要設(shè)備、系統(tǒng)的容量（CPU、內(nèi) 存、硬盤、網(wǎng)絡(luò)帶寬等）進(jìn)行了監(jiān)控？ 現(xiàn)場檢查監(jiān)控報警是否都被處置，及處 置記錄抽樣A. 12. 1.4開發(fā)，測試和運行環(huán)境的分離現(xiàn)場檢查開發(fā)、測試和生產(chǎn)網(wǎng)絡(luò)是否互通；開發(fā)、測試和生產(chǎn)人員是否

28、為同一人員。抽樣A. 12. 2惡意軟件防護(hù)A. 12. 2.1控制惡意軟件抽樣5臺辦公終端，檢查是否統(tǒng)一安裝 了公司規(guī)定的防病毒軟件； 檢查病毒庫是否為最新的。抽樣A. 12. 3備份A. 12. 3.1信息備份獲取備份策略；依照備份策略，隨機抽樣3份備份，檢 查備份記錄及備份文件存放情況；依照備份策略，隨機抽樣3份備份恢復(fù) 記錄；抽樣A. 12. 4記錄和監(jiān)控A. 12. 4.1事件日志日記記錄表的檢查抽查重要系統(tǒng)、核心網(wǎng)絡(luò)設(shè)備的日志審計記錄（日志檢查表）抽樣A. 12. 4.2日志信息的保護(hù)檢査檢査重要系統(tǒng)日志防護(hù)措施，是否保障日志不被隨意刪除、篡改抽樣A. 12. 4.管理員和操作員日

29、隨機抽取3份重要系統(tǒng)或設(shè)備的管理員抽樣3志操作日志審核記錄A. 12. 4.4時鐘同步抽查3臺系統(tǒng)設(shè)備的時間，確定是否保持一致抽樣A. 12. 5操作軟件的控制A. 12. 5.1操作系統(tǒng)軟件的安裝檢查生產(chǎn)系統(tǒng)軟件安裝的審批記錄；抽樣A. 12. 6技術(shù)漏洞管理A. 12. 6.1技術(shù)漏洞的管理抽查公司漏洞掃描記錄及處置記錄抽樣A. 12. 6.2限制軟件安裝檢查是否有軟件白名單或黑名單隨機抽樣3臺辦公終端，查看是否可以 隨意安裝軟件檢查抽樣的辦公終端，查看是否存在違規(guī)軟件抽樣A. 12. 7信息系統(tǒng)審計考慮A. 12. 7.1信息系統(tǒng)審計控制獲取上一年度審核計劃及審批記錄訪談A. 13通信安

30、全A. 13. 1網(wǎng)絡(luò)安全管理A. 13. 1.1網(wǎng)絡(luò)控制檢查一臺核心防火墻的規(guī)則策略，是否與公司網(wǎng)絡(luò)控制策略相符；抽樣A. 13. 1.2網(wǎng)絡(luò)服務(wù)的安全檢查公司網(wǎng)絡(luò)設(shè)備及安全設(shè)備的策略是否能有效的限制和防護(hù)網(wǎng)絡(luò)服務(wù)抽樣A. 13. 1.3網(wǎng)絡(luò)隔離獲取網(wǎng)絡(luò)拓?fù)鋱D；了解安全域或網(wǎng)段劃分策略；檢查隔離網(wǎng)段間是否能互連；訪談A. 13. 2信息傳輸A. 13. 2.1信息傳輸?shù)牟呗院统绦驒z查組織對敏感信息制定了傳輸和控制策略；現(xiàn)場查看，傳輸控制措施的實施情況；抽樣A. 13. 2.2信息傳輸協(xié)議檢查組織是否制定了信息傳輸協(xié)議使用策略及要求；現(xiàn)場觀察A. 13. 2.3電子消息檢查組織是否制定了電子郵

31、件、及時通信工具的使用策略；現(xiàn)場觀察A. 13. 2.4保密或不泄露協(xié)議隨機抽查3位研發(fā)人員的保密協(xié)議，查 看協(xié)議中是否明確保密要求。抽樣系統(tǒng)獲取，開發(fā)和維護(hù)A. 14. 1信息系統(tǒng)的安全要求A. 14. 1.1安全需求分析和規(guī)范獲取本年度己完成或正在實施的軟件開發(fā)項目清單；獲取組織系統(tǒng)開發(fā)規(guī)程，檢查開發(fā)規(guī)程 中，是否明確各類系統(tǒng)開發(fā)時信息安全 的設(shè)計要求；獲取一個項目的需求及開發(fā)文檔，檢査 文檔中是否有信息安全相關(guān)的需求及開 發(fā)設(shè)計；抽樣A. 14. 1.2保護(hù)公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)檢査公司官網(wǎng)信息變更控制內(nèi)容現(xiàn)場觀察A. 14. 1.3保護(hù)應(yīng)用服務(wù)交易檢查網(wǎng)絡(luò)交易類應(yīng)用服務(wù)系統(tǒng)，在數(shù)據(jù)交換、

32、網(wǎng)絡(luò)連接等方面是否制定了控制措施；現(xiàn)場觀察A. 14. 2開發(fā)和支持過程中的安全A. 14. 2.1安全開發(fā)策略檢查公司是否建立了開發(fā)策略抽樣A. 14. 2.2變更控制程序檢查新系統(tǒng)上線審批記錄；檢查新系統(tǒng)變更審批記錄；抽樣A. 14. 2.3操作平臺變更后對應(yīng)用的技術(shù)評估獲取生產(chǎn)系統(tǒng)操作系統(tǒng)升級記錄，檢查升級前的評估測試記錄；抽樣A. 14. 2.4軟件包變更的限制檢查組織是否建立了系統(tǒng)開發(fā)軟件包變更控制措施；抽樣A. 14. 2.5系統(tǒng)開發(fā)程序檢查組織是否建立了系統(tǒng)開發(fā)程序及過程抽樣A. 14. 2.6安全的開發(fā)環(huán)境現(xiàn)場檢査開發(fā)環(huán)境是否與辦公環(huán)境物理分隔觀察開發(fā)網(wǎng)絡(luò)控制措施的有效性抽樣A

33、. 14. 2.7外包開發(fā)檢查組織是否制定了外包開發(fā)策略。抽樣A. 14. 2.8系統(tǒng)安全性測試抽取已上線系統(tǒng)的安全測試報告抽樣A. 14. 2.9系統(tǒng)驗收測試抽取系統(tǒng)驗收報告及各項測試報告抽樣A. 14. 3測試數(shù)據(jù)A. 14. 3.1測試數(shù)據(jù)的保護(hù)檢查生產(chǎn)數(shù)據(jù)脫敏記錄；現(xiàn)場觀察A. 15供應(yīng)關(guān)系A(chǔ). 15.1供應(yīng)關(guān)系的安全A. 15. 1.1供應(yīng)關(guān)系的信息安全策略檢查組織是否建立了供應(yīng)商信息安全管理策略訪談A. 15. 1.2供應(yīng)商協(xié)議中的安全獲取本年度供應(yīng)商清單；隨機抽取3份供應(yīng)商合同及保密協(xié)議，檢査合同或保密協(xié)議中是否明確了信息抽樣安全方面的要求。A. 15. 1.3信息和通信技術(shù)供應(yīng)

34、鏈檢查與通信供應(yīng)商簽署合同中，是否明確了網(wǎng)絡(luò)線路的可用性要求訪談A. 15. 2供應(yīng)商服務(wù)交付管理A. 15. 2.1監(jiān)測和審查供應(yīng)商服務(wù)了解供應(yīng)商考核方式隨機抽查3份供應(yīng)商考核記錄；抽樣A. 15. 2.2供應(yīng)商服務(wù)變更管理了解供應(yīng)商服務(wù)變更管理策略；隨機抽查1份供應(yīng)商服務(wù)內(nèi)容變更及變更審批的記錄抽樣ki6信息安全事件管理A. 16.1信息安全事件管理和持續(xù)改進(jìn)A. 16. 1.1職責(zé)和程序檢査公司有無明確定義信息安全事件處置流程和職責(zé)訪談A. 16. 1.2報告信息安全事態(tài)了解信息安全事件上報流程；獲取信息安全事件上報記錄訪談A. 16. 1.3報告信息安全弱點訪談任意1名員工，觀察其是否了解可疑安全事件上報流程訪談A. 16. 1.4評估和確定信息安全事態(tài)隨機抽取2份信息安全事件處置記錄， 檢查事件評估及處置記錄是否齊全，是 否符合制度要求訪談A. 16. 1.5信息安全事件響應(yīng)檢查信息安全事件處置記錄，查看事件相應(yīng)及處置時間是否如何制度要求訪談A. 16. 1.6回顧信息安全事故抽樣當(dāng)年信息安全事件總結(jié)記錄訪談A.