2019年ISO27001信息安全管理体系内审检查表

2019年ISO27001信息安全管理体系内审检查表 审核日期：2019.10.11 序号 A.5信息安全方针 A.5.1信息安全管理指引 目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针，信息安全方针文件应经过管理A.5.1.1 信息安全方针 层批准，并向所有员工和相关方发布和沟通。 应定期或在发生重大的变化时评审方针文件，确保方A.5.1.2 信息安全方针的评审 针的持续性、稳定性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标：建立信息安全管理框架，在组织内部启动和控制信息安全实施。 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 信息安全的角色和职责 应定义和分配所有信息安全职责。 有冲突的职责和责任范围应分离，以减少对组织资产职责分离 未经授权访问、无意修改或误用的机会。 与监管机构的联系 应与相关监管机构保持适当联系。 项目内容 审核内容 审核记录 审核结果 备注 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保 持适当联系。 A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。 A.6.2移动设备和远程办公 目标：应确保远程办公和使用移动设备的安全性。 应采取安全策略和配套的安全措施控制使用移动设A.6.2.1 移动设备策略 备带来的风险。 应实施安全策略和配套的安全措施以保障远程办公A.6.2.2 远程办公 时信息的访问、处理和存储的安全。 A.7人力资源安全 A.7.1任用前 目标：确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 根据相关法律、法规、道德规范，对员工、合同人员A.7.1.1 人员筛选 及承包商人员进行背景调查，调查应符合业务需求、访问的信息类别及已知风险。 与员工和承包商的合同协议应当规定他们对组织的 A.7.1.2 任用条款和条件 信息安全责任。 A.7.2任用中 目标：确保员工和合同方了解并履行他们的信息安全责任。 管理层应要求员工、合同方符合组织建立的信息安全A.7.2.1 管理职责 策略和程序。 组织内所有员工、相关合同人员及合同方人员应接受信息安全意识、教育与A.7.2.2 培训 策略及程序。 应建立并传达正式的惩戒程序，据此对违反安全策略A.7.2.3 纪律处理过程 的员工进行惩戒。 A.7.3任用终止和变更 目标：保证组织利益是雇佣终止和变更的一部分 应定义信息安全责任和义务在雇用终止或变更后仍A.7.3.1 任用终止或变更的责任 然有效，并向员工和合同方传达并执行。 A.8资产管理 A.8.1资产的责任 目标：确定组织资产，并确定适当的保护责任。 应制定和维护信息资产和信息处理设施相关资产的A.8.1.1 A.8.1.2 资产清单 资产清单。 资产责任人 适当的意识培训，并定期更新与他们工作相关的组织 资产清单中的资产应指定资产责任人（OWNER）。 应识别信息和信息处理设施相关资产的合理使用准A.8.1.3 资产的合理使用 则，形成文件并实施。 在劳动合同或协议终止后，所有员工和外部方人员应A.8.1.4 资产的归还 退还所有他们使用的组织资产。 A.8.2信息分类 目标：确保信息资产是按照其对组织的重要性受到适当级别的保护。 A.8.2.1 信息分类 保护信息免受未授权泄露或篡改。 应制定和实施合适的信息标识程序,并与组织的信息A.8.2.2 信息标识 分类方案相匹配。 应根据组织采用的资产分类方法制定和实施资产处A.8.2.3 资产处理 理程序 A.8.3介质处理 目标：防止存储在介质上的信息被未授权泄露、修改、删除或破坏。 应实施移动介质的管理程序，并与组织的分类方案相A.8.3.1 可移动介质管理 匹配。 当介质不再需要时，应按照正式程序进行可靠的、安A.8.3.2 介质处置 全的处置。 应根据法规、价值、重要性和敏感性对信息进行分类，含有信息的介质应加以保护，防止未经授权的访问、A.8.3.3 物理介质传输 滥用或在运输过程中的损坏。 A.9访问控制 A.9.1访问控制的业务需求 目标：限制对信息和信息处理设施的访问。 应建立文件化的访问控制策略，并根据业务和安全要A.9.1.1 访问控制策略 求对策略进行评审。 对网络和网络服务的访应只允许用户访问被明确授权使用的网络和网络服A.9.1.2 问 A.9.2用户访问管理 目标：确保已授权用户的访问，预防对系统和服务的非授权访问。 A.9.2.1 用户注册和注销 务。 应实施正式的用户注册和注销程序来分配访问权限。 无论什么类型的用户，在对其授予或撤销对所有系统A.9.2.2 用户访问权限提供 和服务的权限时，都应实施一个正式的用户访问配置程序。 A.9.2.3 A.9.2.4 特权管理 应限制及控制特权的分配及使用。 用户认证信息的安全管用户鉴别信息的权限分配应通过一个正式的管理过理 程进行安全控制。

A.9.2.5 用户访问权限的评审 资产所有者应定期审查用户访问权限。 在跟所有员工和承包商人员的就业合同或协议终止 A.9.2.6 撤销或调整访问权限 和调整后，应相应得删除或调整其信息和信息处理设施的访问权限。 应要求用户遵循组织的做法使用其认证信息。 A.9.3用户责任 目标：用户应保护他们的认证信息。 A.9.3.1 认证信息的使用 A.9.4系统和应用访问控制 目标：防止对系统和应用的未授权访问。 应基于访问控制策略限制对信息和应用系统功能的A.9.4.1 信息访问限制 访问。 在需要进行访问控制时，应通过安全的登录程序，控A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 A.10密码学 安全登录程序 制对系统和应用的访问。 密码管理系统 特权程序的使用 用，应限制和严格控制。 对程序源码的访问控制 对程序源代码的访问应进行限制。 应使用交互式口令管理系统，确保口令质量。 对于可以覆盖系统和应用权限控制的工具程序的使 A.10.1密码控制 目标：确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。 A.10.1.1 A.10.1.2 使用加密控制的策略 密钥管理 施一个贯穿密钥全生命周期的策略。 A.11物理和环境安全 A.11.1安全区域 目标：防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。 A.11.1.1 A.11.1.2 A.11.1.3 安全 A.11.1.4 A.11.1.5 防范外部和环境威胁 击或意外。 在安全区域工作 应设计和应用在安全区域工作的程序。 访问区域如装卸区域，及其他未经授权人员可能进入A.11.1.6 送货和装卸区 的地点应加以控制，如果可能的话，信息处理设施应隔离以防止未授权的访问。 全。 应设计和应用物理保护措施以应对自然灾害、恶意攻物理安全边界 物理进入控制 应开发和实施加密控制措施的策略以保护信息。 对加密密钥的使用、保护和有效期管理，应开发和实 应定义安全边界，用来保护包含敏感或关键信息和信 安全区域应有适当的进入控制保护，以确保只有授权 办公室、房间及设施和应设计和实施保护办公室、房间及所及设备的物理安 A.11.2设备安全 目标：防止资产的遗失、损坏、偷窃或损失和组织业务中断。 应妥善安置及保护设备，以减少来自环境的威胁与危A.11.2.1 设备安置及保护 害，并减少未授权访问的机会。 应保护设备免于电力中断及其它因支持设施失效导A.11.2.2 支持设施 致的中断。 A.11.2.3 A.11.2.4 A.11.2.5 A.11.2.6 线缆安全 免遭中断或破坏。 设备维护 资产转移 场外设备和资产安全 作的不同风险。 含有存储介质的所有设备在报废或重用前，应进行检A.11.2.7 设备报废或重用 查，确保任何敏感数据和授权软件被删除或被安全重写。 A.11.2.8 A.11.2.9 无人值守的设备 桌面清空及清屏策略 清除信息处理设施屏幕的策略。 用户应确保无人值守的设备有适当的保护。 应采用清除桌面纸质和可移动存储介质的策略，以及 应保护传输数据或支持信息服务的电力及通讯电缆， 应正确维护设备，以确保其持续的可用性及完整性。 未经授权，不得将设备、信息及软件带离。 应对场外资产进行安全防护，考虑在组织边界之外工

本文来源：https://www.bwwdw.com/article/ndrd.html