体系管理-阅读正文
ISO27001信息安全检查表-Excel表单模板可获取
序号 | 审核内容 | 审查要点 | 审核结果 | 判定/处置 |
1 | 是否开展了信息安全的检查活动? | 有安全检查记录或者报告,和改善记录 | ||
2 | 1,是否制定了资产清单,包含了所有的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据? 2,对这些资产清单是否有定期的更新? | 1.确认资产清单正确 | ||
3 | 上面的资产清单上是否标识了所有人和保管人? | (要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符) | ||
4 | 是否按客户文档的密级规则进行了适当的保护 | 确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有'明确标识’。根据需要,确认'限定范围’,'附带标识’,'制定日期’,'制定者’。 | ||
5 | 是否使所有员工和信息安全相关人员签署了保密协议/合同? | |||
6 | 是否有信息安全意识、教育和培训计划? | 确认培训计划 | ||
7 | 是否执行了信息安全意识、教育和培训? | 培训记录(实施日期,培训内容/教材,参加人员 | ||
8 | 是否制定了信息安全惩戒规程? | |||
9 | 邮件用户是否清除了? | 抽查是否有离职人员的用户权限没有被清除 | ||
10 | 门禁权限是否清除了? | |||
11 | 是否制订规则划分了安全区域? | 确认风险评估时是否划分了安全区域等级 | ||
12 | 是否执行了安全区域划分规则? | 对不同等级的区域是否有相应措施,措施是否被执行 | ||
13 | 是否制订安全区域出入规则? | 1.在公司内部,员工是否佩带可以识别身份的门卡 2.机房,实验室是否有出入管制规则 | ||
14 | 是否执行了安全区域出入规则(前台接待,机房,实验室访问控制)? | 安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进出是否有管理记录 | ||
15 | 是否定义了公共访问/交接区域? | 确认定义文件 | ||
16 | 是否监控了公共访问和交接区域? | 实地查看是否有监控措施 | ||
17 | 服务器是否得到了妥善的安置和防护? | 1. 重要的服务器放在安全的区域(如机房) | ||
18 | 是否制订服务器维护计划? | 确认计划内容 | ||
19 | 设备处置是否经过了申请?(设备维修,销毁等) | 确认修理及报废时的HDD的对应方法。 | ||
20 | 设备处置是否经过了管理 | 审批记录 | ||
21 | 服务器,网络和应用系统的变更是否经过了管理? | 变更申请记录 | ||
22 | 是否进行了防病毒软件的部署 | 确认部门系统和个人PC的手都已经部署并且状态正常。 | ||
23 | 是否有及时的防病毒软件的升级 | |||
24 | 对防病毒软件的是否进行了检查?(执行一次检查) | |||
25 | 备份策略制订 | 是否有备份策略的制订? | ||
26 | 备份实施 | 是否有备份的实施? | ||
27 | 备份验证 | 是否有备份的验证 | ||
28 | 备份保护 | 是否有备份保护 | ||
29 | 是否实施了网络控制 | 是否有网络访问方面的限制 | ||
30 | 是否对网络服务的安全进行了控制 | 1.Web访问服务的安全 | ||
31 | 是否有移动介质清单的管理 | 1.是否有管理清单 | ||
32 | 是否有移动介质报废管理 | 1.报废的申请和审批记录 | ||
33 | 系统文件是否得到了保护 | 1.检查其访问权限设定。 | ||
34 | 是否有信息交换策略制订 | 确认项目或其他敏感信息是否在发送前经过授 | ||
35 | 和信息交换方是否签订了协议 | 和交换涉及方签订NDA(保密协议) | ||
36 | 物理介质传输是否得到了保护 | 1. 检查包装合理性 | ||
37 | 是否按照公司规程实施了电子信息交换 | 确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等) | ||
38 | 是否按照公司规程实施业务信息互联 | 1.互联网使用的检查。 | ||
39 | 是否有访问控制方针制订 | 如果有文件共享请确认: | ||
40 | 是否对访问控制方针进行了评审 | 是否有定期的检查 | ||
41 | 是否有用户注册的管理 | 1.确认用户账号是否有申请书。 | ||
42 | 是否有特权管理的管理 | 1.如果访问控制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。 | ||
43 | 是否有口令的管理 | 有没有将口令写在便条上,或者告知他人 | ||
44 | 是否定期对权限进行了审核 | 定期审核记录 | ||
45 | 是否制定了口令策略 | 管理人员的密码设定。 | ||
46 | 是否执行了口令策略 | |||
47 | 是否实施了网络隔离(不同功能和密级网络的隔离,物理或逻辑)? | 1.是否有隔离区 | ||
48 | 是否对网络连接实施了控制 | 接入网络前是否经过IM或者ISM的安全检查 | ||
49 | 是否制订了信息访问限制策略 | 访问策略定义文件 | ||
50 | 是否执行了信息访问限制策略 | 对照文件实地观察实施情况 |
联系客服