返回
信息安全内审checklist

信息安全内审checklist

ID:39478707

大小:26.97 KB

页数:5页

时间:2019-07-04

信息安全内审checklist_第1页
信息安全内审checklist_第2页
信息安全内审checklist_第3页
信息安全内审checklist_第4页
信息安全内审checklist_第5页
资源描述:

《信息安全内审checklist》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、审查内容审查要点检查时间审核结果发现是否开展了信息安全的检查活动?有安全检查记录或者报告,和改善记录   1,是否制定了资产清单,包含了所有的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?2,对这些资产清单是否有定期的更新?1.确认资产清单正确2.确认更新记录3.客户的资产的保护   上面的资产清单上是否标识了所有人和保管人?(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)   是否按客户文档的密级规则进行了适当的保护确认对于机密信息(电子文档,打印文档),

2、限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。   是否使所有员工和信息安全相关人员签署了保密协议/合同?    是否有信息安全意识、教育和培训计划?确认培训计划   是否执行了信息安全意识、教育和培训?培训记录(实施日期,培训内容/教材,参加人员)   是否制定了信息安全惩戒规程?    是否执行了信息安全惩戒?    邮件用户是否清除了?抽查是否有离职人员的用户权限没有被清除   门禁权限是否清除了?    内部OA

3、权限是否清除了?抽查是否有离职人员的用户权限没有被清除   SVN/CC/VSS权限是否清除了?部门服务器的权限是否清除了?(要点:实地检查是否有离职员工/转出员工的访问权限没有被清除)   是否制订规则划分了安全区域?确认风险评估时是否划分了安全区域等级   是否执行了安全区域划分规则?对不同等级的区域是否有相应措施,措施是否被执行   是否制订安全区域出入规则?1.在公司内部,员工是否佩带可以识别身份的门卡。2.机房,实验室是否有出入管制规则   是否执行了安全区域出入规则(前台接待,机房,实

4、验室访问控制)?安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进出是否有管理记录   是否定期执行门/窗等入口安全检查?检查记录   是否定义了公共访问/交接区域?确认定义文件   是否监控了公共访问和交接区域?实地查看是否有监控措施   服务器是否得到了妥善的安置和防护?1.重要的服务器放在安全的区域(如机房)2.是否有UPS3.温度和湿度合适   个人电脑是否得到了安置和防护?1.笔记本安装PoinSec,配有物理锁2.所有电脑使用密码屏幕保护3.不用的笔记本是否

5、放入带锁的柜中。   是否制订服务器维护计划?确认计划内容   SecureID是否被管理确认是否掌握远距离访问用户及SecureID的信息。   设备处置是否经过了申请?(设备维修,销毁等)确认修理及报废时的HDD的对应方法。   设备处置是否经过了管理审批记录   服务器,网络和应用系统的变更是否经过了管理?变更申请记录   是否进行了防病毒软件的部署确认部门系统和个人PC的手都已经部署并且状态正常。   是否有及时的防病毒软件的升级    对防病毒软件的是否进行了检查?(执行一次检查)   

6、 备份策略制订是否有备份策略的制订?部门中的重要系统,确认定期备份的流程及记录。  备份实施是否有备份的实施?  备份验证是否有备份的验证 备份保护是否有备份保护 是否实施了网络控制是否有网络访问方面的限制   是否对网络服务的安全进行了控制1.Web访问服务的安全2.Mail服务的安全   是否有移动介质清单的管理1.是否有管理清单2.记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?   是否有移动

7、介质报废管理1.报废的申请和审批记录1.确认文本文件的废弃方法。2.确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。3.确认是否将垃圾箱和可回收资源的箱子放在安全的场所。4.打印机上是否留有文件没有被取走   系统文件是否得到了保护1.检查其访问权限设定。2.是否有备份   是否有信息交换策略制订确认项目或其他敏感信息是否在发送前经过授权者确认,是否经过信息所有人(如PM)的授权?   和信息交换方是否签订了协议和交换涉及方签订NDA   物理介质传输是否得到了保护1.检

8、查包装合理性2.搬运方法合理性   是否按照公司规程实施了电子信息交换确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)   是否按照公司规程实施业务信息互联1.互联网使用的检查。2.户(FX/XC)之间的互联是否有访问控制,权限分配规则   是否有访问控制方针制订如果有文件共享请确认:1.确认是否设置了全员都可以访问的权限。2.确认对于长时间不使用的人员是否暂停其帐号。3.确认共享文件的访问权限范围。3.所有对PC的访问都有密码保护   是否对访问控制方针

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。