返回
完整版27001信息安全管理体系内部审核检查表

完整版27001信息安全管理体系内部审核检查表

ID:46564272

大小:236.50 KB

页数:10页

时间:2019-11-25

完整版27001信息安全管理体系内部审核检查表_第1页
完整版27001信息安全管理体系内部审核检查表_第2页
完整版27001信息安全管理体系内部审核检查表_第3页
完整版27001信息安全管理体系内部审核检查表_第4页
完整版27001信息安全管理体系内部审核检查表_第5页
资源描述:

《完整版27001信息安全管理体系内部审核检查表》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、表格编号:M-020-002-2018最新完整版27001信息安全管理体系内部审核检查表审核日期:2018年4月20日审核员:审核组长:条款条款内容内部审核检杳项目审核检杳情况备注A.5信息安全方针A.5.1信息安全管理指引目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。A.5.1.1信息安全方针公司是否制定信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。A.5.1.2信息安全方针的评审公司是否定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。A.6信息安全组织A.6.1

2、内部组织目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。A.6.1.1信息安全的角色和职责公司是否制定分配所有信息安全职责?A.6.1.2职责分离有冲突的职责和责任范围是否分离,以减少对组织资产未经授权访问、无意修改或误用的机会?A.6.1.3与监管机构的联系公司是否与相关监管机构保持适当联系?A.6.1.4与特殊利益团体的联系公司是否与特殊利益团体、其他专业安全协会或行业协会保持适当联系?A.6.1.5项目管理中的信息安全公司实施任何项目时是否考虑信息安全相关要求?A.6.2移动设备和远程办公目标:应确保远程办公和使用移动设备的安

3、全性。A.6.2.1移动设备策略公司是否采取安全策略和配套的安全措施控制使用移动设备带来的风险?A.6.2.2远程办公公司是否实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全?A.7人力资源安全A.7.1任用前目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。A.7.1.1人员筛选公司是否根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查是否符合业务需求、访问的信息类别及已知风险?A.7.1.2任用条款和条件公司与员工和承包商的合同协议是否当规定他们对组织的信息安全责任?A.7.2任

4、用中目标:确保员工和合同方了解并履行他们的信息安全责任。A.7.2.1管理职责公司是否建立要求员工、合同方符合组织建立的信息安全策略和程序?A.7.2.2信息安全意识、教育与培训组织内所有员工、相关合同人员及合同方人员是否接受适当的意识培训?并定期更新与他们工作相关的组织策略及程序?A.7.2.3纪律处理过程公司是否建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒?A.7.3任用终止和变更目标:保证组织利益是雇佣终止和变更的一部分A.7.3.1任用终止或变更的责任公司是否制定信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方

5、传达并执行?A.8资产管理A.8.1资产的责任目标:确定组织资产,并确定适当的保护责任。A.8.1.1资产清单公司是否制定和维护信息资产和信息处理设施相关资产的资产清单?A.8.1.2资产责任人资产清单中的资产是否指定资产责任人?A.8.1.3资产的合理使用公司是否识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施?A.8.1.4资产的归还在劳动合同或协议终止后,所有员工和外部方人员是否退还所有他们使用的组织资产?A.8.2信息分类目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。A.8.2.1信息分类公司是否根据法规、价值、

6、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改?A.8.2.2信息标识公司是否制定和实施合适的信息标识程序,并与组织的倍息分类方案相匹配?A.8.2.3资产处理公刁是否根据组织采用的资产分类方法制定和实施资产处理程序?A.8.3介质处理目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。A.8.3.1可移动介质管理公司是否制定和实施移动介质的管理程序,并与组织的分类方案相匹配?A.8.3.2介质处置当介质不再需要时,是否按照正式程序进行可靠的、安全的处置?A.8.3.3物理介质传输含有信息的介质是否加以保护,防止未经授权的访问

7、、滥用或在运输过程中的损坏?A.9访问控制A.9.1访问控制的业务需求目标:限制对信息和信息处理设施的访问。A.9.1.1访问控制策略公司是否建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审?A.9.1.2对网络和网络服务的访问公司是否只允许用户访问被明确授权使用的网络和网络服务?A.9.2用户访问管理目标:确保已授权用户的访问,预防对系统和服务的非授权访问。A.9.2.1用户注册和注销公司是否实施正式的用户注册和注销程序来分配访问权限?A.9.2.2用户访问权限提供无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,是否实

8、施正式的用户访问配置程序?A.9.2.3特权管理公司是否限制及控制特权的分配及使用?A.9.2.4用户认证信息的安全管理用户鉴别信息的权

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。