信息安全內審checklist

1、巾査內容審査要點檢査時間審核結果發(fā)現就是否開展了信息安全得檢査活動？有安全檢査記錄或誨報告，與改善記錄1.1. 就是否制定了資產清單.包含了所有得客戶信息資產.包括服務器個人電腦網絡設備支持設備.人員數據？2.2. 對這些資產清就是否有定期得更新？1 1、確認資產清正確確認更新記錄*3*3、客 八御資產得保護上面得資產清飛上就是否標識了所有人與保管人？（要點： 確認資產得所有人與保管人被清楚毎標識，并且與實際情況相符）就是否按客戶文檔得密級規(guī)則進行了適得保護確認對于機密信息（電滬文檔打印文檔），限定范 1 1科御信息（電子文檔，打印文檔）就是否有明確標 識根據需耍，確認限定范 1 1 祁，附帶

2、標識，制 定日期，制定者 S就是否使所有員工與信息安全相關人員簽署了保密協議/合 同？就是否有信息安全總識.教自與培訓 ilil劃？確認培訓訃劃就是否執(zhí)行了信息安全總識.教育與培訓？培訓記錄（實施日期，培訓內容/教材.參加人員）就是否制定了信息安全懲戒規(guī)程？就是否執(zhí)行了信息安全懲戒？郵件用戶就是否清除了？抽査就是否有離職人員得川戶權限沒有被清除門禁權限就是否清除 r?r?內部 0A0A 權限就是否清除了？抽査就是否有離職人員得川戶權限沒有被清除SVN/CC/VSSSVN/CC/VSS 權限就是否清除 r?r?部門服務器得權限就是否 清除（要點:實地檢査就是否有離職員工/轉出員工御訪 問權限沒有

3、被清除）就是否制訂規(guī)則劃分了安全區(qū)域？確認風險評估時就是否劃分 r r 安全區(qū)域等級就是否執(zhí)行了安全區(qū)域劃分規(guī)則？對不同等級御區(qū)域就是否有相應措施.描施就是否 被執(zhí)行巾査內容審査要點檢査時間審核結果發(fā)現就是否制訂安全區(qū)域出入規(guī)則？IsIs 在公司內部員工就是否佩帶可以識別身份得 門卡。2 2、機房，實驗室就是否有出入管制規(guī)則就是否執(zhí)行了安全區(qū)域出入規(guī)則（前臺接待機房，實驗室訪 間控制）？安裝 r r 防盜設施。（機房大門得上鎖，IDID 卡斜識別 裝置進入,離開得管理），實驗室進出就是否有管理 記錄就是否定期執(zhí)行門/窗等入口安全檢直？檢査記錄就是否定義了公共訪問/交接區(qū)域？確認定義文件就是否監(jiān)

4、控了公共訪問與交接區(qū)域？實地住瞧就是否有監(jiān)控措施服務器就是否得到 r r 妥#得安 a a 與防護？IsIs 垂要斜服務器放在安全得區(qū)域（如機房）2 2、就是否有 CPSCPS3 3、 溫度與濕度合適個人電腦就是否御到了安 S S 與防護？1 1、 筆記木安裝 PoinSec.PoinSec.配有物理鎖2 2、所有電腦使用密碼屏幕保護弘、不用得筆記木 就是否放入帶鎖御柜中。就是否制訂服務器維護訃劃？確認訃劃內容S S e e C C ureure ! ! D D 就是否被管理確認就是否掌握遠距離訪問用戶及 SecureSecure D D 得信 息.設備處 S S 就是否經過了申請？（設備維修

5、銷毀等）確認修理及報廢時得 HDDHDD 得對應方法設備處 S S 就是否經過了管理審批記錄服務器，網絡與應用系統御變更就是否經過了管理？變更申請記錄就是否進行了防病 IBIB 軟件斜部署確認部門系統與個人 PCPC 御手都已經部署并且狀態(tài) 正常。就是否有及時得防橋毒軟件得升級巾査內容審査要點檢査時間審核結果發(fā)現對防橋毒軟件得就是否進行了檢査？（執(zhí)行一次檢査）備份策略制訂就是否有備份策略得制訂？部門中斜重要系統確認定期備份斜流程及記錄。備份實施就是否有備份得實施？備份驗證就是否有備份得驗證備份保護就是否有備份保護就是否實施了網絡控制就是否有網絡訪問方面得隔制就是否對網絡服務得安全進行了控制1

6、1、莎 ebeb 訪問服務得安全2 2、MailMail 服務得安全就是否有移動介質清敢得管理IsIs 就是否有管理清怕 2 2、 記錄重要信息斜外部 存貯介質 （例如： 外置碩盤,CD,CD, DVD,UDVD,U 盤PCMCIAPCMCIA 移動存儲卡.存儲備份資料用斜備份設備等），就 是否被保管在帯鎖得文件柜中？就是否有移動介質報廢管理1 1、 報廢得巾請與審批記錄 1 1 亠確認文木文件得廢 幷方法。2 2、 確認就是否將含有重要信息得文木文件就此扔 在垃圾箱中或扔在可回收資源御箱子中。3 3、確認就是否將垃圾箱與可回收資源御箱子放在 安全得場所。弘、打印機上就是否留有文件沒有被 取走

7、系統文件就是否御到了保護1 1、 檢査其訪問權限設定。2 2、就是否有備份就是否有信息交換策略制訂確認項目或其她墩感信息就是否在發(fā)送前經過授權 者確認就是否經過信息所有人（如 PMPM）得授權?與信息交換方就是否簽訂了協議與交換涉及方簽訂 NDANDA巾査內容審査要點檢査時間審核結果發(fā)現物理介質傳輸就是否斜到了保護1 1、檢査包裝合理搬運方法合理性就是否按照公司規(guī)程實施了電子信息交換確認就是否有電子郵件使川規(guī)則，與實施悟況（如發(fā) 送垂要文件時就是否右文件加密等）就是否按照公司規(guī)程實施業(yè)務信息互聯1 1、 互聯網使用得檢査.2 2、 戶（FX/XCFX/XC ）之間得互聯就是否有訪問控制 權限分

8、配規(guī)則就是否有訪問控制方針制訂如果有文件共亭請確認：1 1 扒確認就是否設 a a 了全 員都可以訪問得權限。鼻 2 2、確認對于長時間不便川 得人員就是否暫停其帳號。確認共亨文件得訪 問權限范困。3 3、 所有對 PCPC 得訪問都有密碼保護就是否對訪問控制方針進行 r r 評審就是否有定期得 ReviewReview就是否有用戶注冊得管理1 1、確認用戶賬號就是否有中諸書。確認用戶 I I D D 及主要訪問御清要求刪除御用戶或訪問權限就 是否及時修改。確認處理申請御記錄。就是否有特權管理得管理如果訪問控制清等就是以紙張形式打印出來得. 確認就是否保管在上鎖得地方。電子文檔就是否保管在只有

9、管理者才能打開斜場 所。就是否有口令得管理有沒有將口令寫在便條上.或者告知竝人就是否定期對權限進行了審核定期審核記錄巾査內容審査要點檢査時間審核結果發(fā)現就是否制定了口令策略管理人員得密碼設定。就是否有員工號等容易推斷得密碼.1 1 個帳號就是否有多個用戶。 密碼就是否記錄在便條上。密碼為 6 6 位英文數字以上.就是否執(zhí)行了口令策略就是否實施了網絡隔離（不同功能與密級網絡得隔離.物理或 邏輯）？1 1、 就是否有隔離區(qū)2 2、從隔離區(qū)外就是否可以訪問區(qū)內網絡資源就是否對網絡連接實施 r r 控制接入網絡前就是否經過 IMIM 或者 I I SMSM 得安全檢査就是否實施了網絡路由控制就是否制訂了信息訪問限制策略訪問策略定義文件就是否執(zhí)行了信息訪問限制策略對照文件實地觀察實施情況就是否對訪問策略進行 r r 審核審核記錄就是否定義了放感系統敏感系統列表就是否對敏