3 內(nèi)審檢查表_1管理層-ISO27001信息安全

1、內(nèi)部審核檢查表 編號(hào)：ISMS-D-03-3 第 7 頁(yè) 共 7 頁(yè) 受審核部門/場(chǎng)所：管理層 陪同人： 審核人：、 審核時(shí)間：20XX年5月20日 條款號(hào)核 查 問 題符合性核 查 說 明4.組織環(huán)境4.1 理解組織及其環(huán)境組織是否確定與其意圖相關(guān)且影響其達(dá)到ISMS預(yù)期結(jié)果能力的外部和內(nèi)部情況？4.2 理解相關(guān)方的需求和期望組織是否確定：a) 與 ISMS 有關(guān)的相關(guān)方？b) 這些相關(guān)方的信息安全要求？4.3 明確信息安全管理體系的范圍組織是否通過確定ISMS的邊界和適用性來建立其范圍？組織在確定范圍時(shí)是否考慮：a) 在 4.1 中涉及的外部和內(nèi)部因素？b) 在 4.2 中涉及的要求？c)

2、 組織活動(dòng)與其他組織的活動(dòng)之間的接口和依賴關(guān)系？ d) 該范圍是否為可獲得的存檔信息？4.4 信息安全管理體系組織是否根據(jù)本國(guó)際標(biāo)準(zhǔn)的要求，建立，實(shí)施，保持和持續(xù)改進(jìn)一個(gè)信息安全管理體系？5 領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾最高管理者是否通過以下方式來證明其在ISMS方面的領(lǐng)導(dǎo)力和承諾：a) 確保已經(jīng)為信息安全管理體系制定了方針和目標(biāo)并確保方針和目標(biāo)與組織的戰(zhàn)略方向是一致的？b) 確保信息安全管理體系的要求納入組織的業(yè)務(wù)過程中？c) 確保信息安全管理體系所需的資源可用？d) 就信息安全管理的有效性和符合 ISMS 要求的重要性進(jìn)行傳達(dá)？e) 確保信息安全管理體系達(dá)到預(yù)期結(jié)果？f) 指導(dǎo)和支持員工為 IS

3、MS 的有效性作貢獻(xiàn)？g) 推動(dòng)持續(xù)改進(jìn)？h) 支持其他相關(guān)管理角色在其職責(zé)領(lǐng)域內(nèi)展示其領(lǐng)導(dǎo)作用和承諾。？5.2 方針最高管理者是否建立信息安全方針？該方針：a) 符合組織的宗旨；b) 包含信息安全目標(biāo)（見 6.2）或?yàn)樾畔踩繕?biāo)的制定提供框架；c) 包含滿足適應(yīng)信息安全要求的承諾；d) 包含對(duì) ISMS 進(jìn)行持續(xù)改進(jìn)的承諾；信息安全方針是否：e) 為可獲得的存檔信息？f) 在組織內(nèi)部傳達(dá)？適當(dāng)時(shí)使相關(guān)方能夠獲得？5.3 組織角色、職責(zé)和權(quán)力最高管理者是否該確保相關(guān)角色的職責(zé)和權(quán)限在組織內(nèi)部被授權(quán)和傳達(dá)？最高管理者應(yīng)分配職責(zé)和職權(quán)以：a) 確保信息安全管理體系符合本國(guó)際標(biāo)準(zhǔn)的要求？b) 向最

4、高管理者報(bào)告 ISMS 的績(jī)效？6 計(jì)劃6.1 處置風(fēng)險(xiǎn)和機(jī)遇 6.1.1總則當(dāng)進(jìn)行ISMS策劃時(shí)，組織是否考慮4.1提到的因素和4.2提到的要求？并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)以：a) 確保信息安全管理體系能夠達(dá)到預(yù)期結(jié)果；b) 防止或減少不良影響；c) 實(shí)現(xiàn)持續(xù)改進(jìn)；組織是否策劃：d) 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施？e) 如何：1） 將這些措施在 ISMS 的過程中進(jìn)行整合和實(shí)施？2） 評(píng)估這些措施的有效性？6.1.2信息安全風(fēng)險(xiǎn)評(píng)估組織是否定義并應(yīng)用一個(gè)信息安全風(fēng)險(xiǎn)評(píng)估的過程？過程要：a) 建立和保持信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括：1） 風(fēng)險(xiǎn)接受準(zhǔn)則？2） 執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則？b) 確保重復(fù)進(jìn)行的信

5、息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)能夠產(chǎn)生一致的，有效的和可比較的結(jié)果？c) 識(shí)別信息安全風(fēng)險(xiǎn)：1） 應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過程以識(shí)別信息安全管理體系范圍內(nèi)與信息的保密性，完整性和可用性喪失有關(guān)的風(fēng)險(xiǎn)？2） 識(shí)別風(fēng)險(xiǎn)的責(zé)任人？d) 分析信息安全風(fēng)險(xiǎn)：1） 評(píng)估是否在 6.1.2 c) 1)部分所識(shí)別的風(fēng)險(xiǎn)發(fā)生時(shí)可能的后果？2） 評(píng)估 6.1.2 c) 1)部分所識(shí)別的風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性？3） 確定風(fēng)險(xiǎn)的級(jí)別？e) 評(píng)價(jià)信息安全風(fēng)險(xiǎn)：1） 將風(fēng)險(xiǎn)分析的結(jié)果與 6.1.2 a)中所建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較？2） 對(duì)分析后的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)的排序以進(jìn)行風(fēng)險(xiǎn)處置？組織是否保留信息安全風(fēng)險(xiǎn)評(píng)估過程的存檔信息？6.1.3信息

6、安全風(fēng)險(xiǎn)處置組織是否定義和應(yīng)用一個(gè)信息安全風(fēng)險(xiǎn)處置的過程以：a) 在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置選項(xiàng)？b) 確定實(shí)施已選擇的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所需要的所有控制措施？c) 將 6.1.3 b)中選擇的控制措施與附錄 A 中的控制措施進(jìn)行比較以確認(rèn)沒有任何必要的控制措施被遺漏？d) 準(zhǔn)備一個(gè)適用性聲明SOA，其中要包括必要的控制措施(見 6.1.3 b) and c)并進(jìn)行調(diào)整，決定是否實(shí)施它們，以及對(duì)附錄A中的控制措施進(jìn)行刪減？e) 制定一個(gè)信息安全風(fēng)險(xiǎn)處置計(jì)劃？f) 獲得風(fēng)險(xiǎn)責(zé)任人對(duì)風(fēng)險(xiǎn)處置計(jì)劃以及接受剩余信息安全風(fēng)險(xiǎn)的審批？組織是否保留信息安全風(fēng)險(xiǎn)處置過程的存檔信息

7、？6.2 信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)組織是否在相關(guān)的職能和層級(jí)建立信息安全目標(biāo)？信息安全目標(biāo)應(yīng)：a) 與信息安全方針保持一致；b) 是可測(cè)量的（如果可行）；c) 考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果；d) 被傳達(dá)；e) 適當(dāng)時(shí)被更新；組織應(yīng)保留信息安全目標(biāo)的存檔信息；當(dāng)計(jì)劃如何達(dá)成其信息安全目標(biāo)時(shí)，組織是否確定：f) 要做什么？g) 需要什么資源？h) 誰將負(fù)責(zé)？i) 什么時(shí)候完成？j) 怎樣評(píng)估結(jié)果？7 支持7.1 資源組織是否確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)ISMS所需的資源？7.4 溝通組織是否確定與ISMS有關(guān)的內(nèi)部和外部溝通的需求？包括：a) 溝通的內(nèi)容；b) 溝通

8、的時(shí)機(jī)；c) 溝通的對(duì)象；d) 由誰溝通；e) 溝通所依據(jù)的過程；8 實(shí)施8.1 運(yùn)行計(jì)劃和控制組織是否通過以下方式策劃、實(shí)施和控制為滿足要求所需要的過程，并實(shí)施6.1中所確定的措施？組織是否實(shí)施計(jì)劃以達(dá)到6.2中確定的信息安全目標(biāo)？組織是否為了確定過程按計(jì)劃進(jìn)行，在必要的范圍內(nèi)保留存檔信息？組織是否控制計(jì)劃內(nèi)的變更以及評(píng)審非預(yù)期的變更帶來的結(jié)果，必要時(shí)采取行動(dòng)減輕負(fù)面影響？組織是否確保外包過程的受控？8.2 信息安全風(fēng)險(xiǎn)評(píng)估是否按照計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估？是否保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的存檔信息？8.3 信息安全風(fēng)險(xiǎn)處置是否實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃？是否保留信息安

9、全風(fēng)險(xiǎn)處置結(jié)果的存檔信息？9 績(jī)效評(píng)價(jià)9.1 監(jiān)視、測(cè)量、分析和評(píng)價(jià)是否評(píng)價(jià) ISMS 績(jī)效和 ISMS 的有效性？a) 需要被監(jiān)視和測(cè)量的內(nèi)容，包括信息安全過程和控制措施；b) 監(jiān)視、測(cè)量、分析和評(píng)價(jià)方法，確保得到有效的結(jié)果；注：選擇的方法宜產(chǎn)生可比較和可再現(xiàn)的有效結(jié)果；c) 何時(shí)進(jìn)行監(jiān)視和測(cè)量；d) 誰應(yīng)進(jìn)行監(jiān)視和測(cè)量；e) 何時(shí)進(jìn)行監(jiān)視和測(cè)量結(jié)果的分析和評(píng)價(jià)；f) 誰應(yīng)對(duì)這些結(jié)果進(jìn)行分析和評(píng)價(jià)。是否保留適當(dāng)?shù)拇鏅n信息作為監(jiān)視和測(cè)量結(jié)果的證據(jù)？9.2 內(nèi)部審核是否按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核？提供的信息是否滿足以下要求：a) 符合：1) 組織自身對(duì) ISMS 的要求；2) 本標(biāo)準(zhǔn)的要求。b

10、) 得到有效的實(shí)施和保持。c) 策劃、建立、實(shí)施和保持一個(gè)或多個(gè)審核方案，包括頻次、方法、職責(zé)、策劃要求和報(bào)告。審核方案應(yīng)考慮到所關(guān)注過程的重要性和以往審核的結(jié)果；d) 確定每次審核的審核準(zhǔn)則和范圍；e) 審核員的選擇和審核的執(zhí)行應(yīng)確保審核過程的客觀性和公正性；f) 確保審核結(jié)果被報(bào)告給相關(guān)管理層；g) 保留執(zhí)行審核方案和審核結(jié)果的存檔信息作為證據(jù)。9.3 管理評(píng)審是否按計(jì)劃的時(shí)間間隔評(píng)審組織的 ISMS，以確保其持續(xù)適宜、充分和有效？是否考慮以下內(nèi)容：a) 以往管理評(píng)審措施的狀態(tài)；b) 與信息安全管理體系有關(guān)的外部和內(nèi)部因素的變化；c) 信息安全績(jī)效的反饋，包括以下方面的趨勢(shì)：1) 不符合項(xiàng)

11、及糾正措施；2) 監(jiān)視和測(cè)量結(jié)果；3) 審核結(jié)果；4) 信息安全目標(biāo)完成情況。d) 相關(guān)方的反饋；e) 風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f) 持續(xù)改進(jìn)的機(jī)會(huì)輸出是否包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及對(duì) ISMS 變更的需求？是否保留存檔信息作為管理評(píng)審結(jié)果的證據(jù)？A.5 信息安全方針A.5.1 信息安全管理指引目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全A.5.1.1信息安全方針信息安全方針是否由管理者制定、批準(zhǔn)、發(fā)布并傳達(dá)給員工和外部相關(guān)方？A.5.1.2信息安全方針的評(píng)審是否計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針的評(píng)審，以確保持續(xù)的適宜性、充分性和有效性？A.6信息

12、安全組織A.6.1 內(nèi)部組織目標(biāo)： 建立管理框架以發(fā)起和控制組織內(nèi)信息安全的實(shí)施和運(yùn)行。A.6.1.1信息安全角色和職責(zé)所有的信息安全職責(zé)是否定義并分配？A.8.2 信息分類目標(biāo)：依照信息重要性分級(jí)，確保信息受到分級(jí)保護(hù)。A.8.2.1信息分級(jí)是否依照其對(duì)組織的價(jià)值，法律要求，敏感性和關(guān)鍵性分類？A.8.2.2信息的標(biāo)記根據(jù)組織采用的信息分類方案，是否制定并實(shí)施一套信息標(biāo)記流程？A.8.2.3資產(chǎn)處置根據(jù)組織采用的信息分類方法，是否制定并實(shí)施一套資產(chǎn)處理流程？A.10 加密技術(shù)A.10.1 加密控制目標(biāo)：使用加密控制適當(dāng)有效的保護(hù)信息的機(jī)密性、真實(shí)性和完整性。A.10.1.1加密使用控制政策：是否制定和實(shí)施信息保護(hù)加密控制策略？A.10.1.2密鑰管理：是否制定和實(shí)施密鑰的使用，保護(hù)，使用期策略并貫穿其整個(gè)生命周期？A.17.1 信息安全的連續(xù)性目標(biāo)：信息安全的連續(xù)性應(yīng)嵌入組織的業(yè)務(wù)連續(xù)性管理體系（BCMS）A.17.1.1信息安全連續(xù)性策劃組織是否確定其在不利情況下的信息安全和信息安全管理的連續(xù)性要求，如在危機(jī)或?yàn)?zāi)難時(shí)？A.17.