內(nèi)審檢查表綜合管理部

內(nèi)審檢查表被審核部門綜合管理部審核成員：嚴(yán)玉成陪同人員：張小波審核日期2020年3月10日審核主題6.1、7.2、7.3、7.4、7.5、8.1、8.2、8.3、9.1、9.2、A.6.1.1、A.6.1.2、A.7、A.8、A.9、A.11、A.12、A.13、A.15.A.16、A.17、A.18核查要素/條款核查事項(xiàng)核查記錄符合項(xiàng)觀察項(xiàng)不符合項(xiàng)6.18.18.2應(yīng)對風(fēng)險(xiǎn)和機(jī)會(huì)的措施運(yùn)行的規(guī)劃和控制信息安全風(fēng)險(xiǎn)評估前期策略了風(fēng)險(xiǎn)評估準(zhǔn)則、風(fēng)險(xiǎn)評估規(guī)范根據(jù)風(fēng)險(xiǎn)評估方法進(jìn)行了風(fēng)險(xiǎn)評估。√6.28.3信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置制定了信息安全目標(biāo)：確保每年重大信息安全事件（事故）發(fā)生次數(shù)為零。目標(biāo)通過一年來的運(yùn)行和保持，得到完成。信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，提供“不可接受風(fēng)險(xiǎn)處理檢查表”。√7.27.37.4能力意識溝通人力行政部通過制定培訓(xùn)計(jì)劃、招聘新員工、聘請外部專家指導(dǎo)等方式確保組織人員有勝任信息安全職責(zé)的能力。人力行政部通過培訓(xùn)、會(huì)議、標(biāo)語宣貫等方式培養(yǎng)員工的信息安全意識。人力行政部負(fù)責(zé)與組織內(nèi)外部各相關(guān)方的溝通，溝通方包括客戶、政府機(jī)關(guān)、內(nèi)部員工等，溝通方式包括公函、會(huì)議、電子郵件、電話等等?！?.5文件記錄信息公司編制管理手冊、SOA適用性聲明1套，35個(gè)程序文件，信息安全記錄96個(gè)；明確了方針和目標(biāo)管理手冊、適用性聲明；形成35個(gè)程序信息安全管理體系運(yùn)行所必須的程序文件所需提供的記錄96個(gè)，包括《信息安全風(fēng)險(xiǎn)評估報(bào)告》、《信息安全風(fēng)險(xiǎn)處置計(jì)劃》目前《適用性聲明》√9.2內(nèi)部審核內(nèi)審情況：2018年7月12日實(shí)施了內(nèi)審檢查活動(dòng)，相關(guān)的記錄完整。√A.6.1.1信息安全的角色和職責(zé)人力行政部：（1）負(fù)責(zé)管理體系的建立、實(shí)施、保持、測量和改進(jìn)。（2）負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織實(shí)施和體系的改進(jìn)。（3）負(fù)責(zé)本公司保密工作的管理。（4）負(fù)責(zé)安全區(qū)域的保衛(wèi)管理部門，負(fù)責(zé)安全區(qū)域的管理。（5）負(fù)責(zé)部門的資產(chǎn)登記及評價(jià)、風(fēng)險(xiǎn)評估。（6）負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。（7）對信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。（8）負(fù)責(zé)協(xié)調(diào)各部門的定崗定編工作；提出相關(guān)崗位人員配置的建議。（9）制定員工培訓(xùn)與開發(fā)計(jì)劃，建立培訓(xùn)與開發(fā)體系包括人員聘用管理、任職培訓(xùn)、保密協(xié)議簽署、員工的能力、專業(yè)技能培訓(xùn)、學(xué)歷教育培訓(xùn)、綜合素質(zhì)培訓(xùn)等，并制訂相應(yīng)管理制度。（10）建立和完善薪酬體系；制訂員工福利政策；員工績效管理；協(xié)助行政管理部制訂員工績效管理的相關(guān)制度，并組織實(shí)施。（11）負(fù)責(zé)員工各項(xiàng)保險(xiǎn)和住房公積金帳戶的申報(bào)和管理；負(fù)責(zé)員工考勤、休假管理。（12）負(fù)責(zé)員工勞動(dòng)合同管理、員工離職管理、員工人事檔案管理。（13）本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。√A.6.1.2《信息安全管理手冊》，公司在信息安全管理職責(zé)明細(xì)表里明確了信息安全職責(zé)。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)ISMS的建立、實(shí)施與保持工作?！藺7.1.1A7.1.2A7.2.1A7.2.2A7.2.3A7.3.1審查任用條款和條件管理職責(zé)信息安全教育和培訓(xùn)紀(jì)律處理過程任用終止或變更職責(zé)人力行政部負(fù)責(zé)初始錄用員工進(jìn)行能力、信用考察，每年對關(guān)鍵信息安全崗位進(jìn)行年度考察，對于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整。在《勞動(dòng)合同》中明確規(guī)定了保密的義務(wù)及違約的責(zé)任。10月份開展了信息安全相關(guān)的培訓(xùn)，查看《培訓(xùn)簽到表》具備《信息安全獎(jiǎng)懲制度》，并按制度執(zhí)行。具備《人力資源管理程序》，并按制度執(zhí)行?！藺.8.1.1A.8.1.2A.8.1.3A.8.1.4資產(chǎn)清單資產(chǎn)所有權(quán)資產(chǎn)的可接受使用資產(chǎn)的歸還公司對資產(chǎn)進(jìn)行了評估。包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施及人力資源。對每一項(xiàng)信息資產(chǎn)，根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》識別出了重要資產(chǎn)及高風(fēng)險(xiǎn)的項(xiàng)目。其中高風(fēng)險(xiǎn)的資產(chǎn)有公司軟件源代碼等。自此之后公司完成了風(fēng)險(xiǎn)處理計(jì)劃、檢查、殘余風(fēng)險(xiǎn)評估報(bào)告，以及驗(yàn)證。有《重要信息資產(chǎn)清單》，信息資產(chǎn)包括數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、人員、經(jīng)驗(yàn)。——《信息資產(chǎn)清單》、《重要信息資產(chǎn)清單》都定義了責(zé)任部門或責(zé)任人——提供了資產(chǎn)歸還的記錄表?！藺.8.3.1A.8.3.2A.8.3.3可移動(dòng)介質(zhì)的管理介質(zhì)的處置物理介質(zhì)傳輸提供可移動(dòng)介質(zhì)授權(quán)使用清單1份?！猩暾埐块T、申請人、部門審核人、申請介質(zhì)類型、申請使用數(shù)量、申請使用時(shí)間、行政審核人、行政批示、經(jīng)辦人。——目前無介質(zhì)處置。√A.9.1.1A.9.1.2訪問控制策略網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問網(wǎng)絡(luò)劃分為三個(gè)網(wǎng)段，內(nèi)網(wǎng)使用固定IP,入網(wǎng)需要申請，并綁定MAC地址?，F(xiàn)場查《網(wǎng)絡(luò)安全配置表》，符合要求。提供了《開通外網(wǎng)申請表》符合√A.9.2.1A.9.2.2A.9.2.3A.9.2.4A.9.2.5A.9.2.6用戶注冊及注銷用戶訪問開通特殊訪問權(quán)限管理用戶秘密鑒別信息管理用戶訪問權(quán)限的復(fù)查撤銷或調(diào)整訪問權(quán)限對于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷)，須由管理員操作。提供金蝶K3系統(tǒng)用戶列表1份。特權(quán)分配僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后應(yīng)被收回，確保特權(quán)擁有者的特權(quán)是工作需要的且不存在富裕的特權(quán)。各系統(tǒng)管理員應(yīng)對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配、規(guī)定不使用簡單口令，口令必須至少要含有6位以上字母+數(shù)字。查：普通用戶只能訪問被授權(quán)的服務(wù)，對計(jì)算機(jī)系統(tǒng)的訪問權(quán)都被限制?！藺.9.3.1使用秘密鑒別信息公司范圍的計(jì)算機(jī)登錄口令要求6位以上。抽查了4臺(tái)PC機(jī)，口令符合要求√A.9.4.1A.9.4.2A.9.4.3A.9.4.4A.9.4.5信息訪問控制安全登錄規(guī)程口令管理系統(tǒng)特殊權(quán)限實(shí)用工具軟件的使用對程序源代碼的訪問控制——用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。——現(xiàn)場測試，審核員通過訪問網(wǎng)絡(luò)上的PC機(jī)，有用戶名，密碼，試圖隨意輸入密碼3次，均無法登陸?！杏?jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：所有活動(dòng)帳號都必須有口令保護(hù)，所有系統(tǒng)初始默認(rèn)口令必須更改等?！獩]有安裝實(shí)用工具?！緵]有軟件開發(fā)，只有網(wǎng)站服務(wù)采用托管形式，由第三方公司負(fù)責(zé)運(yùn)營?！峁毒W(wǎng)站維護(hù)協(xié)議》，合同有效日期從2014年4月30日至2015年4月29日，條款一，規(guī)定服務(wù)方所應(yīng)承擔(dān)的業(yè)務(wù)與遵守的規(guī)定；條款五，規(guī)定了雙方的法律責(zé)任與處理辦法√A.10.1.1A.10.1.2使用密碼控制的策略密鑰管理公司的密碼控制是由銀行提供的加密機(jī)。由銀行專員到公司內(nèi)導(dǎo)入密鑰?！藺.11.1.1A.11.1.2A.11.1.3A.11.1.4A.11.1.5A.11.1.6物理安全周邊物理入口控制辦公室、房間和設(shè)施的安全保護(hù)外部環(huán)境威脅的安全防護(hù)在安全區(qū)域工作交接區(qū)安全——現(xiàn)場查公司大門設(shè)有接待處——現(xiàn)場查《外來人員來訪登記表》，登記信息包含：來訪人員姓名，時(shí)間，單位，身份證，事由，被訪人√A.11.2.1A.11.2.2A.11.2.3A.11.2.4A.11.2.5A.11.2.6A.11.2.7A.11.2.8A.11.2.9設(shè)備安置和保護(hù)支持性設(shè)施布纜安全設(shè)備維護(hù)資產(chǎn)的移動(dòng)組織場外設(shè)備和資產(chǎn)的安全設(shè)備的安全處置或在利用無人值守的用戶設(shè)備清空桌面和屏幕策略——公司機(jī)房外包給第三方進(jìn)行管理。——提供服務(wù)器每周檢查記錄?！F(xiàn)場查公司目前沒有組織場所外的信息處理設(shè)備使用?！忻舾行畔⒌脑O(shè)備在報(bào)廢或該做他用時(shí)，由使用部門應(yīng)利用安全的處置方法將設(shè)備中存儲(chǔ)的敏感信息清除并保存清除記錄。對舊機(jī)器的硬盤砸壞，物理破壞后。公司目前未發(fā)生設(shè)備處置?！峁╇娮釉O(shè)備領(lǐng)用簽字單。有申請人、主管簽字和日期?！烂婢鼙３指蓛簟藺.12.1.1A.12.1.2A.12.1.2A.12.1.4文件化的操作規(guī)程變更管理容量管理開發(fā)、測試和運(yùn)行環(huán)境分離——程序文件34個(gè)——現(xiàn)場了解目前沒有信息系統(tǒng)的變更。——提供服務(wù)器容量監(jiān)控記錄。有服務(wù)器、硬件配置、總?cè)萘?、已用空間、剩余空間。每日通過手工登錄，通過服務(wù)器陣列備份通用備份，按照容量管理程序文件記錄?！F(xiàn)場查公司目前無軟件開發(fā)和測試活動(dòng)，目前使用的信息系統(tǒng)由供應(yīng)商負(fù)責(zé)安裝測試，√A.12.2.1控制惡意軟件——使用360殺毒軟件、金山殺毒軟件。——資產(chǎn)編號00007劉*,00015李**,00001陳*臺(tái)式機(jī)，使用360殺毒，360衛(wèi)士。√A.12.3.1信息備份——沒有對綜合管理部將設(shè)計(jì)開發(fā)資料進(jìn)行數(shù)據(jù)備份√A.12.4.1A.12.4.2A.12.4.3A.12.4.4事態(tài)記錄日志信息的保護(hù)管理員和操作員日志時(shí)鐘同步——現(xiàn)場查公司通過門衛(wèi)進(jìn)行進(jìn)出登記記錄，保安7*24小時(shí)值班，進(jìn)入辦公大樓有前臺(tái)，前臺(tái)負(fù)責(zé)公司職員的考勤，現(xiàn)場查有打卡機(jī)，同時(shí)負(fù)責(zé)外來人員監(jiān)控。——現(xiàn)場查只有系統(tǒng)管理員有權(quán)察看日志，服務(wù)器均開啟管理員和操作員日志。——現(xiàn)場查公司的電腦設(shè)置為與Internet時(shí)間自動(dòng)校對，未連接網(wǎng)絡(luò)的電腦定期校對電腦時(shí)間?！藺.12.5.1在運(yùn)行系統(tǒng)上安裝軟件——對軟件在作業(yè)系統(tǒng)的執(zhí)行進(jìn)行嚴(yán)格控制，在新軟件安裝或軟件升級之前，應(yīng)經(jīng)主管部門負(fù)責(zé)人審核同意后方可進(jìn)行。計(jì)算機(jī)終端用戶除非授權(quán)，否則嚴(yán)禁私自安裝任何軟件。現(xiàn)場查目前安裝軟件統(tǒng)一管理安裝。√A.12.6.1A.12.6.2 技術(shù)脆弱性的控制限制軟件安裝計(jì)算機(jī)安裝了360安全衛(wèi)士，自動(dòng)掃描系統(tǒng)漏洞，人力行政部申意——系統(tǒng)應(yīng)用程序的使用進(jìn)行限制和嚴(yán)格控制，并規(guī)定授權(quán)的使用者等，只有經(jīng)過授權(quán)的系統(tǒng)管理員才可以使用實(shí)用工具，現(xiàn)場查服務(wù)器上沒有安裝實(shí)用工具?！藺.12.7.1信息系統(tǒng)審計(jì)控制措施——漏洞掃描工具使用JP1，只有信息系統(tǒng)課系統(tǒng)管理員有權(quán)限使用?！獌?nèi)部使用360殺毒軟件對個(gè)人計(jì)算機(jī)進(jìn)行病毒查殺√A.13.1.1A.13.1.2A.13.1.3網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)隔離——提供《網(wǎng)絡(luò)拓?fù)鋱D》，描述網(wǎng)絡(luò)結(jié)構(gòu)并表示網(wǎng)絡(luò)的各組成部分之間在邏輯上和物理上的相互連接。公司內(nèi)部的計(jì)算機(jī)，只有授權(quán)的可以上外網(wǎng)，其他的都不能訪問外網(wǎng)，現(xiàn)場查連網(wǎng)情況未發(fā)現(xiàn)異常?！韭酚善鞣胖糜跈C(jī)房內(nèi)，目前劃分為3個(gè)網(wǎng)段?！獮榇_保公司網(wǎng)絡(luò)安全，采用邏輯方式進(jìn)行外部網(wǎng)絡(luò)隔離，內(nèi)網(wǎng)與外網(wǎng)物理隔離。現(xiàn)場查財(cái)務(wù)部內(nèi)電腦沒有連接網(wǎng)絡(luò)。√A.13.2.1A.13.2.2A.13.2.3A.13.2.4信息傳遞策略和規(guī)程信息傳遞協(xié)議電子消息發(fā)送保密性或不泄露協(xié)議對信息交流應(yīng)作適當(dāng)?shù)姆婪?，?yán)禁在無保密措施的通信設(shè)備及計(jì)算機(jī)網(wǎng)絡(luò)中傳遞企業(yè)秘密?！蛻敉ㄟ^企業(yè)郵箱Email，通過內(nèi)部騰訊通?！F(xiàn)場查公司的電子郵件目前只用于公司內(nèi)部信息交換、對外發(fā)送公開的報(bào)價(jià)單。內(nèi)部通過騰訊通進(jìn)行交換文件?！藺.15.1.1A.15.1.2A.15.1.3供應(yīng)商關(guān)系的信息安全策略處理供應(yīng)商協(xié)議的安全問題信息和通信技術(shù)供應(yīng)鏈——與供應(yīng)商簽訂年度協(xié)議，有安全保密協(xié)議，有雙方負(fù)責(zé)人簽字，合同專用章，√A.15.2.1A.15.2.2供應(yīng)商服務(wù)的監(jiān)視和評審供應(yīng)商服務(wù)的變更管理——提供第三方評審記錄表?！椤恫少徍贤瑫?，規(guī)定了對于服務(wù)方所提供服務(wù)的要求細(xì)則重要事項(xiàng)條款：規(guī)定了對于服務(wù)方違約的處理辦法符合。第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商?！壳皼]有第三方服務(wù)的變更?！藺.16.1.1A.16.1.2A.16.1.3A.16.1.4A.16.1.5A.16.1.6A.16.1.7職責(zé)和規(guī)程報(bào)告信息安全事態(tài)報(bào)告信息安全弱點(diǎn)評估和確定信息安全事態(tài)信息安全事件響應(yīng)對信息安全事件的總結(jié)證據(jù)的收集安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、責(zé)任者應(yīng)立即向網(wǎng)管報(bào)告，網(wǎng)管應(yīng)及時(shí)對事情、事故進(jìn)行反應(yīng)處理。所有員工有報(bào)告安全事故、事情的義務(wù)。目前沒有計(jì)算機(jī)中病毒情況，未發(fā)生安全事件。各部門及全體員工應(yīng)按照要求及時(shí)識別安全弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或安全管理負(fù)責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。填寫安全弱點(diǎn)報(bào)告在《信息安全事件報(bào)告表》中，包括以下內(nèi)容：1）安全弱點(diǎn)的原因，2）安全弱點(diǎn)的預(yù)防處置措施及改進(jìn)計(jì)劃，3）安全弱點(diǎn)報(bào)告提交給信息安全管理小組；√A.17.1.1A.17.1.2A.17.1.2信息安全連續(xù)性計(jì)劃實(shí)施信息安全連續(xù)性計(jì)劃驗(yàn)證、評審和評價(jià)信息安全連續(xù)性計(jì)劃公司建立并實(shí)施管理程序，在發(fā)生災(zāi)難或安全故障時(shí)，實(shí)施持續(xù)性管理計(jì)劃，確保關(guān)鍵業(yè)務(wù)及時(shí)得到恢復(fù)?！摬块T編制《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》，由信息安全管理者代表批準(zhǔn)，以便在重要系統(tǒng)發(fā)生中斷或故障后，實(shí)施持續(xù)性管理計(jì)劃，以保證系統(tǒng)或作業(yè)中斷的及時(shí)恢復(fù)?！F(xiàn)場查本部門對業(yè)務(wù)連續(xù)性的敏感度不高，對于由于各種原因造成的業(yè)務(wù)中斷，采用數(shù)據(jù)備份恢復(fù)方案，在顧客可容忍的時(shí)間范圍內(nèi)能恢復(fù)業(yè)務(wù)的正常辦理?！F(xiàn)場查《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》中有影響的關(guān)鍵生產(chǎn)作業(yè)或管理過程?！F(xiàn)場提供《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃和框架》，符合要求。每半年制定一次。有序號、系統(tǒng)名稱、影響的關(guān)鍵生產(chǎn)作業(yè)或管理過程、故障或?yàn)?zāi)難、系統(tǒng)恢復(fù)與應(yīng)急措施、系統(tǒng)回復(fù)時(shí)限要求、對公司業(yè)務(wù)活動(dòng)的影響、責(zé)任部門/人。——現(xiàn)場提供《ISMS-業(yè)務(wù)持續(xù)性管理計(jì)劃評審報(bào)告》，符合要求?！藺.17.2.1信息處理設(shè)施的可用性目前公司的服務(wù)器在部署時(shí)，有考慮到容量上的要求，現(xiàn)場查硬盤容量≥40%，CPU占用小于50%?！藺.18.1.1A.18.1.2A.18.1.3A.18.1.4A.18.1.5可用法律及合同要求的識別知識產(chǎn)權(quán)（IPR）保護(hù)記錄隱私和個(gè)人身份信息保護(hù)密碼控制措施的規(guī)則提供內(nèi)有關(guān)法律法規(guī)適用性的識別要求。定期與執(zhí)法機(jī)關(guān)等人力行政部門聯(lián)絡(luò)，及時(shí)收集與信息安全管理有關(guān)法律、法規(guī)和其它信息。提供法律法規(guī)標(biāo)準(zhǔn)清單。——提供