ISO20000-2018信息安全管理体系内部审核检查表
被审核部门 审核主题 核查 要素/条款 4.1 4.2 5.1 5.2 管理层 审核成员:黄**、梁** 陪同人员:黄** 审核日期 2020年6月30日 4.1、4.2、5.1、5.2、5.3、7.1、9.3、A.5.1 核查事项 总要求 领导和承诺 方针 作者:李柏伦 翻版盗卖必追究责任 核 查 记 录 -详细介绍了公司总体情况,具体见手册企业概况。 --信息安全方针, 信息安全目标和计划得以实施; 信息安全的角色和职责均已明确; 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性; 提供充分的资源,以建立、实施、运作、监视、评审、保持并改进, 决定接受风险的准则和风险的可接受等级; 建立信息安全的角色和职责 ——提供《信息安全管理手册》 体系推进部门综合管理部, 职责划分基本能够满足要求。 向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。 符合项 √ √ 观察项 不符合项 5.3 组织角色、职责和权限 √ 7.1 资源的提供 9.3 A5.1 ——主持管理评审,授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。 ——设备资源能满足要求,未来设备相应的增加时,未来有人员增加计划。 ISMS管理评审 ——有制定体系实施以来的第一次管理评审计划。 信息安全方针文信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。 件 √ √ √ 作者:李柏伦 翻版盗卖必追究责任 被审核部门 审核主题 核查 要素/条款 A.6.1.3 研发中心 审核成员:罗**、李** 陪同人员:梁** 审核日期 2020年6月30日 A.6.1、A.8.1、A.8.3、A.9 - A.18 核查事项 信息安全职责的分配 核 查 记 录 《信息安全管理手册》,公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作。 符合项 √ 观察项 不符合项 A.8.1.1 A.8.1.2 A.8.1.3 A.8.1.4 资产清单 资产所有权 资产的可接受使用 资产的归还 公司于2014年11月开始实施信息安全管理体系文件,全员均经过相关培训。公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。 对每一项信息资产,根据《信息安全风险识别与评价管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告,以及验证。 有《信息安全资产清单》和《重要信息资产清单》,信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。 ——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人 ——提供《用户授权申请表》内容填写符合要求。 ——提供了资产归还的记录表。 提供可移动介质授权使用清单1份。 ——有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、行政批示、经办人。 ——目前无介质处置。 网络划分为三个网段,内网使用固定IP,入网需要申请,并绑定MAC地址。 现场查《网络安全配置表》,符合要求。 提供了《开通外网申请表》 符合 √ A.8.3.1 A.8.3.2 A.8.3.3 A.9.1.1 A.9.1.2 可移动介质的管理 介质的处置 物理介质传输 访问控制策略 网络和网络服务的访问 √ √ 作者:李柏伦 翻版盗卖必追究责任 被审核部门 审核主题 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 A.9.2.6 A.9.3.1 A.9.4.1 A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 研发中心 审核成员:罗**、李** 陪同人员:梁** 审核日期 2020年6月30日 A.6.1、A.8.1、A.8.3、A.9 - A.18 用户注册及注销 用户访问开通 特殊访问权限管理 用户秘密鉴别信息管理 用户访问权限的复查 撤销或调整访问权限 使用秘密鉴别信息 信息访问控制 安全登录规程 口令管理系统 特殊权限实用工具软件的使用 对程序源代码的访问控制 对于任何权限的改变(包括权限的创建、变更以及注销),须由管理员操作。 特权分配仅以它们的功能角色的最低要求为据,有些特权在完成特定的任务后应被收回,确保特权拥有者的特权是工作需要的且不存在富裕的特权。 ——查人事行政部管理人力资源管理系统,有特殊权限。 各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令,口令必须至少要含有6位以上字母+数字。 查:普通用户只能访问被授权的服务,对计算机系统的访问权都被限制。 公司范围的计算机登录口令要求6位以上字母+数字。抽查了5台PC机,口令符合要求。 ——用户不得访问或尝试访问未经授权的网络、系统、文件和服务。 ——现场测试,审核员通过访问网络上的PC机,有用户名,密码,试图随意输入密码3次,均无法登陆。 ——所有计算机用户在使用口令时应遵循以下原则:所有活动帐号都必须有口令保护,所有系统初始默认口令必须更改等。 ——没有安装实用工具。 ——公司没有软件开发,只有网站服务采用托管形式,由第三方公司负责运营。 ——提供《网站维护协议》,合同有效日期从2014年4月30日至2015年4月29日,条款一,规定服务方所应承担的业务与遵守的规定;条款五,规定了双方的法律责任与处理办法 公司的密码控制是由银行提供的加密机。 由银行专员到公司内导入密钥。 ——现场查公司大门设有接待处, ——公司大门处,入口有监控摄像,其他各关键区域均安装有监控摄像,服务器放置在机房,√ √ √ A.10.1.1 A.10.1.2 A.11.1.1 A.11.1.2 使用密码控制的策略 密钥管理 物理安全周边 物理入口控制 √ × 作者:李柏伦 翻版盗卖必追究责任
ISO20000-2018信息安全管理体系内部审核检查表
