2019年ISO27001信息安全管理体系内审检查表 审核日期:2019.10.11 序号 A.5信息安全方针 A.5.1信息安全管理指引 目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针,信息安全方针文件应经过管理A.5.1.1 信息安全方针 层批准,并向所有员工和相关方发布和沟通。 应定期或在发生重大的变化时评审方针文件,确保方A.5.1.2 信息安全方针的评审 针的持续性、稳定性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 信息安全的角色和职责 应定义和分配所有信息安全职责。 有冲突的职责和责任范围应分离,以减少对组织资产职责分离 未经授权访问、无意修改或误用的机会。 与监管机构的联系 应与相关监管机构保持适当联系。 项目内容 审核内容 审核记录 审核结果 备注 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保 持适当联系。 A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。 A.6.2移动设备和远程办公 目标:应确保远程办公和使用移动设备的安全性。 应采取安全策略和配套的安全措施控制使用移动设A.6.2.1 移动设备策略 备带来的风险。 应实施安全策略和配套的安全措施以保障远程办公A.6.2.2 远程办公 时信息的访问、处理和存储的安全。 A.7人力资源安全 A.7.1任用前 目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 根据相关法律、法规、道德规范,对员工、合同人员A.7.1.1 人员筛选 及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。 与员工和承包商的合同协议应当规定他们对组织的 A.7.1.2 任用条款和条件 信息安全责任。 A.7.2任用中 目标:确保员工和合同方了解并履行他们的信息安全责任。 管理层应要求员工、合同方符合组织建立的信息安全A.7.2.1 管理职责 策略和程序。 组织内所有员工、相关合同人员及合同方人员应接受信息安全意识、教育与A.7.2.2 培训 策略及程序。 应建立并传达正式的惩戒程序,据此对违反安全策略A.7.2.3 纪律处理过程 的员工进行惩戒。 A.7.3任用终止和变更 目标:保证组织利益是雇佣终止和变更的一部分 应定义信息安全责任和义务在雇用终止或变更后仍A.7.3.1 任用终止或变更的责任 然有效,并向员工和合同方传达并执行。 A.8资产管理 A.8.1资产的责任 目标:确定组织资产,并确定适当的保护责任。 应制定和维护信息资产和信息处理设施相关资产的A.8.1.1 A.8.1.2 资产清单 资产清单。 资产责任人 适当的意识培训,并定期更新与他们工作相关的组织 资产清单中的资产应指定资产责任人(OWNER)。 应识别信息和信息处理设施相关资产的合理使用准A.8.1.3 资产的合理使用 则,形成文件并实施。 在劳动合同或协议终止后,所有员工和外部方人员应A.8.1.4 资产的归还 退还所有他们使用的组织资产。 A.8.2信息分类 目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。 A.8.2.1 信息分类 保护信息免受未授权泄露或篡改。 应制定和实施合适的信息标识程序,并与组织的信息A.8.2.2 信息标识 分类方案相匹配。 应根据组织采用的资产分类方法制定和实施资产处A.8.2.3 资产处理 理程序 A.8.3介质处理 目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。 应实施移动介质的管理程序,并与组织的分类方案相A.8.3.1 可移动介质管理 匹配。 当介质不再需要时,应按照正式程序进行可靠的、安A.8.3.2 介质处置 全的处置。 应根据法规、价值、重要性和敏感性对信息进行分类,含有信息的介质应加以保护,防止未经授权的访问、A.8.3.3 物理介质传输 滥用或在运输过程中的损坏。 A.9访问控制 A.9.1访问控制的业务需求 目标:限制对信息和信息处理设施的访问。 应建立文件化的访问控制策略,并根据业务和安全要A.9.1.1 访问控制策略 求对策略进行评审。 对网络和网络服务的访应只允许用户访问被明确授权使用的网络和网络服A.9.1.2 问 A.9.2用户访问管理 目标:确保已授权用户的访问,预防对系统和服务的非授权访问。 A.9.2.1 用户注册和注销 务。 应实施正式的用户注册和注销程序来分配访问权限。 无论什么类型的用户,在对其授予或撤销对所有系统A.9.2.2 用户访问权限提供 和服务的权限时,都应实施一个正式的用户访问配置程序。 A.9.2.3 A.9.2.4 特权管理 应限制及控制特权的分配及使用。 用户认证信息的安全管用户鉴别信息的权限分配应通过一个正式的管理过理 程进行安全控制。
2019年ISO27001信息安全管理体系内审检查表
