信息安全管理体系内部审核检查表被审核部门:领导层审核员签字:第二组序号附录编号及名称审核内容和方法审核记录合格性判断1A.5安全方针1.1A.5.1信息安全方针A.5.1.1信息安全方针文件1.2A.5.1.2评审和评价A.6信息安全组织A.6.1内部组织A.6.1.1信息安全的管理承诺A.6.1.2信息安全协调A.6.1.3信息安全职责分配A.6.1.4信息处理设备的授权过程A.6.1.5保密协议A.6.1.6与权威机构的联系A.6.1.7与专业的利益团体保持联系A.6.1.8信息安全的独立评审A.6.2外部组织A.6.2.1关于外部组织风险的识别A.6.2.2与顾客接触时强调安全A.6.2.3第三方合同中的安全要求A.7资产分类和控制A.7.1资产责任A.7.1.1资产清单A.7.1.2资产所有者关系A.7.1.3可接受的资产使用准则A.7.2信息分类A.7.2.1分类指南A.7.2.2信息的标识和处理A.8人力资源安全A.8.1雇用前A.8.1.1任务和职责A.8.1.2人员考察A.8.1.3雇用条款和条件A.8.2雇用期间A.8.2.1管理职责A.8.2.2信息安全意识、教育与培训A.8.2.3惩戒A.8.3雇佣的终止或变更A.8.3.1终止职责A.8.3.2资产归还A.8.3.3撤销访问权限A.9物理和环境安全A.9.1安全区域A.9.1.1物理安全周边A.9.1.2物理入口控制A.9.1.3办公室、房间和设施安全保护A.9.1.4外部和环境的威胁的安全防护A.9.1.5在安全区域工作A.9.1.6公共访问、交接区A.9.2设备安全A.9.2.1设备的安置和保护A.9.2.2支持性设施(如供电)A.9.2.3电缆安全A.9.2.4设备维护A.9.2.5场外的设备的安全A.9.2.6设备的安全处置或重复使用A.9.2.7资产迁移A.10通信和操作管理A.10.1操作程序和职责A.10.1.1文件化操作程序A.10.1.2变更管理A.10.1.3职责分离A.10.1.4开发、测试和运营设施的分离A.10.2第三方服务交付管理A.10.2.1服务交付A.10.2.2监控和评审第三方服务A.10.2.3管理第三方服务的变更A.10.3系统规划与验收A.10.3.1容量管理A.10.3.2系统A.10.4防范恶意代码和移动代码A.10.4.1防范恶意代码A.10.4.2防范移动代码A.10.5备份A.10.5.1信息备份A.10.6网络安全管理A.10.6.1网络控制A.10.6.2网络服务的安全A.10.7媒体处置A.10.7.1可移动计算媒体的管理A.10.7.2媒体的处置A.10.7.3信息处理程序A.10.7.4系统文档安全A.10.8信息交换A.10.8.1信息交换策略和程序A.10.8.2交换协议A.10.8.3物理媒体传输A.10.8.4电子信息A.10.8.5业务信息系统A.10.9电子商务服务A.10.9.1电子商务A.10.9.2在线交易A.10.9.3公共可用信息A.10.10监视NOA.11访问控制A.11.1访问控制的业务要求A.11.1.1访问控制策略A.11.2用户访问管理A.11.2.1用户注册、A.11.2.2特权管理A.11.2.3用户口令管理A.11.2.4用户访问权的评审A.11.3用户责任A.11.3.1口令的使用A.11.3.2无人值守的用户设备A.11.3.3清理桌面及清除屏幕策略A.11.4网络访问控制A.11.4.1网络服务使用策略A.11.4.2外部连接的用户鉴别A.11.4.3网络设备的识别A.11.4.4远程诊断和配置端口保护A.11.4.5网内隔离A.11.4.6网络连接控制A.11.4.7网络路由控制A.11.5A.11.5.1安全登陆程序操作系统访问控制A.11.5.2用户标识和鉴别A.11.5.3口令管理系统A.11.5.4系统实用程序使用A.11.5.5终端时限A.11.5.6连接时间的限制A.11.6应用系统和信息访问控制A.11.6.1信息访问限制A.11.6.2敏感系统隔离A.11.7移动计算和远程工作A.11.7.1移动式计算A.11.7.2远程工作A.12信息系统获取、开发和维护NOA.13信息安全事件管理A.13.1报告信息事件和弱点A.13.1.1报告信息安全事件A.13.1.2报告信息安全弱点A.13.2信息安全事件的管理和改进A.13.2.1职责和程序A.13.2.2从信息安全事故中学习A.13.2.3收集证据业务持续性管理A.14.1业务持续性管理的信息安全方面A.14.1.1在业务连续性管理过程中包含信息安全A.14.1.2业务持续性和风险评估A.14.1.3开发并实施包括信息安全的持续性计划A.14.1.4业务持续性计划框架A.14.1.5业务持续性计划的测试、保持和再评估A.15符合性A.15.1与法律法规要求的符合性A.15.1.1识别适用法规A.15.1.2知识产权(IPR)A.15.1.3组织记录保护A.15.1.4个人信息的数据保护和隐私A.15.1.5预防信息处理设施的误用A.15.1.6密码控制的法律法规A.15.2与安全策略和标准的符合性,以及技术符合性A.15.2.1符合安全策略和标准A.15.2.2技术符合性检查A.15.3信息系统审计考虑因素A.15.3.1信息系统审核控制A.15.3.2信息系统审核工具的保护