ISO27001 2022版内审检查表+内审记录（分部门）.docx

《ISO27001 2022版内审检查表+内审记录（分部门）.docx》由会员分享，可在线阅读，更多相关《ISO27001 2022版内审检查表+内审记录（分部门）.docx（12页珍藏版）》请在课桌文档上搜索。

1、信息安全管理体系内审检查表i:JAISNSf6/1爻审核部门VM申被员11申林日期20XX.4.1审核法则180/1氏27。01:2022.体系文件、适用法律法娓中根东款检查内容检在结果1.1理解如织及其环境公司是否有部门椅介.并能充分反应公司内部情况.Sh方景，舞营救出、财务我现、规模及设旅、人力资源徙力、技术优势、如识苏（内部因素）及涉及法神法规和专利技术、市场占有率上整合作伙件及同行的也响、物理边界、信恩来道（外部闪点）?符合1.2理解相关方的需求和期里公司是否收集相关方K求及IWW（上侬及主要供方及客户）包拈：顾客对侑息安全的要求I已与政客或外部供应俄达成的合Eh行业规蒐及标准：和社区

2、团体或非政府81织的协议:法规法案：备忘求：许可.执照或其他授权/式：收管机构发布的制度:条约,公约及个案I和公共机构及顾客的出议I祖织变求I门崽原则或行为双Sh门前蚌示或环境承龙；羽织货约合同的承担义务I不符合（三i公司未Ul别相关方的常求和期能1.3确定信息安全管理体JOUH公司是否有个定义ISMS泡IH的过程？有没U明确的体系范明和边界？是否有对任何范围的划船?符合1.4信思安全管理体系公司形成完挖的体系文件公司性体系文件描逑通用于公司实际情况符合5.1领导力和承诺是否有一个嫡保管理者对IS作的建立、实施与运行、监视与评审、保持和改进，强出承诺的过程？管理名依供承诺的证期是否包括以下内容

3、：8）制定ISMS方知b）蛹保建立ISXS目标和计划：C）建立信息安全的角色和眼Shd）向读阻细传达满足信忌安全目标与符合估息安仝方忖的K要性、法W责任和持续改进的需婪：e）提供足绯的资懑tf）决定接受风险的准则和凤龄的可接受拨!准刻：而确保IsNS内审的执行和ISMS管理评审的执行.符合5.2方针公司是否有个ISNS方针文件？公司的ISVK方的文件是否满足以下要求：1）包括信息安全的目标板栗、俏电安全工作的总方向和康则,2）:与志业务要求法律法坦的变求和合同变求I3）与81根开发与惟护IsttS的然略性风险管理.站价一起或保持致：1）建立风险评价准则t5）获得管理者批熊.符合5.3组织的角色

4、,职责和权限公司内各职健职武是否明确？权限分派、沏通和理解是否透立？各肌击间关系加否明确？是否仃颁布令和授权令!符合6.I应对风险和机会的指施公司是否有即确可能所需嘤峻对的双总和机遇？为现定甯要应对的I崂和机当：1.公司花策划信息安全管理体系时，是否考虑内都和外部因素?符合2 .公司在策划信M安全管理体系时，是否在理解相关方需求？公司是否有策划应对应龄和机遇的措地？这些措的可fit是产品及限务的检杳、Ia校和/心、校布、产品及过处设计、纠正措施、设定方法和工作指导书、培训及使用有能力人员等方面.3 .应对M险和机遇的措他也否得到实施和许价措迪的仃效性？6.2倒总安全目标和实现规划管理层信息安金

5、目标是否:1）包括侑息安全的目标框架、信息安全工作的总方向和原则t2）考应业务察求、法律法规的察求和合同察求：3）5组织开发与维护I汕的械略性风阶管理.结合超或保持Stl1）建立风险评价灌则:5）获得管理齐批准.在对这个察求的符合性中骏时，要确保殂恨的ISMS方舒清足上注5个要求.还要注意到方针息安全方计的美系.符合1.1资源公司是否有对为汕足怡总安全辑理体系要求的人力费海、材村、能力、信息、i2ffe等进行评估？2、公司是否识别各种现疔IW构,即为N少不R影聃或达成目标用要什么,以及需要什么揣够?符合7.4沟通1）最瓶管理乔应确保住组织内建立地当的海通过程,并确保对施置WS/职业健康安全体系

6、的行效性进行沟通.各职能层次向的沟通是如何开展的？咐信息沟通的职志和方法以及时at大事件、句网的沟通是如何开展的？2）是否使用r恰当的沟通形式？开展的忸况,信息是否被有效的利用?3）沟通的内容是否使促进纲织所量活动协调和烬；切环境，嵌业设柒安全体系过程及其有效性？如何邀第内外SJ沟通的过程？“用些记术来注明？外部仃患交流的内容?正面的？负面的（如投诉）?是否及时给出清晰刈么?超否涉及绩效的改进?符合9.1监视、测质、分析和评价公司阚定的儒要相视和测业的财软包括1定义如何Mljit所选控M指施的有效性.即要有个“测爆所选控M指施行效性”的过程：1）规定如何使用这些利依措的对控制措施的行效性进行泅

7、量（或评估）：据此.价理疗和员工就可以确定所选控制措施必否实现原计划的控制目标，或实现的程度，2）通过到正、纠正措施、预防措施、改造计划、的陋时汉计分析保料I、；环境/职业健康安全首理体系持或改进的有效性.并确定了信息安全目标;过程馈效指标及总视和（后方法号住频次，公司在伏理手册中对监视、测Ii1.分析和改进过程进行了策划.对确保信息安仝/环境/职业健康安仝管理体系的适宜性、产晶估息安仝的符介性及应用数据分析等方式来实现对伯息安全,玮物皿业ft!旅安全管理体系的改进和提岛避打了筑划.并在实际工作中通过H常的监视和萄Irt对发现的问题及时进行分析、解决，并建立了相应的总总渡过程，就有关信恩安全、

8、环境、职业健康安全。效进行内部和外部信息交流符合9.3管理评中公司是否定期召开管理评中？井在笆理评审中确定体系的运行是否适宜、充分和有效，并与扭乐的成珞方向一效？管理评审愉人资料是否涓足听求？是否包括以为哲理评审采取措施的情况？环境1.l标的实现探收？地织环境缱效方面的信息？资源的充分性？来自招美方的有关借总交流？应对风龄和机遇及取的播施是否有依？有无改进的机会？管理评审输出资料是否满足要求？并保留彬成文件的信巫？体察出进行关的信U?环境目标的实现时需要采取的指施？改进汴理体系V其他业务过积融合的机遇？任何，Jfl双陵略方向相关的结论？符合10.2持续改进公司是否通过多种途径,持续改进ISNS

9、的盯效性捋,包括I1）使用似息安全方针:2）使用安全目标I3）使用甲桢结蹙:符合1）使用监视事件的分析I5）使用纠正法施与预防措施:6使M管理评审.10.3不符合及纠正指地是否方一个确保采取拓施，消除不符合ISMSfJ求的Ki囚的过程？当不符介情况发生时是否侬据刎定的措施进行及时纠正？纠正完成后纠正效果是否经过验证有效？是否形成相应的记求？符合A.5.1信息安全策略总短理是否确保制定与公司目标一致的清晰的怡且安全方针，并乩通过在拉次内发布和俄护信息安全方的来表明对信总安全的支持和承诺.信M安全方计在信县安全哲理M3中描述.（侪思及金筏支卅？由她经理批准发布？符合A.5.2仿&安全的角色和员任信

10、忠安全活动足否由不同部门并R叁相关角色和工作职舟的代混进行办调？符合A.5.3职员分离公司是否第炬的确定所有的信息安全肌或.以，W管理并授权信息安全管理七代衣，全面负而信息安全管理体系的建立、实的与保持工作？对每项申要费产指定伯息安仝费任人符合A5.4管理出由任管理者隹否要求雇员.承包方人员和第三方人员,按胧谟扭融已建立的方针和程序负起安全责任？班织的所在麻员.G8当时,也要包括承包方人员和第三方人员）.是否受刎，其工作职能相关的适当的意识培训和方好或略以及规程的定用更新培训;对干安全违规的展公，是杏川个正式的纪冲处理过K1符合A5.2S怡电安全小件的评佑和决策是否要求怡息系雉和收务的所有员工

11、、分同方和第:方用户都滞察报告他们观察到的或杯胡的条缭段耿务中的任何安全弱点？是否对信忠安全在布进忏评估,以决定他们足否被仃亮为信息安全事件？符介A5.26应时信且安全国故信强安全事故发生时.是否枳报采取应对指诙？所;R双指能应对信息安全4件无收时是否及时进行调整？是否建立有效制度应Wfft以安个M故？符合A5.27从信总安全事故中吸取枚训而丁俗用安全事件是否按照已建立的职费和规程,快速、有效、有序的响应？时于己处理的信息安全第枚是否飙蛔人员对W枚的原囚进行分析并制定防止再次发运的设定？t否财估息安仝小件处理过程进行回想分析.并优化处理过程？符合A5.35信息安全独立审是否IW定价把安全独立审

12、有相关,以阿便信息安全审过职能部门不受相关利益力因米干扰？符合A5.36悟息安全策略、规则和标准的遵从性是否定期率或是否符合阻织的倡用安全策略、专虺策略、规则和标准？符合信息安全管理体系内审检查表i:JAISNSf6/2爻审核部门申被员XXX申林日期20XX.4.1审核法则180/1氏27。01:2022.体系文件、适用法律法娓中根东款检查内容检在结果5.3组织ff角色.职浙卬权限公司内各职位职贵是否明确?权限分源,沟通和理解必否适宜?&职资何关系是否明确？是否句欲布令和按钮令？符合6.2信息安全目标和实现就划标合管理St信息安全目标是否ID包括伯恩安全的目标框架、值息安全工作的总方向和原则：

13、2）等也财务要求法律法观的要求和合同要求I3）与殂投开发与维护I海的被略性风险管理.站台一起或保持一致：1）建立风嗓评价准则I5）获得管理者批於.在对这个要求的符合性审核时,要跑保组期的ISMS力景病足上述5个要求.还要注意到IS5力计与伯划安全方针的关廉.符合7.2能力是否对从小影响信息安全管现活动的部门、层次、岗位人员进行了识别.对卷类人员所需的教育、培训、技低和经验提出了代求？针对鬻求心否提出了培训计脑（包括特殊：种、工作人员）或果取其他推施并也加实施?通过何种方式Iu勿培训确保员工意识到所从事活动的相关性和有要性,并为实现信息安全HFMl标懵出贡就？是否适当地保存/.培训.技能、经验的

14、记录?我培训需求是否合理?是否按计磔实施？通过充机关记MIft证计划完成饰况,抽代相关培训WifIfridSi.。依效有关的人员和与合规性仃关的人员的能力娈求“照咤？徒力安求描述中行无对人员甘当的教育、培训或捏为要求.确保员工能蜉胜任？有无相应挤施荻得所芾健h.如何评价描施仃效性？存无相应的记录证明人员能力?符合7.3SUl1、公司员工及各相关方是否知眺公司信息安全方针、信息安全目标2、公司员工及各相关方是否明册“1接受产片和不合格”产拈和腹势的如识和理解.以及当产丛和服务不流足视惹时.谈如何去做.3、公司是否侪息安全体后有相关沟通过印.现场双察员工是否知晓诉理体系方针和U标？员工是否知晓共对

15、行理体廉的贡献？员工是否知晓不符合音理体系娶求的后果？符合7.沟通M高管理者应也保在加恨内建立适当的沟通过程,并a保时版（环境/肌业ft!战安全体条的仃效性进行沟通,各职能层次间的沟遹是窗何开照的？对伯息沟通的职费利方法以及对里人里件、何区的沟西是如何开展的？2）是否使用了恰当的沟通形式？开展的情况.信息是有理疗效的利用？3）沟通的内容是否能促进州织质履活动伊剧和旗fit/环嵯/职业电城安仝体系过程及其仃效性？如何狗划内外部沟通的过程？有哪些记录来证明?外部伯息交流的内容？正IM的?负面的（如投诉）?是否及时比出徜晰到复？是杏涉及绩效的改进?符合7.5形成攵件的信息7S1总则公司是否按标准要来

16、和按公司情况形成侦Ift髀理体系文件佑息？并保持和保用这些攵件信息？加何进行文件的分发、存储、更新、保锢和处世等？如何识别外部文件，文件是如何保灶的？文件是否有标识和说明？文件都仃哪些府式？是否姓过评审和戕准？记乐:控刎程序足否完整.足杏仃可挽作性？程序文件是否为仃效版本？记求挣制程序是否对记求的标识、收取、编目、归档、保存、携护、ftfel.处置管理做出了坟定？记录控制情况如何？记录的影成。顺Ift活动足否同步进行？与本生根的记录f哪些？与受审核部门有关记录盯题线？是否右保存期的规定？记求是否按档案管理限范的要求处理和辑理？符合7.5.2创建和更新是否规定了文件的保忏办法？是否赛定了评审文件

17、的有效性？是否规定了失收文件的处N、管理办法？所有文件是否字透满也？标识是否明确？文件发布前是否得到授权人的批准？是否均注明制定或假打日期？文件的饭找是否方便？文件的保管是否疗效？戈件化侑思内容是否完整？版本是否有效？文件化估息是否对记戏的标识、收取、编目、归档、保存、淞护、杳阅、处置笆理做出r规定？文件化信息的影成。活动是否同步进行。与本讯织有关的文件化信息行IS线？与殳审桎部门为关的已求行哪技？是否存保存期的规定？文件怅改后H否，R款批准？W别修改状态的方法是什么？使用时是否部使用适应文件的仃效版本？文件化信息是否按档案管理规范的要求处A和忏理？符合7.5.3文件记杀信息的控刖文件化侑总内

18、容是否完整？版本是否有效？文件化信忠是否对记录的标识、收集、呜目、归档、保存，抗护.SffeJ.处置管理做出了块定？文件化怡总的形成与活动是否同步迸行.与本JflfH审美的文件化信息讶扇些？与受审楂部门有美的记录有哪共？是否火保存期的规定?%件怅改后是否赋款批准？识别修改状态的方法是什么？使用时是否掂使用运应文件的有效版本？文件化R息是否披竹案笆理题范的要求处我和许理？符合8.1运行规联和控制公司有哪些运行挣划？行无明碉运行业则？对变更的控制？异常情况的评审？产品设计开发的输出的有关修息中处否乜括生产用用林阶段的信息安全要求？采购过程的控制？对外部供方的控制的美型与程度？运筠、交付、使用、公终

19、处?T?符合8.2信息安仝应龄评估I）是否祝别公司炽ISMS范国内的资产及其也任人12）双别资产所面够的贼胁;3）是否识别可能被贼胁利川的腌弱点I4）虺否识别庚产保定性、先蒙性和可用性的丧失造成的影晌.符合8.3信慰安仝凤龄处盥是否育个用于3别和评价网股处理选抨指色的过程？这个过程是否包括采用适当的控制指施、接受风险、城免风险、转粉风四种选择可解I实施同险处置计划并按if划实彼?符介9.2内部市核1）公司处否定期进行内部审核?2）内联审椅的领次和结果是否满足然“体察运行要求？符合AI5.2信息安全的角色和贵任信安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调？符合A.5.3职员分离

20、公司是否消姑的勘定所有的侑息安全取责。公高管理并按根信1安全中理疗代表,全面负而信息安全管理体系的建屯、宴揄。保持工作?对年一项电要贵产指定伊息安全责任人符合A5.4管理反方任管理者是否要求您员、承包方人员和第三方人员.按眼谟aR已逑立的方针和程序负起安全责任？Jfl织的所有雇员，（适当时，也要包括承包方人员和第三方人员）.是否受到、其工作职能相关的适当的意识培洱和方针谈略以及规科的定期更新培训:对广安至违规的府团.是杏行一个iF式的纪律处理过程？符合A55与职能机构的联系是否制定规定,详细说明由很何时与政府机构联系，以及怎样识别是否以及时报告的可能会用背法冲的倍恩安全事件？符合A5.6与特定

21、相关方的联系坦汉是否与特殊利益团体、安全与密组和专业协会保持id当的联系？符合A57t情报朕否定期与机构特殊利1团体、安至专宗组和专业伊金联系以获取伯息安仝最新法规及当下多发倡息安仝事故原因等相关威脸符合A5.9侑息和其他招美资产的消以是否识别归息以及。信息和侑息处理出施相关的其他资产，井R制和雄护这些史产的清华？符合AS.10信息和其他相关债产的可楂变的使川与伯息处理改葩仃关的伫恩和货产的可接受使川规则,是否确定形成了文件并加以女胞？符合A5.11资产返还所有的麻员、承包方人员和第三方人员在终止任用、介司或例议时,是否Cl还他们使用的所有铝竦费产？符介A5.12信息分类信息是否按照其对扭双的

22、价散、法楙要求、扳当性和美键性进行分类？符合A5.13信息标提是否按照所采蝌的分类机制建立和实施Tl合近的信总标记规程？符合A5.19供血的关系中的信息安全是否与供成商协商井记泰信总安全的要求,以减少供血商访H伯恩资产帝来的风除?符合A5.20解决供应新协设中的信息安全诃趣是否与供应斯隹立井砂商所有信息安全相关要求.并实胞,？符合A5.21管理ICT供应倭中的信息安全供应nt议是否包括侑总通信技术服务和产拈供应链的相关信息安全风段符合A5.22供应商服务的监控、审Fi和变更行理对供应商提供的服务、报告和记玳.是否定期的进行独视、评审和审核？符合A5.24规划和准备管理:息安全事故是否建立竹理责

23、任和址印,以确保快迩,有效和有序地响应信息安全？符合A5.25信息安全事态的评体与决策是否对信息安全部志进行词齿，以决定也怕是否被归类为怡息安全事件？符合A5.26信总安全事件晌应对于倍思安全件是否按照已建立的职员和规程，快速、在效、有序的响应？符合A5.27从信息安全事件中学习是否有一套能修成化和近视治总安全事件的美奥、数依和代价的机制？符合A5.28收泵证粼在整个系统开发生命横期的系统开发和集成工作中,是否也立了遇当的安全开发环境？符合AS30关于业务连桂性的Icr准JJ为了解决殂枳的业务持读性所需的信息安全要求，如恨是否开发和港持一个用于整个扭织的业务持愎性管理过程？和口划？足否按照程序

24、和控M的要求.实tfiT俏患安全连续性管理过程和if-划？符合A5.3】法律、法双、监赞和A同时限个信息系统何更恨.运用的所仃相美法律法双和合同要求.以及为浦足这些要来如以所果用的方法，都明确地送行了定义.膨成r文件并保持更狱？符合A5.32知识产权在怅用具有知识产权的材料和共行所有权的软件产品时,为籽介法律.法规和合同要求.组织是否实能广地当的现理？符合A5.33记录保护为了满足法律，法斓,合同和业务要来,是否防止玳要的记录遗失、毁煤和伪造？符合A5.341M1.和个人可人可伯息保护是否有依照相关的法冲法规察求和合同禁求，确保数据保护和池私？符合A5.37文件化的操作程序控制操作规程应形成文

25、件，并对所需用户可用符合A6.1方选对所有任用的恢透片、承包方人员和第三方人公，是否按黑相关法护法规、道i规更、业务要求、被访问的信总类别和已察觉的风险.进行重景调杳和险证?符合A6.2点佣条软和条件麻员、承包方人员和第三方人员是否笠署任用合同的条瞅和条件（这些条款和条件电声明他一和组投的俏息安仝职责符合A6.3信息安全点反、fttf和培训Jfl双的所科雇员，（适当时,也要包括承包方人员和第；方人员），是否受到与其工作职能相关的理当的意识珞训和方计策略以及视利的定期更新珞训？符介A6.4鼠樽程序对安仝违规的豫员.此否行一个正式的纪律处理过程？符合A6.5%佣关系终止或变史后的击任任1止或任用安

26、更的职员是否清晰地做出了定义卬分配?符合A6.6保畲或不披露格议保密彬议是否得到识别和定期评审？（吉希保空协议付合A7.1物理安全边界是舌石用保护包含伯息和伯总处理议地的区域的安全周边（仙境、门禁K或受管理的接恃台等解P9）?符合A7.2物理入口为r确保只行已被授权人员才允许访问安仝区域是否通过价适的入。技制措施加以保护？（现场检有访问记录,并可能测试用户送入安全区域的符合性,符合.47.3保护办公室,房间和设施是否为办公案.房间和设随改计并采取物理安全措施？（现场检荏办公室、房间和设施的保护情况）符合.47.4物理安全以控对由火灾、洪水、地送、埠炸、社会动福和儿他形式的自然灾雁或人为灾难引起

27、的搅害，是否设计与呆取了物理保护拓施？（现场依皆计而外制或物和环境成财的安全助护折况）符介A7.5抵御物理和环境相Ift宋取r物理保护指施？（现场也百计对外部或曲和环境成胁的安全叨护情况）符合A7.6在安全区域工作是否设计和应用了用于安全区域工作的物理保护和将南？（现场检表安全区域的保护狱况符合A7.7桌面清理和屏事清理是否采取清空桌面文件,可格动存气介旗的;ft玷和淌空信息处理谀施屏Sf的或略？（现场检费M户的清空皇面和屏幕设置符合A7.10存储介原是否有适当的可序功介质的付理程序？对于不再需要的介旗.否使用正式的程序可糕并安全地处?当包含信息的介质在饥恨的物理边界以外运送时,是否仃防也未授

28、权的访旬,不巧使用成效堤的搭随？符合A&1用户我增设缶无论什么类型的用户,在对其分配该撤销所有系统和服务的权不时，是否有一个正式的用户访问开通流程？符合A8.7舫范延怠软件是否有对恶意代码的按刎排施（包括无京代积的府神、预劭和佐?是否有适当的槌而用户安全志识的规程？符合信息安全管理体系内审检查表i:JAlSNSf6/4爻申铁部门工程部审装员XXX申校日刊20XX.4.1审核法则1SOIBC27QOI:2022.体系文件、适用法律法娓中根东款检查内容检在结果5.3组织ff角色.职浙卬权限公司内各职位职贵是否引硝?权限分踵.沟通和理解是否适宜?各职货问关系是否明确？是否有1布令和授钮令？符合6.2

29、信息安全目标和实现就划透代支持部信息安全目标是否I1）包括倒息安全的目标框架、伯息安全工作的总方向和原则:2）专电财务要求、法律法坟的要求和合同变求I3）与州织开发与锥:护ISwS的旅珞性风险管理,站介一起或保持一致：1）建立风股评价准则I5）荻得管理并批准.在对这个要求的符合性审校时,爱酷保组织的【SMS力计涧足上述5个哄求.还要注意到12方计与信息安全力计的关系.符合8.1送行10和控制公诃行哪些运行控M?有无明确运行准姬？对支吏的控M?异常情况的评审？产品设计开发的输出的仔关信息中是有包括生产战用柯阶段的信息安全要求？及贿过程的控制？对外部怏方的控制的类也与程发？运输.交付、使用、域冷处

30、置等？符合8.2佰患安全风险评估1是否识别公司双ISMS范国内的债产及其责任人:2）识别责产所面临的威物I3）是否识剂可能被曦初利用的附弱点ID是否识别贲产保精性、充整性和可用性的丧失造成的恭响.符合8.3信患安全风险处是否仃个用识别和评价M龄处理选择措施的过程？这个过科处否包括采用适当的控制指龟、接受应龄、避免风冷、状移风P四坤选择可施;实施14险处置计划并按计划实匿？符合A5.7威胁7成足否定削,机构、特殊利益团体,安全专家里和专业出会联系以交取侪总安伞M新法爆及当下多发信息安全事故原因等相关成胁Mff?符合A5.8IR目管理中的信息安全俎双是否对具旨理信息安全的方法与实践（及你电安全拉剂

31、目标与控剂指施、方针、过程和程序*按既定的时向何陇（魂当安金实施发生求大变化时）进行独立评审？符介A59fff息和其他相关负产的清弱足否识别信。以及与信和信处理设施相关的我也笑产.井茹刎和维护这些资产的清单？符合A5,ll资产返还所在的肥员、承包方人员和第三方人员在拄止任用、合问成协议时，是否打还他们使用的所仃如织资产？符合A5.14信息传递为了保护通过使用各种类中的通俗设诙的信必交倏.是否有正式的交换策明，规科和控刖措施？付合A5.15访问控制访问控制饺略姑西建立并形成文件？是否然于业务和访问的安全卷来迅忏评审!是否对网络进行分区域管理？或用户是舌仪健访问已获专门掇权使用的服务？是否有正火的

32、用户注册与注销程序,授权和啦田对所有信息系就和服务的坊何?（财系铳行访问权IR的员工或筌妁员工送拧抽样符合检充）无论什么类型的用户.在对其分配或报箫所行系统和服务的权限时.是否fi个正式的M户访何开通流程？是否限制和控制特殊权限的分配及使用？所有麻员、承包力人员和第：方人员对信息和位息处理设梢的访问权.舱否在任用、介同或称议终止时.删除.或在变化时调整？用户对信息和应用系统功能的访何,是否依照已端定的访问控制狗略迎疗仪制？费产所有者应定期对用户的访问权送行M代？A5.16身份管理是否白正式的用户注册与注销程序，授权和撤销对所有监息系统和服务的访何？（对系统疗访何权限的员工或答约员工进行抽样检杳

33、）是否开发和实能使用空码拉制描脩来保护信恩的策珞？符合A5.17整别信总是否要求用户在选挣和使用安全鉴别信息时，如口令.道珞良好的安全习惯？符合A5.18动何权架是否限制和控利特姝权限的分配及使用？资产所仃者应定期时用f的访问RiJIrftfi?所有雇员、承包方人员和弟三方人员对信恩和信息处咫设施的动诃权.足否在任川、合同或办议终止时.班欧,或在变化时词空：用户对信息和应用系统功能的访何.是否依照己痫定的访何控耨策略进行JM刖？访何操作系统是否通过安全登求规程加以控制？口令W理系统是否交互式的并能够陶像忧烧的11令？用于可能超越系统和应用程序控制拓色的实用工具的使用，是否加以限制并严格控制？足

34、舌跟制访问程序却代码？符合A5.23使ME服务的伯息安全供应商办议是否包括信息、通信技术服务和产丛供应集的相关信息安全应收？符合5.29中断期间的信息安全为了解决饥织的业务持缺性所需的信息安全要求,f11恨胆否开发和瞪羚一个用于整个母锲的业务持馍性管理过程？和H?符合A5.33记录保护为了满足法憔、法规、合同和业务妥求，是否防止小安的记录遗失、毁坏和伪造？符合A5.35信息安全独立市会是否制定信息安全独，Z市置相关制度，以确保信息安全市置职能部门不受相关利战方因案1扰？符合A5.36信总安全谊略.现则和标准的遵从性是否定期市我是否符合Sl炽的信息安全筑略、专题弱略.税则和标准？符合A6.7远程

35、工作俎统是否开发和实地有关控制远程工作活动的策略、黑作if划和规程？符合A6.8报告信息安全物件是否建立了对安全网件墩出快速、有效和仃序反应的职责和程序？是fi06力的途径报告倡恩安金M态符合.47.2物理入口为了嘀保只有己帔授权人员才允许访问，安全区域是西通过A1增的入口拄制拾施加以保护？（现场检杳访问记录.并可能舞成用户进入安全区域的符合性.）符合A7.7泉面清理和屏行清理是否采取流空桌面文件,可移动存站介帧的策贴和清空信息处理设施屏喜的或略？（现场检伐用户的清空桌面和解特设国符合A7.8i备安置和保护“在的安M或保护，是否在可减少由环境或胁和地险所造成的各种风除以及未授权访问的机会？（现

36、场检件设在的安配和保护情况.并可使需要系琉测试保护IH瓶是否适当符介A7.9场外资产的安全时干Sl织场所的设符,是否考虑了工作在抗根场所以外的不同风险，而采取安全措施？（可能测附1根场所外的设符安全状况，如移动设冬的加密）符合A7.1Q存储介质是否有幽当的可楮动介烦的管理程序？时于不再S?娈的介质，是否使用正式的程序可修并安全地处？1?当包含倒息的介质在抗织的物理边界以外运送时,是否有防范未授权的访问、不当使用或毁坏的指Mi?符合A7.ll支持性设施对支持性设施的失效而引起的电源故因和其它中断设备是杏能婚免r受到影响？（现场检过井可使需要测试支持性设随的保护揩施）A7.12布线安全是否可以保证

37、住轴教屈或支持信思眼务的电源布潴和通信布海免妥例所或占报坏？（现埼检有供电和通信电微的布线状况）符合A7.13设备堆护为r碉保设备持续的可用性和完整性,对设备站否不以正确的堆护？符合A7.M设任的安全作暧或再用用为了蛹保在处置之前,任何故密信息和注玻软件已片笠BH除或安全加写国就.是否对包含站存介质的设备的所盯项H迸行板贞？（现场依皆并可使罚状设品处置或，H川情况）符合A8.1用户终端设缶无论什么类型的用户.在对其分配或横箱所有系蚯和服务的权圾时.是否有一个正式的用户访问开通海印？符合AB.2特殊访同权是否1制和控剂特殊权限的分配及使用？符合A&3佰兄访问豹束用户对信息和应用靠统功能的访问,是

38、否依照己端定的动向控制狗略选行仪制？符合A8.4获取源代码是否限制访旬程序源代码？符合A8.5安全身份认证动何操作系崎是否通过安全比录耗得加以控M?N/AA8.6容管理为r保所需要的系统性能.是否对资源的使用进行监视和调整.并对未来的容最需求做出规划？（可能需要测试系统性能和贡源容t）符合A8.7助粒愚春软件是否有对悠息代码的控制协族（包括步念代印的依测、籁物和佐女）?是否行适当的搬高用户安全意识的或并？符合A8.8技术漏洞的管理足否及时了解和狭知行关现有信息乐统的技术Ift弱性信息？对信忠系统的技木魔现性是否进行评价.并采取处理相关的W4的适当括施？符合A8.9配Jg管理1.是否综合地计磔变

39、更和配比代理;2.是否定义了配比管理。财务饯理流程的接I1；3,是否明确定义口出些项H应被作为配况项进行记求和管理？.是有明确定义C毋个配比项应该记求什么信息：5 .每个配双项谡记录的信息中足杏包括了Ia,配A项关系.b.遇行有效竹理所需的相关攵档6 .配置评理是否提供相应机IM财所有可标识的服务和些砒谀用组件的版本进行:识别、控制、HI踪?符合AB.10信总尉除所有的施员、承包方人员和豌1.：方人员在拄止任用、合同或协议时，是否归起他们使用的所行Jn双资产？符合A8.11政据迪就是否在网洛上对信息服务，用户和信息东林进行速塞控制？符合A8.12助止敛据泡茶在将个系统开发生命战期的系境开发和集

40、成工作中.是否让立了适当的安全开发环境？符合A8.13信忠备份是否按热已设的备份策略,定期备份和测试信息和软件？（推荐测试伯息备份利佐豆过程,1会试一次恢女换作）符合A8.H估息处理设备的冗余信总处理设施是否有足然的兀余.以现供可用性的要求？符合A8.150是否对用户活动、异常情；兄、故Wi和信息安全事仓的审计日志进忏记录？并定期对事件E也进行评审？符合A8.16活动歌测是否对用户活动、异常情况、故依和信,01安全事态的审计日志进行记录？并定期对事件H忠进行评审？符合A8.17时钟同步组投成安全域内的所有相关信息处理设放的时钟,是否使用已设的箱册时网淞进行同步？符合A8.18特权实用程序的使用

41、环于可能超越后统和应川科印控刖折施的实川工R的使用.是杏加以我啊井严格拉物？符合A8.19在操作系统上安奘软件在运行系统上安袋软件方面,是否有程序或拉制措旗？符合A8.20网络安全为r防止成补的发生.堆护使用网络的系统和应用程序的安至?符合A8.21网络版务的安全性是否有M济服务协议,网络服务协仪是否包括安全特性、以方数别以及所有M络眼分的管理要求？符合A8.22网络隔离是否在网络上对信息收务、用户和信息东城进行隔府按M?符合A8.23网站过戏是否在网络上对信电限务、用户和信丛第埼进行隔府控M?符合A8.24密向学的使用是否开发和实施使用港研捽制措被保护伍恩的策珞？是否有青仍管理以支持a织使用

42、空码技术？符合A8.25安全开发生金冏期是否有建立软件或系统的开发次则？符合A&26应M程序安至要求在开发或栗明应用程序时.应识别、评述和审批倡黑安仝要求对价息系统的变更捽制方Ifii,是否仃正式的变更挣刖规程？符合A&27安仝系统架构和工SisaI：和安全系统原则是否被建立？并应用到任何信恩廉统开发工作中？符合A8.28安全海积软件开发中应透应用安全箱码成财N/AA8.29开发和总收中的安全性JS试足否进行安全功能君试？符合A8.30外包开发是否管理和监视外包软件的开发？NA8.3开发、居试和生产环境的分隔为了收少未授权W何（或更改）运行条统的风I0.开发设施.君ii殳放和运行测试是否狼此分

43、离开？程和标准？符合信息安全管理体系内审检查表调生JAISNS4)6/5爻审核部门生产物控部申被员XXX申林日期20XX.4.1审核法则180/1氏27。01:2022.体系文件、适用法律法娓中根东款检杳内容检在结果5.3组织ff角色.职浙卬权限公司内各职位职贵是否明确?权限分源,沟通和理解必否适宜?&职资何关系是否明确？是否句欲布令和按钮令？符合6.2信息安全目标和实现就划运甘支持部信1安全目标是否ID包括“:且安全的目标框架、值息安全工作的总方向和原则：2）等也财务要求法律法观的要求和合同要求I3）与殂投开发与维护I海的被略性风险管理.站台一起或保持一致：1）建立风嗓评价准则I5）获得管理

44、者批於.在对这个要求的符合性审核时,要跑保组期的ISMS力景病足上述5个要求.还要注意到IS5力计与伯划安全方针的关廉.符合9,1送行10和控制公司有哪些运行控刎？有无明确运行准则？对变更的控制？异常情况的评审？产品设计开发的粕出的有关信息中是否包括生产周用柯的段的信息安全要求？米购过程的拉别？对外邮供方的控制的类型与程履？运愉、交付、0!I1.收冷处置等？符合A5.9帝总和儿他相关资产的清单是否见别为息以及与怡息和怡息处理过能用关的其他资产，井琉冽和推护这些昧产的清单？符合A5.10信息利其他相关货产的可疲受的使用与信息处理设施有关的信丛和资产的可接受使用规则.是否ft定形成了文件并加以实施？符介A5.1）资产返还所有的解员、承包方人员和第三方人员在终止任用、合网或出议时.足否（Elifc他们伎用的所有绢财资产？符介