信息安全内部审核检查表.docxVIP

上海联众网络信息有限公司 ISO27001:2005信息安全目标与控制检查表 编制： 审核： 批准： 二〇一三年三月十二日 A.5安全方针 标准条款号标 题目标 /控制控制 理 由控 制 要 求审核发现 A.5.1 信息安全方针 目标 依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。 A.5.1.1 信息安全方针文件 控制 根据Info-Riskmanager风险评估的结果。 总经理是否确保制定与公司目标一致的清晰的信息安全方针，并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述，《信息安全管理手册》由总经理批准发布？ 管理手册中有信息安全方针A.5.1.2信息安全方针评审控制 根据Info-Riskmanager风险评估的结果。每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价，必要时进行修订？ 管理评审报告 A.6信息安全组织 标准条款号标 题目标 /控制控 制 理 由控 制 要 求审核发现 A.6.1信息安全组织目标管理组织内部信息安全。 A.6.1.1信息安全管理承诺控制根据Info-Riskmanager风险评估的结果。总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS，并通过一系列的活动，提供证实。该承诺《信息安全管理手册》中进行相是否描述？ A.6.1.2信息安全的协作控制根据Info-Riskmanager风险评估的结果。 公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议，协调信息安全管理工作，对体系运行中存在的问题进行解决。会议由人事行政部负责组织安排并做好会议记录？ A.6.1.3 信息安全职责分配 控制 根据Info-Riskmanager风险评估的结果。 公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表，全面负责信息安全管理体系的建立、实施与保持工作？ 对每一项重要资产指定信息安全责任人。 A.6.1.4 信息处理设备的授权过程 控制 根据Info-Riskmanager风险评估的结果。 软件部是否根据使用部门需求提出新的信息处理设施（包括软件）的配置要求，并组织验收与实施，确保与原有系统的兼容？ A.6.1.5 保密协议 控制 根据Info-Riskmanager风险评估的结果。 本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。员工聘用期满离开公司之前，是否提醒其对保密所作的承诺？ A.6.1.6 与权威机构的联系 控制 根据Info-Riskmanager风险评估的结果。 人事行政部是否制定规定，详细说明由谁何时与权威机构联系，以及怎样识别是否该及时报告的可能会违背法律的信息安全事件？ A.6.1.7 与专业小组的联系 控制 根据Info-Riskmanager风险评估的结果。 软件部是否就计算机信息及通信网络安全问题与服务提供部门保持联系，以确保和在出现安全事故时尽快采取适当的行动和取得建议？ A.6.1.8 信息安全的独立评审 控制 根据Info-Riskmanager风险评估的结果。 人事行政部是否负责组织、策划内部审核，根据策划的时间间隔，或者当安全设施发生重大变化时，对组织管理信息安全的方法及其实施情况进行独立评审？ A.6.2 外部相关方 目标 识别外部相关方访问的风险，明确对外部相关方访问控制的要求，并控制外部相关方带来的风险，保持被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全。