信息安全管理体系部审核检查表总.docVIP

信息安全管理体系内部审核检查表 被审核部门： 领导层 审核员签字：第二组 序号 附录编号及名称 审核内容和方法 审核记录 合格性判断 1 A.5安全方针 1.1 A.5.1 信息安全方针 A.5.1.1 信息安全方针文件 1.2 A.5.1.2评审和评价 A.6信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全的管理承诺 A.6.1.2 信息安全协调 A.6.1.3 信息安全职责分配 A.6.1.4 信息处理设备的授权过程 A.6.1.5 保密协议 A.6.1.6 与权威机构的联系 A.6.1.7 与专业的利益团体保持联系 A.6.1.8 A.6.2 外部组织 A.6.2.1 关于外部组织风险的识别 A.6.2.2 与顾客接触时强调安全 A.6.2.3 第三方合同中的安全要求 A.7资产分类和控制 A.7.1 资产责任 A.7.1.1 资产清单 A.7.1.2资产所有者关系 A.7.1.3 可接受的资产使用准则 A.7.2 信息分类 A.7.2.1 分类指南 A.7.2.2 信息的标识和处理 A.8人力资源安全 A.8.1 雇用前 A.8.1.1 任务和职责 A.8.1.2 人员考察 A.8.1.3 雇用条款和条件 A.8.2 雇用期间 A.8.2.1 管理职责 A.8.2.2 信息安全意识、教育与培训 A.8.2.3 惩戒 A.8.3 雇佣的终止或变更 A.8.3.1 终止职责 A.8.3.2 资产归还 A.8.3.3 撤销访问权限 A.9物理和环境安全 A.9.1 安全区域 A.9.1.1 A.9.1.2 A.9.1.3 办公室、房间和设施安全保护 A.9.1.4外部和环境的威胁的安全防护 A.9.1.5 在安全区域工作 A.9.1.6 公共访问、交接区 A.9.2 设备安全 A.9.2.1 设备的安置和保护 A.9.2.2 支持性设施（如供电） A.9.2.3 电缆安全 A.9.2.4 设备维护 A.9.2.5 场外的设备的安全 A.9.2.6 设备的安全处置或重复使用 A.9.2.7 资产迁移 A.10通信和操作管理 A.10.1 操作程序和职责 A.10.1.1 文件化操作程序 A.10.1.2 变更管理 A.10.1.3 职责分离 A.10.1.4 开发、测试和运营设施的分离 A.10.2 第三方服务交付管理 A.10.2.1 服务交付 A.10.2.2 监控和评审第三方服务 A.10.2.3 管理第三方服务的变更 A.10.3 系统规划与验收 A.10.3.1 容量管理 A.10.3.2 系统 A.10.4 防范恶意代码和移动代码 A.10.4.1 防范恶意代码 A.10.4.2 防范移动代码 A.10.5 备份 A.10.5.1 信息备份 A.10.6 网络安全管理 A.10.6.1 网络控制 A.10.6.2 网络服务的安全 A.10.7 媒体处置 A.10.7.1 可移动计算媒体的管理 A.10.7.2 媒体的处置 A.10.7.3信息处理程序 A.10.7.4 系统文档安全 A.10.8 信息交换 A.10.8.1 信息交换策略和程序 A.10.8.2 交换协议 A.10.8.3物理媒体传输 A.10.8.4 电子信息 A.10.8.5 业务信息系统 A.10.9 电子商务服务 A.10.9.1 电子商务 A.10.9.2 在线交易 A.10.9.3 公共可用信息 A.10.10 A.11访问控制 A.11.1 访问控制的业务要求 A.11.1.1 访问控制策略 A.11.2 用户访问管理 A.11.2.1 用户注册、 A.11.2.2 特权管理 A.11.2.3 用户口令管理 A.11.2.4 用户访问权的评审 A.11.3 用户责任 A.11.3.1 口令的使用 A.11.3.2 无人值守的用户设备 A.11.3.3 清理桌面及清除屏幕策略 A.11.4 网络访问控制 A.11.4.1 网络服务使用策略 A.11.4.2 外部连接的用户鉴别 A.11.4.3 网络设备的识别 A.11.4.4 远程诊断和配置端口保护 A.11.4.5 网内隔离 A.11.4.6网络连接控制 A.11.4.7 网络路由控制 A.11.5 操作系统访问控制 A.11.5.1 安全登陆程序 A.11.5.2 用户标识和鉴别 A.11.5.3 口令管理系统 A.11.5.4 系统实用程序使用 A.11.5.5 终端时限 A.11.5.6 连接时间的限制 A.11.6 应用系统和信息访问控制 A.11.6.1 信息访问限制 A.11.6