信息安全内审.docVIP

审查内容 审查要点 检查时间 审核结果 发现 是否开展了信息安全的检查活动 有安全检查记录或者报告，和改善记录 1，是否制定了资产清单，包含了所有的客户信息资产，包括 1. 确认资产清单正确 服务器，个人电脑，网络设备，支持设备，人员，数据 2. 确认更新记录 2，对这些资产清单是否有定期的更新 3. 客户的资产的保护 上面的资产清单上是否标识了所有人和保管人 （要点：确认资产的所有人和保管人被清楚的标识， 并且和实际情况相符） 确认对于机密信息 ( 电子文档，打印文档 ), 限定范围 是否按客户文档的密级规则进行了适当的保护 的信息 ( 电子文档，打印文档 ) 是否有‘明确标识’。 根据需要，确认‘限定范围’， ‘附带标识’， ‘制 定日期’，‘制定者’。 是否使所有员工和信息安全相关人员签署了保密协议 / 合同 是否有信息安全意识、教育和培训计划 确认培训计划 是否执行了信息安全意识、教育和培训 培训记录（实施日期，培训内容 / 教材 , 参加人员） 是否制定了信息安全惩戒规程 是否执行了信息安全惩戒 邮件用户是否清除了 抽查是否有离职人员的用户权限没有被清除 门禁权限是否清除了 内部 OA权限是否清除了 抽查是否有离职人员的用户权限没有被清除 SVN/CC/VSS权限是否清除了部门服务器的权限是否清除了 （要点：实地检查是否有离职员工 / 转出员工的访问 权限没有被清