最新版ISO20000-1：2018 信息技术服务服务 内审检查表.xls

技术部 综合管理部 管理层 正文 序号 ISO/IEC27001信息安全管理体系要求 核查结果 备注 核 查 问 题 条款号 符合性 检查结果 核 查 说 明 4 信息安全管理体系 有无在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系？ 是否有文件明确描述ISMS范围和边界？ 4.2.1a) 删减的项目是否明确说明？并说明细节和理由？ 是否定义了ISMS方针？ 4.2.1b) ISMS方针是否为其目标建立一个框架并为信息安全活动建立整体的方向和原则？ ISMS方针是否考虑业务及法律或法规的要求，及合同的安全义务？ ISMS方针是否与建立和维持ISMS的组织战略和风险管理相一致？ 能否根据ISMS方针建立风险评价的准则？ ISMS方针是否获得管理者批准？ 是否定义了组织风险评估方法？ 4.2.1c) 是否建立了接受风险的准则并识别风险的可接受等级？ 选择的风险评估方法是否确保风险评估能产生可比较的和可重复的结果？ 是否识别了ISMS控制范围内的资产以及这些资产的所有者？ 4.2.1d) 是否识别了对这些资产的威胁；？ 是否识别了可能被威胁利用的脆弱性？ 是否识别了保密性、完整性和可用性损失可能对资产造成的影响？ 是否分析并评价了风险？ 4.2.1e) 是否评估安全失效可能导致的组织业务影响，考虑因资产保密性、完整性、可用性的损失而导致的后果? 是否根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制，评估安全失效发生的现实可能性? 是否评价了风险的等级？ 是否根据已建立的准则，判断风险是否可接受或需要处理？ 是否识别并评价风险处理的选择的程序？ 4.2.1f) 风险处理是否考虑： a) 采用适当的控制？ b) 如果能证明风险满足方针和风险接受准则，有意的、客观的接受风险？ c) 采取措施避免风险？ d) 将有关的业务风险转移到其他方，例如保险公司、供方。 是否有选择并实施控制目标和控制措施的程序，是否实施该程序以满足风险评估和风险处理过程所识别的要求？ 4.2.1g) 选择时，是否考虑接受风险的准则以及法律法规和合同要求？ 是否获得管理者对建议的剩余风险的批准？ 4.2.1h) 是否获得管理者对实施和运行ISMS的授权？ 4.2.1i) 是否有适用性声明？ 4.2.1j) 适用性声明是否描述所选择的控制目标和控制措施，以及选择的原因？ 适用性声明是否描述当前实施的控制目标和控制措施？ 适用性声明是否有对附录A中控制目标和控制措施的删减，以及删减的理由？ 是否制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权？ 4.2.2a) 是否为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色和职责的分配？ 4.2.2b) 是否实施了所选的控制，以满足控制目标？ 4.2.2c) 是否确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果？ 4.2.2d) 是否实施培训和意识计划？ 4.2.2e) 是否有管理ISMS实施的运作程序？ 4.2.2f) 是否实施ISMS的资源管理？ 4.2.2g) 是否实施能够快速检测安全事情、响是否安全事件的程序和其它控制？ 4.2.2h) 是否执行监视程序和其他控制以： 4.2.3a) 1）快速检测处理结果中的错误； 2）快速识别失败的和成功的安全破坏和事件； 3）能使管理者确认人工或自动执行的安全活动达到预期的结果； 4) 帮助检测安全事情，并利用指标预防安全事件； 5）确定解决安全破坏所采取的措施是否有效。 是否定期评审ISMS的有效性（包括安全方针和目标的符合性，对安全控制措施的评审），考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈？ 4.2.3b) 是否测量控制措施的有效性，以证实安全要求已得到满足？ 4.2.3c) 是否按照计划的时间间隔，评审风险评估，评审剩余风险以及可接受风险的等级，考虑到下列变化： 4.2.3d) 1) 组织； 2) 技术； 3) 业务目标和过程； 4) 已识别的威胁； 5) 实施控制的有效性； 6) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 是否按照计划的时间间隔进行内部审核？ 4.2.3e) 是否定期对进行管理评审，以确保范围的充分性，并识别ISMS过程的改进？ 4.2.3f) 是否考虑监视和评审活动的发现，更新安全计划？ 4.2.3g) 是否记录可能对ISMS有效性或业绩有影响的活动和事情？ 4.2.3h) 是否定期实施已识别的ISMS改进措施？ 4.2.4a) 是否定期采取适当的纠正和预防措施。吸取从其他组织的安全经验以及组织自身安全实践中得到的教训？ 4.2.4b)