ISMS内审检查表.xls
《ISMS内审检查表.xls》由会员分享,可在线阅读,更多相关《ISMS内审检查表.xls(26页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、序序号号ISO/IEC27001信信息息安安全全管管理理体体系系要要求求核核查查结结果果核核 查查 问问 题题条条款款号号符符合合性性 检检查查结结果果4 信息安全管理体系1有无在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系?4.12是否有文件明确描述ISMS范围和边界?4.2.1a)3删减的项目是否明确说明?并说明细节和理由?4.2.1a)4是否定义了ISMS方针?4.2.1b)5ISMS方针是否为其目标建立一个框架并为信息安全活动建立整体的方向和原则?4.2.1b)6ISMS方针是否考虑业务及法律或法规的要求,及合同的安全义务?4.2.1
2、b)7ISMS方针是否与建立和维持ISMS的组织战略和风险管理相一致?4.2.1b)8能否根据ISMS方针建立风险评价的准则?4.2.1b)9ISMS方针是否获得管理者批准?4.2.1b)10是否定义了组织风险评估方法?4.2.1c)11是否建立了接受风险的准则并识别风险的可接受等级?4.2.1c)12选择的风险评估方法是否确保风险评估能产生可比较的和可重复的结果?4.2.1c)13是否识别了ISMS控制范围内的资产以及这些资产的所有者?4.2.1d)14是否识别了对这些资产的威胁;?4.2.1d)15是否识别了可能被威胁利用的脆弱性?4.2.1d)16是否识别了保密性、完整性和可用性损失可能
3、对资产造成的影响?4.2.1d)17是否分析并评价了风险?4.2.1e)18是否评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的后果?4.2.1e)19是否根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性?4.2.1e)20是否评价了风险的等级?4.2.1e)21是否根据已建立的准则,判断风险是否可接受或需要处理?4.2.1e)22是否识别并评价风险处理的选择的程序?4.2.1f)23风险处理是否考虑:4.2.1f)a)采用适当的控制?b)如果能证明风险满足方针和风险接受准则,有意的、客观的接受风险?c)采取措施避免风
4、险?d)将有关的业务风险转移到其他方,例如保险公司、供方。24是否有选择并实施控制目标和控制措施的程序,是否实施该程序以满足风险评估和风险处理过程所识别的要求?4.2.1g)25选择时,是否考虑接受风险的准则以及法律法规和合同要求?4.2.1g)26是否获得管理者对建议的剩余风险的批准?4.2.1h)27是否获得管理者对实施和运行ISMS的授权?4.2.1i)28是否有适用性声明?4.2.1j)29适用性声明是否描述所选择的控制目标和控制措施,以及选择的原因?4.2.1j)30适用性声明是否描述当前实施的控制目标和控制措施?4.2.1j)31适用性声明是否有对附录A中控制目标和控制措施的删减,
5、以及删减的理由?4.2.1j)32是否制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权?4.2.2a)33是否为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配?4.2.2b)34是否实施了所选的控制,以满足控制目标?4.2.2c)35是否确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果?4.2.2d)36是否实施培训和意识计划?4.2.2e)37是否有管理ISMS实施的运作程序?4.2.2f)38是否实施ISMS的资源管理?4.2.2g)39是否实施能够快速检测安全事情、响是否安全
6、事件的程序和其它控制?4.2.2h)40是否执行监视程序和其他控制以:4.2.3a)1)快速检测处理结果中的错误;2)快速识别失败的和成功的安全破坏和事件;3)能使管理者确认人工或自动执行的安全活动达到预期的结果;4)帮助检测安全事情,并利用指标预防安全事件;5)确定解决安全破坏所采取的措施是否有效。41是否定期评审ISMS的有效性(包括安全方针和目标的符合性,对安全控制措施的评审),考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈?4.2.3b)42是否测量控制措施的有效性,以证实安全要求已得到满足?4.2.3c)43是否按照计划的时间间隔,评审风险评估,评审剩余风险以及可接
7、受风险的等级,考虑到下列变化:4.2.3d)1)组织;2)技术;3)业务目标和过程;4)已识别的威胁;5)实施控制的有效性;6)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。44是否按照计划的时间间隔进行内部审核?4.2.3e)45是否定期对进行管理评审,以确保范围的充分性,并识别ISMS过程的改进?4.2.3f)46是否考虑监视和评审活动的发现,更新安全计划?4.2.3g)47是否记录可能对ISMS有效性或业绩有影响的活动和事情?4.2.3h)48是否定期实施已识别的ISMS改进措施?4.2.4a)49是否定期采取适当的纠正和预防措施。吸取从其他组织的安全经验以及组织
8、自身安全实践中得到的教训?4.2.4b)50是否定期与所有相关方沟通措施和改进。沟通的详细程度是否与环境相适宜,必要时,是否约定如何进行?4.2.4c)51是否定期确保改进达到其预期的目标?4.2.4d)52文件是否包括管理决策的记录,确保措施可以追溯到管理决策和方针。记录的结果是否是可重现的?4.3.153能否展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最终回溯到ISMS 方针和目标?4.3.154ISMS文件是否包括文件化的安全方针和控制目标?4.3.1a)55ISMS文件是否包括信息安全管理体系的范围?4.3.1b)56ISMS文件是否包括支持ISMS的程序和控制?4.3
9、.1c)57ISMS文件是否包括风险评估方法的描述?4.3.1d)58ISMS文件是否包括风险评估报告?4.3.1e)59ISMS文件是否包括风险处理计划?4.3.1f)60ISMS文件是否包括组织为确保其信息安全过程有效策划、运作和控制及如何测量控制措施有效性所需的文件化的程序?4.3.1g)61ISMS文件是否包括本标准所要求的记录?4.3.1h)62ISMS文件是否包括适用性声明?4.3.1i)63ISMS所要求的文件是否被保护并予以控制?4.3.264是否建立了文件控制程序?4.3.265文件发布前是否得到批准,以确保文件是充分的?4.3.2a)66必要时是否对文件进行评审、更新并再次
10、批准?4.3.2d)67是否确保文件的更改和现行修订状态得到识别?4.3.2c)68是否确保在使用时,可获得相关文件的最新版本?4.3.2d)434.2.3d)69是否确保文件保持清晰、易于识别?4.3.2e)70是否确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁?4.3.2f)71确保外来文件得到识别?4.3.2 g)72确保文件的分发得到控制?4.3.2h)73防止作废文件的非预期使用?4.3.2i)74若因任何目的需保留作废文件时,是否对其进行适当的标识?4.3.2j)75是否建立并保持记录,以提供信息安全管理体系符合要求并有效运作的证据?4.3.376
11、记录是否被保护并控制?4.3.377ISMS是否考虑任何相关的法律和法规要求以及合同责任?4.3.378记录是否保持清晰、易于识别和检索?4.3.379记录的标识、储存、保护、检索、保存期限以及处置所需的控制是否被文件化并实施?4.3.380记录中是否包含4.2中所列出的所有过程的业绩,以及发生的、与ISMS相关的重大安全事件?4.3.35 管理职责81管理者是否建立信息安全方针?5.1a)82管理者是否确保信息安全目标和计划得以制定?5.1b)83管理者是否建立信息安全的角色和职责?5.1c)84管理者是否向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性?5.1d
12、)85管理者是否提供充分的资源,以建立、实施、运作、监视、评审、保持并改进ISMS?5.1e)86管理者是否决定接受风险的准则和风险的可接受等级?5.1f)87管理者是否确保内部ISMS审核得以实施?5.1g)88管理者是否实施ISMS管理评审?5.1h)89组织是否确定并提供所需的资源,以:5.2.1a)建立、实施、运作、监视、评审、保持和改进ISMS;b)确保信息安全程序支持业务要求;c)识别并指出法律法规要求和合同安全责任;d)通过正确是否用所实施的所有控制来保持充分的安全;e)必要时进行评审,并对评审的结果采取适当措施;f)需要时,改进信息安全管理体系的有效性。90是否能够确保被分配I
13、SMS规定职责的所有人员,都必须有能力执行所要求的任务?5.2.291组织是否通过以下措施保证人员能力:5.2.2a)确定从事影响ISMS工作的人员所必要的能力;b)提供培训或采取其他的措施来满足这些需求;c)评价所采取措施的有效性;d)保留教育、培训、技能、经验和资历的记录92是否确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现ISMS目标做出贡献?5.2.26 内部信息安全管理体系审核93组织是否按照策划的时间间隔进行内部审核?694组织是否考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行了策划?695是否规定审核的准则、范围、频次和方法?
14、696审核员的选择和审核的实施是否能确保审核过程的客观性和公正性?审核员是否审核自己的工作?697是否制定了内部审核程序?698内部审核程序是否规定了策划和实施审核以及报告结果和保持记录的职责和要求?699负责受审区域的管理者是否确保及时采取纠正措施?6100改进的活动是否包括对所采取措施的验证和验证结果的报告?67 信息安全管理体系管理评审101管理者是否按计划的时间间隔进行ISMS管理评审?7.1102评审是否包括评价ISMS改进的机会和变更的需要,包括安全方针和安全目标?7.1103评审的结果是否清晰地形成文件?7.1104评审记录是否加以保持?7.1105管理评审的输入是否完整,符合要
15、求。7.2106管理评审的输出是否包括与下列内容相关的任何决定和措施:7.3a)ISMS有效性的改进;b)更新风险评估和风险处理计划;c)必要时,修订影响信息安全的程序和控制措施。8 信息安全管理体系改进107是否通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审,持续改进ISMS的有效性?8.1108是否采取措施,消除不符合的原因,以防止再发生?8.2109是否有纠正措施控制程序?8.2110纠正措施控制程序是否符合要求。8.2915.2.2111是否确定措施,以消除潜在不符合的原因,防止其发生?8.3112所采取的预防措施是否与潜在问题的影响程度是否相
16、适应?8.3113是否有预防措施控制程序?8.3114预防措施控制程序是否符合要求?8.3115是否识别变化的风险,并通过关注变化显著的风险来识别预防措施要求?8.3116预防措施的优先级是否基于风险评估结果来确定?8.3备备注注核核 查查 说说 明明核核查查结结果果4 信息安全管理体系5 管理职责6 内部信息安全管理体系审核7 信息安全管理体系管理评审8 信息安全管理体系改进序序号号ISO/IEC27001信信息息安安全全管管理理体体系系要要求求核核查查结结果果核核 查查 问问 题题条条款款号号符符合合性性 检检查查结结果果1信息安全方针文件是否由管理者批准、发布并传递给所有员工和外部相关方
17、?A.5.1.12信息安全方针是否按照计划的时间间隔或者发生重大变化时进行评审,以确保其持续适宜性、充分性和有效性?A.5.1.23管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安全?A.6.1.14信息安全活动是否由来自组织不同部门并具备相关任务和工作职责的代表进行协调?A.6.1.25所有信息安全职责都是否被清楚的定义?A.6.1.36是否对新的信息处理设施规定并实施管理授权过程?A.6.1.47反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审?A.6.1.58与相关的权威机构的适当联系是否被保持?A.6.1.69与专业的相关团体或其
18、他安全专家论坛或专业协会的适当联系是否被保持?A.6.1.710组织管理信息安全的方法及其实施情况(如控制目标和控制措施、策略、过程和信息安全的程序)是否根据策划的时间间隔,或者是当安全实施发生重大变化时进行了独立评审?A.6.1.811是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险?并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制?A.6.2.112在批准顾客访问组织信息或资产前,是否处理所有已识别的安全要求?A.6.2.213与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议,是否包含或涉及所有已识别的安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS 检查表
限制150内