信息安全內審checklist_第1頁
信息安全內審checklist_第2頁
信息安全內審checklist_第3頁
信息安全內審checklist_第4頁
免費預覽已結束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、審查內容審查要點檢查時間審核結果發現是否開展了信息安全的檢查活動?有安全檢查記錄或者報告,和改善記錄1,是否制定了資產清單,包含了所有的客戶信息資產,包括服務器,個人電腦,網絡設備,支持設備,人員,數據?2,對這些資產清單是否有定期的更新?1 .確認資產清單正確2 .確認更新記錄3 .客戶的資產的保護上面的資產清單上是否標識了所有人和保管人?(要點:確認資產的所有人和保管人被清楚的標識,并且和實際情況相符)是否按客戶文檔的密級規則進行了適當的保護確認對于機密信息(電子文檔,打印文檔,限定范圍的信息(電子文檔,打印文檔)是否有明確標識。根據需要,確認限定范圍,附帶標識,制定日期,制定者。是否使所

2、有員工和信息安全相關人員簽署了保密協議/合同?是否有信息安全意識、教育和培訓計劃?確認培訓計劃是否執行了信息安全意識、教育和培訓?培訓記錄(實施日期,培訓內容/教材,參加人員)是否制定了信息安全懲戒規程?是否執行了信息安全懲戒?郵件用戶是否清除了?抽查是否有離職人員的用戶權限沒有被清除門禁權限是否清除了?內部OA權限是否清除了?抽查是否有離職人員的用戶權限沒有被清除SVN/CC/VSS權限是否清除了?部門服務器的權限是否清除了?(要點:實地檢查是否有離職員工/轉出員工的訪問權限沒有被清除)是否制訂規則劃分了安全區域?確認風險評估時是否劃分了安全區域等級是否執行了安全區域劃分規則?對不同等級的區

3、域是否有相應措施,措施是否被執行審查內容審查要點檢查時間審核結果發現是否制訂安全區域出入規則?1 .在公司內部,員工是否佩帶可以識別身份的門卡。2 .機房,實驗室是否有出入管制規則是否執行了安全區域出入規則(前臺接待,機房,實驗室訪問控制)?安裝了防盜設施。(機房大門的上鎖,ID卡的識別裝置進入,離開的管理),實驗室進出是否有管理記錄是否定期執行門/窗等人口安全檢查?檢查記錄是否定義了公共訪問/交接區域?確認定義文件是否監控了公共訪問和交接區域?實地查看是否有監控措施服務器是否得到了妥善的安置和防護?1 .重要的服務器放在安全的區域(如機房)2 .是否有UPS3 .溫度和濕度合適個人電腦是否得

4、到了安置和防護?1 .筆記本安裝PoinSec,配有物理鎖2 .所有電腦使用密碼屏幕保護3 .不用的筆記本是否放入帶鎖的柜中。是否制訂服務器維護計劃?確認計劃內容SecurelD是否被管理確認是否掌握遠距離訪問用戶及SecurelD的信息。設備處置是否經過了申請?(設備維修,銷毀等)確認修理及報廢時的HDD的對應方法。設備處置是否經過了管理審批記錄服務器,網絡和應用系統的變更是否經過了管理?變更申請記錄是否進行了防病毒軟件的部署確認部門系統和個人PC的手都已經部署并且狀態正常。是否有及時的防病毒軟件的升級對防病毒軟件的是否進行了檢查?(執行一次檢查)審查內容審查要點檢查時間審核結果一_發現備份

5、策略制訂是否有備份策略的制訂?部門中的重要系統,確認定期備份的流程及記錄。備份實施是否有備份的實施?備份驗證是否有備份的驗證備份保護是否有備份保護是否實施了網絡控制是否有網絡訪問方面的限制是否對網絡服務的安全進行了控制I.Web訪問服務的安全2.Mail服務的安全是否有移動介質清單的管理1 .是否有管理清單2 .記錄重要信息的外部存貯介質(例如:外置硬盤,CD,DVD,U盤,PCMCI彤動存儲卡,存儲備份資料用的備份設備等),是否被保管在帶鎖的文件柜中?是否有移動介質報廢管理1 .報廢的申請和審批記錄2 .確認文本文件的廢棄方法。3 .確認是否將含有重要信息的文本文件就此扔在垃圾箱中或扔在可回

6、收資源的箱子中。4 .確認是否將垃圾箱和可回收資源的箱子放在安全的場所。5 .打印機上是否留有文件沒有被取走系統文件是否得到了保護1 .檢查其訪問權限設定。2 .是否有備份是否有信息交換策略制訂確認項目或其他敏感信息是否在發送前經過授權者確認,是否經過信息所有人(如PM的授權?和信息交換方是否簽訂了協議和交換涉及方簽訂NDA物理介質傳輸是否得到了保護1.檢查包裝合理性審查內容審查要點檢查時間審核結果發現2.搬運方法合理性是否按照公司規程實施了電子信息交換確認是否有電子郵件使用規則,和實施情況(如發送重要文件時是否有文件加密等)是否按照公司規程實施業務信息互聯1 .互聯網使用的檢查。2 .戶(F

7、X/XC)之間的互聯是否有訪問控制,權限分配規則是否有訪問控制方針制訂如果有文件共享請確認:1 .確認是否設置了全員都可以訪問的權限。2 .確認對于長時間不使用的人員是否暫停其帳號。3 .確認共享文件的訪問權限范圍。4 .所有對PC的訪問都有密碼保護是否對訪問控制方針進行了評審是否有定期的Review是否有用戶注冊的管理1.確認用戶賬號是否有申請書。確認用戶ID及主要訪問的清單,要求刪除的用戶或訪問權限是否及時修改。確認處理申請的記錄。是否有特權管理的管理如果訪問控制清單等是以紙張形式打印出來的,確認是否保管在上鎖的地方。電子文檔是否保管在只有管理者才能打開的場所。是否有口令的管理有沒有將口令寫在便條上,或者告知他人是否定期對權限進行了審核定期審核記錄審查內容審查要點檢查時間審核結果發現是否制定了口令策略管理人員的密碼設定。是否有員工號等容易推斷的密碼。1個帳號是否有多個用戶。密碼是否記錄在便條上。密碼為6位英文數字以上。是否執行了口令策略是否實施了網絡隔離(不同功能和密級網絡的隔離,物理或邏輯)?1 .是否有隔離區2 .從隔離區外是否可以訪問區內網絡資源是否對網絡連接實施了控制接入網絡前是否經過IM或者ISM的安全檢查是否實施了網絡路由控制是否制訂了信息訪問限制策略訪問策略定義文件是否執行了信息訪問限制策略對照文件實地觀察實施情況

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論