信息安全内审checklist

巾查内容审查要点检查时间审核结果发现就是否开展了信息安全得检查活动？有安全检查记录或海报告，与改善记录

1.就是否制定了资产清单.包含了所有得客户信息资产.包括服务器•个人电脑•网络设备•支持设备.人员•数据？

1、确认资产清正确确认更新记录*

3、客八御资产得保护

2.对这些资产清就是否有定期得更新？（要点确认资产得所有人与保管人被清楚每标识，并且上面得资产清来上就是否标识了所有人与保管人？与实际情况相符）确认对于机密信息（电沪文档•打印文档），限定范1科御信息（电子文档，打印文档）就是否有•明确标识就是否按客户文档得密级规则进行了适得保护•根据需耍，确认•限定范1祁，•附带标识•，-制定日期‘，‘制定者S就是否使所有员工与信息安全相关人员签署了保密协议/合同？就是否有信息安全总识.教自•与培训il划？确认培训讣划♦就是否执行了信息安全总识.教育与培训？培训记录（实施日期，培训内容/教材.参加人员）就是否制定了信息安全惩戒规程？就是否执行了信息安全惩戒？邮件用户就是否清除了？抽查就是否有离职人员得川户权限没有被清除门禁权限就是否清除r内部0A权限就是否清除了？抽查就是否有离职人员得川户权限没有被清除SVN/CC/VSS权限就是否清除r部门服务器得权限就是否清除〃（要点:实地检杳就是否有离职员工/转出员工御访问权限没有被清除）就是否制订规则划分了安全区域？确认风险评估时就是否划分r安全区域等级就是否执行了安全区域划分规则？对不同等级御区域就是否有相应措施.描施就是否被执行巾查内容审查要点检查时间审核结果发现Is在公司内部•员工就是否佩带可以识别身份得门卜就是否制订安全区域出入规则？2＞、机房，实验室就是否有出入管制规则安装r防盗设施（机房大门得上锁，ID卡斜识别装置进就是否执行了安全区域出入规则（前台接待•机房，实验室访间控入，离开得管理），实验室进出就是否有管理记录制）？就是否定期执行门/窗等入口安全检直？检查记录就是否定义了公共访问/交接区域？确认定义文件就是否监控了公共访问与交接区域？实地住瞧就是否有监控措施Is垂要斜服务器放在安全得区域（如机房）服务器就是否得到r妥#得安a与防护？

2、就是否有CPS

3、温度与湿度合适

1、笔记木安装PoinSec.配有物理锁个人电脑就是否御到了安S与防护？

2、所有电脑使用密码屏幕保护弘、不用得笔记木就是否放入带锁御柜中就是否制订服务器维护讣划？确认讣划内容确认就是否掌握远距离访问用户及Secure D得信息.S eC ure!D就是否被管理确认修理及报废时得HDD得对应方法-设备处S就是否经过了申请？（设备维修•销毁等）设备处S就是否经过了管理审批记录服务器，网络与应用系统御变更就是否经过了管理？变更申请记录就是否进行了防病IB软件斜部署确认部门系统与个人PC御手都已经部署并且状态正常就是否有及时得防椅毒软件得升级巾查内容审查要点检查时间审核结果发现对防椅毒软件得就是否进行了检查？（执行一次检杳）备份策略制订就是否有备份策略得制订？备份实施就是否有备份得实施？部门中斜重要系统•确认定期备备份验证就是否有备份得验证份斜流程及记录备份保护就是否有备份保护就是否实施了网络控制就是否有网络访问方面得隔制

1、莎eb访问服务得安全就是否对网络服务得安全进行了控制

2、Mail服务得安全Is就是否有管理清怕

2、记录重要信息斜外部存贮介质（例就是否有移动介质清敢得管理如外置硕盘,CD,DVD,U盘-PCMCIA移动存储卡.存储备份资料用斜备份设备等），就是否被保管在带锁得文件柜中？

1、报废得巾请与审批记录确认文木文件得废并方法

2、确认就是否将含有重要信息得文木文件就此扔在垃圾箱中或扔在可回收资源御箱子中就是否有移动介质报废管理

3、确认就是否将垃圾箱与可回收资源御箱子放在安全得场所弘、打印机上就是否留有文件没有被取走

1、检查其访问权限设定系统文件就是否御到了保护

2、就是否有备份确认项目或其她坡屈存息就是否在发送前经过授权者确认就是否有信息交换策略制订•就是否经过信息所有人（如PM）得授权？与交换涉及方签订NDA与信息交换方就是否签订了协议巾查内容审查要点检查时间审核结果发现物理介质传输就是否斜到了保护

1、检查包装合理搬运方法合理性确认就是否有电子邮件使川规则，与实施悟况如发送垂要就是否按照公司规程实施了电子信息交换文件时就是否右文件加密等

1、互联网使用得检查.就是否按照公司规程实施业务信息互联

2、户FX/XC之间得互联就是否有访问控制・权限分配规则如果有文件共亭请确认1扒确认就是否设a了全员都可以访问得权限鼻

2、确认对于长时间不便川得人员就是否就是否有访问控制方针制订暂停其帐号确认共亨文件得访问权限范困

3、所有对PC得访问都有密码保护就是否对访问控制方针进行r评审就是否有定期得Review

1、确认用户账号就是否有中诸书•确认用户ID及主要访就是否有用户注册得管理问御清要求删除御用户或访问权限就是否及时修改确认处理申请御记录如果访问控制清等就是以纸张形式打印出来得.确认就是否保管在上锁得地方就是否有特权管理得管理电子文档就是否保管在只有管理者才能打开斜场所就是否有口令得管理有没有将口令写在便条上.或者告知垃人就是否定期对权限进行了审核定期审核记录巾查内容审查要点检查时间审核结果发现管理人员得密码设定就是否制定了口令策略就是否有员工号等容易推断得密码.1个帐号就是否有多个用户密码就是否记录在便条上密码为6位英文数字以上.就是否执行了口令策略

1、就是否有隔离区就是否实施了网络隔离（不同功能与密级网络得隔离.物理或逻辑）？

2、从隔离区外就是否可以访问区内网络资源接入网络前就是否经过IM或者I SM得安全检查就是否对网络连接实施r控制就是否实施了网络路由控制就是否制订了信息访问限制策略访问策略定义文件就是否执行了信息访问限制策略对照文件实地观察实施情况就是否对访问策略进行r审核审核记录就是否定义了放感系统敏感系统列表就是否对敏感系统进行门耳络隔离实地查瞧就是否对墩感系统进行f物理隔离实地仓瞧就是否有客户软件得lisence管理确认合法内容缺少客户lisence管理DonePar tiai DoneNot Done。