ISO27001内审检查表-(1)

适用条款体系标准款项44.14.1理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.24.2理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.34.3确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.44.4信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？55.15.1领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.25.2方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。组织环境领导被审核部门：被审核部门代表确认：审核依据：ISO27001:2013审核对象审核方式审核问题审核结果审核时间：内审员：标题5.35.3组织角色、职责和权限1、管理者是否在组织内建立并传达了信息安全管理组织架构，并明确其职责和权限？2、管理者是否在组织内分配了报告信息安全管理体系绩效的职责和权限？3、组织是否定期审查审批事项、及时更新需授权的审批事项、审批部门、审批人等信息？66.16.1.1总则1、组织是否基于内外部环境和相关方要求等外部环境识别需要应对的风险和改进机会？6.1.2信息安全风险评估1、组织是否定义并执行了风险评估过程？2、组织是否定义了风险接受准则？3、组织是否保留了所有风险评估过程文件？6.1.3信息安全风险处置1、组织应定义并执行信息安全风险处置过程？2、组织是否针对风险选择了适当的风险处置措施？3、风险处置措施是否与适用性声明相匹配？4、组织是否制订了风险处置计划？5、风险处置计划、可接受的残余风险是否得到相关负责人的批准？6、组织是否保留了所有风险处置过程文件？6.2信息安全目标和规划实现1、组织是否建立了信息安全目标？2、信息安全目标与管理方针是否存在关联？3、信息安全目标是否可测量？4、组织建立信息安全目标时，是否考虑了信息安全要求、风险评估和风险处置结果？5、信息安全目标是否在组织内被传达？6、信息安全目标是否定期更新？77.1资源1、组织是否为建立、实施、保持和持续改进信息安全管理体系提供了所需的资源？7.2能力1、组织在关键的信息安全岗位说明书中是否明确了信息安全方面的能力要求？2、组织是否定期对信息安全岗位人员进行培训？并对其能力进行考核？7.3意识1、员工是否了解组织的信息安全方针？2、员工是否了解信息安全方针对自身的要求？3、员工是否了解违反信息安全后对自身和组织的影响？规划6.1应对风险和机会的措施支持7.4沟通1、组织是否明确有关信息安全体系在内部和外部沟通的需求？（对象、时间、频率等方面）2、组织对于定期和不定期召开的协调会议，是否会形成会议纪要？7.5文件记录信息7.5.1总则1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件和记录？2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系所必要的文件和记录？3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范围？分支行科技部门制定的安全管理制度是否仅适用于辖内？7.5.2创建和更新1、组织对创新和更新的文件和记录是否进行了标识？2、组织对创新和更新的文件和记录在格式、存储介质方面是否有要求？3、组织对创新和更新的文件和记录是否定期评审和更新？4、组织对门户网站的信息发布是否有审核、监控等管理机制？7.5.3文件记录信息的控制1、组织对自身建立的信息安全管理体系和国际标准所要求的文件记录信息是否予以控制保护？（包括范围、分发、接收、访问、存储、变更、处置等）2、必要的外部原始文件和记录信息，组织是否同样予以控制保护？3、组织是否通过正式、有效的方式发布文件？4、文件发布是否明确发布范围，并进行登记？5、信息安全管理小组是否定期组织相关部门和人员对现行的信息安全管理体系的适用性和合理性进行评审？88.1运行的规划和控制检查内容详见A5-A188.2信息安全风险评估评估内容见6.1.28.3信息安全风险处置评估内容见6.1.399.1监视、测量、分析和评价1、组织是否建立了有效性测量管理程序？2、监视和测量的结果是否予以保留？9.2内部审核1、组织是否建立了内审程序？2、组织是否按照计划的时间间隔进行了内审？遇到特殊情况，是否增加了内审？3、内审的材料是否全部得到保存？（审核方案、审核结果等）运行绩效评价9.3管理评审1、组织是否按照计划的时间间隔进行了管审？2、管审是否考虑了以往管审的措施执行情况、信息安全执行的各方反馈、风险评估结果和风险处置计划的执行状况、持续改进机会等方面？3、组织是否保留了管理评审的所有记录？10改进10.1不符合和纠正措施1、当发现不符合项时，组织是否采取了纠正措施？2、组织是否对不符合项进行了评审，防止再次出现？3、组织对采取的纠正措施有效性是否进行评审？4、必要时，组织是否对信息安全管理体系进行变更？10.2持续改进1、组织是否对信息安全体系的有效性、适宜性、充分性进行持续改进？A.5A.5.1A.5.1.1信息安全方针1、信息安全的方针和策略是否被定义并文件化？（查看手册）2、方针和策略是否由管理者批准？（查看批准文件）3、方针和策略是如何发布并传达给员工和相关外部方的？（查看相关记录）A.5.1.2信息安全方针的评审1、组织的信息安全方针和策略是否定义专人维护？（查看职责定义文件）2、组织的信息安全方针和策略是否按计划的时间间隔或者当组织发生重大变化时进行评审？评审时是否考虑了评审的结果？（查看评审记录）3、对于组织评审后新修订的信息安全方针和策略，是否得到管理者的A.6A.6.1A.6.1.1信息安全的角色和职责1、组织是否具有信息安全角色和职责定义文件？组织是否定义了关键事务岗位，并要求关键事务岗位必须多人共同管理？2、访谈人员，了解是否所有的组织成员都明确自己的信息安全职责?3、信息安全职责的分配是否与信息安全方针文件相一致?4、组织是否定义了信息安全代表？5、每一个资产是否定义了责任人？6、组织是否组建了信息安全领导小组？小组成员是否由机构领导、业务和技术部门负责人组成？是否将协调本机构和辖内信息安全管理工作、决策本机构和辖内重大信息安全事宜等职责分配给信息安全领导小组？7、是否设立科技风险审计岗？是否将信息科技审计制度和流程的实施、制定和执行信息科技审计计划、对信息科技整个生命周期和重大事件进行审计等职能分配到科技风险审计岗？安全方针信息安全管理方向内部组织信息安全组织A.6.1.2与监管机构的联系1、是否具有与监管机构联系的清单？2、清单上是否具备联系人、联系方式、联系缘由等信息？A.6.1.3与特殊利益团体的联系1、是否具有与特殊利益团体联系的清单？（电信公司、专业的安全公司、安全组织等）2、清单上是否具备联系单位、联系人、联系方式、合作内容等信息？A.6.1.4项目管理中的信息安全1、抽样检查本年度已实施完成的项目或正在实施的任意3个项目，检查项目管理过程中，是否依照组织信息安全管理制度相关要求进行安全管理？（查看项目的安全目标、项目进行前的风险评估、项目过程中的信息安全控制记录等）A.6.1.5职责分离1、检查组织的岗位职责表，检查是否明确定义了职责说明？2、检查是否有不兼容岗位设置说明？3、检查系统开发、系统测试、系统运维是否由不同人员担任？授权和实施的人员是否分离？A.6.2A.6.2.1移动设备策略1、组织是否制订了移动介质管理程序？（移动介质包括移动存储介质和移动通讯设备）2、随机抽样移动设备，检查该设备的安全管控措施是否与制度相符？（查看相关记录，如清单、使用登记等）3、当发生移动介质被盗或丢失时，是否建立了一个符合法律、保险和组织其他安全要求的规定？4、如有必要，是否对使用移动设备的人员安排了对应的培训，以提高安全意识？（查询培训记录）5、对于移动通讯设备，组织是否考虑了无线网络弱点和数据备份的风险？（检查移动介质管理程序）A.6.2.2远程办公1、组织是否制订了远程办公管理程序？2、如何保护在远程工作地点被访问、处理或者存储数据的安全？（查看远程工作管理程序）3、对于拨号接入用户是否采用数字证书认证机制？是否对该用户数量进行限制？4、通过互联网对重要系统和网络设备进行链接访问时，是否采用加密技术？A.7A.7.1人力资源安全移动设备和远程办公任用之前A.7.1.1筛选1、组织是否制订了人员招聘管理程序？该程序中是否有人员审查、筛选策略？（审查范围包括身份、背景、专业资格和资质、技术技能等）是否定义了人员验证和核查准则？是否定义了对于承包方人员的核查过程和通报规程？2、随机抽样4名新入职员工的入职材料，检查员工入职前的筛选记录是否与管理文件约定的一致？（查看背景调查、审查专业资格和资质等记录）3、组织对于在筛选时用搜集到的应聘人员的个人资料，如何进行保护？4、对于特定的信息安全角色或特定职位的人员，组织在筛选时是否考虑了其必须的能力？（查看聘用筛查记录）5、组织是否定义了人员招聘的专职部门或人员？A.7.1.2任用的条款及条件1、检查人员招聘管理程序，查看是否定义了雇员和承包方人员应当承担的信息安全职责？2、检查这4名新入职员工的劳动合同中是否含有保密条款？或者另外签署了保密协议？3、抽查承包方人员是否签署了相关安全保密协议？4、如果适用，查看人员聘用管理文件或已签署的安全保密协议中是否定义了相关任用条款和职责要求雇员和承包方在任期结束后需要持续一段时间？5、组织是否对关键岗位的人员进行全面、严格的安全审查和技能考核？6、从事关键岗位的人员，组织是否从内部进行选拔并签署岗位安全协议？A.7.2A.7.2.1管理职责1、随机抽样部分雇员和承包方人员，询问其是否明确自己的安全角色和职责？A.7.2.2信息安全意识，教育和培训1、组织是否编制有员工培训管理程序？2、组织是否编制年度的培训计划？3、组织是否按照不同的岗位制定不同的培训计划？4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训、相关安全技术培训和组织策略及规程的更新培训？5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、培训记录等，查看当年的信息安全意识培训覆盖率是否达到100%？并且在必要时，是否将承包方人员加入到其中？任用中A.7.2.3纪律处理过程1、检查组织是否制定了奖惩管理程序？2、奖惩规则是否按照事件的性质、严重程度、对业务的影响等因素进行分级？（查看奖惩管理程序）3、获取当年奖惩记录，如果没有则获取相关表单模板，查看表单模板内容是否符合文件规定要求？（参看奖惩记录）A.7.3A.7.3.1任用终止或变化的责任1、组织是否定义了离岗和转岗的管理程序？2、员工离岗，各网络、系统管理员是否被要求及时终止其各类权限，并回收其各种证件、钥匙、徽章、机构提供的各类软硬件等？（查看离职交接单等）3、获取当年离职或转岗人员清单；（包括承包方人员）4、随机抽样4份离职或转岗记录，检查所有控制环节是否都被有效实施；5、是否要求离任或转岗的员工、承包方需要维持一段时间仍然有效的