《信息安全内审checklist.docx》由会员分享,可在线阅读,更多相关《信息安全内审checklist.docx(14页珍藏版)》请在优知文库上搜索。
1、审查内容审查要点检查时间审核结果是否开展信息平安的检查活动?有平安检查记录或者报告,和改善记录1,是否制定了资产清单,包含了全部的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?2,对这些资产清单是否有定期的更新?1 .确认资产清单正确2 .确认更新记录3 .客户的资产的爱护上面的资产清单上是否标识r全部人和保管人?(要点:确认资产的全部人和保管人被清晰的标识,并且和实际状况相符)是否按客户文档的密级规则进行了适当的爱护确认对于机密信息(电子文档,打印文档),限定他围的信息(电干文档,打审查内容审查要点检查时间审核结果印文档)是否有明确标识。依据须要,确认限定他围,附带标识
2、,制定日期,制定者。是否使全部员工和信息平安相关人员签署了保密协议/合同?是否7T信息平安意识、教化和培训安排?确认培训安排是否执行了信息平安意识、教化和培训?培训记录(实施日期,培训内容/教材,参与人员)是否制定了信息平安惩戒规程?是否执行了信息平安惩戒?邮件用户是否消除r?抽杳是否有离职人员的用户权限没审查内容审查要点检查时间审核结果有被清除门禁权限是否清除了?内部OA权限是否清除了?抽查是否有离职人员的用户权限没布被清除SVN/CC/VSS权限是否消除了?部门服务器的权限是否清除了?(要点:实地检杳是否才离职员工/转出员工的访问权限没有被清除)是否制订规则划分r平安区域?确认风险评估时是
3、否划分了平安区城等卷是否执行了平安区域划分规则?对不同等级的区域是否有相应措施,措施是否被执行是否制订平安区域出入规则?1.在公司内部,员工是否佩带可以审查内容审查要点检查时间审核结果识别身份的门卡。2.机房,试脸室是否有出入管制规则是否执行r平安区域出入规则(前台接待,机房,试验室访问限制)?安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),试验室进出是否有管理汜录是否定期执行门/窗等入口平安检查?检查记录是否定义了公共访问/交接区域?确认定义文件是否监控了公共访问和交接区域?实地查看是否有监控措施服务器是否得到了妥当的安置和防护?1.重要的服务器放在平安的区域(如机房)
4、审查内容审查要点检查时间审核结果2.是否有UPS3.温度和湿度合适个人电脑是否得到了安置和防护?1 .笔记本安装POinScC,配才T物理锁2 .全部电脑运用密码屏幕爱护3 .不用的笔记本是否放入带锁的柜中。是否制订服务器维护安排?确认安排内容SecureID是否被管理确认是否驾驭远距离访问用户与SecureID的信息。设备处置是否经过了申请?(设备修理,确认修理与报废时的HDD的对应审查内容审查要点检查时间审核结果销毁等)方法。设备处置是否经过了管理审批记录服务器,网络和应用系统的变更是否经过了管理?变更申请记录是否进行了防病毒软件的部署确认部门系统和个人pc的手都已经部署并且状态正常。是否
5、有与时的防病毒软件的升级对防病毒软件的是否进行r检杳?(执行一次检查)备份策略制订是否有备份策略的制订?部门中的重要系统,确认定期备份备份实施是否有备份的实施?审查内容审查要点检查时间审核结果备份验证是否有备份的验证的流程与记录。备份爱护是否有备份爱护是否实施了网络限制是否有网络访问方面的限制是否对网络服务的平安进行了限制1.Web访问服务的平安2.Mai1.服务的平安是否有移动介质清单的管理1 .是否有管理清单2 .记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?审查内容审查要点检查时间审核结果
6、是否有移动介质报废管理1 .报废的申请和审批记录2 .确认文本文件的废弃方法。3 .确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。4 .确认是否将垃圾箱和可回收资源的箱子放在平安的场所。5 .打印机上是否留守文件没有被取走系统文件是否得到了爱护1 .检查其访问权限设定。2 .是否有备份审查内容审查要点检查时间审核结果是否行信息交换策略制订确认项目或其他敏感信息是否在发送前经过授权者确认,是否经过信息全部人(如PM)的授权?和信息交换方是否箱订了协议和交换涉与方签订NDA物理介质传输是否得到了爱护1 .检查包装合理性2 .搬运方法合理性是否依据公司规程实施了电子信息交
7、换确认是否有电子邮件运用规则,和实施状况(如发送重要文件时是否有文件加密等)是否依据公司规程实施业务信息互联1 .互联网运用的检查。2 .户(FX/X。之间的互联是否有审查内容审查要点检查时间审核结果访问限制,权限安排规则是否有访问限制方针制订假如有文件共享请确认:1 .确认是否设置r全员都可以访问的权限。2 .确认对于长时间不运用的人员是否暂停其帐号。3,确认共享文件的访问权限范围。3 .全部对PC的访问都有密码爱护是否对访问限制方针进行了评审是否有定期的Review是否有用户注册的管理1.确认用户账号是否有申请书。确认用户ID与主要访问的清单,耍审查内容审查要点检查时间审核结果求删除的用户
8、或访问权限是否与时修改。确认处理申请的记录。是否有特权管理的管理假如访问限制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。电子文档是否保管在只有管理者才能打开的场所。是否有口令的管理有没有将口令写在便条上,或者告知他人是否定期对权限进行了审核定期审核记录审查内容审查要点检查时间审核结果是否制定了口令策略管理人员的密码设定。是否有员工号等简单推断的密码。1个帐号是否有多个用户。密码是否记录在便条上。密码为6位英文数字以上。是否执行了口令策略是否实施r网络隔岗(不同功能和密级网络的隔离,物理或逻辑)?1 .是否有隔离区2 .从隔离区外是否可以访问区内网络资源是否对网络连接实施了限制接入网络前是否经过IM或者ISM的平安检查审查内容审查要点检查时间审核结果是否实施了网络路由限制是否制订了信息访问限制策略访问策略定义文件是否执行了信息访问限制策略比照文件实地视察实施状况是否对访问策略进行了审核审核记录是否定义了敏感系统敏感系统列表是否对檄感系统进行了网络隔离实地查看是否对敏感系统进行r物理隔离实地查看是否方客户软件的Iisence管理确认合法内容缺少客户Iisence管理DonePartia1.Done审查内容审查要点检查时间审核结果NotDone
免费区 