信息安全内审checklist.docx

Last updated on the afternoon of January 3, 2021
信息安全内审checklist
审查内容
审查要点
检查时间
审核结果
发现
是否开展了信息安全的检查活动？
有安全检查记录或者报告，和改善记录
1，是否制定了资产清单，包含了所有的客户信息资产，包括服务器，个人电脑，网络设备，支持设备，人员，数据
2，对这些资产清单是否有定期的更新

上面的资产清单上是否标识了所有人和保管人？
（要点：确认资产的所有人和保管人被清楚的标识，并且和实际情况相符）
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档，打印文档),限定范围的信息(电子文档，打印文档)是否有‘明确标识’。根据需要，确认‘限定范围’，‘附带标识’，‘制定日期’，‘制定者’。
是否使所有员工和信息安全相关人员签署了保密协议/合同？
是否有信息安全意识、教育和培训计划？
确认培训计划
是否执行了信息安全意识、教育和培训？
培训记录（实施日期，培训内容/教材,参加人员）
是否制定了信息安全惩戒规程？
是否执行了信息安全惩戒？
邮件用户是否清除了？
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了？
内部OA权限是否清除了？
抽查是否有离职人员的用户权限没有被清除
SVN/CC/VSS权限是否清除了部门服务器的权限是否清除了
（要点：实地检查是否有离职员工/转出员工的访问权限没有被清除）
是否制订规则划分了安全区域？
确认风险评估时是否划分了安全区域等级
是否执行了安全区域划分规则？
对不同等级的区域是否有相应措施，措施是否被执行
是否制订安全区域出入规则？
，员工是否佩带可以识别身份的门卡。，实验室是否有出入管制规则
是否执行了安全区域出入规则（前台接待，机房，实验室访问控制）
安装了防盗设施。（机房大门的上锁，ID卡的识别装置进入，离开的管理），实验室进出是否有管理记录
是否定期执行门/窗等入口安全检查？
检查记录
是否定义了公共访问/交接区域？
确认定义文件
是否监控了公共访问和交接区域
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护？
（如机房）
个人电脑是否得到了安置和防护？
,。
是否制订服务器维护计划？
确认计划内容
SecureID是否被管理
确认是否掌握远距离访问用户及SecureID的信息。
设备处置是否经过了申请（设备维修，销毁等）
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录