信息安全内审.docx

信息安全内审.docx审查内容
审查要点
检查时间
审核结果
发现
是否开展了信息安全的检查活动
有安全检查记录或者报告，和改善记录
1，是否制定了资产清单，包含了所有的客户信息资产，包括
1.
确认资产清单正确
服务器，个人电脑，网络设备，支持设备，人员，数据
2.
确认更新记录
2，对这些资产清单是否有定期的更新
3.
客户的资产的保护
上面的资产清单上是否标识了所有人和保管人
（要点：确认资产的所有人和保管人被清楚的标识，
并且和实际情况相符）
确认对于机密信息 ( 电子文档，打印文档 ), 限定范围
是否按客户文档的密级规则进行了适当的保护
的信息 ( 电子文档，打印文档 ) 是否有‘明确标识’。
根据需要，确认‘限定范围’，
‘附带标识’， ‘制
定日期’，‘制定者’。
是否使所有员工和信息安全相关人员签署了保密协议
/ 合同
是否有信息安全意识、教育和培训计划
确认培训计划
是否执行了信息安全意识、教育和培训
培训记录（实施日期，培训内容
/ 教材 , 参加人员）
是否制定了信息安全惩戒规程
是否执行了信息安全惩戒
邮件用户是否清除了
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了
内部 OA权限是否清除了
抽查是否有离职人员的用户权限没有被清除
SVN/CC/VSS权限是否清除了部门服务器的权限是否清除了
（要点：实地检查是否有离职员工
/ 转出员工的访问
权限没有被清除）
是否制订规则划分了安全区域
确认风险评估时是否划分了安全区域等级
对不同等级的区域是否有相应措施，措施是否被执
是否执行了安全区域划分规则
行
审查内容 审查要点 检查时间 审核结果 发现
在公司内部，员工是否佩带可以识别身份的门
是否制订安全区域出入规则 卡。
机房，实验室是否有出入管制规则
是否执行了安全区域出入规则（前台接待，机房，实验室访
安装了防盗设施。（机房大门的上锁，
ID 卡的识别
装置进入，离开的管理），实验室进出是否有管理
问控制）
记录
是否定期执行门 / 窗等入口安全检查
检查记录
是否定义了公共访问 / 交接区域
确认定义文件
是否监控了公共访问和交接区域
实地查看是否有监控措施
1.
重要的服务器放在安全的区域（如机房）
服务器是否得到了妥善的安置和防护
2.
是否有 UPS
3.
温度和湿度合适
1.