公司内审检查表(咨询规划运营部).docx

《公司内审检查表(咨询规划运营部).docx》由会员分享，可在线阅读，更多相关《公司内审检查表(咨询规划运营部).docx（52页珍藏版）》请在第一文库网上搜索。

1、内审检查表标准条款标题检查内容检查结果8；运行是否识别、分析和评价了风险？是否识另IJ和评价了风险处理选择的措施？是否选择了处理风险的控制目标和控制措施？管理者是否对残余风险进行了确认？是否编制了风险处置计划；是否定义了公司信息安全目标；编制了信息安全风险评估管理程序，内制定了风险评估和接受风险的方法。根据上述程序识别、评估了信息风险，识别的风险主要包括：硬件、软件、数据、资料等；并在2017年进行一次风险评估。形成了风险评估报告,针对风险评估结果，制定了处理风险的措施，选择了处理风险的控制目标和控制措施。对残余风险进行了确认。制定了风险处理计划。对公司和各部门建立了信息安全目标，并进行了考核

2、。受审核人员:审核日期：受审核部门：咨询规划运营部审核人员：A. 6信息安全组织A. 6. 1. 1信息安全职责查部门的信息安全职责的分配手册中的各部门管理职责和权限内规定了各部门的信息安全职责。部门人员清楚自己部门的职责。A. 6. 1.2职责分割是否对各个岗位进行职责分配，形成权力制衡手册中的各部门管理职责和权限内规定了各部门的信息安全职责。并能够做到责任分割。A. 6. 1.5项目管理中的信息安全是否在软件和集成项目中进行了安全风险的识别和控制在软件和集成项目的项目计划中进行了风险识别，在项目周报中进行了安全风险的跟踪。A. 6. 2. 1移动设备策略是否针对移动计算机和通信设施的风险方

3、面，制定了相关控制文档？建立了访问控制程序，对移动设备和通信设施的使用进行了规定A6. 2. 2远程工作公司是否针对远程工作制定了安全规范？远程工作的场所是否有恰当的措施？建立了远程工作申请表，对远程工作进行控制。A.8资产管理标准标题检查内容检查结论A. 8. 1资产责任A. 8. 1. 1资产清单是否对所有信息资产进行识别；是否所有重要资产都进行了登记，建立了资产清单；对公司各类资产进行了登记，同时对全公司信息资产进行了登记，形成了资产清单A. 8. 1.2资产所有权所有信息处理设施的确资产是否资产清单的每个信都明确责任人？息资产都规定了责任人A. 8. 1.3资产的合理使用是否制定相关的

4、信息资产的可接受使用规定，是否形成文件？已编制文件A. 8. 1.4资产的归还查离职人员是否归还了资产体系运行以来未发生人员离职。A. 8.2信息分类A. 8. 2. 1分类指南是否对信息资产进行了分类？己分类A. 8. 2. 2信息的标识和处理信息的标识是否按规定加以实施？对信息资产进行了编号、标识和使用。A. 8. 2. 3资产处理信息资产的处理是否按规定加以实施？对信息资产进行了编号、标识和使用。A. 8.3介质处置A. 8. 3. 1可移动介质的管理是否制定了可移动介质的管理的控制文档？制定了通信和操作管理程序A. 8. 3. 2介质的处置对于不再需要的介质，是否使用正确的方法进行安全

5、的处置？是否保留了敏感信息的处置记录？有介质处置的管理办法和记录表格；查IT管理部借用机房移动设备，有批准单和检查表；对敏感信息的删除进行了验证，没有销毁介质发生。A. 8. 3. 3物理介质传输当包含信息的介质在组织的物理边界以外运送时，是否有防范未授权访问、误用或损坏的措施？暂时没有物理介质的运送。A. 11. 2设备安全A. 11.2. 1设备定位和保护信息设施是否安置在安全区域内？对于处理敏感数据及信息的处理设施，是否在可限制观测的地位？对于需要特殊保护的设施（如服务器）是否进行了隔离？对信息处理设施的运行有负面影响的环境（例如温度和湿度），是否进行控制技术部各人员电脑均在办公室使用。

6、A. 11.2.2支持性设施由于支持性设施的失效而引起的电源故障和其它中断方面，设备是否有所防范？公司对UPS进行管理，不定期进行断电测试工作。维护保养由厂家进行。A. 11.2.3电缆的安全电源和传输数据及信息的通信电缆是否范拦截或损坏？全部电缆均用槽板覆盖或放置在机柜内，机柜布置整齐，不会被破坏。机房到其他部门网线走的暗线，避免被拦截信息。A. 11.2.4设备维护设备维护是否只有授权人员执行？设备维护是否按照说明书和公司规定要求进行正确维护？设备的维护记录是否保存？定期对各服务器进行系统维护，目前未发生委外维护或维修。A. 11.2.5资产的迁移当属于公司信息资产带出组织场所外，是否获得

7、管理者授权或办理必要的手续？目前没有发生。A. 11.2.6场所外设备的安全对于公司场所外的设备，是否考虑了不同风险，而采取防范措施？对现场服务使用的笔记本电脑，公司与员工签订保护协议。A. 11.2. 7设备处置及重复使用的安全对于含有任何敏感信息和许可软件的储存介质，是否进行安全的销毁或安全覆盖后再利用？对含有敏感信息的存储介质，技术部进行处理；对旧的计算机，技术部将原系统全部清除后重新安装系统，配置后交付新岗位人员使用。A. 11.2.8无人值守的用户设备公司是否知道保护无人值守的用户设施的职责和规定要求？机房服务器可远程登录。设置远程工作时间。A. 11.2.9清洁桌面和屏保方针为了防

8、止敏感或关键业务信息受到未授权的访问、丢失或损坏，公司是否制定了清洁桌面和屏保文档？公司要求员工离开座位时，相关信息文档和可移动存储介质留在桌面上，并注销计算机或锁屏？查到技术部门多名员工的电脑桌面按照要求进行管理。A. 12操作安全标准标题检查内容检查结论A. 12.1操作规程和职责A. 12. 1. 1文件化的操作程序是否编制了操作管理的规程和职主贝编制了通信和操作管理程序等文件，对公司的操作过程进行管理。A. 12. 1.2变更管理是否编制了变更控制规程编制了变更管理程序，对公司信息系统的变更进行管理。A. 12. 1. 3容量管理为了确保系统性能，是否对容量需求做出规划？根据公司的实际

9、需要，对系统容量做了规划。A. 12. 2防范恶意软件A. 12. 2. 1控制恶意软件是否编制了相关防范恶意代码的控制程序？是否安装防范软件，并定期修复软件漏洞和防范恶意代码？编制了通信和操作管理程序，对服务器等设备安装了防病毒软件，设置成自动升级和扫描。A. 12. 3备份A. 12. 3. 1信息备份是否制定备份控制文档？重要的信息和软件是否按照备份要求进行定期备份和测试？备份的存储区是否安全，并实际的使用场所保持一定的距离。各服务器设置的自动备份，每天凌晨自动运行备份脚本，对各服务器的数据进行备份。A. 12. 4日志记录和监视A. 12. 4. 1事件日志是否记录了异常事件、用户活动

10、和信息安全事件？相关审核日志是否保持一定的时间？编制通信和操作管理程序。定期检查系统日志。A. 12. 4. 2日志信息的保护记录日志的设施核日志信息是否后防范被篡改和未经授权访问的控制措施？部门经理有日志修改删除权限，其他员工仅未查看权限。A. 12. 4. 3管理员和操作员日志系统管理员和操作员的活动是否记录；并检查日志日志记录了系统管理员等人员的行为A. 12. 4. 4时钟同步所有相关信息处理系统的时钟是否按统一的标准时间进行同步设置？查验机房各服务器，确认时钟同步，使用windows自带的Internet时间服务器同步。A. 12. 6技术脆弱性管理A. 12. 6. 1技术脆弱性管

11、理是否及时了解和获得有关信息系统的技术脆弱性信息？对信息系统的技术脆弱性是否进行评价，并采取处理相关的风险处理措施？定期对系统进行漏洞扫描，并实时更新系统漏洞。A. 12. 6. 2软件安装限制公司是否规定了各个岗位需安装的软件公司定义了各个岗位需用软件，并禁止私自安装或卸载应用软件。A. 13通信安全标准标题检查内容检查结论A. 13. 1网络安全管理A. 13. 1. 1网络控制网络是否充分受控？编制通信和操作管理程信息在公用网络上传输时，是否得到控制？网络是否进行必要的隔离序，对服务器的端口，默认为全部关闭。根据需要开启相关服务。A. 13. 1. 2网络服务安全是否有网络服务（不管是内

12、部或外部）？是否确定网络服务的安全特性或管理要求的网络服务协议？根据开启服务的需要，分配相关的协议。A. 13. 1. 3网络隔离是否在网络上对信息服务、用户和信息系统进行隔离控制？在各个不同逻辑网络域之间，是否通过使用安全边界（如防火墙等），进行隔离和保护？公司主要业务部门均在不同的物理区域。A. 13. 2信息传输A. 13. 2. 1信息交换方针和程序为了保护通过使用各种类型的通信设施进行信息交换，是否制定了信息交换控制文档？内部信息交换均通过电话、会议等方式进行。A. 13. 2. 2交换协议在公司和外部之间进行信息及软件交换时，是否有交换协议？协议中是否涉及敏感业务信息的安全问题？通

13、过邮件系统进行信息交换，使用邮件协议。A. 13. 2. 3电子消息发送当用电子方法发送信息时，是否有适当的信息保护措施？使用公司分配的邮箱。A. 13. 2. 4保密或不泄露协议公司是否定期评审员工的保密协议公司定期评审内审检查表编号：QR-8. 2-03N0： 01受审部门厂长时间年 月 日标准条款审核内容、方法评语及记录是否符合4. 15.55.68. 11、请厂长介绍质量管理体系运行的基本情况？2、厂长的职责是什么？3、询问厂长是否知道管理评审的重要性？4、是否保存了管理评审的记录？5、管理评审的执行人、时间间隔、输入及输出是否符合标准的规定？6、管理评审的改进措施是否得到实施/有效性如何？7、本次管理评审输出的改进措施是否进行了跟踪验证？8、询问厂长是如何考虑实施持续改进的？是如何策划的？审核员：日期:审核组长：日期:内审检查表受审部门供销科时间年 月日