ISOIEC27001信息安全管理体系要求内审检查表.docx

《ISOIEC27001信息安全管理体系要求内审检查表.docx》由会员分享，可在线阅读，更多相关《ISOIEC27001信息安全管理体系要求内审检查表.docx（29页珍藏版）》请在第一文库网上搜索。

1、序号IS0/IEC27001信息安全管理体系要求核查问题条款号符合性审核部门1有无在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系？Y管理者代表2是否有文件明确描述ISMS范围和边界？4.2.Ia)Y信息安全小组3删减的项目是否明确说明？并说明细节和理由？4.2.Ia)Y信息安全小组4是否定义了ISMS方针？4.2.1b)Y信息安全小组5ISMS方针是否为其目标建立一个框架并为信息安全活动建立整体的方向和原则？4.2.1b)Y信息安全小组6ISMS方针是否考虑业务及法律或法规的要求，及合同的安全义务？4.2.1b)Y信息安全小组7ISMS方针是

2、否与建立和维持ISMS的组织战略和风险管理相一致？4.2.1b)Y信息安全小组8能否根据ISMS方针建立风险评价的准则？4.2.1b)Y信息安全小组9ISMS方针是否获得管理者批准？4.2.1b)Y信息安全小组1011是否定义了组织风险评估方法？4.2.1c)Y信息安全小组是否建立了接受风险的准则并识别风险的可接受等级？4.2.1c)Y信息安全小组12选择的风险评估方法是否确保风险评估能产生可比较的和可重复的结果？4.2.1c)Y信息安全小组13是否识别了ISMS控制范围内的资产以及这些资产的所有者？4.2.Id)Y信息安全小组14是否识别了对这些资产的威胁；？4.2.Id)Y信息安全小组15

3、是否识别了可能被威胁利用的脆弱性？4.2.Id)Y信息安全小组16是否识别了保密性、完整性和可用性损失可能对资产造成的影响？4.2.Id)Y信息安全小组17是否分析并评价了风险？4.2.Ie)Y信息安全小组18是否评估安全失效可能导致的组织业务影响，考虑因资产保密性、完整性、可用性的损失而导致的后果？4.2.Ie)Y信息安全小组19是否根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制，评估安全失效发生的现实可能性？4.2.Ie)Y信息安全小组20是否评价了风险的等级？4.2.Ie)Y信息安全小组21是否根据已建立的准则，判断风险是否可接受或需要处理？4.2.Ie)Y信息安全小组22

4、是否识别并评价风险处理的选择的程序？4.2.If)Y信息安全小组23风险处理是否考虑：4.2.If)Y信息安全小组a）采用适当的控制？Y信息安全小组b）如果能证明风险满足方针和风险接受准则，有意的、客观的接受风险？Y信息安全小组C）采取措施避免风险？Y信息安全小组d）将有关的业务风险转移到其他方，例如保险公司、供方。Y信息安全小组24是否有选择并实施控制目标和控制措施的程序，是否实施该程序以满足风险评估和风险处理过程所识别的要求？4.2.1g)Y信息安全小组25选择时，是否考虑接受风险的准则以及法律法规和合同要求？4.2.1g)Y信息安全小组26是否获得管理者对建议的剩余风险的批准？4.2.I

5、h)Y信息安全小组27是否获得管理者对实施和运行ISMS的授权？4.2.Ii)Y信息安全小组28是否有适用性声明？4.2.Ij)Y信息安全小组29适用性声明是否描述所选择的控制目标和控制措施，以及选择的原因？4.2.Ij)Y信息安全小组30适用性声明是否描述当前实施的控制目标和控制措施？4.2.Ij)Y信息安全小组31适用性声明是否有对附录A中控制目标和控制措施的删减，以及删减的理由？4.2.Ij)Y信息安全小组32是否制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权？4.2.2a)Y信息安全小组33是否为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色

6、和职责的分配？4.2.2b)Y信息安全小组34是否实施了所选的控制，以满足控制目标？4.2.2c)Y信息安全小组35是否确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果？4.2.2d)Y信息安全小组36是否实施培训和意识计划？4.2.2e)Y信息安全小组37是否有管理ISMS实施的运作程序？4.2.2f)Y信息安全小组38是否实施ISMS的资源管理？4.2.2g)Y信息安全小组39是否实施能够快速检测安全事情、响是否安全事件的程序和其它控制？4.2.2h)Y信息安全小组40是否执行监视程序和其他控制以：Y信息安全小组1）快速检测处理结

7、果中的错误：2）快速识别失败的和成功的安全破坏和事柞：Y信息安全小组4.2.3a)Y信息安全小组3）能使管理者确认人工或自动执行的安全活动达到预期的结果；Y信息安全小组4）帮助检测安全事情，并利用指标预防安全事件；Y信息安全小组5）确定解决安全破坏所采取的措施是否有效。Y信息安全小组41是否定期评审ISMS的有效性（包括安全方针和目标的符合性，对安全控制措施的评审），考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈？4.2.3b)Y信息安全小组42是否测量控制措施的有效性，以证实安全要求已得到满足？4.2.3c)Y信息安全小组43是否按照计划的时间间隔，评审风险评估，评审剩余风

8、险以及可接受风险的等级，考虑到下列变化：Y信息安全小组1）组织；Y信息安全小组2）技术;Y信息安全小组3）业务目标和过程；Y信息安全小组4）已识别的威胁；Y信息安全小组5）实施控制的有效性；Y信息安全小组6）外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化.4.2.3d)Y信息安全小组44是否按照计划的时间间隔进行内部审核？4.2.3e)Y信息安全小组45是否定期对进行管理评审，以确保范围的充分性，并识别ISMS过程的改进？4.2.3f)Y信息安全小组46是否考虑监视和评审活动的发现，更新安全计划?4.2.3g)Y信息安全小组47是否记录可能对ISMS有效性或业绩有影响的活

9、动和事情？4.2.3h)Y信息安全小组48是否定期实施已识别的ISMS改进措施？4.2.4a)Y信息安全小组49是否定期采取适雪的纠正和预防措施。吸取从其他组织的安全经验以及组织自身安全实践中得到的教训？4.2.4b)Y信息安全小组50是否定期与所有相关方沟通措施和改进。沟通的详细程度是否与环境相适宜，必要时，是否约定如何进行？4.2.4c)Y信息安全小组51是否定期确保改进达到其预期的目标？4.2.4d)Y信息安全小组52文件是否包括管理决策的记录，确保措施可以追溯到管理决策和方针。记录的结果是否是可重现的？4.3.1Y行政中心53能否展示从选择的控制措施回溯到风险评估和风险处置过程结果的关

10、系，最终回溯到ISMS方针和目标？4.3.1Y行政中心54ISMS文件是否包括文件化的安全方针和控制目标？4.3.1a)Y行政中心55ISMS文件是否包括信息安全管理体系的范闹?4.3.1b)Y行政中心56ISMS文件是否包括支持ISMS的程序和控制？4.3.1c)Y行政中心57ISMS文件是否包括风险评估方法的描述？4.3.Id)Y行政中心58ISMS文件是否包括风险评估报告？4.3.Ie)Y行政中心59ISMS文件是否包括风险处理计划？4.3.If)Y行政中心60ISMS文件是否包括组织为确保其信息安全过程有效策划、运作和控制及如何测量控制措施有效性所需的文件化的程序？4.3.1g)Y行政

11、中心O1ISMS文件是否包括本标准所要求的记录？4.3.1h)Y行政中心62ISMS文件是否包括适用性声明？4.3.1i)Y行政中心63ISMS所要求的文件是否被保护并予以控制？4.3.2Y行政中心64是否建立了文件控制程序？4.3.2Y行政中心65文件发布前是否得到批准，以确保文件是充分的？4.3.2a)Y行政中心66必要时是否对文件进行评审、更新并再次批准？4.3.2d)Y行政中心67是否确保文件的更改和现行修订状态得到识别？4.3.2c)Y行政中心68是否确保在使用时，可获得相关文件的最新版本？4.3.2d)Y行政中心69是否确保文件保持清晰、易于识别？4.3.2e)Y行政中心70是否确

12、保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的俏毁？4.3.2f)Y行政中心71确保外来文件得到识别？4.3.2g)Y行政中心72确保文件的分发得到控制？4.3.2h)Y行政中心73防止作废文件的非预期使用？4.3.2i)Y行政中心74若因任何目的需保留作废文件时，是否对其进行适当的标识？4.3.2j)Y行政中心75是否建立并保持记录，以提供信息安全管理体系符合要求并有效运作的证据？4.3.3Y行政中心76记录是否被保护并控制？4.M3Y行政中心77ISMS是否考虑任何相关的法律和法规要求以及合同责任？4.MRY行政中心78记录是否保持清晰、易于识别和检索？4.3.

13、3Y行政中心79记录的标识、储存、保护、检索、保存期限以及处置所需的控制是否被文件化并实施？4.3.3Y行政中心80记录中是否包含4.2中所列出的所有过程的业绩，以及发生的、与ISMS相关的重大安全事件？4.MRY行政中心81管理者是否建立信息安全方针？5.Ia)Y管理者代表82管理者是否确保信息安全目标和计划得以制定？5.1b)Y管理者代表83管理者是否建立信息安全的角色和职责？5.1c)Y管理者代表84管理者是否向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性？5.Id)Y管理者代表85管理者是否提供充分的资源，以建立、实施、运作、监视、评审、保持并改进ISMS?5.Ie)Y管理者代表86管理者是否决定接受风险的准则和风险的可接受等级？5.If)Y管理者代表87管理者是否确保内部ISMS审核得以实施？5.1g)Y管理者代表88管理者是否实施ISMS管理评审？