ISO27001-2013及ISO20000-2018最新内部审核全套资料

内审检查表

被审核部门 审核主题 管理层 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1. ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.2 审核成员 谢XXX 陪同人员 审核日期 贺XXX 2019/2/10 核查要素/条款 核查事项 核查记录 为确保与《信息安全&信息技术服务》管理计划的一致性，公司将服务评审定于与每年的《信息安全&信息技术服务》管理体系管理评审同时进行。有《管理评审控制程序》，管理评审计划、管理评审报告等记录 信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。 已计划了在管理评审时评审信息安全方针，以确保其持续适宜性、充分性和有效性。 为了不断提高《信息安全&信息技术服务》管理体系的适用性、有效性和充分性，在实现IT服务管理方针和目标的活动过程中，坚持对IT服务管理体系各个流程的持续改进。为此本公司建立了《纠正预防措施管理程序》，采取纠正和预防措施，分析并消除不不符合项产生的原因，防止不符合的再发生，包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责O 符合项 观察项 不符合项 9.3 ISMS管理评审 √ A5.1.1 A5.1.2 信息安全方针文件 信息安全方针评审 √ √ 10.1 不符合和纠正措施 √ 10.2 持续改进 组织建立了持续改进机制。定期识别需改进的地方。 被审核部门 综合部 审核成员 廖XXX 审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员 张XXX 核查要素/条款 A6.1.5 A.6.2.1 A.6.2.2 A.6.1.3 核查事项 项目管理中的信息安全 移动设备策略 远程工作 信息安全职责的分配 核查记录 所有类型的项目，在项目的策划和执行过程中都考虑了信息安全因素。抽查了一个项目，满足要求 O 符合项 观察项 不符合项 √ 公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。 目前尚无远程工作的情况。 公司在《信息安全管理手册》附录：信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。 公司在《用户访问管理程序》中建立了访问控制策略。本公司内部可公开的信息，允许所有服务用户访问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问》用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制《系统用户访问权限说明书》，明确规定访问规则，对几人共用的账号应明确责任人。 公司在《用户访问管理程序》中建立了网络服务安全策略，以确保网络服务安全与服务质量。 有《用户授权申请表》，符合要求。 访问系统的用户具设置了用户名和口令。 对各系统的系统管理员均进行了授权，有授权申请和批准的记录。 √ √ A.9.1.1 访问控制策略 √ A.9.1.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 使用网络服务的策略 用户注册 用户访问提供 特殊权限管理 √ √ √ √ 用户安全鉴别信息的管理 系统管理员按照《用户访问管理程序》对被授权访问该系统的用户口令进行分配。 用户访问权的复查 √

有用户访问权审查记录，每个月审查一次。 √ 被审核部门 综合部 审核成员 廖XX 审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员 核查 要素/条款 A.9.2.6 A.9.3.1 核查事项 撤销或调整访问权限 安全鉴别信息的使用 信息访问限制 安全登录规程 口令管理系统 特权使用程序的使用 核查记录 《相关方信息安全管理程序》、《用户访问管理程序》规定了解除、变化调整访问权限的内容。当前王昌T离职- 公司在《用户访问管理程序》和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。 《用户访问管理程序》规定本公司内部可公开的信息不作特别限定，允许所有用户访问。本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。 《用户访问管理程序》规定用户不得访问或尝试访问未经授权的网络、系统、文件和服务。 所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改，用户定期变更口令等。 《用户访问管理程序》规定了对实用系统的访问控制，有系统实用工具清单。 符合项 观察项 不符合项 √ √ A.9.4.1 A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 √ √ 对程序源代码的访问控制 《用户访问管理程序》规定不允许任何人以任何方式访问程序源代码。 使用密码控制的策略 密钥管理 文件化的操作规程 变更管理 √ A.10.1.1 使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合《信息安全合规性管理程序》的要求。各电子数据文件的形成部门应识别重要数据的加密要求，对需要加密的信息，制定加密方案，经公司总经理批准后严 √ A.10.1.2 A.12.1.1 A.12.1.2 目前尚未发生使用密钥管理的情况 公司按照信息安全方针的要求，建立并实施文件化的作业程序，见《信息安全管理体系文件一览表》（《信息安全管理手册》附件）文件化的作业程序的控制执行《文件管理程序》。 在变更实施前，由研发部填写《变更申请表》，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢爰措施），研发部负责人批准后予以实施。 √

被审核部门 综合部 审核成员 审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员 核查要素/条款 核查事项 核查记录 符合项 观察项 不符合项 A.12.1.3 A.12.1.4 A.12.2.1 A.12.3.1 A.12.4.1 A.12.4.2 A.12.4.3 A.12.4.4 A.12.5.1 A.12.6.1 A.12.6.2 A.13.1.1 目前尚无变更发生。 容量管理 有《容量管理规划》，对服务器存储容量和网络带宽进行了容量规划。 开发、测试和运行设施的无此业务 分离 公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。 控制恶意软件 信息备份 事件日志 日志信息的保护 管理员和操作员日志 时钟同步 运行系统中软件的安全 技术脆弱性管理 软件安装限制 网络控制 √ √ 公司对重要数据进行了备份。包括源代码等 公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。 按照《信息系统监控管理程序》，对日志信息进行了保护。 系统管理员和操作员的活动也记入了日志，并规定系统管理员不允许删除或关闭其自身活动的日志 O √ 经过检查：公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。 《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的升级、控制措施。 √ 《技术脆弱性管理程序》规定了对技术脆弱性的管理，目前尚未发现技术脆弱性。 《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的控制，制定了允许安装的软件清单。 对防火墙、路由器等进行了安全配置，并定期检查网络设备。 √