信息安全内审checklist.doc

1、审查内容 审查要点 检查时间 审核结果 发现是否开展了信息安全的检查活动？ 有安全检查记录或者报告，和改善记录 1，是否制定了资产清单，包含了所有的客户信息资产，包括服务器，个人电脑，网络设备，支持设备，人员，数据？2，对这些资产清单是否有定期的更新？ 1. 确认资产清单正确2. 确认更新记录3. 客户的资产的保护上面的资产清单上是否标识了所有人和保管人？ （要点：确认资产的所有人和保管人被清楚的标识，并且和实际情况相符） 是否按客户文档的密级规则进行了适当的保护确认对于机密信息(电子文档，打印文档),限定范围的信息(电子文档，打印文档)是否有明确标识。根据需要，确认限定范围，附带标识，制定日

2、期，制定者。是否使所有员工和信息安全相关人员签署了保密协议/合同？ 是否有信息安全意识、教育和培训计划？ 确认培训计划 是否执行了信息安全意识、教育和培训？ 培训记录（实施日期，培训内容/教材,参加人员） 是否制定了信息安全惩戒规程？ 是否执行了信息安全惩戒？ 邮件用户是否清除了？ 抽查是否有离职人员的用户权限没有被清除 门禁权限是否清除了？ 内部 OA 权限是否清除了？ 抽查是否有离职人员的用户权限没有被清除 SVN/CC/VSS 权限是否清除了？部门服务器的权限是否清除了？（要点：实地检查是否有离职员工/转出员工的访问权限没有被清除） 是否制订规则划分了安全区域？ 确认风险评估时是否划分了

3、安全区域等级 是否执行了安全区域划分规则？ 对不同等级的区域是否有相应措施，措施是否被执行 审查内容 审查要点 检查时间 审核结果 发现是否制订安全区域出入规则？1. 在公司内部，员工是否佩带可以识别身份的门卡。2. 机房，实验室是否有出入管制规则是否执行了安全区域出入规则（前台接待，机房，实验室访问控制）？安装了防盗设施。（机房大门的上锁，ID 卡的识别装置进入，离开的管理），实验室进出是否有管理记录是否定期执行门/窗等入口安全检查？ 检查记录 是否定义了公共访问/交接区域？ 确认定义文件 是否监控了公共访问和交接区域? 实地查看是否有监控措施 服务器是否得到了妥善的安置和防护？1. 重要的

4、服务器放在安全的区域（如机房）2. 是否有 UPS3. 温度和湿度合适个人电脑是否得到了安置和防护？1. 笔记本安装 PoinSec,配有物理锁 2. 所有电脑使用密码屏幕保护3. 不用的笔记本是否放入带锁的柜中。是否制订服务器维护计划？ 确认计划内容 SecureID 是否被管理 确认是否掌握远距离访问用户及 SecureID 的信息。 设备处置是否经过了申请？（设备维修，销毁等） 确认修理及报废时的 HDD 的对应方法。 设备处置是否经过了管理 审批记录 服务器，网络和应用系统的变更是否经过了管理？ 变更申请记录 是否进行了防病毒软件的部署 确认部门系统和个人 PC 的手都已经部署并且状态

5、正常。 是否有及时的防病毒软件的升级 对防病毒软件的是否进行了检查?(执行一次检查） 审查内容 审查要点 检查时间 审核结果 发现备份策略制订 是否有备份策略的制订？ 备份实施 是否有备份的实施？ 备份验证 是否有备份的验证 备份保护 是否有备份保护部门中的重要系统，确认定期备份的流程及记录。是否实施了网络控制 是否有网络访问方面的限制 是否对网络服务的安全进行了控制 1.Web 访问服务的安全2.Mail 服务的安全 是否有移动介质清单的管理1. 是否有管理清单2. 记录重要信息的外部存贮介质(例如：外置硬盘，CD,DVD,U 盘，PCMCIA 移动存储卡，存储备份资料用的备份设备等)，是否

6、被保管在带锁的文件柜中？是否有移动介质报废管理1. 报废的申请和审批记录1. 确认文本文件的废弃方法。2. 确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。3. 确认是否将垃圾箱和可回收资源的箱子放在安全的场所。4. 打印机上是否留有文件没有被取走系统文件是否得到了保护 1. 检查其访问权限设定。2. 是否有备份 是否有信息交换策略制订 确认项目或其他敏感信息是否在发送前经过授权者确认，是否经过信息所有人（如 PM）的授权？ 和信息交换方是否签订了协议 和交换涉及方签订 NDA 审查内容 审查要点 检查时间 审核结果 发现物理介质传输是否得到了保护 1. 检查包装合理

7、性2. 搬运方法合理性 是否按照公司规程实施了电子信息交换 确认是否有电子邮件使用规则，和实施情况（如发送重要文件时是否有文件加密等） 是否按照公司规程实施业务信息互联1. 互联网使用的检查。2. 户（FX/XC)之间的互联是否有访问控制，权限分配规则是否有访问控制方针制订如果有文件共享请确认：1. 确认是否设置了全员都可以访问的权限。2. 确认对于长时间不使用的人员是否暂停其帐号。3. 确认共享文件的访问权限范围。3. 所有对 PC 的访问都有密码保护是否对访问控制方针进行了评审 是否有定期的 Review 是否有用户注册的管理1. 确认用户账号是否有申请书。确认用户 ID 及主要访问的清单

8、，要求删除的用户或访问权限是否及时修改。确认处理申请的记录。是否有特权管理的管理如果访问控制清单等是以纸张形式打印出来的，确认是否保管在上锁的地方。电子文档是否保管在只有管理者才能打开的场所。是否有口令的管理 有没有将口令写在便条上，或者告知他人 是否定期对权限进行了审核 定期审核记录 审查内容 审查要点 检查时间 审核结果 发现是否制定了口令策略管理人员的密码设定。是否有员工号等容易推断的密码。1 个帐号是否有多个用户。密码是否记录在便条上。密码为 6 位英文数字以上。是否执行了口令策略 是否实施了网络隔离（不同功能和密级网络的隔离，物理或逻辑）？1. 是否有隔离区2. 从隔离区外是否可以访问区内网络资源 是否对网络连接实施了控制 接入网络前是否经过 IM 或者 ISM 的安全检查 是否实施了网络路由控制 是否制订了信息访问限制策略 访问策略定义文件 是否执行了信息访问限制策略 对照文件实地观察实施情况 是否对访问策略进行了审核 审核记录 是否定义了敏感系统 敏感系统列表 是否对敏感系统进行了网络隔离 实地查看 是否对敏感系统进行了物理隔离 实地查看 是否有客户软件的 lisence 管理 确认合法内容 缺少客户 lisence 管理Done Partial Done Not Done