《ISO27001:2022版内部审计划+内审检查表+内审报告全套资料.docx》由会员分享,可在线阅读,更多相关《ISO27001:2022版内部审计划+内审检查表+内审报告全套资料.docx(32页珍藏版)》请在三一办公上搜索。
1、IS027001:2022版信息安全体系内部审核全套最新资料目录一、20XX年度内部审核计划二、内部审核计划三、审核计划表U!内审首末次会议签到表五、内审检查表六、不符合项报告七、内部审核报告XXX有限公司20XX年度内部审核计划审核日期:20XX年6月15日6月16日审核目的:(1)检查本公司信息安全管理体系是否符合ISO27001:2022标准及公司信息安全管理手册和程序文件的要求。(2)检查本公司信息安全管理体系是否得到有效实施和保持。被审核部门:涉及15027001:2022标准的各职能部门。审核依据:1、ISO27001:2022标准;2、本公司的信息安全管理手册和程序文件;3、适用
2、的法律法规和标准。审核方法:采取集中式审核及现场抽查和验证。备注:XXX有限公司内部审核计划1 .审核目的:(1)检查本公司信息安全管理体系是否符合ISO27001:2022标准及公司信息安全管理手册和程序文件的要求。(2)检查本公司信息安全管理体系是否得到有效实施和保持。2 .审核依据:(1) ISO27001:2022标准;(2)本公司的信息安全手册和程序文件;(3)适用的法律法规和标准。3 .审核范围:与信息安全有影响的所有部门和活动。4 .审核时间:20XX年6月15日16日5 .审核组成员:审核组长:.XXX审核员:B.邢XXXC.XXX6 .现场审核期间被审核方有关人员参加下列活动
3、:首、末次会议:最高管理者及管理者代表和审核有关的管理人员参加。审核活动:按审核日程安排,被审核方有关人员在本岗位。7 .审核安排:见附页审核计划。8、备注:编制:XXX日期:20XX/6/14XXX有限公司审核计划日期时间受审部门审核要素主持人6月15日8:008:30首次会议各审核人员及受审部门主管内审组长9:0010:00管理层4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.2、9.1、9.2、9.3、10.1、10.2A5/A6/A7B10:0012:00市场部8.1、8.2、8.391OA11A14:0015:00行政部6.1、7.1、7.2、7.3、7.4、7.58C1
4、5:0016:00综合运营管理部8.1、8.2、8.391OA11B6月16口8:3010:30数据中心8.1、8.2、8.3、9.1、9.2、9.3、10.k10.2A8A9A1OA11A12/A13A14A15/A16/A17/A18A10:3012:00风控中心8.18,2、8.3A9/A10/A11C14:0015:00财务部8.1、8.2、8.3A9/A10/AUC15:0016:00末次会议各审核人员及受审部门主管内审组长制表:XXX审批:XXX日期:20XX年6月14日XXX有限公司内部审核报告审核时间:202X年6月1516日审核目的:1、检查本公司信息安全管理体系是否符合IS
5、o27001:2022标准以及公司信息安全管理手册和程序文件及相关法律法规标准的要求。2、检查本公司信息安全管理体系是否得到有效实施和保持。审核依据:1、ISO27001:2022标准;2、本公司的信息安全管理手册和程序文件;3、适用的法律法规和标准。审核组成员:审核组长:XXX组审核员:XXX、XXX审核范围:涉及ISO27001:2022体系的各职能部门。审核经过及结果:本次信息安全管理体系内部审核是本公司建立并实施ISO27001信息安全管理体系后的第一次全面的审核。使用了两天时间,对体系文件涉及的各个部门进行了审核检查,仔细检查各部门体系文件的执行情况。在审核过程中各部门负责人认真重视
6、,积极配合,使得内审工作顺利进行。内审员在审核前编制了详细的审核检查表,在审核过程中通过查、看、问的手段,收集记录了体系运行符合与不符合的证据,开出了1项不符项,为一般不符合项。具体内容参见不符合项报告。1、对体系文件的评价:(1)体系文件基本上符合IS02700L2022标准及国家法律法规的要求。(2)整套体系文件较好地适应本公司实际,且与质量管理体系进行了一定的整合。2、对体系运作的评价:(1)公司领导都具有较高的信息安全意识,工作思路清晰。中层领导普遍对本公司实施IS027001:2022标准有正确的认识态度,但主管以下员工对体系文件的熟悉程度还有待提高。(2)信息安全方针得到大力宣传和
7、贯彻,信息安全相关观念已逐步深入人心。本公司多项信息安全目标基本达到。(3)体系自试运行以来,在战略发展部的组织下对各部门相关人员进行了文件培训I,对体系推行起到积极作用。在公司领导的重视和各部门配合下,顺利完成了本次内部审核,找出了不足,提出了纠正改善措施,为体系有效实施打下了良好的基础。(4)体系符合性评价从各部门的查核情况来看,还有这些存在着这些问题:a、办公电脑的安全使用方面应加强;b、对相关记录填写的完整性应加强。(5)体系有效性评价员工的信息安全意识较以往有提高,按要求办事的自觉性有较大的提高,这些方面都反映出体系的实施较为有效,但尚存在以下问题和需进一步改进的内容:c、员工培训应
8、继续加强,特别是有效性;d、文件执行的力度方面应加强落实(各部门要加强文件的培训工作)。审核结论:从本次内审来看我司的信息安全管理体系较为有效,但仍须进一步完善提高,真正提升公司的信息安全管理水平。纠正措施:对于审核中发现的不合格项,由管理者代表组织确认责任部门,各部门应“举一反三”地实施系统性的纠正措施,以消除不合格,并且应识别潜在的不合格,采取必要的预防措施。审核员对各部门的纠正情况进行跟踪验证,对于确有困难的,应完成编制纠正措施计划,报管理者代表审批。记录整理及报告:由综合部负责对内审相关资料的整理、归档并上报管理者代表,由管理者代表对资料进行审查,上报管理评审。附件:1、202X年度内
9、部审核计划2、内部审核计划3、内审检查表4内部审核不符合报告备注:编制/日期:XX202X年6月16日审批/日期:XXXXX有限公司内部审核不符合报告受审核部门综合运营管理出访m部审核员XXX陪同员XXX审核项目内审检查审核日期20XX.6.15发出日期20XX.6.16验证日期20XX/6/17不合格项描述1、现场抽查发现综合运营管理部HC-PC-04电脑未张贴信息资产标签。不合格项结论1不符合公司A.8.2.2信息标记要求不合格项性质口严重J一般不合格项确认与承诺以上事实。确认/承诺人:XXX日期:20XX.6.16原因分析1、相关人员疏忽,未及时张贴资产标签。纠正/预防措施与完成期限1、
10、立即张贴资产标签。2、检查其他信息资产是否有类似情况,如果发生,则立即改正。负责人:XXX日期:20XX.6.17纠正/预防措施验证情况已经按照要求进行整改。验证人:XXX日期:20XX.6.17审核日期:20XX.6.15姓名部门职务签到行政部经理市场部经理综合运营管理部经理财务部经理风控中心经理数据中心经理总经理总经理审核日期:20XX.6.16姓名部门职务签到行政部经理市场部经理综合运营管理部经理财务部经理风控中心经理数据中心经理总经理总经理XXX有限公司内部审核检查表条款部门结果NG(不符合项)整改期限备注综合管理部市场部行政部管理层检查内容方法检查内容不符合项描述I.I理解组织及其环
11、境NAXAXAYES4.2理解相关方的需求和期望NAXAXAYES询问经理实施运行ISMS的情况局域网的控制,外部上网的控制,内外网分离,抽查资产识别的情况:识别了本部门资产的情况,编制了信息资产登记表,并分析了重要度编制了风险评估表作废资料的粉碎处理签订有保密协议档案有专人管理,并登记资料的交接借阅归档情况,有灭火器防病毒软件每天升级病毒包报送信息有流程的规定,财务的信息披露由总经理批准,盖章的文件必须经过总经理批准信息分离控制,设立不同的岗位,岗位间信息不完全共享文档账本凭证的管理,专人负责,有权限批准才能查阅编制了风险处置计划,并经过批准,目标已经完成,控制措施已全部按计划完成。抽查资产
12、识别的情况:识别了本部门资产的情况,编制了资产清单,并分析了重要度编制了风险评估表签订有保密协议4.3确定信息安全管理体系的范围NANANAYES查信息管理体系的情况确立了信息安全体系范围4.4信息安全管理体系NAXAXANA查保持和改进ISMS的情况每年内审发现的问题采取相应的纠正措施,此次内审结束后,对各部门不符合要进行整改并跟踪整改情况,持续改进。5.1领导和承诺NAXAXAYES询问经理文件总体情况,查记录文件主要包括:手册方针目标范围程序等资产清单、风险评估方法和风险评估报告风险处置计划适用性声明记录若干查上述文件均可以提供,并且经过审批。5.2方针NAXAXANA询问经理文件如何进
13、行控制抽查相关记录确定管理方针:防御信息风险,保证信息业务安全5.3组织角色。职责和权限NAXAXAYES询问经理人员培训1意识和能力的控制情况人员培训主要是对员工进行培训1,每年编制培训计划,实施培训1,对培训效果进行验证各岗位职责、权限明确招聘前培训有文件规定,签订有培训协议,培训合格后签订合同6.1.1(应对风险和机会的措施)总则NAXAXANA询问组长管理承诺的情况根据信息安全标准要求,建立方针,制订了目标建立了相应的组织机构,成立了信息安全管理小组,明确各部门的职责对全员进行了信息安全管理方面的培训1,明确满足信息安全目标方针法律责任和持续改进的重要性确保外来人员不进入办公区和生产区
14、,确保物理区域安全制订信息安全风险控制程序,制订了接受风险的准则和风险可接受的级别6.1.2信息安全风险评估NANANANA查信息安全风险评估情况建立了相应的组织机构,成立了信息安全小组,明确各部门的职责组织了全员进行资产识别与风险评估6.1.3信息安全风险处置NAXAXANA查信息安全风险处置情况根据重要资产编制了风险处置计划6.2信息安全目标和规划实现NAXAXANA查目标与要求A范围和边界的确定:已经根据公司的特点,组织机构位置、资产和技术,确定了范围、边界、方针、目标B(5.1)确定管理方针:防御信息风险,保证信息业务安全C确定了组织的风险评估方法:详细的风险评估方法,编制了程序文件,
15、识别了风险,并对风险进行了分析和评价D识别风险,各部门识别了资产和责任人,识别资产面临着危险同时也识别了保密性完整性可用性的影响E分析和评价了风险,见风险评价表F识别和评价风险处理的可选的措施G识别了为处理风险选择的控制目标和控制措施,H风险评估报告经过管理者的批准I获得了管理者的授权J从附录中选择了编制了SOA,确定了电子商务等不适用的内容7.1资源NANANAYES7.2能力YESXAXANA询问经理人员培训1意识和能力的控制情况人员培训主要是对员工进行培训1,每年编制培训计划,实施培训1,对培训效果进行验证20XX年进行了新员工培训和针对业务知识的专业的培训,并附有培训记录。编制有文件中
16、规定有保密的内容招聘前培训有文件规定,签订有培训协议,培训合格后签订合同任职过程中有对人员进行培训1,保存有培训记录,签订有保密协议离开岗位时,需要进行交接,归还使用设备和工具,解除一切口令和权限后签字,才能办理手续7.3意识YESXAXANA询问经理人员培训I意识和能力的控制情况人员培训主要是对员工进行培训1,每年编制培训计划,实施培训1,对培训效果进行验证20XX年进行了新员工培训和针对业务知识的专业的培训,并附有培训记录。任职过程中有对人员进行培训1,保存有培训记录,签订有保密协议7.4沟通YESNANANA询问经理人员沟通控制情况人员培训主要是对员工进行培训1,每年编制培训计划,实施培
17、训1,对培训效果进行验证7.5.1(文件化信息)总则YESXAXANA询问经理记录的管理情况抽查相关记录执行记录控制程序7.5.2创建和更新YESXAXANA询问经理记录的管理情况抽查相关记录执行记录控制程序7.5.3文件记录信息的控制YESXAXANA询问经理记录的管理情况抽查相关记录执行记录控制程序记录按文件进行控制,公司有若个记录,记录有编号,有记录名称及表格,保存良好,便于查找。抽查培训记录,符合要求。8.1运行的规划和控制NAYESANA询问经理文件如何进行控制抽查相关记录执行文件控制程序文件编制审批发放有效版本控制变更收回有控制查手册程序文件支持性文件均有文件会签审批表、变更表,经
18、管代审核,经总经理批准发放也有记录8.2信息安全风险评估结果NAYESXANA查信息安全评估结果信息安全风险评估8.3信息安全风筝处置结果NAYESANA查信息安全处置记录编制了信息安全风险处置计划9.1监视、测量、分析和评价NAXAYESNA查检查情况进行了内审与管理评审9.2内部审核NAXAYESNA查保持和改进ISMS的情况每年内审发现的问题采取相应的纠正措施,此次内审结束后,对各部门不符合要进行整改并跟踪整改情况,持续改进。9.3管理评审NANAYESNA查管理评审情况每年进行管理评审详细情况进行了审核:编制了输入材料评审了相关的内容有管理评审报告20XX年8月18日对TSMS的管理评
19、审10.1不符合和纠正措施NAXAYESNA查建立信息安全管理体系的情况对各部门不符合要进行整改并跟踪整改情况,持续改进。10.2持续改进NAXAYESNA查建立信息安全管理体系的情况保持体系持续改进。A.5.1.1信息安全方金十文件NAXAXANA询问管理承诺的情况根据信息安全标准要求,建立方针,制订了目标建立了相应的组织机构,成立了信息安全小组,明确各部门的职责对全员进行了信息安全管理方面的培训1,明确满足信息安全目标方针法律责任和持续改进的重要性确保外来人员不进入办公区,确保物理区域安全制订信息安全风险控制程序,制订了接受风险的准则和风险可接受的级别A.5.1.2信息安全方金十评审NAX
20、AXANA询问管理承诺的情况制订信息安全风险控制程序,制订评审准则A.6.1.1信息安全角色和职责NANANANA询问经理内部组织内的协调情况、保密协议、职责情况职责明确与政府部门和相关部门及协会等进行联系,及时了解相关要求以便传达。和其他相关部门一起负责第三方协议的签订,在协议中注重信息安全要素。A.6.1.2职责分割YESNANANA询问经理内部组织内的协调情况职责明确与政府部门和相关部门及协会等进行联系,及时了解相关要求以便传达。和其他相关部门一起负责第三方协议的签订,在协议中注重信息安全要素。A.6.1.3与政府部门的联系YESXAXANA询问经理内部组织内的协调情况相关方联系表A.6
21、.1.4与特定利益项目管理中的信息安YESXAXANA询问经理内部组织内的协调情况相关方联系表全A.6.1.5项目管理中的信息安全NAYESXANA询问经理内部组织内的协调情况、保密协议、职责情况要求了项目管理中的信息安全要求A.6.2.1移动设备策略YESNANANA查移动设备的情况移动设备有相关管理要求A.6.2.2远程工作YESXAXANA查移动计算和远程工作的情况移动计算和通信,防止风险,是数据传输的问题,一是邮件,二是FTP,重要数据采取加密技术。.7.1.1审查YESXAXANA询问对招聘人员任职前的控制情况,抽查记录招聘前有文件规定,检查任职人员各类资料,是否符合A.7.1.2任
22、用条款和条件YESXAXANA询问对招聘人员任职前的控制情况,抽查记录招聘前培训有文件规定,签订有培训协议,培训合格后签订合同A.7.2.1管理职责YESXAXANA询问经理内部组织内的协调情况、保密协议、职责情况职责明确与政府部门和相关部门及协会等进行联系,及时了解相关要求以便传达。和其他相关部门一起负责第三方协议的签订,在协议中注重信息安全要素。.7.2.2信息安全教育和培训YESXAXANA询问对招聘人员任职中的控制情况,抽查记录任职过程中有对人员进行培训1,保存有培训记录,签订有保密协议A.7.2.3违规处理过程YESXAXANA询问对招聘人员任职中的控制情况,抽查记录体系实施中还为发
23、现有员工的规格事件A.7.3.1任用终止或变化的职责YESXAXANA询问对招聘人员离职的控制情况,抽查记录离开岗位时,需要进行交接,归还使用设备和工具,解除一切口令和权限后签字,才能办理手续A.8.1.1资产清单YESXAXANA询问信息资产管理情况,抽查记录组织部门进行信息资产的登记,在此基础上,进行资产的识别、分类、标记和赋值,资产包括:硬件、软件、数据、服务、人员、环境和其他等。在资产清单基础上形成重要资产清单,对重要资产进行了风险评估和控制,形成了风险评估表和风险评估报告。抽查了信息资产登记表A.8.1.2资产负责人YESAANA询问信息资产管理情况,抽查记录组织部门进行信息资产的登
24、记,明确了责任人。.8.1.3资产的可接受使用YESXAXANA询问信息资产管理情况,抽查记录资产管理规定中明确了资产的可接受使用具体程度A.8.1.4资产归还YESNANANA询问对招聘人员离职的控制情况,抽查记录离开岗位或者变动岗位时,需要进行交接,归还使用设备和工具,解除一切口令和权限后签字,才能办理手续.8.2.1信息分类YESXAXANA查资产的管理情况和信息分类的情况识别了公司的资产情况各部门都识别了资产和责任人确保资产的合格使用资产进行了分类分为高中低,在此基础时确定了重要信息资产,进行了风险评估。.8.2.2信息的标记NGXAXANA查资产的管理情况和信息标记的情况编制有信息分
25、类控制程序中规定了信息标记规则综合运营管理部HC-PC-OO4电脑未张贴资产标签20XX年6月7日A.8.2.3资产处理YESXAXANA查资产的管理情况和处置情况编制有通信与操作控制程序有规定资产的处置流程,建立了信息处理程序,执行处理和存储程序,防止信息泄漏和不当使用保护系统文件,有GOST进行恢复,所有文件不得保存在C盘.8.3.1移动介质的管理YESXAXANA查介质处置的情况编制有通信与操作控制程序移动硬盘不允许个人使用,公司专人使用和保管,主要作数据的保存.8.3.2介质的处置NAYESXANA查介质处置的情况建立了信息处理程序,执行处理和存储程序,防止信息泄漏和不当使用保护系统文
26、件,有GOST进行恢复,所有文件不得保存在C盘硬盘损坏等全部由规定人员进行处置,进行低格,老的没用的硬盘进行物理破坏.8.3.3物理介质传输YESXAXANA查介质处置的情况编制有通信与操作控制程序有规定USB一般不许使用,如果使用必须申请经过批准。A.9.1.1访问控制策略YESAANA查访问控制的情况有访问控制的程序文件规定了业务访问相应的内容,对文件有定期的评审,文件进行了会签和审批A.9.1.2使用网络服务的策略YESXAXANA查网络访问控制情况检查USB隔断,内外网接口在产品部,有防火墙,杀毒软件运行和升级正常,内外网转接只能由专人管理,自动升级病毒包网络设备的标识,每个人的机器都
27、有标识,上内网,外网也有标识远程诊断主要在内网,网络隔离,内外网分离,有网络路由器进行控制A.9.2.1用户注册和注消YESXAXANA查用户注册的情况编制有用户访问管理程序规定了注册与注销流程.9.2.2用户访问提供NAYESXANA查用户注册的情况用户访问权限的复查定时进行,平时维护的时候进行,变更后进行复查权限设定A.9.2.3特殊权限管理NAYESNANA查用户权限的情况特殊权限信息方面主要在公司领导和管理员,特殊权限主要用于维护,系统更改的权限有审批手续,只有有权限人员才能进出机房用户口令,无弱口令,安全级别都在中等以上,由数字、字母等组成A.9.2.4用户安全鉴别信息的管理NAYE
28、SANA查用户运行的情况建立有用户访问控制程序、账户、口令和权限管理规定其中规定了规定口令的分配控制。初始密码在创建用户时设定,初次登录时操作系统或者系统管理员必须强制修改密码,不能使用缺省设置的密码。要求口令为10位以上,有字母数字,有一定复杂度,至少半年更新一次等。经查,口令分配基本符合规定要求。对口令设定进行抽查,均对口令进行了修改。A.9.2.5用户访问权的复查NAYESNANA查用户监测的情况用户访问权限的复查定时进行,平时维护的时候进行,变更后进行复查权限设定A.9.2.6撤销或调整访问权限NAYESXANA查用户权限的情况离开岗位时或者变动岗位时,需要进行交接,归还使用设备和工具
29、,解除一切口令和权限后签字,才能办理手续A.9.3.1安全鉴别信息的使用NAYESXANA查用户口令的情况建立有用户访问控制程序、账户、口令和权限管理规定其中初始密码在创建用户时设定,初次登录时操作系统或者系统管理员必须强制修改密码,不能使用缺省设置的密码。要求口令为8位以上,有字母数字,有一定复杂度,至少半年更新一次等。办公电脑要求英文、数字组合。三个月更换。A.9.4.1信息访问限制NAYESXANA查应用和信息访问控制服务器访问指定公司IP访问路径,只能通过公司网络访问。SVN代码管理器设置权限。开发人员只能访问授权数据。A.9.4.2安全登陆规程NAYESNANA查安全登录规程建立有用
30、户访问控制程序中规定了用户访问操作系统的控制要求。包含记录登录成功与失败的日志、登录时禁止显示系统版本信息、登录后10分钟内未有任何操作,系统将自动开启屏幕保护功能,需要使用密码方可登陆等要求。规定了用户访问操作系统的控制要求。包含登录后10分钟内未有任何操作,系统将自动开启屏幕保护功能,需要使用密码方可登陆。A.9.4.3口令管理系统NAYESNANA查口令管理规程建立有用户访问控制程序、账户、口令和权限管理规定其中规定了规定口令的分配控制。初始密码在创建用户时设定,初次登录时操作系统或者系统管理员必须强制修改密码,不能使用缺省设置的密码。要求口令为10位以上,有字母数字,有一定复杂度,至少
31、半年更新一次等。经查,口令分配基本符合规定要求。对口令设定进行抽查,均对口令进行了修改。A.9.4.4特权实用程序的使用NAYESXANA查特权使用程序管理开发使用第三方辅助性工具采用公用版本。由相关负责人下载,测试后版本拷贝给开发人员使用。A.9.4.5对程序源代码的访问控制NAYESNANA查源程序的控制规定建立有信息系统获得、开发与维护控制程序其中规定了源代码完整性保障要求。技术经理有服务器权限和项目目录访问权限、项目小组组长有多个项目目录访问权限、开发人员有项目目录访问权限。A.10.1.1使用加密控制的策略NAYESXANA查机加密措施控制规定有密码策略公司重要文件均使用加密手段A1
32、0.1.2密钥管理NAYESXANA查密室管理规定建立有密码策略其中规定了使用密码策略。经介绍,经介绍票单数据采用DES算法加密,个人信息数据使用混合加密过程。保持有相关密钥。.11.1.1物理安全周边YESNANANA询问区域环境的管理控制情况,抽查相关记录编制有相关的规定,来访登记制度并有消防器材和措施进入客人有公司人员全程陪同.11.1.2物理入口控制YESAANA询问区域环境的管理控制情况,抽查相关记录编制有相关的规定,来访登记制度,进入客人有公司人员全程陪同.11.1.3办公室/房间和设施YESNANANA询问区域环境的管理控制情况,抽查相关记录编制并执行环境设施与物理设备控制程序。
33、有独立办公区域,有门和锁防护。A.11.1.4外部和环境威胁的安全保护YESNANANA查外部和环境威胁的安全保护情况公司供电由大楼物业提供保证,自公司搬入新址后还未发生过停电现象。公司配置有灭火器和消防栓等消防设施。公司位于高层,不存在发生水灾问题。.11.1.5在安全区域工作YESXAXANA查安全区域工作规定制并执行环境设施与物理设备控制程序。公司办公环境良好,大楼的楼道比较宽阔。办公使用市电,线缆走暗线,墙面接线盒有保护,未见破损。公司配置有消防系统。公司办公区域内空间安排较合理,能够保证在安全区域工作的需要。A.11.1.6交接区安全YESNANANA查交接区安全公司大门为铁质防盗门
34、,一般外来人员先到接待区,进入后由专人接待登记,会客室等候,由专人带领访问。外来人员上网必须进行申请和批准,一般情况下,外来人员不允许访问公司内网。.11.2.1设备的安置和保护YESXAXANA查设备的安置和保护建立有环境设施与物理设备控制程序规定设备的安置或保护的要求、计算机等设备及移动介质维护、保养、销毁管理制度。A.11.2.2支持性设施YESNANANA查支持性设备建立有环境设施与物理设备控制程序规定应有足够的支持性设施来支持系统。A.11.2.3布缆的安全YESXAXANA查线缆安全建立有环境设施与物理设备控制程序规定了各区域的线缆的保护方式。经查看,交换机放置在公司,办公室的线缆
35、通过线槽隐蔽布放。A.11.2.4设备维护NAYESNANA查设备维护规定立有环境设施与物理设备控制程序规定只有已授权的维护人员才可对IT设备进行修理和服务。PC机的维护由技术部的人员负责维护。A.11.2.5资产的移动YESXAXANA杏移动资产规定建立有环境设施与物理设备控制程序规定了IT设备移出批准,归还检查的要求;技术部主管介绍,维护笔记本外带,需要授权,返还时经过检查后锁入文件柜。.11.2.6组织场所外的设备和资产安全YESNANANA查场所外设备安全规定建立有环境设施与物理设备控制程序规定了设备离开办公场所的保护要求。.11.2.7设备的安全处置或再利用NAYESXANA查设备处
36、置与再利用规定建立有环境设施与物理设备控制程序规定了设备重用或报废处置时,存储在设备中的敏感信息要删除。人员离职后,数据移交技术主管,技术主管负责清理。A.11.2.8无人值守的用户设备YESXAXANA查无人值守设备管理规定公司无人值守设备(服务器、网络设备、交换机)是存放在公司内部。门加锁。A.11.2.9清空桌面和屏幕策略YESXAXANA查情况桌面与屏幕管理立有用户访问控制程序、清洁桌面和清屏策略其中规定了采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。经技术主管介绍,技术部要求人离开工位锁屏,重要资料锁在办公桌内。.12.1.1文件化操作程序YESAANA查文件
37、操作管理规定建立有通信与操作控制程序4.1要求将通信和操作相关的信息安全活动应形成固定流程,重要的流程应该形成文件。A.12.1.2变更管理YESNANANA查变更记录建立有通信与操作控制程序要求对操作系统和应用软件应执行严格的变更管理控制。将变更情况记录在信息系统变更记录中。A.12.1.3容量管理NAYESXANA查容量管理记录建立有通信与操作控制程序采购成本和使用年限的考虑系统管理员应当对主要应用系统资源的使用情况进行监视,包括处理器、内存、储存系统、网络系统等。各部门应当运用上述信息来识别并避免可能对系统安全或应用服务提供构成隐患的潜在瓶颈,并事先确定适当的补救恢复措施。A.12.1.
38、4开发、测试和运行设施分离NAYESXANA查开发、测试和运行设施分离情况建立有通信与操作控制程序要求开发、测试职责分离,系统分离,实际操作是分离开了。A.12.2.1控制恶意软件NAYESXANA查恶意软件控制情况建立有通信与操作控制程序办公和业务电脑都需要安装防病毒软件,以防范恶意代码和移动代码,并定期(至少每月一次)查杀病毒,定期(至少每月一次)进行病毒升级。网络中安装防火墙,通过网关、路由及域管理。办公和业务电脑要及时更新操作系统补丁。要求使用源代码时,按照满足工作需要且权限和数量最小化的原则,控制技术人员对源代码的获得并且业务电脑上只存储目前开发项目有关的代码。查看代码的管理通过SV
39、N代码管理器来管理代码,每个开发人员配置ID,由管理员、技术主管配置每个ID的权限。每个开发人员只能浏览已授权的代码。.12.3.1信息备份NAXGNANA查信息备份情况建立有通信与操作控制程序要求技术主管负责定期将备份数据上传到指定的位置。备份数据的恢复能力应满足的业务连续性计划的要求。A.12.4.1事件日志NAYESXANA查日志记录建立有通信与操作控制程序其中规定了网络设备日志要记录内容以及事件日志包括信息。A.12.4.2日志信息的保护NAYESXANA查日志保护规定公司日志包括服务器日志,程序日志。日志的读取根据服务器重要级别,来区分权限。开发人员有日志查看权限。部分人员有下载拷贝权限,A.12.4.3管理员和操作员日志NAYESXANA查管理员和操作员日志记录查看,服务器记录管理员,客户端连接记录。远程登录记录登录IP,用户名A.12.4.4时钟同步NAYESXANA查时钟同步供有通信与操作控制程序其中规定信息系统的时钟必须
