Internal Audit Checklist: S3_Information Tech. & Security Management

5.2.2_相关人员是否了解公司质量、环境、信息安全方针？目标？

5.3_是否有岗位、部门职责说明包含质量、环境、信息安全相关职责？且相关人员清楚自己的职责？

7.1.6_是否对知识进行有效管理？（除受控文件、记录以外的其他知识，如行业标准、书籍、出版物，法规，客户通知，内部培训，经验总结等）

7.2_人员能力是否能够满足过程要求？（如人员绩效评估、人员能力矩阵等）

7.3_人员是否具备基本的质量、环境、信息安全意识？

7.4_相关人员得到质量、环境、信息安全的信息的有效沟通？如通过报告、邮件、培训等方式进行通告。

7.5.1_使用的文件是否为有效的受控版本？

7.5.1_形成的记录是否满足记录清晰、及时等要求？是否妥善存储？

8.1.1_是否针对过程开展风险识别？（抽查风险识别的记录，抽查相关措施的实施情况）

9.1_是否明确定义相关的质量、环境、信息安全相关指标（KPI）？

8.5.1_是否对所使用的设备、仪器进行有效管理？（设备无带病作业、做好日常点检维护）

8.5.1.1_是否对使用的测量设备进行有效管理？（不使用无标识、过期的测量设备）

10.2_是否对发生的不符合进行处理并关闭？（如，内审、外审、客户投诉、内部投诉等）

10.2_是否针对不符合采取恰当的纠正措施？（根本原因分析，制定围堵、纠正、纠正措施、跟踪纠正措施等）

8.2_是否开展信息安全风险评估（至少每年一次开展风险评估工作，并在有重大调整或变更时，采取风险评估方式合理解决潜在风险）？

8.3_是否以适当的方法处置风险（风险等级≥3的不能采取“接受”的处置方式），并保留记录？

9.2_以往内审发现项是否已关闭，纠正措施是否落实？（查看最近一次内审的发现项和纠正措施落实情况）

A.5.1_公司是否制定了信息安全方针，信息安全方针文件是否由管理者批准、发布并传达给了所有员工和外部相关方，并定期进行评审？（查看方针，询问受审核人员是否知晓，查看是否有评审记录，如管理评审）

A.6.1_与信息安全有关的人员的安全职责是否明确规定？（查看相关人员的职责分工相关文件，现场询问是否清楚本人相关职责）

A.6.1_网路、设备、应用系统管理与操作职责是否由不同人员担任，以防止非授权的更改及误用信息或服务？（抽查相关管理和操作人员，是否为不同人员担任）

A.6.1_是否与法律实施部门、标准机构等组织保持适当的联系，必须的，以获得必要的安全管理、标准、法律法规方面的信息？（查看相关负责人员，询问联系的方式和时机等）

A.6.1_为及时掌握有关的安全信息，获得来自外部的专家的建议，及时对可能存在的薄弱点进行预防，掌握新技术发展的动态，是否有与专业的小组保持联系？（查看相关负责人员，询问联系的方式和时机等）

A6.2_公司配有笔记本电脑等移动式计算或通信设施，是否有控制防止其失窃及非授权的访问的管理规定或者措施？（查看相关管理规定）

A6.2_凡接入公司网络的，必须经过验证？（现场查看网络接入过程是否经过验证，如用手机尝试连接公司网络等）

A8.1_是否建立重要资产清单并明确资产的责任人、确保资产的管理明确到人/部门？（查看重要资产清单）

A8.1_员工离职、调动是否按照要求对IT资产进行归还？（抽查离职、调动人员的设备归还记录）

A8.2_信息资产是否分类管理控制如密级，并进行标注，并规定了信息处理的安全要求？（查看信息资产密级管理要求）

A8.3_是否有对移动存储介质的管理，是否有对信息介质报废和介质传输的安全要求？（查看相关要求）

A9.1_组织是否设定对信息和系统访问控制策略？（查看相关策略要求）

A9.1_是否制定策略、明确用户访问网络和网络服务的范围，防止非授权的网络访问？（查看用户访问网络服务的范围规定，抽查人员是否满足规定）

A9.2_计算机用户口令设置的长度、复杂度、口令历史、口令最大尝试次数是否符合相关制度要求；计算机口令变更的周期是否符合相关制度要求？（查看密码策略，抽查是否符合）

A9.2_各类业务账号的开通、关闭，是否有明确的流程和记录？（查看相关要求）

A9.2_员工调动或离职是是否对其访问权限进行解除，防止非授权的访问的发生？（抽查离职、调动人员的正好状态）

A9.2_安全管理设备或系统是否有清晰的岗位、角色和权限分配表，并三个月进行权限评审？（查看相关职责分配表，和权限评审记录）

A9.2_员工在离开座位，有无及时锁定电脑屏幕？（现场观察员工）

A9.2_是否对管理员权限的分配和使用进行控制，以免管理员权限被不恰当的人使用而导致问题？（查看管理员权限的管理要求）

A9.3_对于核心网络上的主机管理，是否都选用足够强度的口令？是否定期更新？（查看核心网络主机密码，更新日期等）

A9.4_程序是否限制允许进行的登录的失败次数？允许再次登录之前强制进行时延或断开连接？(查看相关配置）

A9.4_是否有适当的口令管理系统以保证口令的质量和有效性？（查看相关系统）

A9.4_是否对运行网络中的重要服务器、网络设备及数据库的口令采取了足够的安全保护措施？（查看如何保护这些口令）

A9.4_是否使用了屏幕保护程序或者在应用停止后不久就中断连接的机制控制对连接终端的物理访问？（查看相关配置，并观察员工电脑停止操作多久会自动屏保是否满足设定的要求）

A9.4_是否按照访问控制策略对信息和应用系统的访问进行控制（查看实际控制效果是否满足访问控制策略）

A10.1_是否采用密码策略来保护重要信息资产，如源代码、核心数据等？（查看重要信息资产是否有密码）

A10.1_秘钥设备是否有专人保管，并保存在安全的空间中？（检查秘钥设备保存情况）

A11.1_机房是否有足够的物理安全保护？（现场观察机房情况）

A11.1_机房是否有相应的门禁控制，使非授权人员不能进入？（现场查看）

A11.1_对重要、敏感的信息和信息设备是否位于可避免公众进行访问的场地？（现场查看）

A11.1_机房是否能保证不受到来自邻近区域的危险，如：火灾、水灾等等？（现场查看机房所处环境是否接触易燃易爆等危险区域）

A11.1_是否只有在需要时，才允许供应商的支持服务人员进入机房或使用敏感信息处理设备？是否对其访问行为进行全程监视？（查看供应商等服务人员进出机房的相关规定，记录等）

A11.1_是否对公共区域予以控制，如有可能是否对信息处理设施隔离，以避免未经授权的访问？（现场查看）

A.11.2_机房内是否禁止就餐、饮水和吸烟？（现场查看是否有明确的标识，是否有类似情况）

A.11.2_机房是否有足够安全措施来防止盗窃、火灾、爆炸、灰尘等威胁？（现场观察）

A.11.2_机房内是否有电力保护措施？（查看电力保护措施）

A.11.2_是否有UPS和备份发电设备来保证重要信息设备的连续运转？（现场查看设备）

A.11.2_对建筑和通信线路是否有防雷击措施？（现场查看）

A.11.2_对通信线缆是否有相应的保护措施以防止损坏和监听？（现场查看）

A.11.2_信息设备是否按照制造商的说明进行了正确的维护？（查看维护要求和维护记录）

A.11.2_对在公司办公区域外使用的移动设备或通讯设备，如便携机，是否有安全控制措施或流程？（查看控制要求，如有，查看相关记录）

A.11.2_是否在无人值守的设备有合适的保护措施？（现场查看）

A.11.2_公司是否有员工必须进行电脑桌面清理和使用屏幕保护的明文规定，以保护信息？（查看相关规定，并现场观察员工电脑使用情况）

A.11.2_在电脑被弃用或报废之前，是否删除了其上存储的敏感信息，并使之不能恢复？（查看规定要求，现场查看是否有废弃电脑）

A.11.2_是否明文规定：未经授权，不允许将设备、信息或软件带离？（查看相关规定）

A12.1_是否有明文的与信息处理和通信设施相关的操作程序？如：计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、管理邮件处置和物理安全等？（查看相关文件）

"A12.1_信息设备和系统的变更或配置修改是否有相应的控制措施吗？例如包括

a) 识别并记录重大变更；

b) 评估这类变更的潜在影响；

c) 向所有相关人员通报变更细节

（查看相关要求，抽查一个变更记录是否符合要求）"

A12.1_采用何种工具或者平台对网络、服务器、数据库的容量进行监控，是否制定了未来容量要求的预算规划，来确保充分的系统资源和容量，从而降低系统超载的风险？（查看规划，及相关记录）

A12.2_对恶意软件的控制措施是否有相应的支持措施并且广泛地被员工了解？（查看控制措施要去，现场询问员工是否了解如何处置）

A12.3_是否经常、定期对重要的商业信息和软件进行备份？（查看备份记录）

A12.3_备份的文件是否经过了测试以保证其可用性和有效性？（查看备份测试记录）

A12.4_是否对系统进行监控并检测与访问控制策略不符的情况，将可以监控的事件记录下来，在出现安全事故时作为证据使用？（查看相关事件记录）

A12.4_是否采取有效措施保护日志信息免受篡改或非授权的访问？（查看日志保护措施要求及相关记录）

A12.4_是否对系统管理员和操作员的活动进行记录?（查看相关活动记录）

A12.4_所有计算机和网络设备的时钟都是否是经过同步的？（随机抽查几个设备上的时钟时间是否一致）

A12.5_软件的安装是否是在授权和控制下进行的？(查看员工是否可以随意安装软件）

A12.6_是否定期对信息系统进行脆弱性分析，并针对结果进行有效的风险处理？（查看相关记录）

A12.7_在审查期间对运行系统是否有适当的保护措施？（查看运行系统的保护措施）

A13.1_对运行网络中重要服务器的安全配置管理是否有安全配置标准和规定可以遵循？是否已经严格遵循？（查看相关配置标注，及实际配置是否满足配置标准）

A13.1_是否采取了一系列的安全措施来保证网络安全？（查看相关网络安全保护措施）

A13.1_是否对网络进行了必要的隔离？（现场查看隔离配置）

A13.2_和外部公司之间的电子和手工方式的信息交换，是否根据信息和软件的重要性和敏感程度提出了保护措施？（查看发往外部的邮件、纸质文件等重要敏感信息的是否有采取保护，如客户报价、设计文件等）

A13.2_是否对信息的传输过程中进行保护以防止非授权访问、滥用和破坏？（查看保护措施）

A13.2_是否开发了针对电子邮件使用安全性的策略？（查看电子邮件安全策略）

A13.2_是否依据组织的信息安全需求制定保密协议？

A14.1_在需求分析阶段，是否提供信息安全需求分析，并经过内部评审？（查看需求分析记录）

A14.1_面向互联网的系统，在设计时是否考虑了通信传输和交易方面的加密策略，以防止窃听或数据传输的完整性的破坏？（查看面向互联网相关系统的加密策略）

A14.2_核心业务系统是否有架构设计？（查看架构设计文档）

A14.2_业务开发过程是否安全规范？（检查安全开发规范，并通过项目或者阶段性任务抽查方式，提供1-2个项目或任务的全部过程记录）

A14.2_是否使用正式变更控制程序控制开发生命周期中的系统变更？（通过抽查最近三个月内发生的变更，并抽查变更管理过程是否符合变更管理制度要求）

A14.2_当运行平台发生变更时，是否对业务的关键应用进行评审和测试，以确保系统的运行和安全没有负面影响？（查看评审和测试记录）

A14.2_是否开发环境、测试环境和生产环境，在网络上须进行隔离？（现场查看如何隔离）

A14.2_对软件外包开发过程是否进行有效管理？（抽查1个项目和1个涉及人员的外包，检查是否符合外包管理的要求）

A14.2_是否有完整的上线流程要求？（检查上线流程是否完善，可抽查1-2次上线过程和记录）

A14.3_是否对测试数据进行保护？（查看保护机制）

A15_与供应商服务交付协议中是否包含有关安全控制、服务定义？（抽查1-2个交付协议）

A15_是否对供应商访问信息资产的安全风险进行了评估，是否有相应的安全控制措施？（查看风险评估记录和相应措施的落实）

A15_在有关供应商访问信息资产的合同中是否指定了必需的安全条款？（抽查1-2份合同）

A15_对供应商服务和供应商提交的报告是否定期进行监视和评审，并定期进行审核？（抽查1-2份报告及评审记录）

A15_对于供应商服务的变更是否进行管理？（查看变更管理要求，如有变更查看相关记录）

A16_安全事件是否能通过适当的管理渠道尽快地上报？(查看上报渠道）

A16_是否要求用户及时报告其发现或者怀疑系统存在的弱点和面临的威胁？

"A16_是否有报告安全事件的流程和相应的处理流程？这些事故包括：

1) 信息系统故障和服务丢失；

2) 拒绝服务；

3) 业务数据不完整或不准确产生错误；

4) 违反保密性。

（查看相关流程规定）"

A16_是否有有效的机制和流程来分析安全事件和故障的类型、大小和造成的损失等？（查看相关规定）

"A16_是否规定安全证据收集的流程和方式？

（安全事件发生时，用户应明白怎样收集证据，包括将问题的征兆和屏幕上显示的消息记录下来，将该计算机隔离，并立刻将问题报告给网络安全管理人员。）"

A17.1_是否有可行的措施来维护的持续性业务？(查看相关措施）

A17.1_进行业务连续性的影响分析时，是否对所有可能的安全事件及其相关事件进行了评估？（查看影响分析报告，结合实际业务查看是否有遗漏）

A17.1_当关键业务受到影响时，是否有可行的措施来进行维护和恢复？（查看相关措施）

A17.1_对连续性的业务计划是否有常规的测试和及时更新，以保证其有效性？（查看测试和更新记录）

A17.2_生产网中核心网络是否满足冗余要求？机房在冗余方面是否有考虑？如数据级或应用级灾备。（查看先关计划）

A18.1_信息系统的设计、操作、使用和管理中是否依据了成文法、法规或合同安全的要求？(现场查看）

A18.1_员工是否遵守软件许可策略，禁止使用未被允许使用的软件或私下安装的软件，禁止使用盗版软件？（抽查1-2名员工电脑）

A18.1_记录是否按记录类型（网管日志、审计日志和操作程序等）进行分类？（查看分类方法和记录）

A18.1_是否有专门的管理人员来负责数据保护？（询问专职管理人员）

A18.1_是否有相应的措施来确保加密控制的使用符合相应的国家法律、法规？（查看相关措施）

A18.2_是否定期组织有效的内部交叉审核？并且有测量工具对体系运行的效果进行定期测量？（查看审核文档）

A18.2_是否对整个的安全策略执行状况都进行定期的审查？（查看相关记录）

A18.2_有没有经常核对信息系统的安全执行状况是否符合技术安全标准？（查看相关记录）