内审核查表（ISO27001及ISO20000管理体系）.doc

广东奥迪安监控技术股份有限公司 内 审 核 查 表 审核日期：2019年6月30日 被审核部门 管理层 审核成员：黄**、梁** 陪同人员：黄** 审核日期 2019年6月30日 审核主题 4.1、4.2、5.1、5.2、5.3、7.1、9.3、A.5.1 核查 要素/条款 核查事项 核 查 记 录 符合项 观察项 不符合项 4．1 4．2 总要求 -详细介绍了公司总体情况，具体见手册企业概况。 √ 5.1 5.2 领导和承诺 方针 --信息安全方针, 信息安全目标和计划得以实施； 信息安全的角色和职责均已明确； 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性； 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进, 决定接受风险的准则和风险的可接受等级； √ 5.3 组织角色、职责和权限 建立信息安全的角色和职责 ——提供《信息安全管理手册》 体系推进部门综合管理部， 职责划分基本能够满足要求。 向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。 √ 7．1 资源的提供 ——主持管理评审，授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。 ——设备资源能满足要求，未来设备相应的增加时，未来有人员增加计划。 √ 9．3 ISMS管理评审 ——有制定体系实施以来的第一次管理评审计划。 √ A5.1 信息安全方针文件 信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。 √ 被审核部门 研发中心 审核成员：罗**、李** 陪同人员：梁** 审核日期 2019年6月30日 审核主题 A.6.1、A.8.1、A.8.3、A.9 - A.18 核查 要素/条款 核查事项 核 查 记 录 符合项 观察项 不符合项 A.6.1.3 信息安全职责的分配 《信息安全管理手册》，公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。 √ A.8.1.1 A.8.1.2 A.8.1.3 A.8.1.4 资产清单 资产所有权 资产的可接受使用 资产的归还 公司于2014年11月开始实施信息安全管理体系文件，全员均经过相关培训。公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。 对每一项信息资产，根据《信息安全风险识别与评价管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。 有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。 ——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人 ——提供《用户授权申请表》内容填写符合要求。 ——提供了资产归还的记录表。 √ A.8.3.1 A.8.3.2 A.8.3.3 可移动介质的管理 介质的处置 物理介质传输 提供可移动介质授权使用清单1份。 ——有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、行政批示、经办人。 ——目前无介质处置。 √ A.9.1.1 A.9.1.2 访问控制策略 网络和网络服务的访问 网络划分为三个网段，内网使用固定IP,入网需要申请，并绑定MAC地址。 现场查《网络安全配置表》，符合要求。 提供了《开通外网申请表》 符合 √ A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 A.9.2.6 用户注册及注销 用户访问开通 特殊访问权限管理 用户秘密鉴别信息管理 用户访问权限的复查 撤销或调整访问权限 对于任何权限的改变(包括权限的创建、变更以及注销)，须由管理员操作。 特权分配仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后应被收回，确保特权拥有者的特权是工作需要的且不存在富裕的特权。 ——查人事行政部管理人力资源管理系统，有特殊权限。 各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令，口令必须至少要含有6位以上字母+数字。 查：普通用户只能访问被授权的服务，对计算机系统的访问权都被限制。 √ A.9.3.1 使用秘密鉴别信息 公司范围的计算机登录口令要求6位以上字母+数字。抽查了5台PC机，口令符合要求。 √ A.9.4.1 A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 信息访问控制 安全登录规程 口令管理系统 特殊权限实用工具软件的使用 对程序源代码的访问控制 ——用户不得访问或尝试访问未经授权的网络、系统、文件和服务。 ——现场测试，审核员通过访问网络上的PC机，有用户名，密码，试图随意输入密码3次，均无法登陆。 ——所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改等。 ——没有安装实用工具。 ——公司没有软件开发，只有网站服务采用托管形式，由第三方公司负责运营。 ——提供《网站维护协议》，合同有效日期从2014年4月30日至2015年4月29日，条款一，规定服务方所应承担的业务与遵守的规定；条款五，规定了双方的法律责任与处理办法 √ A.10.1.1 A.10.1.2 使用密码控制的策略 密钥管理 公司的密码控制是由银行提供的加密机。 由银行专员到公司内导入密钥。 √ A.11.1.1 A.11.1.2 A.11.1.3 A.11.1.4 A.11.1.5 A.11.1.6 物理安全周边 物理入口控制 办公室、房间和设施的安全保护 外部环境威胁的安全防护 在安全区域工作 交接区安全 ——现场查公司大门设有接待处， ——公司大门处，入口有监控摄像，其他各关键区域均安装有监控摄像，服务器放置在机房，系统可以保留最多1-2个月的监控录像，可以调出指定时间的监控录像。（现场检查时监控硬盘损坏，只能调出20天内的监控录像） ——现场查《外来人员来访登记表》，登记信息包含：来访人员姓名，时间，单位，身份证，事由，被访人 ——现场查《车辆进出登记表》，登记信息包含：日期、车牌、用车人、司机、出车时间、返回时间、当值保安等 ——制卡车间为无尘车间，进入人员需换防尘服。 × A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.2.5 A.11.2.6 A.11.2.7 A.11.2.8 A.11.2.9 设备安置和保护 支持性设施 布缆安全 设备维护 资产的移动 组织场外设备和资产的安全 设备的安全处置或在利用 无人值守的用户设备 清空桌面和屏幕策略 ——公司有专用服务器机房。机房位于办公大楼一楼，有三个机柜里面有财务服务器。 ——现场公司内部有视频监控系统，办公区有消防栓，车间内有灭火器。 ——现场机房内的机柜中网络布线比较整齐。 ——提供服务器每周检查记录。 ——现场查公司目前没有组织场所外的信息处理设备使用。 ——含有敏感信息的设备在报废或该做他用时，由使用部门应利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录。对旧机器的硬盘砸坏，物理破坏后。公司目前未发生设备处置。 ——提供电子设备领用签字单。有申请人、 主管签字和日期。 ——桌面均能保持干净，员离开位子时采用手动锁屏，自动屏幕保护时限为5分钟。 ——资产编号00015 未设置屏保。 √ A.12.1.1 A.12.1.2 A.12.1.2 A.12.1.4 文件化的操作规程 变更管理 容量管理 开发、测试和运行环境分离 ——程序文件31个，实用制度、管理制度共22个； ——现场了解目前没有信息系统的变更。 ——提供服务器容量监控记录。有服务器、硬件配置、总容量、已用空间、剩余空间。每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录 。 ——现场查公司目前无软件开发和测试活动，目前使用的信息系统由供应商负责安装测试， √ A.12.2.1 控制恶意软件 ——使用360杀毒软件、金山杀毒软件。 ——资产编号00007刘*, 00015李**, 00001陈* 台式机，使用360杀毒，360卫士。 √ A.12.3.1 信息备份 ——提供备份策略 ，查有通过数据库进行“日备份” 而作业文件，备份策略要求财务数据为备份，定期进去备份检查。 √ A.12.4.1 A.12.4.2 A.12.4.3 A.12.4.4 事态记录 日志信息的保护 管理员和操作员日志 时钟同步 ——现场查公司通过门卫进行进出登记记录，保安7*24小时值班，进入办公大楼有前台，前台负责公司职员的考勤，现场查有打卡机，同时负责外来人员监控。 ——现场查只有系统管理员有权察看日志，服务器均开启管理员和操作员日志。 ——现场查公司的电脑设置为与Internet时间自动校对，未连接网络的电脑定期校对电脑时间。 √ A.12.5.1 在运行系统上安装软件 ——对软件在作业系统的执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权，否则严禁私自安装任何软件。现场查目前安装软件统一管理安装。 √ A.12.6.1 A.12.6.2 技术脆弱性的控制 限制软件安装 计算机安装了360安全卫士，自动扫描系统漏洞。 ——系统应用程序的使用进行限制和严格控制，并规定授权的使用者等，只有经过授权的系统管理员才可以使用实用工具，现场查服务器上没有安装实用工具。 √ A.12.7.1 信息系统审计控制措施 ——漏洞扫描工具使用JP1，只有信息系统课系统管理员有权限使用。 ——内部使用360杀毒软件对个人计算机进行病毒查杀 √ A.13.1.1 A.13.1.2 A.13.1.3 网络控制 网络服务安全 网络隔离 ——提供《网络拓扑图》，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。公司内部的计算机，只有授权的可以上外网，其他的都不能访问外网，现场查连网情况。 ——公司路由器放置于机房内，目前划分为3个网段。 ——为确保公司网络安全，采用逻辑方式进行外部网络隔离，内网与外网物理隔离。现场查财务部内电脑没有连接网络。 √ A.13.2.1 A.13.2.2 A.13.2.3 A.13.2.4 信息传递策略和规程 信息传递协议 电子消息发送 保密性或不泄露协议 对信息交流应作适当的防范，严禁在无保密措施的通信设备及计算机网络中传递企业秘密。 ——客户通过企业邮箱Email，通过内部腾讯通。 ——现场查公司的电子邮件目前只用于公司内部信息交换、对外发送公开的报价单。内部通过腾讯通进行交换文件。 ——提供《XXX银行合同》，签署时间2014年5月8日第八条，第6款，规定了双方对于权益，保密信息等相关内容的保护条款，具体权益包括商标、著作权、设计专利、肖像权等 符合。 √ A.14.1.1 A.14.1.2 A.14.1.3 信息安全要求分析和说明 公共网络应用服务安全 保护应用服务交易 ——现场查公司主要按照客户安全要求及所提供样本来开发软件产品。公司通过应用系统进行日常办公、生产经营管理，公司建立并实施相应系统的安全使用策略和应用管理，以保护与业务信息系统互联相关的信息，减少系统造成的信息泄露。。 ——现场查看公司网站内没有电子商务方面的页面。 √ A.14.2.1 A.14.2.2 A.14.2.3 A.14.2.4 A.14.2.5 A.14.2.6 A.14.2.7 A.14.2.8 A.14.2.9 安全开发策略 系统变更控制规程 运行平台变更后应用的技术评审 软件包变更的限制 安全系统工程原则 安全开发环境 外包开发 系统安全测试 系统验收测试 ——在印刷过程中，出现变化时，有填写变更记录表。为使信息系统的损害降至最小，对公司内系统和软件的更改，须进行适当的测试与评审，经公司领导批准后予以实施。操作系统及应用系统的升级须经过系统主管部门测试、评审与批准后方可进行。 ——提供《信息系统获取、维护控制程序》 ——目前公司没有操作系统变更。当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对应用程序的作业或安全措施无不利影响。 ——现场查暂无软件变更，更改部门在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样的复制软件上进行更改，更改实施前须得到系统主管部门的授权。 ——公司目前购买的都是安装程序，没有外包软件开发。 √ A.14.3.1 系统测试数据的保护 ——公司有软件开发，现场查公司测试数据有进行保护。 √ A.15.1.1 A.15.1.2 A.15.1.3 供应商关系的信息安全策略 处理供应商协议的安全问题 信息和通信技术供应链 ——与大供应商签订年度协议，有安全保密协议，有双方负责人签字，合同专用章，时间 2014年1月16日 符合。 ——现场查物料申购单 申购单号 PR14050076 符合 有物料编号、物料名称、规格、单位、申购数量、预计交换期。 ——现场《深圳西龙同辉股份有限公司》实施流程负责单 工单号 PO14050191 针对工单有 结算单。 ——电话和互联网租用中国电信宽带10M，有签订三年租赁协议。 √ A.15.2.1 A.15.2.2 供应商服务的监视和评审 供应商服务的变更管理 ——提供第三方评审记录表。 ——查《采购合同书》，签署时间2014年5月7日第4、5、6条款，规定了对于服务方所提供服务的要求细则重要事项条款：规定了对于服务方违约的处理办法 符合。第三方服务的更改，包括更改和加强网络，使用新技术，更改服务设施的物理位置，更改供应商。 ——目前没有第三方服务的变更。 √ A.16.1.1 A.16.1.2 A.16.1.3 A.16.1.4 A.16.1.5 A.16.1.6 A.16.1.7 职责和规程 报告信息安全事态 报告信息安全弱点 评估和确定信息安全事态 信息安全事件响应 对信息安全事件的总结 证据的收集 安全事情、事故一经发生，事情、事故发现者、责任者应立即向网管报告，网管应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。 目前没有计算机中病毒情况，未发生安全事件。 各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。 填写安全弱点报告在《信息安全事件报告表》中，包括以下内容：1）安全弱点的原因，2）安全弱点的预防处置措施及改进计划，3）安全弱点报告提交给信息安全管理小组； √ A.17.1.1 A.17.1.2 A.17.1.2 信息安全连续性计划 实施信息安全连续性计划 验证、评审和评价信息安全连续性计划 公司建立并实施管理程序，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。 ——该部门编制《ISMS-业务持续性管理实施计划和框架》，由信息安全管理者代表批准，以便在重要系统发生中断或故障后，实施持续性管理计划，以保证系统或作业中断的及时恢复。 ——现场查本部门对业务连续性的敏感度不高，对于由于各种原因造成的业务中断，采用数据备份恢复方案，在顾客可容忍的时间范围内能恢复业务的正常办理。 ——现场查《ISMS-业务持续性管理实施计划和框架》 中有影响的关键生产作业或管理过程。 ——现场提供《ISMS-业务持续性管理实施计划和框架》，符合要求。 每半年制定一次。有序号、系统名称、影响的关键生产作业或管理过程、故障或灾难、系统恢复与应急措施、系统回复时限要求、对公司业务活动的影响、责任部门/人。 ——现场提供《ISMS-业务持续性管理方案测试报告》，《ISMS-业务持续性管理计划评审报告》，符合要求。 √ A.17.2.1 信息处理设施的可用性 目前公司的服务器在部署时，有考虑到容量上的要求，现场查硬盘容量≥40%，CPU占用小于50%。 √ A.18.1.1 A.18.1.2 A.18.1.3 A.18.1.4 A.18.1.5 可用法律及合同要求的识别 知 识 产 权（IPR） 保护记录 隐私和个人身份信息保护 密码控制措施的规则 提供内有关法律法规适用性的识别要求。 定期与执法机关等行政部门联络，及时收集与信息安全管理有关法律、法规和其它信息。提供法律法规标准清单，2014年7月24日。 ——提供了法规法律符合性的评价记录。针对信息安全风险及相关法规要求，明确本单位的执行现状进行评价。 ——与研发中心开发人签订《知识产权协议书》，在工作期间获得的发明创造、专利，产权归公司所有。 ——个人计算机、服务器系统软件均购买正版软件，Windows操作系统、OFFICE软件都是统一采购，每年有检查授权数量。 ——公司的所有记录有专门的文控人员负责管理。 ——纸质文件各部负责保管。普通的工作记录存放在部门里，每年进行销毁，有销毁记录。 ——记录均是文档柜存放，有铁皮文档柜，有锁，现场查钥匙存放在钥匙盒内。有专用的文件夹有标识。 ——每台个人电脑均设有口令，并定期修改，员工档案存放在人力资源部档案柜内，需要调阅时，需填写人事档案借单，经人事科审批，有批准手续。 ——人事部有门禁、考勤系统，现场查看只有人事部的人员有访问权限。 ——财务部的财务系统由统一管理，只有财务人员有帐号和权限。 √ A.18.2.1 A.18.2.2 A.18.2.3 独立的信息安全评审 符合安全策略和标准 技术符合性评审 有各部门的负责人，和信息安全担当组成。内部审核活动应包括对各信息系统的技术性审核，内部审核组至少拥有一名具有一定信息安全技术的内部专家，技术性审核应在被监督的情况下进行。如有特殊情况将安排2次内审。 ——提供《信息安全体系推进联络表》，内有IT方面专家 ——《内审管理程序》、《管理评审控制程序》 ——漏洞扫描工具使用JP1，只有信息系统管理员有权限使用。 ——内部使用趋势杀毒软件对个人计算机进行病毒查杀。 √  被审核部门 行政中心 审核成员：黄**、梁** 陪同人员：罗** 审核日期 2019年6月30日 审核主题 4.2、4.3、4.4、6.1、6.2、7.2、7.4、7.5、8.1、8.2、9、10.1、10.2、A.6.1、A.8.1、A.8.2、A.9.3、A.12.2、A.12.3、A.18.1 核查 要素/条款 核查事项 核 查 记 录 符合项 观察项 不符合项 4.2 4.3 理解相关方的需求和期望 确定信息安全管理体系的范围 根据本公司的业务性质、地理位置、信息资产和技术的特点，本公司的信息安全管理体系的管理范围：与医疗设备的软件开发相关的信息安全管理活动。 √ √ 4.4 信息安全管理体系 该公司建立信息安全管理体系时间：文件2014年9月1日发布，2014年9月1日实施。 建立有《信息安全风险评估识别与评价管理程序》 提供了信息安全资产清单，公司对资产进行了重新识别，且进行了风险评估在2014年7月初完成。 在风险评估后该部门制定《信息安全风险处理计划》，现场抽取一份计划，查看落实情况，已完成。 √ 6.1 8.1 8.2 应对风险和机会的措施 运行的规划和控制 信息安全风险评估 前期策略了风险评估准则、风险评估规范 根据风险评估方法进行了风险评估。 现场查《信息安全风险评估表》，日期：2014年12月2日，主要内容：类别，具体资产名称、资产编号、重度等级、面临威胁、威胁赋值T、威胁可利用的脆弱性、脆弱性赋值V、安全事件的可能性L、安全事件的损失F、信息安全风险值IU、风险等级。 √ 6.2 8.3 信息安全目标和规划实现 信息安全风险处置 制定了信息安全目标：客户信息泄露0次，重大信息安全事故0次。 目标通过一年来的运行和保持，得到完成。 信息安全不可接受风险处理计划 提供“不可接受风险处理检查表”。 检查时间：2014年7月25日，检查结果：“信息安全不可接受风险处理计划”中的风险处置策略已实现。 信息安全残余风险确认报告：风险等级降为3级，为可接受风险。 总经理批准接受残余风险报告。 √ 7.4 沟通 体系推进部门品质部。 职责划分基本能够满足要求。 向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。 公司副总为管理者代理，负责协调内部和外部的信息安全事宜。 √ 7.5 文件记录信息 该公司建立信息安全管理体系时间：文件2015年1月20日发布，2015年1月20日实施。 编制管理手册、SOA适用性声明1套，31个程序文件，信息安全记录86个； 明确了方针和目标 管理手册、适用性声明； 形成31个程序 信息安全管理体系运行所必须的程序文件 所需提供的记录86个，包括《风险评估报告》、《风险处理计划》 目前《适用性声明》 √ 9.1 监视、测量、分析和评价 公司通过内审和管理评审等对体系运行过程进行了监视、目标完成情况进行测量，同时也进行了分析和评估，制定了内审、管理评审计划 √ 9.2 内部审核 内审情况：2015年05月11日编制了内审计划。 √ 9.3 管理评审 有管理评审计划 √ 10.1 不符合和纠正措施 ——策划了内审、管理评审、监视测量控制程序等