企业信息安全检查表(ISO27001标准)

序号1检查项目是否开展了信息安全的检查活动？1.是否制定了资产清单，包含了所有的客户信息资产，包括服务器，个人电脑，网络设备，支持设备，人员，数据？2.对这些资产清单是否有定期的更新？上面的资产清单上是否标识了所有人和保管人？重点确认有安全检查记录或者报告，和改善记录1.确认资产清单正确2.确认更新记录3.客户的资产的保护（要点：确认资产的所有人和保管人被清楚的标识，并且和实际情况相符）确认对于机密信息(电子文档，打印文档),限定范围的信息(电子文档，打印文档)是否有‘明确标识’。根据需要，确认‘限定范围’，‘附带标识’，‘制定日期’，‘制定者’。检查结果不符合说明234是否按客户文档的密级规则进行了适当的保护是否使所有员工和信息安全相关人员签署了保密协议/合同？是否有信息安全意识、教育和培训计划？是否执行了信息安全意识、教育和培训？是否制定了信息安全惩戒规程？邮件用户是否清除了？56789确认培训计划培训记录（实施日期，培训内容/教材,参加人员抽查是否有离职人员的用户权限没有被清除10门禁权限是否清除了？11是否制订规则划分了安全区域？12是否执行了安全区域划分规则？13是否制订安全区域出入规则？14是否执行了安全区域出入规则（前台接待，机房，实验室访问控制）？确认风险评估时是否划分了安全区域等级对不同等级的区域是否有相应措施，措施是否被执行1.在公司内部，员工是否佩带可以识别身份的门卡2.机房，实验室是否有出入管制规则安装了防盗设施。（机房大门的上锁，ID卡的识别装置进入，离开的管理），实验室进出是否有管理记录确认定义文件实地查看是否有监控措施15是否定义了公共访问/交接区域？16是否监控了公共访问和交接区域?企业信息安全检查表（根据ISO27001标准）

序号检查项目重点确认1. 重要的服务器放在安全的区域（如机房）2. 是否有UPS3. 温度和湿度合适确认计划内容确认修理及报废时的HDD的对应方法。审批记录变更申请记录确认部门系统和个人PC的手都已经部署并且状态正常。检查结果不符合说明17服务器是否得到了妥善的安置和防护？18是否制订服务器维护计划？设备处置是否经过了申请？（设备维修，销毁19等）20设备处置是否经过了管理服务器，网络和应用系统的变更是否经过了管21理？22是否进行了防病毒软件的部署23是否有及时的防病毒软件的升级对防病毒软件的是否进行了检查?(执行一次检24查）25备份策略制订26备份实施27备份验证28备份保护29是否实施了网络控制30是否对网络服务的安全进行了控制是否有备份策略的制订？是否有备份的实施？是否有备份的验证是否有备份保护是否有网络访问方面的限制1.Web访问服务的安全2.Mail 服务的安全1.是否有管理清单2.记录重要信息的外部存贮介质(例如：外置硬盘，CD,DVD,U盘，PCMCIA移动存储卡，存储备份资料用的备份设备等)，是否被保管在带锁的文件柜中？31是否有移动介质清单的管理企业信息安全检查表（根据ISO27001标准）

序号检查项目重点确认1.报废的申请和审批记录2.确认文本文件的废弃方法。3.确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。4.确认是否将垃圾箱和可回收资源的箱子放在安全的场所。5.打印机上是否留有文件没有被取走1.检查其访问权限设定。2.是否有备份确认项目或其他敏感信息是否在发送前经过授权者确认，是否经过信息所有人的授权。和交换涉及方签订NDA(保密协议)1. 检查包装合理性2. 搬运方法合理性确认是否有电子邮件使用规则，和实施情况（如发送重要文件时是否有文件加密等）1.互联网使用的检查。2.互联是否有访问控制，权限分配规则如果有文件共享请确认：1.确认是否设置了全员都可以访问的权限。2.确认对于长时间不使用的人员是否暂停其帐号。3.确认共享文件的访问权限范围。是否有定期的检查1.确认用户账号是否有申请书。2.确认用户ID及主要访问的清单，要求删除的用户或访问权限是否及时修改。3.确认处理申请的记录。1.如果访问控制清单等是以纸张形式打印出来的，确认是否保管在上锁的地方。2.电子文档是否保管在只有管理者才能打开的场所。有没有将口令写在便条上，或者告知他人检查结果不符合说明32是否有移动介质报废管理33系统文件是否得到了保护34是否有信息交换策略制订35和信息交换方是否签订了协议36物理介质传输是否得到了保护37是否按照公司规程实施了电子信息交换38是否按照公司规程实施业务信息互联39是否有访问控制方针制订40是否对访问控制方针进行了评审41是否有用户注册的管理42是否有特权管理的管理43是否有口令的管理企业信息安全检查表（根据ISO27001标准）

序号检查项目定期审核记录管理人员的密码设定。是否有员工号等容易推断的密码。1个帐号是否有多个用户。密码是否记录在便条上。密码为6位英文数字以上要求全员执行1.是否有隔离区2.从隔离区外是否可以访问区内网络资源接入网络前是否经过IM或者ISM的安全检查访问策略定义文件对照文件实地观察实施情况审核记录确认合法内容实行人数包括服务器端与客户端运行情况重点确认检查结果不符合说明44是否定期对权限进行了审核45是否制定了口令策略46是否执行了口令策略47是否实施了网络隔离（不同功能和密级网络的隔离，物理或逻辑)?48是否对网络连接实施了控制49是否制订了信息访问限制策略50是否执行了信息访问限制策略51是否对访问策略进行了审核52是否有客户软件的lisence管理53是否执行了二元开机加密的管理是否检查加密软件的正常运行及权限策略的正确54设置