1、iso iec 27002:2005 審計清單 4/07/2021 信息安全管理iso/ iec 27002:2005(iso/ iec 27001:2005)sans audit check listauthor: val thiagarajan b.e., m.comp, ccse, mcse, sfs, its 2319, it security specialist.status: finallast updated: 3rd may 2006owner: sanspermission to use extracts from iso 17799:2005 was provided b

2、y standards council of canada, in cooperation with ihs canada. no further reproduction is permitted without prior written approval from standards council of canada. documents can be purchased at www.standardsstore.ca.目錄安全方針4信息安全方針4信息安全的組織5內部組織5外部組織6資產管理7對資產的責任7信息分類7人力資源安全8雇傭前8雇傭中8雇傭終止或變更9物理和環境安全9安全區

3、域9設備安全10通訊和操作管理12操作程序和職責12第三方服務交付管理13系統規劃與驗收13防范惡意代碼和移動代碼14備份14網絡安全管理14介質處置15信息交換15電子商務服務16監督17訪問控制18訪問控制的業務要求18用戶訪問管理18用戶責任19網絡訪問控制20操作系統訪問控制21應用和信息訪問控制22移動計算和遠程工作22信息系統的獲取、開發和維護23信息系統安全要求23應用的正確處理23加密控制24系統文件安全25開發和支持過程的安全25技術脆弱點管理26信息安全事故管理27報告信息安全事件和弱點27信息安全事故的管理和改進27業務連續性管理28業務連續性管理的信息安全方面28符合性

4、29符合法律法規要求29符合安全方針、標準，以及技術符合性31信息系統審核的考慮因素31參考資料32信息安全管理 iso iec 27002:2005 審計清單審計人員：_ 審計日期：_信息安全管理 iso iec 27002:2005 審計清單參考審計范圍、目標和問題結果清單章節條款審計問題發現符合性安全方針1.15.1信息安全方針.1信息安全方針文件l 是否存在經過管理層批準的信息安全方針，發布并傳達給所有員工？l 安全方針是否陳述了管理承諾，并且設立了信息安全管理的組織目標？.2信息安全方針的評審l 是否按計劃的時間間隔，或者在發生重大變化時評審信息安全方

5、針，以確保方針的持續適合性、充分性和有效性？l 信息安全方針有沒有所有者，此人負有經過組織批準的起草、評審和評估安全方針的管理責任？l 有沒有制定信息安全方針評審程序，該程序是否包括管理評審的要求？l 有沒有考慮/重視管理評審的結果？l 修訂的方針有沒有得到管理層的批準？信息安全的組織2.16.1內部組織.1管理層對信息安全的承諾管理層有沒有積極支持組織內的安全措施。例如清楚明確的方向，可證實的承諾，明確分配和確認信息安全職責。.2信息安全協調組織的各個部門有沒有指派具有恰當的角色和職責的代表參與協調信息安全活動？.3信息安全職責分配有沒有清晰地

6、識別和定義保護各種資產，以及執行特定安全過程的職責？.4信息處理設施的授權過程有沒有定義和實施對組織內任何新的信息處理設施的管理授權程序？.5保密協議l 有沒有清楚地定義并有規律地評審組織的保密性需求或用于保護信息的保密協議？l 有沒有用合適的法律用詞指出保護機密信息的需求？.6與政府部門的聯系有沒有一個程序描述了在什么情況下，應該由誰聯系哪個政府部門，比如公安局、消防局，以及如何報告事故？.7與特殊利益團體的聯系有沒有與特殊的利益團體比如專業的安全論壇或者安全專家協會保持恰當的聯系？.8信息安全的獨立評審有沒有按

7、照計劃的時間間隔，或者在安全實施發生重大改變時，對組織的信息安全管理目標及其實現進行獨立評審？2.26.2外部組織.1識別與外部組織相關的風險在外部組織需要訪問組織內的信息和信息處理設施時，有沒有在授予訪問權限前識別訪問導致的風險，并采取適當的控制措施？.2與客戶接觸時強調安全在授予客戶對組織的信息或資產的訪問權限前，是否確保所有的安全需求得到了滿足？.3在第三方協議中強調安全第三方協議中有沒有要求在訪問、處理、通訊、管理組織的信息或信息處理設施，或者往信息處理設施引入產品或服務時，必須符合所有適用的安全要求？資產管理3.17.1對資產的責任3.

8、資產清單是不是所有的資產都得到識別，有沒有維護所有重要資產的清單或者登記表.2資產責任人每個已識別的資產都有責任人，和一個已定義且得到一致同意的安全類別，以及定期審核的訪問權限.3資產的可接受使用有沒有確定一個信息和資產的可接受使用規定，并實施了該規定3.27.2信息分類.1分類指南有沒有根據信息的價值、法律法規的要求、敏感度和重要性分類信息.2信息標識和處理有沒有根據組織采用的分類標準，制定一系列標識和處理信息的程序人力資源安全4.18.1雇傭前.1角色和職責l 有沒有根據組織的信息安全策略定義并

9、記錄員工、承包商和第三方用戶的安全角色和職責l 在雇用前過程中有沒有就定義的角色和職責與職位的候選人進行明確的溝通.2審查l 有沒有根據相關規定對所有職位、合同商和第三方用戶候選者進行背景驗證審查l 審查有沒有包括身份證明書，所聲稱的學術和專業資質證明，以及獨立的身份檢驗.3雇傭條款和條件l 有沒有要求員工、合同商和第三方用戶簽訂保密協議，作為雇傭合同的初始條款l 協議有沒有包含組織、員工、第三方用戶和合同商的信息安全責任4.28.2雇傭中.1管理職責管理層有沒有要求員工、合同商和第三方用戶根據組織建立的策略和程序實施安全.2信息

10、安全意識、教育和培訓組織的所有員工，合同方和第三方用戶，有沒有受到與其工作職能相關的適當的安全意識培訓和組織方針及程序的定期更新培訓.3懲戒過程對于違反安全規定的員工有沒有正式的懲戒過程4.38.3雇傭終止或變更.1終止職責有沒有清晰規定和分配進行雇傭終止或變更的責任.2歸還資產有沒有適當的程序確保當雇傭、合同或協議終止時，員工、合同方和第三方用戶歸還所使用的組織資產.3移除訪問權限當雇傭、合同或協議終止時，有沒有撤銷員工、合同方和第三方用戶對信息和信息處理設施的訪問權限，或根據變化調整物理和環境安全5.19.1安全區域5.1.1

11、9.1.1物理安全邊界有沒有使用物理邊界安全設施（例如門卡控制出入的大門、人工接待臺等）來保護信息處理服務.2物理進入控制有沒有適當的進入控制程序確保只有經過授權的人員才可以訪問組織內部區域.3辦公室、房間和設施的安全提供信息處理服務的房間有沒有上鎖或者房內有可鎖定的柜子、保險箱.4防范外部和環境威脅l 有沒有設計并實施針對火災、水災、地震、爆炸、騷亂和其他形式的自然或人為災難的物理保護措施l 鄰近地點有沒有潛在的安全威脅.5在安全區域工作有沒有設計并實施在安全區域工作的物理保護措施和指南.6公共訪問和裝卸區域對于

12、裝卸或其他未經授權人員可以進入的公共訪問區域有沒有加以控制，那里的信息處理設施有沒有加以隔離以防止非授權的訪問5.29.2設備安全.1設備安置和保護有沒有保護設備以減少來自環境的威脅或危害，并減少未經授權訪問的機會 .2支持性設施l 有沒有保護設備免受電力中斷或其他支持性設施失效所導致的中斷l 有沒有采取某些持續供電措施，如多路供電、ups、備用發電機等.3電纜安全l 有沒有保護承載數據或支持信息服務的電力和通訊電纜免遭中斷或破壞l 對于敏感或關鍵的系統，有沒有采取進一步的安全控制.4設備維護l 有沒有正確地維護設備以確保其持續可

13、用性和完整性l 設備是不是按照供應商推薦的服務時間間隔和規范進行維護l 是不是只有經過授權的人員才能進行維護l 有沒有保存所有可疑的或實際的故障以及所有預防和糾正措施的記錄l 對于需要離場維護的設備有沒有進行適當的控制l 設備有沒有保險，有沒有遵守保險方面的要求.5場外設備安全l 有沒有評估場外設備的風險并采取降低風險的控制措施l 在組織外使用信息處理設施有沒有得到管理授權.6設備的安全處置或重用有沒有檢查所有含存儲介質的設備，以確保在銷毀或重用設備前物理摧毀或者安全重寫所有敏感數據或授權軟件.7資產轉移有沒有控制措施，確保未經授權，不能將設備、

14、信息和軟件帶離工作場所通訊和操作管理6.110.1操作程序和職責.1文件化的操作程序l 操作程序有沒有文件化，得到維護且所有需要的用戶都可以獲得l 有沒有把這些文件化程序視為正式的文件，且任何變更須得到管理授權.2變更管理有沒有控制所有對信息處理設施和系統的變更6.1.310.1.3職責分離有沒有分離職責和區域，以降低未授權修改或濫用組織的信息和服務的機會6.1.410.1.4開發、測試與運營設施的分離有沒有分離開發、測試和運營設施。例如，開發和生產軟件應該運行在不同的計算機上。開發和生產網絡應該互相隔離6.210.2第三方服務交付管理.1

15、服務交付有沒有措施確保第三方實施、運行并保持第三方服務交付協議中包含的安全控制、服務定義和交付等級.2第三方服務的監督和評審l 有沒有定期對第三方提供的服務、報告和記錄進行監視和評審l 有沒有定期對第三方服務、報告和記錄進行審核6.2.310.2.3管理第三方服務的變更l 有沒有管理服務提供的變更，包括保持和改進現有信息安全方針、程序和控制措施l 有沒有考慮業務系統的關鍵程度、涉及的過程和風險的再評估6.310.3系統規劃與驗收.1容量管理有沒有監控容量需求并反應未來的容量要求，以確保擁有足夠的處理能力和存儲空間.2系統驗收l 有沒有建立新

16、信息系統、系統升級和新版本的驗收準則l 接收系統前有沒有進行適當的測試6.410.4防范惡意代碼和移動代碼.1防范惡意代碼有沒有制定并實施程序，通過檢測、預防和恢復來防范惡意代碼，并進行適當的用戶意識培訓.2防范移動代碼l 是不是只可以使用獲得授權的移動代碼l 配置管理有沒有確保授權的移動代碼按照安全方針運行l 有沒有阻止未經授權的移動代碼運行6.510.5備份.1信息備份l 有沒有根據既定的備份策略對信息和軟件進行備份并定期測試l 所有基本的信息和軟件能否在災難或介質故障后進行恢復6.610.6網絡安全管理.1網絡控制l

17、 有沒有充分管理和控制網絡以防范威脅、保持使用網絡包括信息傳輸的系統和應用程序的安全l 有沒有實施控制以確保網絡上信息的安全，防止未經授權訪問所連接的服務.2網絡服務安全l 有沒有識別所有網絡服務的安全特性、服務等級和管理要求，并包含在網絡服務協議中l 有沒有對網絡服務提供商以安全方式管理商定服務的能力予以確定并定期監督，還應商定審計的權利6.710.7介質處置.1可移動介質的管理l 有沒有建立可移動介質的管理程序，如磁帶、磁盤、閃存等l 所有的程序和授權級別是否清晰地形成文件.2介質的處置不再需要的介質有沒有按照正式的程序進行安全可靠的處

18、置6.7.310.7.3信息處理程序l 有沒有處理信息存儲的程序l 該程序有沒有考慮防范信息的未授權泄露或誤用6.7.410.7.4系統文件安全保護系統文件免受未授權的訪問6.810.8信息交換.1信息交換策略和程序l 有沒有建立正式的交換策略、程序和控制，以保護信息l 這些程序和控制有沒有涵蓋使用電子通訊設施交換信息.2交換協議l 有沒有建立組織和外部組織交換信息和軟件的協議l 協議的安全內容有沒有反映涉及的業務信息的敏感度6.8.310.8.3運輸中的物理介質包含信息的介質在組織的物理邊界以外運送時，有沒有防止未授權的訪問、不當使用或毀壞6.8.410.

19、8.4電子消息有沒有保護包含在發送的電子消息中的信息(電子消息包括但不限于電子郵件、電子數據交換（edi）、即時通信)6.8.510.8.5業務信息系統有沒有制定并實施策略和程序，以保護與業務信息系統相關聯的信息 6.910.9電子商務服務.1電子商務l 有沒有保護電子商務中通過公共網絡傳輸的信息，以防止欺詐、合同爭議、未授權的訪問和修改l 有沒有考慮諸如使用密碼技術等安全控制l 有沒有文件化的協議來支持和貿易伙伴之間的電子商務安排，該協議使雙方致力于商定的貿易條款，包括安全問題的細節.2在線交易有沒有保護在線交易信息，以防止不完整的傳輸、路由錯誤、未經授權

20、的信息更改、未經授權的信息泄露、未經授權的信息復制或重放 6.9.310.9.3公共可用信息有沒有保護公共可用信息的完整性，防止未經授權的更改6.1010.10監督0.1審計日志l 有沒有產生記錄用戶活動、意外以及信息安全事件的審計日志，并且按照約定的期限進行保存，以支持將來的調查和訪問控制檢測l 保留審計日志時應考慮適當的隱私保護措施0.2監視系統的使用l 有沒有制定并實施監視信息處理設施系統使用的程序l 有沒有定期評審監視活動的結果l 各個信息處理設施的監控級別是否由風險評估決定6.10.310.10.3日志信息保護有沒有保護日志設施和日志信息免受破

21、壞和未經授權的訪問6.10.410.10.4管理員和操作員日志l 有沒有記錄系統管理員和系統操作員的活動l 有沒有定期評審上述活動日志6.10.510.10.5故障日志l 有沒有記錄并分析錯誤日志，并采取適當的措施l 各系統的日志記錄級別是否由風險評估決定，并考慮性能的降低6.10.610.10.6時鐘同步組織內或同一安全域內的所有信息處理設施的時鐘有沒有按照約定的正確時間源保持同步(正確設置計算機時鐘對于保持審計日志的準確性非常重要)訪問控制7.111.1訪問控制的業務要求.1訪問控制策略l 有沒有制定并評審基于業務和安全需求的訪問控制策略l 訪問控制策略有沒有同時考慮物理

22、和邏輯訪問控制l 有沒有將通過訪問控制要滿足的業務要求的清晰說明提供給用戶和服務提供者7.211.2用戶訪問管理.1用戶注冊有沒有建立正式的用戶注冊和解除注冊程序，以允許和撤銷對所有信息系統和服務的訪問 .2特權管理有沒有限制并控制信息系統環境下特權的使用和分配，例如根據需要知道原則分配特權，或特權僅在通過正式授權流程后分配 7.2.311.2.3用戶口令管理l 有沒有通過正式的管理流程控制口令的分配l 有沒有要求用戶簽署一份聲明，以保持口令的保密性7.2.411.2.4用戶訪問權限的評審有沒有按計劃的時間間隔評審用戶訪問權限的流程，例如：每三個月評審特殊權

23、限，每六個月評審普通權限7.311.3用戶責任.1口令使用有沒有要求用戶在選擇和使用口令時遵循良好的安全慣例 .2無人值守的用戶設備有沒有讓用戶和合同商了解保護無人值守設備的安全要求和程序例如：會話結束時登出或設置自動登出，結束時終止會話等7.3.311.3.3桌面及屏幕清空策略l 有沒有針對文件、可移動存儲介質的桌面清空策略l 有沒有針對信息處理設施的屏幕清空策略7.411.4網絡訪問控制.1網絡服務使用策略l 用戶是不是只能訪問經過明確授權使用的服務l 有沒有制定關于使用網絡和網絡服務的策略.2外部連接用戶的鑒別有沒有

24、適當的鑒別機制控制遠程用戶的訪問7.4.311.4.3網絡設備的識別有沒有考慮自動設備識別，將其作為鑒別特定位置及設備連接的方法7.4.411.4.4遠程診斷和配置端口保護有沒有安全地控制對診斷和配置端口的物理和邏輯訪問7.4.511.4.5網絡隔離l 有沒有隔離網絡上的信息服務組、用戶和信息系統l 有沒有使用安全邊界機制如防火墻來隔離網絡（業務伙伴或第三方需要訪問信息系統）l 有沒有考慮把無線網絡與內部和專用網絡隔離開7.4.611.4.6網絡連接控制訪問控制策略有沒有規定共享網絡的網絡連接控制，尤其是那些延伸到組織邊界之外的網絡7.4.711.4.7網絡路由控制l 網絡控制策略有沒有規定路

25、由控制l 路由選擇控制是否基于確定的源地址和目的地址檢驗機制7.511.5操作系統訪問控制.1安全登錄程序是否通過安全登錄程序控制對操作系統的訪問.2用戶標識和鑒別l 所有用戶如操作員、系統管理員和其他技術人員是否有唯一的識別碼（用戶id）l 有沒有選擇合適的認證技術驗證所宣稱的用戶身份l 在例外環境下，如果存在明顯的業務利益，可以使用共享用戶id。對于這種情況，有沒有要求額外的控制以維護可核查性7.5.311.5.3口令管理系統有沒有口令管理系統以加強口令控制 7.5.411.5.4系統實用工具的使用有沒有限制并嚴格控制能越過系統和應用控制的實用工具的使用

26、7.5.511.5.5會話超時不活動的會話是否在一個設定的不活動周期后關閉(對于某些系統，清空屏幕并防止未授權訪問，但不關閉應用或網絡會話提供了一種受限制的超時形式)7.5.611.5.6聯機時間限制有沒有限制對高風險應用程序的連接時間，這類限制應考慮終端安裝在高風險位置的敏感應用7.611.6應用和信息訪問控制.1信息訪問限制有沒有根據規定的訪問控制策略，限制用戶和支持人員對信息和應用系統功能的訪問.2敏感系統隔離敏感系統有沒有使用獨立的計算環境，例如運行在特定的計算機上，僅和信任的應用系統共享資源等7.711.7移動計算和遠程工作.1移

27、動計算和通訊l 有沒有建立正式的策略并采取適當的安全措施，以防范使用移動計算和移動通訊設施的風險l 移動計算和通訊設施包括：筆記本、掌上機、膝上機、智能卡和移動電話l 移動計算策略有沒有考慮在不受保護的環境下工作的風險.2遠程工作l 有沒有制定并實施遠程工作的策略、操作計劃和程序l 管理層有沒有授權和控制遠程工作活動，并進行適當的安排信息系統的獲取、開發和維護8.112.1信息系統安全要求.1安全要求分析和規范l 新的信息系統或現有信息系統的更新的安全需求有沒有詳述安全控制要求 l 安全要求和控制有沒有反映所涉及信息資產的業務價值和由于安全失敗引起的業務損失

28、l 信息安全系統需求與實施安全的過程是否在信息系統項目的早期階段集成8.212.2應用的正確處理.1輸入數據驗證l 有沒有驗證應用系統的輸入數據，以確保正確和適當l 有沒有考慮下述控制：用于檢查錯誤信息的不同類型的輸入，響應確認差錯的程序，定義數據輸入過程中所涉及的全部人員的職責等.2內部處理控制l 應用程序有沒有包含確認檢查，以檢測任何由于流程錯誤或故意行為造成的信息出錯l 設計和實施應用時有沒有確保把由于處理失敗導致的完整性被損壞的風險降至最低8.2.312.2.3消息完整性l 有沒有識別應用系統中確保和保護信息完整性的要求，識別并實施適當的控制l 有沒

29、有進行安全風險評估以決定是否需要信息完整性，并識別實施中最合適的方法8.2.412.2.4輸出數據驗證有沒有驗證應用系統的輸出數據，以確保存儲信息的處理是正確的且與環境相適宜8.312.3加密控制.1使用加密控制的策略l 有沒有制定并實施使用加密控制保護信息的策略l 密碼策略有沒有考慮使用密碼控制的管理方法、風險評估結果所要求的保護級別、密鑰管理方法、為有效實施而采用的標準等.2密鑰管理l 有沒有進行密鑰管理，以支持組織對密碼技術的使用l 有沒有保護密鑰，防止修改、遺失和損壞l 有沒有保護秘密密鑰和私有密鑰，防止泄露l 有沒有對用于生成、存儲密鑰的設備進行物

30、理保護l 密鑰管理系統是否基于一組已商定的標準、程序和方法8.412.4系統文件安全.1操作軟件控制有沒有建立程序，控制在運營系統之上安裝應用軟件(降低運營系統損壞的風險).2系統測試數據的保護l 有沒有保護并控制系統測試數據l 有沒有避免使用包含個人信息或其他敏感信息的運行數據庫進行測試8.4.312.4.3程序源代碼的訪問控制有沒有嚴格控制對程序源代碼庫的訪問8.512.5開發和支持過程的安全.1變更控制程序l 有沒有實施嚴格的控制程序，控制對信息系統變更的實施l 該程序有沒有包括風險評估、變更影響分析.2操作系統變更

31、后的應用系統技術評審操作系統變更后，有沒有程序或過程評審并測試關鍵業務應用系統，以確保變更不會對組織的運營或安全產生負面影響8.5.312.5.3軟件包變更限制l 不鼓勵對軟件包進行變更或僅限于必要的變更l 有沒有嚴格控制所有變更8.5.412.5.4信息泄露l 有沒有實施控制以防信息泄露l 有沒有考慮如下控制：掃描外部介質和通信、在法律法規允許的前提下定期監視個人和系統行為、監控資源使用8.5.512.5.5軟件開發外包l 有沒有對外包開發的軟件進行監控和管理 l 有沒有考慮：許可證問題、源代碼托管、質量保證的合同要求、安裝前測試以檢測惡意代碼和特洛伊代碼等8.612.6技術脆弱點管理8.6

32、.112.6.1控制技術脆弱點l 有沒有及時獲取所使用信息系統的技術脆弱點信息l 有沒有評估組織技術脆弱點暴露的風險，并采取適當的措施降低相關風險信息安全事故管理9.113.1報告信息安全事件和弱點.1報告信息安全事件l 有沒有通過適當的管理途徑盡快報告信息安全事件l 有沒有制定并實施正式的信息安全事件報告程序、事故響應和升級程序.2報告信息安全弱點有沒有程序要求所有員工、合同方和第三方用戶注意并報告系統或服務中發現或疑似的安全弱點9.213.2信息安全事故的管理和改進.1職責和程序l 有沒有建立管理職責和程序，以迅速、有效和有序地響應信息

33、安全事故l 有沒有監控系統、報警和弱點來檢測信息安全事故l 有沒有與管理層協商信息安全事故管理的目標并達成一致.2從信息安全事故中學習l 有沒有建立識別并量化信息安全事故的類型、數量和費用的機制l 有沒有使用從過去信息安全事故評估中獲取的信息來識別再發生或重大影響的事故9.2.313.2.3收集證據l 信息安全事故發生后，有沒有根據法律規定（無論是民法還是刑法）跟蹤個人或組織的行動l 有沒有收集、保留事故相關證據，并以符合相關法律的形式提交l 當為了懲罰目的而收集和提交證據時，有沒有制定并遵循內部規程業務連續性管理10.114.1業務連續性管理的信息安全方面10.1.114.

34、1.1在業務連續性管理過程中包含信息安全l 有沒有一個管理程序，闡明組織業務連續性對信息安全的要求l 該程序有沒有闡明組織面臨的風險，識別業務關鍵資產，識別事故影響，考慮實施附加的預防性控制，并形成表明了安全需求的業務連續性計劃文檔.2業務連續性和風險評估有沒有識別可能導致業務過程中斷的事故，以及這類中斷發生的可能性和影響、中斷的信息安全后果10.1.314.1.3制定并實施包括信息安全的連續性計劃l 有沒有開發計劃，在業務流程中斷或失效后能在要求的時間內和要求的等級上保持和恢復運營并確保信息的可用性l 計劃有沒有考慮鑒別和協調職責、鑒別可接受損失、實施恢復和重建程序、文檔化規程、定期測試10.1.414.1.4業務連續性計劃框架l 有沒有單一的業務連續性計劃框架l 有沒有維護該框架以確保所有計劃的一致性，并識別測試和保持的優先級l 業務連續性計劃有沒有闡明識別出的信息安全需求10.1.514.1.5bcp的測試、維護和再評估l 有沒有定期測試并更新bcp，以確保bcp的更新和有效性l bcp的測試能否確保恢復團隊的所有成員及其他相關人員知道該計劃，明確他們