1、一序口亠審核內(nèi)容審查要點(diǎn)審核結(jié)果判定/處置1是否開展了信息安全的檢查活動(dòng)？有安全檢查記錄或者報(bào)告，和改善記錄21，是否制定了資產(chǎn)清單，包含了所有的客戶信息資產(chǎn)，包括服務(wù)器，個(gè)人電腦，網(wǎng)絡(luò)設(shè)備，支持設(shè)備，人員，數(shù)據(jù)？2,對(duì)這些資產(chǎn)清單是否有定期的更新？1確認(rèn)資產(chǎn)清單正確2.確認(rèn)更新記錄3客戶的資產(chǎn)的保護(hù)3上面的資產(chǎn)清單上是否標(biāo)識(shí)了所有人和保管人？（要點(diǎn)：確認(rèn)資產(chǎn)的所有人和保管人被清楚的標(biāo)識(shí)，并且和實(shí)際情況相符）4是否按客戶文檔的密級(jí)規(guī)則進(jìn)行了適當(dāng)?shù)谋Ｗo(hù)確認(rèn)對(duì)于機(jī)密信息（電子文檔，打印文檔），限定范圍的信息（電子文檔，打印文檔）是否有明確標(biāo)識(shí)。根據(jù)需要，確認(rèn)限定范圍，附帶標(biāo)識(shí)，制定日期，制定者。5

2、是否使所有員工和信息安全相關(guān)人員簽署了保密協(xié)議/合同？6是否有信息安全意識(shí)、教育和培訓(xùn)計(jì)劃？確認(rèn)培訓(xùn)計(jì)劃7是否執(zhí)行了信息安全意識(shí)、教育和培訓(xùn)？培訓(xùn)記錄（實(shí)施日期，培訓(xùn)內(nèi)容/教材，參加人員8是否制定了信息安全懲戒規(guī)程？9郵件用戶是否清除了？抽查是否有離職人員的用戶權(quán)限沒有被清除10門禁權(quán)限是否清除了？11是否制訂規(guī)則劃分了安全區(qū)域？確認(rèn)風(fēng)險(xiǎn)評(píng)估時(shí)是否劃分了安全區(qū)域等級(jí)12是否執(zhí)行了安全區(qū)域劃分規(guī)則？對(duì)不同等級(jí)的區(qū)域是否有相應(yīng)措施，措施是否被執(zhí)行13是否制訂安全區(qū)域出入規(guī)則？1在公司內(nèi)部，員工是否佩帶可以識(shí)別身份的門卡2機(jī)房，實(shí)驗(yàn)室是否有出入管制規(guī)則14是否執(zhí)行了安全區(qū)域出入規(guī)則（前臺(tái)接待，機(jī)房，

3、實(shí)驗(yàn)室訪問控制）？安裝了防盜設(shè)施。（機(jī)房大門的上鎖，ID卡的識(shí)別裝置進(jìn)入，離開的管理），實(shí)驗(yàn)室進(jìn)出是否有管理記錄15是否定義了公共訪問/交接區(qū)域？確認(rèn)定義文件16是否監(jiān)控了公共訪問和交接區(qū)域？實(shí)地杳看是否有監(jiān)控措施一序口亠審核內(nèi)容審查要點(diǎn)審核結(jié)果判定/處置17服務(wù)器是否得到了妥善的安置和防護(hù)？重要的服務(wù)器放在安全的區(qū)域（如機(jī)房）是否有UPS溫度和濕度合適18是否制訂服務(wù)器維護(hù)計(jì)劃？確認(rèn)計(jì)劃內(nèi)容19設(shè)備處置是否經(jīng)過了申請(qǐng)？（設(shè)備維修，銷毀等）確認(rèn)修理及報(bào)廢時(shí)的HDD的對(duì)應(yīng)方法。20設(shè)備處置是否經(jīng)過了管理審批記錄21服務(wù)器，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的變更是否經(jīng)過了管理？變更申請(qǐng)記錄22是否進(jìn)行了防病毒軟件的

4、部署確認(rèn)部門系統(tǒng)和個(gè)人PC的手都已經(jīng)部署并且狀態(tài)正常C23是否有及時(shí)的防病毒軟件的升級(jí)24對(duì)防病毒軟件的是否進(jìn)行了檢查？（執(zhí)行一次檢查）25備份策略制訂是否有備份策略的制訂？26備份實(shí)施是否有備份的實(shí)施？27備份驗(yàn)證是否有備份的驗(yàn)證28備份保護(hù)是否有備份保護(hù)29是否實(shí)施了網(wǎng)絡(luò)控制是否有網(wǎng)絡(luò)訪問方面的限制30是否對(duì)網(wǎng)絡(luò)服務(wù)的安全進(jìn)行了控制Web訪問服務(wù)的安全Mail服務(wù)的安全31是否有移動(dòng)介質(zhì)清單的管理1.是否有管理清單2記錄重要信息的外部存貯介質(zhì)（例如：外置硬盤，CD,DVD,U盤，PCMCIA移動(dòng)存儲(chǔ)卡，存儲(chǔ)備份資料用的備份設(shè)備等），是否被保管在帶鎖的文件柜中？一序口亠審核內(nèi)容審查要點(diǎn)審核結(jié)

5、果判定/處置32是否有移動(dòng)介質(zhì)報(bào)廢管理報(bào)廢的申請(qǐng)和審批記錄確認(rèn)文本文件的廢棄方法。確認(rèn)是否將含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收資源的箱子中。確認(rèn)是否將垃圾箱和可回收資源的箱子放在安全的場(chǎng)所。打印機(jī)上是否留有文件沒有被取走33系統(tǒng)文件是否得到了保護(hù)1檢查其訪問權(quán)限設(shè)定。2.是否有備份34是否有信息父換策略制訂確認(rèn)項(xiàng)目或其他敏感信息是否在發(fā)送前經(jīng)過授權(quán)者確認(rèn)，是否經(jīng)過信息所有人的授權(quán)。35和信息交換方是否簽訂了協(xié)議和交換涉及方簽訂NDA（保密協(xié)議）36物理介質(zhì)傳輸是否得到了保護(hù)檢查包裝合理性搬運(yùn)方法合理性37是否按照公司規(guī)程實(shí)施了電子信息交換確認(rèn)是否有電子郵件使用規(guī)則，和實(shí)施情況（

6、如發(fā)送重要文件時(shí)是否有文件加密等）38是否按照公司規(guī)程實(shí)施業(yè)務(wù)信息互聯(lián)1互聯(lián)網(wǎng)使用的檢查。2互聯(lián)是否有訪問控制，權(quán)限分配規(guī)則39是否有訪問控制方針制訂如果有文件共享請(qǐng)確認(rèn)：確認(rèn)是否設(shè)置了全員都可以訪問的權(quán)限。確認(rèn)對(duì)于長(zhǎng)時(shí)間不使用的人員是否暫停其帳號(hào)。確認(rèn)共享文件的訪問權(quán)限范圍。40是否對(duì)訪問控制方針進(jìn)行了評(píng)審是否有定期的檢查41是否有用戶注冊(cè)的管理1確認(rèn)用戶賬號(hào)是否有申請(qǐng)書。2確認(rèn)用戶ID及主要訪問的清單，要求刪除的用戶或訪問權(quán)限是否及時(shí)修改。3.確認(rèn)處理申請(qǐng)的記錄。42是否有特權(quán)管理的管理1如果訪問控制清單等是以紙張形式打印出來(lái)的，確認(rèn)是否保管在上鎖的地方。2.電子文檔是否保管在只有管理者才能打開的場(chǎng)所。43是否有口令的管理有沒有將口令寫在便條上，或者告知他人一序口亠審核內(nèi)容審查要點(diǎn)審核結(jié)果判定/處置44是否定期對(duì)權(quán)限進(jìn)行了審核定期審核記錄45是否制定了口令策略管理人員的密碼設(shè)定。是否有員工號(hào)等容易推斷的密碼。1個(gè)帳號(hào)是否有多個(gè)用戶。密碼是否記錄在便條上。密碼為6位央文數(shù)字以上46是否執(zhí)行了口令策略47是否實(shí)施了網(wǎng)絡(luò)隔離（不冋功能和密級(jí)網(wǎng)絡(luò)的隔離，物理或邏輯）？是否有隔離區(qū)從隔離區(qū)外是否可以訪問區(qū)內(nèi)網(wǎng)絡(luò)資源48是否對(duì)網(wǎng)絡(luò)連接實(shí)施了控制接入網(wǎng)絡(luò)前是否經(jīng)過IM或者ISM的安全檢查49是否制訂了信息訪問限制策略訪問策略定義文件50