ISOIEC27001：2022信息安全內審檢查表

內審檢查表編號：HZKJ/IS-JL-23受審核部門管理層負責人李強審核員劉東審核日期2023.8.14ISO/IEC27001條款及要求審核內容及方法審核記錄判定1.組織體系覆蓋范圍和過程是否有缺失？無缺失、覆蓋全面符合2.組織對標準條款是否剪裁？如有，所剪裁條款中過程確鑿沒有？在運用信息安全標準時，有不適用條款，已在《適用性聲明》中做出不適用說明。符合4.1理解組織及其環(huán)境1、詢問高管層，公司確定的對經(jīng)營和戰(zhàn)略方向有影響的內、外部因素主要有哪些？對這些內、外部因素的相關信息如何進行監(jiān)視和評審的？

有無制定相關的公司經(jīng)營環(huán)境有關文件？行業(yè)地方的新的法規(guī)要求？

組織的內部外部環(huán)境狀況？有哪些需要應對和管理的風險和機遇？相關的會議紀要？在策劃和建立信息安全管理體系時考慮了以下內容：影響的外部因素有：目前造成影響的外部因素有：行業(yè)環(huán)境：供應商、競爭對手、替代品；外部環(huán)境：外部有：法律法規(guī)、經(jīng)濟、社會人口、技術等；內部有：價值、文件、資源因素和能力因素。有形成《組織內部環(huán)境識別評審記錄》列出了有影響的內外部因素，并制定了方案和措施。在管理評審會議總結會上有進行了討論，對措施的有效性進行評價和分析。已基本識別理解所處環(huán)境，能運用到管理體系中。符合4.2理解相關方的需求和期望與組織信息安全管理體系有關的相關方有哪些？相關方有哪些要求？對相關方及其要求的監(jiān)視和評審如何？法律法規(guī)要求的識別？查《相關方需求和期望清單》公司的相關方包括：政府、顧客、供方、居民、員工等。識別了相關信息安全相關的法律法規(guī)，并確定了符合法律法規(guī)要求。建立相關方期望和需求識別記錄，定期進行監(jiān)視和評審，并及時更新。符合4.3確定信息安全管理體系的范圍1、公司是否有明確的信息安全管理體系的邊界和范圍？并且該范圍和邊界應是已考慮公司內外部因素、相關方要求和公司產(chǎn)品服務；2、公司的信息安全管理體系范圍是否形成文件，并得到保持？3、組織有無界定管理體系的范圍的文件？

4、確定的地理邊界和管理邊界有哪些，表述是否準確？5、有無滿足標準要求建立、實施、保持和持續(xù)改進管理系統(tǒng)的文件？公司基于內、外部環(huán)境影響和相關方要求，結合公司產(chǎn)品和服務，在管理手冊中確定了管理體系的邊界和范圍，覆蓋以下場所四川省成都市辦公區(qū)場所，確定邊界和范圍時考慮了內外部因素和相關方的要求及確定的合規(guī)性義務。公司確定體系范圍符合標準要求。本公司根據(jù)在本部門運行的實際情況，組織相關部門編制了管理手冊和程序文件，以支持管理體系在本公司的運行。符合4.信息安全管理體系公司是否確定信息安全理體系的整個過程，包括：是否確定這些過程所需的輸入和期望的輸出？是否確定這些過程的順序和相互作用？是否確定和應用所需的準則和方法（包括監(jiān)視、測量和相關績效指標），以確保這些過程有效的運行和控制？是否確定這些過程所需的資源并確保其可用性？是否分派這些過程的職責和權限？是否按照6.1的要求所確定的風險和機遇？是否對前述過程進行評價，是否按實實施變更，以確保實現(xiàn)這些過程的預期結果？是否有改進過程？查有按照標準要求和企業(yè)實際，策劃了信息安全體系所需的過程，有制定業(yè)務流程圖，其中包括：軟件開發(fā)系統(tǒng)集成過程等。公司信息安全管理體系包括實現(xiàn)過程、支持過程、績效評價、和改進過程，采用過程方法加以運作和控制。支持過程：主要有人力資源、外部供方、工作環(huán)境、內外部溝通、文件控制等。符合5.1領導和承諾A.5.11、最高管理者是否能證實對管理體系的領導作用和承諾？包括：-確保體系的方針、目標；并與組織環(huán)境和戰(zhàn)略方向相一致；-體系要求融入組織業(yè)務過程；-促進使用過程方法和基于風險的思維；-確保體系所需資源的可用性；-溝通管理體系的重要性和有效性；

-確保體系實現(xiàn)預期效果；-促進、指導和支持人員為體系的有效性做出貢獻；-推動改進；2．公司管理方針、目標是否形成文件，由最高管理者批準頒發(fā)？1、公司主要是通過標語、會議、文件學習、培訓、等方式，向全體人員傳達將環(huán)境信息安全方針管理體系要求融入業(yè)務過程、符合信息安全方針體系要求重要性、遵守法規(guī)、滿足顧客要求和法律法規(guī)的重要性等。2、管理層批準了信息安全方針與目標；提供的資源、環(huán)境能滿足公司信息安全方針管理體系運行要求；本年度已按公司計劃有效組織實施了管理評審。已提供管理承諾的相關證據(jù)。3、包含的信息安全管理目標和管理方針的《管理手冊》由總經(jīng)理批準于2022年2月25日發(fā)布符合5.2方針A.5.1、A.5.4/A.5.71、最高管理者是否制定管理方針？是否形成文件？a）適應組織的宗旨和環(huán)境并支持其戰(zhàn)略方向；b）為制定信息安全管理目標提供框架；c）包括滿足適用要求的承諾；d）包括持續(xù)改進管理管理體系承諾。是否規(guī)定保護環(huán)境、履行合規(guī)義務、持續(xù)改進？是否滿足要求和持續(xù)改進信息安全體系有效性承諾？是否有對組織員工、職能人員及利益相關方進行管理方針的溝通，確保管理方針被清晰地理解并貫穿于整個組織。查：公司制訂了文件化的信息安全管理方針：數(shù)據(jù)保密、信息完整、控制風險、持續(xù)改進、遵守法規(guī)方針適應組織的宗旨和環(huán)境并支持其戰(zhàn)略方向；為制定信息安全方針目標提供框架；包括滿足適用要求的承諾；包括持續(xù)改進信息安全方針管理體系的承諾。通過標語、會議、文件學習、培訓等方式加以溝通和理解。滿足標準要求。符合5.3組織的角色、責任和權限A.5.2/A.5.3/A.5.4公司內各職位職責是否明確？權限分派、溝通和理解是否適宜？各職責間關系是否明確？

查看部門職責與權限，各部門職責是否有重疊或真空？權限是否明確？理解是否清晰？是否分派職責和權限，以包括確保體系符合標準要求？確保各過程獲得預期效果？在組織推動以顧客為關注焦點？在策劃和實施管理體系變更時保持完整性？有管理人員是否承諾對體系持續(xù)改進，并能在控制的領域內承擔責任？查公司信息安全管理手冊：公司有劃分組織架構圖，包括：綜合管理部、市場銷售部、財務部、研發(fā)部，明確了各部門的職責、權限，通過文件加以規(guī)定和溝通。公司任命管理者代表。經(jīng)詢問，管代能了解其職責和權限并履行，如按策劃組織開展了內審和管理評審活動等。查：崗位職責管理規(guī)范文件，有明確總經(jīng)理、各部門主管和技術人員、銷售員等崗位職責、權限，符合職能分配表，規(guī)定合理，完整。詢問3名綜合、客服人員了解其職責和權限。管理層有組織開展了公司內審、管理評審活動和外部聯(lián)絡工作。符合6.1.1總則公司是否有明確可能所需要應對的風險和機遇？為確定需要應對的風險和機遇：1、公司在策劃信息安全管理體系時，是否考慮內部和外部因素？2、公司在策劃信息安全管理體系時，是否有理解相關方需求？策劃環(huán)境管理體系時，是否考慮到4.1和4.2中所提及的問題？有無指出管理體系的范圍？是否確定需要應對的風險和機遇？以及潛在的緊急情況？有無相應的需要應對風險和機遇的文件化信息？查有制定“SWOT分析報告及內外部分析”，“法律法規(guī)清單”及風險識別評價，考慮了企業(yè)所處的內外部環(huán)境，有影響的風險或機遇，制定有控制措施等。其中措施包括：法律法規(guī)變動時，及時組織相關人員進行合規(guī)性評價；與相關方保持信息溝通，對相關方的信息安管理體系方面的需求進行評估，并制定相應的應對措施等措施。有通過檢查和目標考核等方式進行措施有效性的評價，效果有效，減少了風險。符合6.2信息安全目標及其實現(xiàn)規(guī)劃:1、公司信息安全管理目標是否與管理方針保持一致？2、信息安全管理目標是否可測量？3、信息安全管理目標是否適用于公司？4、信息安全管理目標是否與產(chǎn)品和服務合格以及增強顧客滿意相關？5、是否對信息安全管理目標進行監(jiān)視？6、是否將信息安全管理目標與各相關方進行溝通？7、信息安全管理目標是否適時更新？8、信息安全管理目標是否形成文件并保存？查，制定了公司和各職能部門信息安全管理目標，信息安全管理目標包括滿足產(chǎn)品要求所需的內容，可測量，與管理方針保持一致。有明確了目標、考核方法、完成時間等。查目標統(tǒng)計達成情況：制訂的公司信息安全管理目標，具體見公司目標達成統(tǒng)計表。經(jīng)查以上目標均達成，查看其它月份目標統(tǒng)計均能達成。公司與相關方進行傳達本公司的信息安全管理目標；并定期對目標進行評審已符合公司管理的實際情況公司制定目標時考慮相關要求，并每年對目標進行考核。符合變更的策劃管理？公司在變更時考慮了變更的目的和潛在后果、體系的完整性、資源可獲得、職責和權限的再分配，變更后公司及時對體系文件等進行了修訂，及時對部門職責權限進行了調整。較符合標準要求。合格7.1資源1、公司是否有對為滿足管理體系要求的人力資源、材料、能力、信息、設施等進行評估？2、公司是否識別各種現(xiàn)有制約，即為減少不良影響或達成目標需要什么，以及需要什么措施？

組織為建立、實施、保持和持續(xù)改進管理體系所需的資源有哪些？是否配備所需的人員、基礎設施？如何確定、提供并維護所需的環(huán)境？是否有相應的文件確定組織所需的知識，并在必要的范圍內可得到？現(xiàn)場查看，組織已策劃并按文件要求提供信息安全運行過程有關的資源，包括人力資源、設施、軟硬件（軟件）、信息、專項技術、工作環(huán)境和財務資源，公司為實施、保持信息安全管理體系并持續(xù)改進其有效性，增強顧客滿意，對資源的需求予以識別并及時給予提供。符合9.1.1監(jiān)視、測量、分析和評價A.5.1.2/A.5.361）組織對服務特性和接收準則是否進行了規(guī)定？

2）對產(chǎn)品的監(jiān)視和測量是否進行了策劃？在服務實現(xiàn)過程的適當階段進行哪些監(jiān)視和測量，并形成文件？

3）何時實施監(jiān)規(guī)測量？何時對結果進行分析評價？是否保留成文的信息2.目標的完成情況？運行過程中的準則的實際數(shù)據(jù)？確定為合規(guī)義務完成情況？環(huán)境績效的內部信息的溝通方式？監(jiān)視測量過程中是否使用計量器具，如何管理的？查在手冊中明確通過適當?shù)姆椒▽Ψ结樐繕?、過程運行、體系績效等進行監(jiān)視和測量，例如內審、管理評審、目標考核等。通過內審、目標考核等評價體系績效和有效性。已保留了相應記錄。查信息安全目標、方針均有評審和測量，風險評估管理等均有監(jiān)視和控制，有效。符合9.3管理評審A.5.11公司是否定期召開管理評審？并在管理評審中確定質量體系的運行是否適宜、充分和有效，并與組織的戰(zhàn)略方向一致？2管理評審輸入資料是否滿足要求？是否包括以為管理評審采取措施的情況？資源的充分性？來自相關方的有關信息交流？應對風險和機遇采取的措施是否有效？有無改進的機會？管理評審輸出資料是否滿足要求？并保留形成文件的信息？體系改進有關的信息？目標為實現(xiàn)時需要采取的措施？改進管理體系與其他業(yè)務過程融合的機遇？任何與組織戰(zhàn)略方向相關的結論？.....3管理評審輸出資料是否滿足標準的要求？并保留形成文件的信息？有哪些改進的機遇？經(jīng)查有在《管理評審控制程序》明確了管理評審會議召開的頻次為一年一次，以及管理評審輸入輸出的要求，每次管理評審不超過12個月等。經(jīng)查編制了《管理評審計劃》明確了管理評審會議召開的時間，參加的人員，以及會議的議題。會議由總經(jīng)理主持，各部門主管參加計劃于2022年6月召開管理評審管理評審輸出：有以會議記錄形式形成了管理評審報告，結論是：公司的信息安全管理體系是適宜的、充分的、且在持續(xù)有效地運行。方針符合，目標指標能實現(xiàn)，方針目標保持不變。資源需求方面目前沒有。管理評審決議：未實施。符合10.2持續(xù)改進A.5.35公司是否對管理體系的有效性、適宜性和有效性對管理體系進行適當調整？已基本建立了信息安全管理體系，管理層和相關職能部門通過定期環(huán)境巡查、培訓、宣傳、檢討等方式，對信息安全管理體系加以持續(xù)改進意愿。管理評審已提出了將內部審核常態(tài)化等持續(xù)改進需求。符合威脅情報:A.5.7應收集、分析與信息安全威脅有關的信息，形成威脅情報。指定相關管理要求，并定期對與信息安全威脅有關的信息進行分析整理，指定相關控制措施。符合內審檢查表編號：HZKJ/IS-JL-23受審核部門財務部負責人牟茂群審核員劉東審核日期2023.8.14ISO/IEC27001條款及要求審核內容及方法審核記錄判定5.3組織的角色、責任和權限A.5.2/A.5.3/A.5.4財務部的崗位職責權限情況1.與部門負責人交流，對崗位要求明確。2.關鍵崗位人員對職責權限較為清楚，適宜符合6.2信息安全目標及其實現(xiàn)規(guī)劃1.財務部的目標是否得到分解并進行考核？員工是否清楚相應的目標？財務部是否按時對管理目標進行考核？2.根據(jù)公司運行中環(huán)境狀況是否建立相應的管理方案。1.現(xiàn)場的目標根據(jù)體系運行實際情況得到了控制，由綜合管理部對公司及各部門的管理目標進行考核。2.詢問員工管理目標能正確回答本部門管理目標；符合信息安全風險評估：8.2/6.1.2信息安全風險處置：6.1.3/8.3A.5.9信息安全風險是如何進行識別和評價？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風險處置管理？公司建立《信息安全險評估管理程序》，通過程序文件明確了風險評估準則，資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎上得出綜合結果的過程，部門按照公司編制的文件對配合綜合管理部對涉及的信息安全風險進行識別評價，部門現(xiàn)有信息安全風險較小，能滿足要求。公司信息安全體系運行以來未發(fā)生，信息安全管理體系運行良好，編制相關風險處置計劃，我部門按照公司相關要求執(zhí)行。符合PC機管理：A.5.17/A.5.32/A.7.7/A.8.1/A.8.7/A.8.9/A.8.13/A.8.18/A.8.19是否按照文件要求設置登陸口令，有無設置屏保，電腦桌面清潔情況是否符合要求，有無安裝殺毒軟件并定期殺毒，財務數(shù)據(jù)的保管情況，電腦軟件的安裝是否符合文件規(guī)定？公司制定了《計算機管理制度》、《計算機病毒防治管理制度》、《系統(tǒng)訪問與使用安全管理制度》，嚴格按照程序的要求執(zhí)行PC機的管理。抽查的電腦設置情況，查登錄操作系統(tǒng)時的口令設置：8位，由字母、數(shù)據(jù)組成、安裝有Foxmail、VMware、QQ、設置屏幕保護功能，3分鐘啟動，用密碼恢復、安裝有360毒霸軟件，設置有每周定期殺毒、業(yè)務數(shù)據(jù)及文件及時保存在電腦，本部門員工電腦使用管理滿足要求。符合網(wǎng)銀U盾的管理：A.8.24；保險柜的管理：A.8.24/A.5.31；是否制定和實施密鑰的使用、保護的規(guī)定？組織通過《財務軟件管理制度》來管理相關要求。財務主管單獨保管U盾，鎖于文件柜內的中。符合內審檢查表編號：HZKJ/IS-JL-23受審核部門綜合管理部負責人劉東審核員李飛審核日期2023.08.14ISO/IEC27001條款及要求審核內容及方法審核記錄判定5.3組織的角色、責任和權限A.5.2/A.5.3/A.5.4綜合管理部的崗位職責權限情況1.與部門負責人交流，對崗位要求明確。2.關鍵崗位人員對職責權限較為清楚，適宜符合6.2信息安全目標及其實現(xiàn)規(guī)劃1.綜合管理部的目標是否得到分解并進行考核？員工是否清楚相應的目標？綜合管理部是否按時對信息安全管理目標進行考核？2.根據(jù)公司運行中環(huán)境狀況是否建立相應的管理方案。1.現(xiàn)場的目標根據(jù)體系運行實際情況得到了控制，由本部門對公司及各部門的信息安全管理目標進行考核。2.詢問員工信息安全管理目標能正確回答本部門信息安全管理目標；3.編制有方針、目標、指標和管理方案控制程序，其中有相關控制要求；4、綜合管理部根據(jù)體系運行的實際情況編定期對各個相關部門的完成情況進行檢查符合移動介質管理：A.7.10移動介質的授權使用？使用過程中的情況及介質的報廢處置情況？公司建立《移動介質使用管理制度》，得到妥善的管理和物理上的保護，使它們免遭破壞、偷盜和未經(jīng)授權的訪問，目前公司移動介質管理情況良好，未出現(xiàn)相關違規(guī)使用情況符合7.2能力A.6.1/A.6.2/A.6.6/A.5.33/A.5.341）是否對從事影響服務活動的部門、層次、崗位人員進行了識別，對各類人員所需的教育、培訓、技能和經(jīng)驗提出了要求？

2）針對需求是否提出了培訓計劃（包括特殊工種、工作人員）或采取其他措施并組織實施？3）通過何種方式宣傳/培訓確保員工意識到所從事活動的相關性和重要性，并為實現(xiàn)服務目標做出貢獻？

4）是否適當?shù)乇４媪私逃?、培訓、技能、?jīng)驗的記錄？

5）查培訓需求是否合理？是否按計劃實施？通過查相關記錄驗證計劃完成情況，抽查相關培訓和評價記錄。有編制人力資源控制程序明確了人員招聘、培訓、考核、處置等要求。編制了崗位職責對市場銷售人員、技術人員、客服人員等能力要求進行了規(guī)定。經(jīng)查有從教育、培訓、技能、經(jīng)驗等方面進行了規(guī)定,規(guī)定合理。對產(chǎn)生重大環(huán)境/安全影響的人員進行了包括應急方面和有關法律法規(guī)方面的培訓。查提供的2023年培訓計劃，有對培訓內容/時間等進行了策劃。---查2023實施的管理體系文件培訓記錄，培訓結果達到預期培訓效果。符合7.3意識A.5.11/A.5.18/A.6.3/A.6.41、公司員工及各相關方是否知曉公司服務方針、服務目標2、公司員工及各相關方是否明確服務的知識和理解。以及當產(chǎn)品和服務不滿足規(guī)范時，該如何去做。3、公司是否質量體系有相關溝通過程。詢問綜合管理部、研發(fā)部、綜合管理部各2名員工，詢問服務方針和目標，能了解。能明白他們對管理體系有效性的貢獻，包括改進服務績效的益處；符合信息安全和信息技術服務管理體系要求的后果。符合7.4溝通Q：1）組織是否確定與信息安全管理體系相關的內部和外部溝通包括哪些方面？是否包括：溝通的職責、溝通對象、溝通內容、溝通時機、溝通方式？

經(jīng)查閱管理手冊，明確了內、外部信息交流和溝通的職責、溝通對象、溝通內容、溝通時機、溝通方式。抽查：內外部協(xié)商與溝通計劃表、信息交流記錄已通過書面溝通等方式與綜合管理部等部門進行溝通。稱目前溝通順暢。查外部溝通：已通過電話、郵件等與客戶、供方和政府部門就環(huán)境、安全管理體系和安全方面進行有效溝通。符合7.5文件信息A.5.13/A.5.33/5.37組織信息安全管理體系包括哪些文件？是否滿足標準的要求和確保信息安全管理體系有效性的需要？在創(chuàng)建和更新文件時，是否確保了適當?shù)模篴）標識和說明；b）格式和媒介；c）評審和批準，以確保適宜性和充分性。如何控制文件和記錄？是否在需要時和需要的地方可獲得相關文件？是否采取了措施防止泄密、不當使用和不完整？識別的外來文件有哪些？如何對外來文件進行控制？是否對記錄實施了保護，防止非預期的更改？有建立了《受控文件清單》等其中包括內部審核控制程序等,由綜合管理部收集,識別將有關信息傳達給相關部門和人員,外來文件歸檔保存妥當。見文件有專用的文件夾存放于文件柜內，標識清晰，易于查詢查：有在手冊和《文件化信息控制程序》文件，規(guī)定由綜合管理部歸口管理，明確了記錄的編制、審批、填寫、標識、貯存、保護、檢索、保存和處置等要求。明確了記錄的標識、歸檔、保存、處置等要求。有建立了《記錄清單》,其中明確了表單名稱,保管部門,等?，F(xiàn)場查看：記錄填寫清楚，方便識別和檢索，保存妥當。有專門的文件夾和文件柜進行記錄的歸檔和存放,能防潮防雨符合9.2內部審核1公司是否定期進行內部審核？內部審核的頻次和結果是否滿足企業(yè)體系運行要求？

2內部審核是否得到了有效的實施和保持？1）是否根據(jù)過程情況確定內審頻次？2）是否選定適合的內審員進行內審？3）是否確定每次內審的準則和范圍？4）內審結果是否上報相關管理者？5）內部審核中發(fā)生的問題是否采取糾正？6）內部審核相關文件是否有保留？查制定有《內部審核控制程序》明確了信息安全管理體系內審要求及頻次和方法。查提供的內審方案計劃，包含了審核方法/目的、范圍、依據(jù)、時間、職責，參加的人員和分工等。經(jīng)查內審員有經(jīng)過標準培訓，在分工上具有獨立性。有編制了《內審檢查表》，明確了檢查的部門和條款，使用的方法，記錄了審核的發(fā)現(xiàn)，經(jīng)查檢查的部門和條款完整，記錄的發(fā)現(xiàn)具體，抽樣合理，有代表性。符合信息安全風險評估：8.2/6.1.2信息安全風險處置：6.1.3/8.3A.8.1.1/A.8.1.2信息安全風險是如何進行識別和評價？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風險處置管理？SOA的刪減情況、版本和發(fā)布？公司建立《信息安全險評估管理程序》《業(yè)務影響分析等，通過程序文件明確了風險評估準則，資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎上得出綜合結果的過程，綜合管理部對涉及的信息安全風險進行識別評價，部門現(xiàn)有信息安全風險較小，能滿足要求。綜合管理部負責識別公司體系運行中的信息安全風險，并及時進行管控。公司信息安全體系運行以來未發(fā)生，信息安全管理體系運行良好，編制相關風險處置計劃，我部門按照公司相關要求執(zhí)行。適用性聲明：密級一般，2023年1月10日發(fā)布實施A/0，共有1條不適用條款，見《適用性聲明》。符合法律法規(guī)的識別：A.5.3與組織有關的法律發(fā)規(guī)有哪些？有無形成文件的信息？其他要求的適用性如何？版本是否及時更新？判斷是否準確？現(xiàn)場驗證其適用性。是否進行了法律法規(guī)收集，并識別出適用的法律法規(guī)。法律法規(guī)有否定時更新查看部門的法律法規(guī)合規(guī)性評價表，有對法規(guī)符合性進行評價。辦綜合管理部每年對法律法規(guī)符合性進行重新評價，在法律法規(guī)更新變更時及公司運行變更時進行更新。查見綜合管理部收集使用的環(huán)境安全相關法律法規(guī)，并形成法律法規(guī)及其它要求清單，版本有效。符合辦公區(qū)域的物理安全：A.7.1/A.7.2/A.7.3/A.7.4/A.7.5/A.7.6特殊區(qū)域的安全：A.7.3/A.7.6對于公司的綜合管理部等是否有設立訪問屏障？（圍墻）公司是否對區(qū)域進行劃分，對含有敏感信息的安全區(qū)域入口進行控制，確保只有授權允許的人方可訪問？是否有措施保護綜合管理部的非授權進入？對外部的自然災害的威脅是否有應對保護措施？對于在安全區(qū)域內工作有沒有特定要求？如何對公共訪問區(qū)域（接待區(qū)域）進行管理？部門的信息處理設備是否受到合理的保護？本公司安全區(qū)域分為接待區(qū)域、普通安全區(qū)域和特別安全區(qū)域。特別安全區(qū)域包括機房、綜合管理部、研發(fā)部；普通安全區(qū)域包括各隔斷辦公區(qū)；前臺為接待區(qū)域。外來人員進入公司區(qū)域要進行登記。臨時訪問的第三方應在接待部門同意后，經(jīng)前臺登記可以進入。進入特別安全區(qū)域須被授權，進出有記錄。員工加班也需登記。設備安裝在距墻、門窗有一定距離的地方。并具有防范火災、水災、雷擊等自然、人為災害的安全控制措施。符合移動介質管理：A.7.10移動介質的授權使用？使用過程中的情況及介質的報廢處置情況？公司建立《移動介質使用管理制度》，得到妥善的管理和物理上的保護，使它們免遭破壞、偷盜和未經(jīng)授權的訪問，目前公司移動介質管理情況良好，未出現(xiàn)相關違規(guī)使用情況符合信息安全風險評估：8.2/6.1.2信息安全風險處置：6.1.3/8.3A.5.9信息安全風險是如何進行識別和評價？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風險處置管理？SOA的刪減情況、版本和發(fā)布？公司建立《信息安全險評估管理程序》等，通過程序文件明確了風險評估準則，資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎上得出綜合結果的過程，綜合管理部對本部門涉及的信息安全風險進行識別評價，部門現(xiàn)有信息安全風險較小，能滿足要求。公司信息安全體系運行以來未發(fā)生，信息安全管理體系運行良好，編制相關風險處置計劃，我部門按照公司相關要求執(zhí)行。符合PC機管理：A.5.17/A.5.32/A.7.7/A.8.1/A.8.7/A.8.9/A.8.13/A.8.18/A.8.19是否按照文件要求設置登陸口令，有無設置屏保，電腦桌面清潔情況是否符合要求，有無安裝殺毒軟件并定期殺毒，財務數(shù)據(jù)的保管情況，電腦軟件的安裝是否符合文件規(guī)定？公司制定了《計算機管理制度》、《計算機病毒防治管理制度》、《系統(tǒng)訪問與使用安全管理制度》，嚴格按照程序的要求執(zhí)行PC機的管理。抽查的電腦設置情況，查登錄操作系統(tǒng)時的口令設置：8位，由字母、數(shù)據(jù)組成、安裝有Foxmail、VMware、QQ、設置屏幕保護功能，3分鐘啟動，用密碼恢復、安裝有360毒霸軟件，設置有每周定期殺毒、業(yè)務數(shù)據(jù)及文件及時保存在電腦，本部門員工電腦使用管理滿足要求。抽查市場部劉東的電腦發(fā)現(xiàn)，未對殺毒軟件的病毒庫進行更新，電腦存在信息安全風險。不符合IT設備管理：A.5.10/A.7.9/A.7.10/A.7.11/A.7.13/A.7.14/A.7.8/A.8.1/A.8.32是否有設備臺賬，并對設備進行標識打印后請及時拿走；設備出現(xiàn)故障后的處理方式；辦公電腦對軟件安裝的限制、保密要求、殺毒軟件的安裝和使用、數(shù)據(jù)備份要求；掃描儀的適用要求；組織場所外的IT設備使用要求等等，是否形成三級規(guī)程文件。是否建立設備變更管理控制文件？公司本部和為外部客戶提供的與軟硬件系統(tǒng)相關的變更過程是否按變更文件規(guī)定執(zhí)行？公司建立IT設備臺賬，標識清晰符合要求；設備出現(xiàn)故障后的處理方式正確；辦公電腦對軟件安裝的限制、保密要求、殺毒軟件的安裝和使用、數(shù)據(jù)備份要求形成三級規(guī)程文件；建立設備變更管理控制文件。嚴格執(zhí)行變更文件。符合供應商管理：A.5.19/A.5.20/A.5.21/A.5.22是否每個供應商都簽訂了對應的合同；

查看合同內容是符合要求；

是否對每個供方做了評價，并記錄在《供應商評價表》；

合同是否發(fā)生過變更，并留有變更管理記錄；

SLA、OLA、UC之間，多層UC之間的邏輯控制關系是否合理有效；供應商管理是否進行了服務改進管理。公司能夠按照供應商管理要求，對外部供方進行供應商評價、選擇、績效監(jiān)視、組織年度確認，以采購合同、電話/微信/QQ通知等明確采購產(chǎn)品規(guī)格、型號、數(shù)量、質量、價格、交付等要求，驗證采購產(chǎn)品質量。除進行供應商評價、選擇、績效監(jiān)視、組織年度確認，以合同、協(xié)議等明確各項要求外，在外包服務提供前需查看車輛證件、人員操作證等，另還通過發(fā)放告知書、作業(yè)過程中隨時監(jiān)督檢查等方式實施控制。抽查結果表明，采購過程及質量控制均符合要求。合同目前未發(fā)生變更

各邏輯關系有效，無矛盾

目前變更進計劃符合8.1運行規(guī)劃和控制是否針對滿足信息安管理體系的要求及實施確定的控制措施，建立相關的程序和規(guī)章制度，所需的過程予以策劃、實施和控制。組織也應實施計劃以實現(xiàn)確定的信息安管理體系管理目標。公司應詳細記錄信息安管理體系運行過程中的各種信息數(shù)據(jù)，以確保信息安管理體系是按照計劃得到執(zhí)行。當公司信息安管理體系管理方針、目標、工作計劃和程序、控制措施等發(fā)生變更時，應進行管理。計劃的變更要按照計劃進行控制；非預期的變更要評審變更的影響，確保變更沒有不利的影響，必要時，采取措施減輕不利的影響。是否識別，我公司目前沒有外包過程。若以后出現(xiàn)外包過程，？針對滿足信息安管理體系的要求及實施確定的控制措施，建立相關的程序和規(guī)章制度，所需的過程予以策劃、實施和控制。實施計劃以實現(xiàn)確定的信息安管理體系管理目標。公司應詳細記錄信息安管理體系運行過程中的各種信息數(shù)據(jù)，確保了信息安管理體系是按照計劃得到執(zhí)行。當公司信息安管理體系管理方針、目標、工作計劃和程序、控制措施等發(fā)生變更時，應進行管理。計劃的變更要按照計劃進行控制；非預期的變更要評審變更的影響，確保變更沒有不利的影響，必要時，采取措施減輕不利的影響。我公司目前沒有外包過程。符合內審檢查表編號：HZKJ/IS-JL-23受審核部門市場銷售部負責人姚海艦審核員李飛審核日期2023.8.14ISO/IEC27001條款及要求審核內容及方法審核記錄判定5.3組織的角色、責任和權限A.5.2/A.5.3/A.5.4市場銷售部的崗位職責權限情況1.與部門負責人交流，對崗位要求明確。2.關鍵崗位人員對職責權限較為清楚，適宜符合6.2信息安全目標及其實現(xiàn)規(guī)劃1.市場銷售部的目標是否得到分解并進行考核？員工是否清楚相應的目標？市場銷售部是否按時對管理目標進行考核？2.根據(jù)公司運行中環(huán)境狀況是否建立相應的管理方案。1.現(xiàn)場的目標根據(jù)體系運行實際情況得到了控制，由綜合管理部對公司及各部門的管理目標進行考核。2.詢問員工管理目標能正確回答本部門管理目標；符合信息安全風險評估：8.2/6.1.2信息安全風險處置：6.1.3/8.3A.5.9信息安全風險是如何進行識別和評價？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風險處置管理？公司建立《信息安全險評估管理程序》，通過程序文件明確了風險評估準則，資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎上得出綜合結果的過程，部門按照公司編制的文件對配合綜合管理部對涉及的信息安全風險進行識別評價，部門現(xiàn)有信息安全風險較小，能滿足要求。公司信息安全體系運行以來未發(fā)生，信息安全管理體系運行良好，編制相關風險處置計劃，我部門按照公司相關要求執(zhí)行。符合PC機管理：A.5.17/A.5.32/A.7.7/A.8.1/A.8.7/A.8.9/A.8.13/A.8.18/A.8.19是否按照文件要求設置登陸口令，有無設置屏保，電腦桌面清潔情況是否符合要求，有無安裝殺毒軟件并定期殺毒，財務數(shù)據(jù)的保管情況，電腦軟件的安裝是否符合文件規(guī)定？公司制定了《計算機管理制度》、《計算機病毒防治管理制度》、《系統(tǒng)訪問與使用安全管理制度》，嚴格按照程序的要求執(zhí)行PC機的管理。抽查的電腦設置情況，查登錄操作系統(tǒng)時的口令設置：8位，由字母、數(shù)據(jù)組成、安裝有Foxmail、VMware、QQ、設置屏幕保護功能，3分鐘啟動，用密碼恢復、安裝有360毒霸軟件，設置有每周定期殺毒、業(yè)務數(shù)據(jù)及文件及時保存在電腦，本部門員工電腦使用管理滿足要求。符合內審檢查表編號：HZKJ/IS-JL-23受審核部門研發(fā)部負責人馬斌審核員劉東審核日期2023.8.15ISO/IEC27001條款及要求審核內容及方法審核記錄判定5.3組織的角色、責任和權限A.5.2/A.5.3/A.5.4研發(fā)部的崗位職責權限情況1.與部門負責人交流，對崗位要求明確。2.關鍵崗位人員對職責權限較為清楚，適宜符合6.2信息安全目標及其實現(xiàn)規(guī)劃1.研發(fā)部的目標是否得到分解并進行考核？員工是否清楚相應的目標？研發(fā)部是否按時對管理目標進行考核？2.根據(jù)公司運行中環(huán)境狀況是否建立相應的管理方案。1.現(xiàn)場的目標根據(jù)體系運行實際情況得到了控制，由綜合管理部對公司及各部門的管理目標進行考核。2.詢問員工管理目標能正確回答本部門管理目標；符合信息安全風險評估：8.2/6.1.2信息安全風險處置：6.1.3/8.3A.5.9信息安全風險是如何進行識別和評價？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風險處置管理？公司建立《信息安全險評估管理程序》，通過程序文件明確了風險評估準則，資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎上得出綜合結果的過程，部門按照公司編制的文件對配合綜合管理部對涉及的信息安全風險進行識別評價，部門現(xiàn)有信息安全風險較小，能滿足要求。公司信息安全體系運行以來未發(fā)生，信息安全管理體系運行良好，編制相關風險處置計劃，我部門按照公司相關要求執(zhí)行。符合PC機管理：A.5.17/A.5.32/A.7.7/A.8.1/A.8.7/A.8.13/A.8.18/A.8.19是否按照文件要求設置登陸口令，有無設置屏保，電腦桌面清潔情況是否符合要求，有無安裝殺毒軟件并定期殺毒，財務數(shù)據(jù)的保管情況，電腦軟件的安裝是否符合文件規(guī)定？公司制定了《計算機管理制度》、《計算機病毒防治管理制度》、《系統(tǒng)訪問與使用安全管理制度》，嚴格按照程序的要求執(zhí)行PC機的管理。抽查的電腦設置情況，查登錄操作系統(tǒng)時的口令設置：8位，由字母、數(shù)據(jù)組成、安裝有Foxmail、VMware、QQ、設置屏幕保護功能，3分鐘啟動，用密碼恢復、安裝有360毒霸軟件，設置有每周定期殺毒、業(yè)務數(shù)據(jù)及文件及時保存在電腦，本部門員工電腦使用管理滿足要求。符合服務項目涉及的信息安全：A.5.8/A.7.9是否在項目實施前對項目涉及的信息安全風險進行了風險評估？是否具有與信息安全事件響應相一致的文件化規(guī)程？公司信息安全目標是否納入了項目目標？項目的核心過程、IT、設施管理、公司員工、相關方人員是否采取了信息安全的管理控制？項目涉及的相關方、公司人員各自的信息安全責任是否明確？部門組織了對項目涉及的信息安全風險進行了風險評估；規(guī)定了相應的信息安全控制要求和采取了相應的控制措施；具有與信息安全事件響應相一致的文件化規(guī)程；項目目標中納入信息安全管理目標，相關人員均能夠正確回答。對項目的核心過程、IT、設施管理、公司員工、相關方人員采取了信息安全的管理控制；項目涉及的相關方、公司人員均明確各自的信息安全責任。符合標準要求。符合開發(fā)、測試和變更：A.5.8/A.5.31/A.8.4/A.8.27/A.8.24/A.8.25/A.8.26/A.8.29/A.8.30/A.8.32/A.8.31/A.8.33/A.8.28應用系統(tǒng)輸入數(shù)據(jù)的規(guī)定系統(tǒng)過程的測試和驗證系統(tǒng)設計是否避免了數(shù)據(jù)完整性遭到破壞的可能？輸出數(shù)據(jù)的測試要求。是否對于運行軟件進行了控制？對于測試數(shù)據(jù)是否進行了保護控制？對于系統(tǒng)源代碼的訪問是否進行了控制？有無正式的變更控制規(guī)定？如果操作系統(tǒng)變更時，是否對業(yè)務的關鍵應用進行評審和測試？如何得到技術脆弱性的信息?之后如何處理？在運行系統(tǒng)（計算機操作系統(tǒng)、服務器系統(tǒng)）上安裝軟件是否有限制？有針對信息系統(tǒng)的控制程序，并有相應的數(shù)據(jù)產(chǎn)生。對軟件開發(fā)流程有明確的信息安全規(guī)范，以及開發(fā)過程中數(shù)據(jù)的數(shù)量等規(guī)定。變更需申請并批準通過網(wǎng)絡和技術分析。報告信息小組并處置系統(tǒng)主管部門應對軟件在作業(yè)系統(tǒng)的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應經(jīng)主管部門負責人審核同意后方可進行。計算機終端用戶除非授權，否則嚴禁私自安裝任何軟件。符合內審檢查表編號：HZKJ/IS-JL-23受審核部門產(chǎn)品部及項目現(xiàn)場負責人枉璐審核員李飛審核日期2023.8.15ISO/IEC27001條款及要求審核內容及方法審核記錄判定5.3組織的角色、責任和權限A.5.2/A.5.3/A.5.4產(chǎn)品部的崗位職責權限情況1.與部門負責人交流，對崗位要求明確。2.關鍵崗位人員對職責權限較為清楚，適宜符合6.2信息安全目標及其實現(xiàn)規(guī)劃1.產(chǎn)品部的目標是否得到分解并進行考核？員工是否清楚相應的目標？產(chǎn)品部是否按時對管理目標進行考核？2.根據(jù)公司運行中環(huán)境狀況是否建立相應的管理方案。1.現(xiàn)場的目標根據(jù)體系運行實際情況得到了控制，由綜合管理部對公司及各部門的管理目標進行考核。2.詢問員工管理目標能正確回答本部門管理目標；符合信息安全風險評估：8.2/6.1.2信息安全風險處置：6.1.3/8.3A.5.9信息安全風險是如何進行識別和評價？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風險處置管理？公司建立《信息安全險評估管理程序》，通過程序文件明確了風險評估準則，資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎上得出綜合結果的過程，部門按照公司編制的文件對配合綜合管理部對涉及的信息安全風險進行識別評價，部門現(xiàn)有信息安全風險較小，能滿足要求。公司信息安全體系運行以來未發(fā)生，信息安全管理體系運行良好，編制相關風險處置計劃，我部門按照公司相關要求執(zhí)行。符合PC機管理：A.5.17/A.5.32/A.7.7/A.8.1/A.8.7/A.8.13/A.8.18/A.8.19是否按照文件要求設置登陸口令，有無設置屏保，電腦桌面清潔情況是否符合要求，有無安裝殺毒軟件并定期殺毒，財務數(shù)據(jù)的保管情況，電腦軟件的安裝是否符合文件規(guī)定？公司制定了《計算機管理制度》、《計算機病毒防治管理制度》、《系統(tǒng)訪問與使用安全管理制度》，嚴格按照程序的要求執(zhí)行PC機的管理。抽查的電腦設置情況，查登錄操作系統(tǒng)時的口令設置：8位，由字母、數(shù)據(jù)組成、安裝有Foxmail、VMware、QQ、設置屏幕保護功能，用密碼恢復、安裝有360毒霸軟件，設置有每周定期殺毒、業(yè)務數(shù)據(jù)及文件及時保存在電腦，本部門員工電腦使用管理滿足要求。符合服務項目涉及的信息安全：A.5.8/A.7.9是否在項目實施前對項目涉及的信息安全風險進行了風險評估？是否具有與信息安全事件響應相一致的文件化規(guī)程？公司信息安全目標是否納入了項目目標？項目的核心過程、IT、設施管理、公司員工、相關方人員是否采取了信息安全的管理控制？項目涉及的相關方、公司人員各自的信息安全責任是否明確？部門組織了對項目涉及的信息安全風險進行了風險評估；規(guī)定了相應的信息安全控制要求和采取了相應的控制措施；具有與信息安全事件響應相一致的文件化規(guī)程；項目目標中納入信息安全管理目標，相關人員均能夠正確回答。對項目的核心過程、IT、設施管理、公司員工、相關方人員采取了信息安全的管理控制；項目涉及的相關方、公司人員均明確各自的信息安全責任。符合標準要求。符合、機房環(huán)境及設備的管理：A.7.2/A.7.3/A.7.5A.7.11/A.7.12/A.7.13/A.7.14對機房的設備、安全、保密、機房操作做出了相關要求，綜合管理部定期對機房的相關溫濕度、硬件、消防等設施進行檢查，形成相關記錄，滿足要求符合IT設備管理：A.5.10/A.7.9/A.7.10/A.7.11/A.7.13/A.7.14/A.7.8/A.8.1/A.8.32是否有設備臺賬，并對設備進行標識打印后請及時拿走；設備出現(xiàn)故障后的處理方式；辦公電腦對軟件安裝的限制、保密要求、殺毒軟件的安裝和使用、數(shù)據(jù)備份要求；掃描儀的適用要求；組織場所外的IT設備使用要求等等，是否形成三級規(guī)程文件。是否建立設備變更管理控制文件？公司本部和為外部客戶提供的與軟硬件系統(tǒng)相關的變更過程是否按變更文件規(guī)定執(zhí)行？公司建立IT設備臺賬，標識清晰符合要求；設備出現(xiàn)故障后的處理方式正確；辦公電腦對軟件安裝的限制、保密要求、殺毒軟件的安裝和使用、數(shù)據(jù)備份要求形成三級規(guī)程文件；建立設備變更管理控制文件。嚴格執(zhí)行變更文件。符合內外網(wǎng)絡的管理A.5.3/A.5.15/A.8.1/A.8.6/A.8.20/A.8.21/A.8.22公司網(wǎng)絡是否有專人管理？內部網(wǎng)絡的管理，是否是可通過域服務器、綁定MAC地址和IP地址的方式、單獨授權的方式來對內部用戶進行授權訪問？是否對無線網(wǎng)絡要進行控制？必要時是否設置獨立網(wǎng)段供訪客使用？是否有具備完整的網(wǎng)絡拓撲圖？是否對內外網(wǎng)進行巡檢？公司設置了專人管理網(wǎng)絡；是可通過域服務器、綁定MAC地址和IP地址的方式、單獨授權的方式來對內部用戶進行授權訪問；無線網(wǎng)絡要進行控制，設置了上網(wǎng)密碼；公司現(xiàn)有網(wǎng)絡流量可以滿足工作的需要符合用戶訪問權的管理：A.5.16/A.5.17/A.5.18/A.8.2/A.8.23對于信息系統(tǒng)（服務器、FTP、ERP系統(tǒng)、OA系統(tǒng)、財務系統(tǒng)，計算機，VSS系統(tǒng)）服務的使用有沒有用戶注冊和注銷規(guī)程？是否了解自己在使用計算機口令，服務器口令，VSS口令等密碼的時候要遵循哪些要求？對于辦公桌上的重要紙質文件，含重要信息的可移動U盤，電腦桌面上的電子文件在用戶離開時如何保護？員工是否了解自己使用網(wǎng)絡服務（因特網(wǎng)、VSS,ERP,FTP等）的權限？對可能修改操作系統(tǒng)的工具軟件使用有沒有限制？網(wǎng)頁訪問限制根據(jù)訪問控制策略及《訪問權限管理制度》確定的訪問規(guī)則，訪問權限管理部門對用戶（包括第三方用戶)進行書面訪問授權，相關訪問權限管理包括：設定用戶的基本訪問權限、身份識別信息和驗證信息，建立基本訪問權限數(shù)據(jù)庫保存每一用戶的基本訪問權限；根據(jù)特定的應用設定用戶的特定訪問權限,接收用戶的登陸請求;驗證用戶身份識別信息和驗證信息等；公司各部門、崗位之間訪問權限明確，針對新員工、老員工、離職員工等均有明確要求，各用戶的相關權限設置，均有要求，相關用戶的密碼強度，能滿足公司管理要求要求員工不能敏感、違規(guī)網(wǎng)站符合配置管理:A.8.9應建立、記錄、實施、監(jiān)控和審查硬件、軟件、服務和網(wǎng)絡的配置，包括安全配置。嚴格按照要求對公司信息安全的硬件、軟件、服務和網(wǎng)絡的配置進行控制，未發(fā)生相關錯誤符合信息刪除：A.8.10當不再需要時，應刪除存儲在信息系統(tǒng)、設備或任何其他存儲介質中的信息。按照要求定期對信息系統(tǒng)、設備及存儲介質中的相關信息內容進行清理更新符合數(shù)據(jù)屏蔽：A.8.11應根據(jù)組織的訪問控制的專題策略和其他相關專題策略以及業(yè)務要求使用數(shù)據(jù)屏蔽，并考慮適用法律要求。公司按照信息安全管理要求對相關人員的訪問權限進行控制、設置人員權限、物理區(qū)域限制等相關措施對相關數(shù)據(jù)進行保護與屏蔽。符合數(shù)據(jù)泄露防護：A.8.12數(shù)據(jù)泄漏防護措施應適用于處理、存儲或傳輸敏感信息的系統(tǒng)、網(wǎng)絡和任何其他設備。公司采取使用加密技術、在服務器端安裝防病毒軟件，并定期升級、使用專業(yè)的安全工具、使用防火墻或入侵檢測程序、設置復雜的權限和訪問規(guī)則、.對數(shù)據(jù)庫進行備份等相關手段進行數(shù)據(jù)保護，未發(fā)生數(shù)據(jù)泄露情況符合監(jiān)控活動；A.8.16應監(jiān)控網(wǎng)絡、系統(tǒng)和應用程序的異常行為，并采取適當措施評估潛在的信息安全事件。公司采取使用對防火墻日志、用戶帳戶日志、網(wǎng)絡掃描日志、應用程序日志、數(shù)據(jù)備份和恢復日志等相關措施進行監(jiān)控網(wǎng)絡、系統(tǒng)和應用程序的監(jiān)控，發(fā)現(xiàn)異常立即采取信息安全防護措施進行控制，目前管理符合要求符合對使用中系統(tǒng)的管理A.5.8/A.8.8/A.8.29/A.8.34/A.8.17合同中是否有關于客戶信息安全的相關規(guī)定？應用系統(tǒng)輸入數(shù)據(jù)的規(guī)定系統(tǒng)過程的測試和驗證系統(tǒng)設計是否避免了數(shù)據(jù)完整性遭到破壞的可能？輸出數(shù)據(jù)的測試要求。是否對于運行軟件進行了控制？對于測試數(shù)據(jù)是否進行了保護控制？對于系統(tǒng)源代碼的訪問是否進行了控制？有無正式的變更控制規(guī)定？如果操作系統(tǒng)變更時，是否對業(yè)務的關鍵應用進行評審和測試？如何得到技術脆弱性的信息?之后如何處理？在運行系統(tǒng)（計算機操作系統(tǒng)、服務器系統(tǒng)）上安裝軟件是否有限制？有針對信息系統(tǒng)的控制程序，并有相應的數(shù)據(jù)產(chǎn)生。對流程有明確的信息安全規(guī)范，以及開發(fā)過程中數(shù)據(jù)的數(shù)量等規(guī)定。變更需申請并批準通過網(wǎng)絡和技術分析。報告信息小組并處置系統(tǒng)主管部門應對軟件在作業(yè)系統(tǒng)的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應經(jīng)主管部門負責人審核同意后方可進行。計算機終端用戶除非授權，否則嚴禁私自安裝任何軟件。符合應用系統(tǒng)服務器的管理：A.5.17/A.5.32/A.6.7/A.7.7/A.8.3/A.8.5/A.8.7/A.8.13/A.8.15/A.8.18/A.8.19程序文件是否形成？由適當?shù)牟块T/人員運行并保持？對變更是如何控制的？容量管理的情況如何處理？對惡意軟件的防護情況如？日志、信息系統(tǒng)審計的控制考慮？是否做了責任分割？查組織信息資產(chǎn)的授權使用和責任人。本部門有哪些信息需要備份？是否有信息備份策略（備份方式，