22080-2016信息安全管理体系内部审核检查表

22080-2016信息安全管理体系内部审核检查表 审核日期：2020.07.07 序号 A.5信息安全方针 A.5.1信息安全管理指引 目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针，信息安全方针文件应经过管A.5.1.1 信息安全方针 理层批准，并向所有员工和相关方发布和沟通。 应定期或在发生重大的变化时评审方针文件，确保A.5.1.2 信息安全方针的评审 方针的持续性、稳定性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标：建立信息安全管理框架，在组织内部启动和控制信息安全实施。 A.6.1.1 A.6.1.2 信息安全的角色和职责 应定义和分配所有信息安全职责。 有冲突的职责和责任范围应分离，以减少对组织资职责分离 产未经授权访问、无意修改或误用的机会。 项目内容 审核内容 审核记录 审核结果 备注 A.6.1.3 A.6.1.4 A.6.1.5 与监管机构的联系 应与相关监管机构保持适当联系。 与特殊利益团体、其他专业安全协会或行业协会应与特殊利益团体的联系 保持适当联系。 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。 A.6.2移动设备和远程办公 目标：应确保远程办公和使用移动设备的安全性。 应采取安全策略和配套的安全措施控制使用移动设A.6.2.1 移动设备策略 备带来的风险。 应实施安全策略和配套的安全措施以保障远程办公A.6.2.2 远程办公 时信息的访问、处理和存储的安全。 A.7人力资源安全 A.7.1任用前 目标：确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 根据相关法律、法规、道德规范，对员工、合同人A.7.1.1 人员筛选 员及承包商人员进行背景调查，调查应符合业务需求、访问的信息类别及已知风险。 A.7.1.2 任用条款和条件 与员工和承包商的合同协议应当规定他们对组织的 信息安全责任。 A.7.2任用中 目标：确保员工和合同方了解并履行他们的信息安全责任。 管理层应要求员工、合同方符合组织建立的信息安A.7.2.1 管理职责 全策略和程序。 组织内所有员工、相关合同人员及合同方人员应接信息安全意识、教育与A.7.2.2 培训 组织策略及程序。 应建立并传达正式的惩戒程序，据此对违反安全策A.7.2.3 纪律处理过程 略的员工进行惩戒。 A.7.3任用终止和变更 目标：保证组织利益是雇佣终止和变更的一部分 A.7.3.1 受适当的意识培训，并定期更新与他们工作相关的 应定义信息安全责任和义务在雇用终止或变更后仍任用终止或变更的责任 然有效，并向员工和合同方传达并执行。 A.8资产管理 A.8.1资产的责任