1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 活动描述 3
4.1. 内部审核策划 3
4.1.1 内部审核周期及范围 3
4.1.2 内部审核准备 4
4.1.3 内审实施计划 4
4.1.4 审核组预备会议 4
4.1.5 审核收集 5
4.2. 内部审核实施 5
4.2.1 内审声明 5
4.2.2 现场审核 5
4.2.3 内审结果通告 6
4.3. 内审报告编制和分发 7
4.4. 纠正措施的实施、跟踪及验证 7
4.5. 检查监督 8
5. 审核记录归档 8
6. 相关记录 8
A.14 信息系统获取、开发和维护
A.14.1 A.14.1.1 安全要求分析和说明 查阅系统开发中安全需求分析和说明等相关文件
信息系统的安全要求 A.14.1.2公共网络应用服务安全 询问、验证对网站信息的发布管理过程
A.14.1.3保护应用服务交易 检查业务数据、管理信息的保护权限
A.14.2 A.14.2.1安全开发策略 检查是否制定及应用关于软件和系统的开发规则,并应用于组织内的开发
开发和支持过程的安全 A.14.2.2 变更控制规程 查阅变更控制等相关文件。
A.14.2.3 操作系统变更后应用的技术评审 查阅操作系统变更后对应用的技术评审记录。
A.14.2.4 软件包变更的限制 询问对系统变更的限制措施。
A.14.2.5系统开发程序(安全系统原则) 检查是否建立安全系统开发流程,记录,维护并应用到任何信息系统开发工作
A.14.2.6安全的开发环境 检查开发、测试和生产环境是否分离
A.14.2.7 外包软件开发 是否有外包管理规定,是否按规定来监督外包项目的执行
A.14.2.8系统安全性测试 检查是否在开发过程中,测试了功能的安全性
A.14.2.9系统验收测试 查阅系统建设完成时的验收标准和验收记录
A.14.3 A.14.3.1 系统测试数据的保护 询问对系统测试数据的包括措施。
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
-/gbafcji/-
http://iso9001fsc.b2b168.com
