Întrebări Pe Lista de Verificare A Auditului Intern - Controalele ISMS

<Denumire prescurtată> Întrebări de audit intern – Controale de risc ISMS (ISO
27001:2013 Anexa A)
Întrebare de audit Probele de audit
A.5 Politici de securitate a informațiilor
A.5.1 Direcția de management pentru securitatea informațiilor
A.5.1.1 Politici pentru securitatea informațiilor

1. Există politici de securitate?
2. Toate politicile sunt aprobate de conducere?
3. Politicile sunt comunicate în mod corespunzător
personalului?
A.5.1.2 Revizuirea politicilor de securitate a informațiilor

1. Politicile de securitate sunt supuse revizuirii?
2. Revizuirile sunt efectuate la intervale regulate?
3. Sunt efectuate revizuiri atunci când circumstanțele se
schimbă?
A.6 Organizarea securității informațiilor
A.6.1 Organizarea internă
A.6.1.1 Roluri și responsabilități în domeniul securității

informațiilor
Responsabilitățile pentru protecția bunurilor individuale și
pentru desfășurarea proceselor specifice de securitate
sunt clar identificate, definite și comunicate părților
relevante?
Pagina 1 de 29 04-11-16
27001:2013 Anexa A)
A.6.1.2 Separarea sarcinilor

Sunt separate sarcinile și responsabilitatea, pentru a
reduce posibilitățile de modificare neautorizată sau de
utilizare abuzivă a informațiilor sau serviciilor?
A.6.1.3 Contactul cu autoritățile

1. Există o procedură care să documenteze când și de
către cine se poate lua legătura cu autoritățile
relevante (autorități de aplicare a legii etc.)?
2. Există un proces care detaliază cum și când este
necesar contactul?
3. Există un proces pentru contactul de rutină și schimbul
de informații?
Contactul cu grupuri de interese speciale

Persoanele relevante din cadrul organizației mențin
A.6.1.4
calitatea de membru activ în grupurile de interese
speciale relevante?
Securitatea informațiilor în managementul proiectelor

A.6.1.5 Proiectele trec printr-o formă de evaluare a securității
informațiilor, acolo unde este cazul?
A.6.2 Dispozitivele mobile și telemunca
A.6.2.1 Politica privind dispozitivele mobile
Pagina 2 de 29 04-11-16
27001:2013 Anexa A)
1. Există o politică privind dispozitivele mobile?

2. Politica are aprobarea conducerii superioare?
3. Documentul de politică abordează aceste riscuri
suplimentare care decurg din utilizarea dispozitivelor
mobile (de exemplu, furtul de active, utilizarea
hotspoturilor wireless deschise etc.)
Telemunca
1. Există o politică privind telemunca?
2. Are aprobarea conducerii superioare?
A.6.2.2 3. Există un proces stabilit pentru ca lucrătorii la distanță
să aibă acces?
4. Li se oferă telelucrătorilor sfaturile și echipamentele
necesare pentru a-și proteja activele?
A.7 Securitatea resurselor umane
A.7.1 Înainte de angajare
A.7.1.1 Screening
1. Se efectuează verificări ale antecedentelor tuturor
angajaților noi înainte de angajare?
2. Sunt aceste controale aprobate de autoritatea de
gestionare competentă?
3. Verificările sunt conforme cu legile, reglementările și
Pagina 3 de 29 04-11-16
27001:2013 Anexa A)
etica relevante?
4. Nivelul verificărilor necesare este susținut de evaluări
ale riscurilor comerciale?
A.7.1. Condiții de muncă și de încadrare în muncă

2 1. Toți membrii personalului, contractanții și utilizatorii
terți sunt rugați să semneze acorduri de
confidențialitate și de nedivulgare?
2. Contractele de muncă/prestări servicii acoperă în
mod specific necesitatea de a proteja informațiile
comerciale?
A.7.2 În timpul angajării
A.7.2. Responsabilități de conducere

1 1. Managerii (de la toate nivelurile) conduc problemele
de securitate din cadrul afacerii?
2. Comportamentul managementului asigură
conducerea întregului personal, contractorilor și
utilizatorilor terți pentru a aplica securitatea în
conformitate cu politicile și procedurile stabilite?
Conștientizarea, educarea și formarea în domeniul

A.7.2. securității informațiilor
Pagina 4 de 29 04-11-16
27001:2013 Anexa A)
2 Întregul personal, contractanții și utilizatorii terți

urmează cursuri regulate de conștientizare a securității,
adecvate rolului și funcției lor în cadrul organizației?
Procesul disciplinar
A.7.2. 1. Există un proces disciplinar formal care poate fi
3 aplicat personalului care a comis o încălcare a
securității informațiilor?
2. Este acest lucru comunicat întregului personal?
A.7.3 Încetarea și schimbarea contractului de muncă
A.7.3. Încetarea sau modificarea responsabilităților de muncă

1 1. Există un proces documentat formal pentru
încetarea sau modificarea atribuțiilor de serviciu?
2. Există sarcini de securitate a informațiilor post-
angajare comunicate angajatului sau
contractantului?
3. Este organizația în măsură să impună respectarea
oricăror obligații postangajare?
A.8 Gestionarea activelor
A.8.1 Responsabilitatea pentru active
A.8.1. Inventarierea activelor

1 1. Există un inventar al tuturor activelor asociate cu
Pagina 5 de 29 04-11-16
27001:2013 Anexa A)
prelucrarea informațiilor și a informațiilor?

2. Este inventarul corect și actualizat?
A.8.1. Dreptul de proprietate asupra activelor

2 Toate activele informaționale au un proprietar clar
definit, care este conștient de responsabilitățile sale?
A.8.1. Utilizarea acceptabilă a activelor

3 1. Există o politică de utilizare acceptabilă pentru
fiecare clasă/tip de activ informațional?
2. Utilizatorii sunt informați cu privire la această
politică înainte de utilizare?
A.8.1. Returnarea activelor

4 Există un proces în vigoare pentru a se asigura că
întregul personal și toți utilizatorii externi returneaz ă
activele organizației la încetarea contractului de
muncă, a contractului sau a acordului?
A.8.2 Clasificarea informațiilor
A.8.2. Clasificarea informațiilor

1 1. Există o politică care reglementează clasificarea
informațiilor?
2. Există un proces prin care toate informațiile pot fi
clasificate în mod corespunzător?
Pagina 6 de 29 04-11-16
27001:2013 Anexa A)
A.8.2. Etichetarea informațiilor

2 Există un proces sau o procedură pentru a asigura
marcarea corespunzătoare a clasificării informațiilor pe
fiecare material?
A.8.2. Manipularea activelor

3 1. Există o procedură pentru tratarea fiecărei clasificări
a informațiilor?
2. Utilizatorii activelor informaționale sunt informați cu
privire la această procedură?
A.8.3 Manipularea mass-media
A.8.3.1 Gestionarea suporturilor amovibile Actualizare S-002 pentru :

1. Există o politică care guvernează suporturile - e-drive, filesharing
amovibile? - politici domeniu pentru blocare CD, USB
2. Există un proces care acoperă modul în care este - exceptii in AD pentru userii care au autorizatie de a folosi
gestionat suportul amovibil? stick-uri
3. Politica și procesul (procesele) sunt comunicate
întregului personal care utilizează suporturi
amovibile?
A.8.3.2 Eliminarea mediilor

Există o procedură oficială care reglementează modul în
Pagina 7 de 29 04-11-16
27001:2013 Anexa A)
care sunt eliminate suporturile amovibile?
A.8.3.3 Transfer fizic de suporturi

1. Există o politică și un proces documentat care
detaliază modul în care ar trebui transportate
mediile fizice?
2. Este mass-media din transporturi protejată împotriva
accesului neautorizat, a utilizării necorespunzătoare
sau a corupției?
A.9 Controlul accesului
A.9.1 Cerințe de afaceri pentru controlul accesului
A.9.1.1 Politica de control al accesului

1. Există o politică documentată de control al
accesului?
2. Politica se bazează pe cerințele de afaceri?
3. Politica este comunicată în mod corespunzător?
A.9.1.2 Accesul la rețele și servicii de rețea User,pass pentru aplicatii

Sunt instituite controale pentru a se asigura că OpenVPN pentru certificate SSL
utilizatorii au acces numai la resursele rețelei pe care Politici AD, pentru filesharing
au fost autorizați în mod special să le utilizeze și care
sunt necesare pentru îndeplinirea sarcinilor lor?
A.9.2 Gestionarea accesului utilizatorilor

Pagina 8 de 29 04-11-16
27001:2013 Anexa A)
A.9.2.1 Înregistrarea și radierea utilizatorului AD, posta, imprimanta

Există un proces oficial de înregistrare a accesului
utilizatorilor?
A.9.2.2 Asigurarea accesului utilizatorilor

Există un proces formal de asigurare a accesului
utilizatorilor pentru a atribui drepturi de acces pentru
toate tipurile și serviciile de utilizatori?
A.9.2.3 Gestionarea drepturilor de acces privilegiat

Conturile cu acces privilegiat sunt gestionate și
controlate separat?
A.9.2.4 Gestionarea informațiilor de autentificare secretă ale AD: complexe, lungime 6 caractere, se schimba la 3 luni
utilizatorilor
Există un proces formal de gestionare pentru a controla
alocarea informațiilor de autentificare secretă?
A.9.2.5 Revizuirea drepturilor de acces ale utilizatorilor

1. Există un proces prin care proprietarii de active pot
revizui periodic drepturile de acces la activele lor?
2. Este verificat acest proces de revizuire?
A.9.2.6 Eliminarea sau ajustarea drepturilor de acces
Pagina 9 de 29 04-11-16
27001:2013 Anexa A)
Există un proces pentru a se asigura că drepturile de

acces ale utilizatorilor sunt eliminate la încetarea
contractului de muncă sau a contractului sau ajustate
la schimbarea rolului?
A.9.3 Responsabilitățile utilizatorilor
A.9.3.1 Utilizarea informațiilor de autentificare secretă

1. Există un document de politică care să acopere
practicile organizațiilor în ceea ce privește modul în
care trebuie tratate informațiile de autentificare
secretă?
2. Este acest lucru comunicat tuturor utilizatorilor?
A.9.4 Controlul accesului la sistem și aplicație
A.9.4.1 Restricționarea accesului la informații

Accesul la informații și la funcțiile sistemului de aplicații
este restricționat în conformitate cu politica de control
al accesului?
A.9.4.2 Proceduri sigure de conectare

În cazul în care politica de control al accesului impune
acest lucru, accesul este controlat printr-o procedur ă
de conectare securizată?
A.9.4.3 Sistem de gestionare a parolelor
Pagina 10 de 29 04-11-16
27001:2013 Anexa A)
1. Sistemele de parole sunt interactive?

2. Sunt necesare parole complexe?
A.9.4.4 Utilizarea programelor utilitare privilegiate

Programele utilitare privilegiate sunt restricționate și
monitorizate?
A.9.4.5 Controlul accesului la codul sursă al programului

Este protejat accesul la codul sursă al sistemului de
control al accesului?
A.10 Criptografie
A.10.1 Controale criptografice
A.10.1. Politica privind utilizarea controalelor criptografice VPN, site-uri: certificat SSL
1 Există o politică privind utilizarea controalelor Bitlocker pe toate statiile de lucru
criptografice?
A.10.1. Managementul cheilor

2 Există o politică care reglementează întregul ciclu de
viață al cheilor criptografice?
A.11 Securitatea fizică și a mediului
A.11.1 Zone securizate
Pagina 11 de 29 04-11-16
27001:2013 Anexa A)
A.11.1. Perimetrul de securitate fizică

1 1. Există un perimetru de securitate desemnat?
2. Zonele de informații sensibile sau critice sunt
separate și controlate în mod corespunzător?
A.11.1. Controale fizice la intrare

2 Zonele securizate dispun de sisteme adecvate de
control al intrării pentru a se asigura că numai
personalul autorizat are acces?
A.11.1. Securizarea birourilor, camerelor și facilităților

3 1. Birourile, camerele și facilitățile au fost proiectate și
configurate având în vedere securitatea?
2. Există procese de menținere a securității (de
exemplu, blocare, birouri libere etc.)?
A.11.1. Protecția împotriva amenințărilor externe și de mediu

4 Au fost concepute măsuri de protecție fizică pentru a
preveni dezastrele naturale, atacurile rău intenționate
sau accidentele?
A.11.1. Lucrul în zone sigure

5 1. Există zone sigure?
2. Acolo unde există, zonele securizate au politici și
procese adecvate?
Pagina 12 de 29 04-11-16
27001:2013 Anexa A)
3. Politicile și procesele sunt aplicate și monitorizate?
A.11.1. Zone de livrare și încărcare

6 1. Există zone separate de livrare / încărcare?
2. Accesul la aceste zone este controlat?
3. Accesul din zonele de încărcare este izolat de
instalațiile de procesare a informațiilor?
A.11.2 Echipament
A.11.2. Amplasarea și protecția echipamentelor

1 1. Sunt identificate și luate în considerare pericolele
pentru mediu atunci când sunt selectate locațiile
echipamentelor?
2. Sunt luate în considerare riscurile legate de accesul
neautorizat/accesul neautorizat al trecătorilor la
amplasarea echipamentelor?
A.11.2. Utilități de sprijin

2 1. Există un sistem UPS sau un generator de rezervă?
2. Au fost acestea testate într-un interval de timp
adecvat?
A.11.2. Securitatea cablurilor

3 1. Au fost efectuate evaluări ale riscurilor privind
amplasarea cablurilor electrice și de
Pagina 13 de 29 04-11-16
27001:2013 Anexa A)
telecomunicații?
2. Sunt amplasate pentru a fi protejate împotriva
interferențelor, interceptării sau deteriorării?
A.11.2. Întreținerea echipamentelor Nu există dovezi

4 Există un program riguros de întreținere a
echipamentelor?
A.11.2. Eliminarea activelor

5 1. Există un proces care controlează modul în care
materialele sunt eliminate de pe site?
2. Este aplicat acest proces?
3. Se efectuează controale prin sondaj?
A.11.2. Securitatea echipamentelor și a activelor în afara

6 spațiilor comerciale
1. Există o politică care acoperă securitatea activelor
în afara amplasamentului?
2. Este această politică comunicată pe scară largă?
A.11.2. Eliminarea sau reutilizarea în siguranță a

7 echipamentelor
1. Există o politică privind modul în care pot fi
reutilizate activele informaționale?
2. În cazul în care datele sunt șterse, este acest lucru
Pagina 14 de 29 04-11-16
27001:2013 Anexa A)
verificat în mod corespunzător înainte de

reutilizare/eliminare?
A.11.2. Echipament utilizator nesupravegheat

8 1. Organizația are o politică cu privire la modul în care
ar trebui protejate echipamentele nesupravegheate?
2. Există controale tehnice pentru a asigura
echipamentele care au fost lăsate din greșeală
nesupravegheate?
A.11.2. Politică de ștergere a biroului și de ștergere a ecranului

9 1. Există o politică clară de birou / ecran clar?
2. Este acest lucru bine aplicat?
A.12 Securitatea operațiunilor
A.12.1 Proceduri și responsabilități operaționale
A.12.1. Proceduri de operare documentate

1 1. Procedurile de operare sunt bine documentate?
2. Procedurile sunt puse la dispoziția tuturor
utilizatorilor care au nevoie de ele?
A.12.1. Managementul schimbării

2 Există un proces controlat de gestionare a
schimbărilor?
Pagina 15 de 29 04-11-16
27001:2013 Anexa A)
A.12.1. Managementul capacității

3 Există un proces de gestionare a capacității?
A.12.1. Separarea mediilor de dezvoltare, testare și operare

4 Organizația impune segregarea mediilor de dezvoltare,
testare și operaționale?
A.12.2 Protecție împotriva programelor malware
A.12.2. Controale împotriva programelor malware

1 1. Există procese de detectare a programelor malware?
2. Există procese de prevenire a răspândirii malware-
ului?
3. Organizația are un proces și capacitatea de a se
recupera în urma unei infecții malware?
A.12.3 Backup
A.12.3. Copie de rezervă a informațiilor

1 1. Există o politică de rezervă convenită?
2. Politica organizației privind backup-ul respectă
cadrele juridice relevante?
3. Copiile de rezervă sunt făcute în conformitate cu
politica?
4. Sunt testate copiile de rezervă?
Pagina 16 de 29 04-11-16
27001:2013 Anexa A)
A.12.4 Înregistrare și monitorizare
A.12.4. Înregistrarea evenimentelor în jurnal

1 Jurnalele de evenimente adecvate sunt menținute și
revizuite periodic?
A.12.4. Protecția informațiilor din jurnal

2 Instalațiile de exploatare forestieră sunt protejate
împotriva manipulării frauduloase și a accesului
neautorizat?
A.12.4. Jurnalele de administrator și operator

3 Jurnalele sysadmin / sysop sunt întreținute, protejate și
revizuite în mod regulat?
A.12.4. Sincronizarea ceasului Ntp

4 Sunt toate ceasurile din cadrul organizației
A.12.5 Controlul software-ului operațional
A.12.5. Instalarea software-ului pe sisteme operaționale

1 Există un proces pentru a controla instalarea software-
ului pe sistemele operaționale?
A.12.6 Gestionarea vulnerabilităților tehnice
A.12.6. Gestionarea vulnerabilităților tehnice

1 1. Are organizația acces la informații actualizate și în
Pagina 17 de 29 04-11-16
27001:2013 Anexa A)
timp util cu privire la vulnerabilitățile tehnice?

2. Există un proces de evaluare a riscurilor și de reacție
la orice noi vulnerabilități pe măsură ce sunt
descoperite?
A.12.6. Restricții privind instalarea soft-ware

2 Există procese în vigoare pentru a restricționa modul în
care utilizatorii instalează software-ul?
A.12.7 Considerații privind auditul sistemelor informatice
Controale de audit al sistemelor informatice

A.12.7. 1. Sistemele IS sunt supuse auditului?
1 2. Procesul de audit asigură reducerea la minimum a
întreruperii activității?
A.13 Securitatea comunicațiilor
A.13.1 Managementul securității rețelei
Controale de rețea Linux cu firewall, pe NAT

A.13.1. Există un proces de gestionare a rețelei? Switch-uri, cu VLAN-uri
1 Icinga
Securitatea serviciilor de rețea Autentificare pe servere, fiecare cu user personal

A.13.1. 1. Organizația pune în aplicare o abordare de La bazele de date, se poate conecta doar pe de un IP anume
2 gestionare a riscurilor care identifică toate serviciile
Pagina 18 de 29 04-11-16
27001:2013 Anexa A)
de rețea și acordurile de servicii?

2. Este securitatea mandatată în acorduri și contracte
cu furnizorii de servicii (interne și externalizate).
3. Sunt obligatorii SLA-urile legate de securitate?
Segregarea în rețele VLAN-uri configurate pe switch-uri

A.13.1. Topologia rețelei impune segregarea rețelelor pentru
3 diferite sarcini?
A.13.2 Transfer de informații
A.13.2. Politici și proceduri de transfer de informații

1 1. Politicile organizaționale guvernează modul în care
sunt transferate informațiile?
2. Procedurile privind modul în care datele ar trebui
transferate sunt puse la dispoziția întregului
personal? 3. Există controale tehnice relevante
pentru a preveni formele neautorizate de transfer de
date?
A.13.2. Acorduri privind transferul de informații

2 Contractele cu părțile externe și acordurile din cadrul
organizației detaliază cerințele pentru securizarea
informațiilor comerciale în transfer?
A.13.2. Mesageria electronică Zimbra C
Pagina 19 de 29 04-11-16
27001:2013 Anexa A)
3 Politicile de securitate acoperă utilizarea transferului

de informații în timpul utilizării sistemelor de mesagerie
electronică?
A.13.2. Acorduri de confidențialitate sau de nedivulgare

4 1. Personalul, contractanții și agenții semnează
acorduri de confidențialitate sau de nedivulgare?
2. Fac aceste acorduri obiectul unei revizuiri
periodice?
3. Se păstrează înregistrări ale acordurilor?
A.14 Achiziția, dezvoltarea și întreținerea sistemului
A.14.1 Cerințe de securitate ale sistemelor informatice
A.14.1. Analiza și specificațiile cerințelor de securitate a

1 informațiilor
1. Sunt specificate cerințele de securitate a
informațiilor atunci când sunt introduse noi sisteme?
2. Atunci când sistemele sunt îmbunătățite sau
modernizate, sunt specificate și abordate cerințele
de securitate?
A.14.1. Securizarea serviciilor de aplicații în rețelele publice

2 Aplicațiile care trimit informații prin rețelele publice
protejează în mod adecvat informațiile împotriva
Pagina 20 de 29 04-11-16
27001:2013 Anexa A)
activității frauduloase, a litigiilor contractuale, a

divulgării neautorizate și a modificărilor neautorizate?
A.14.1. Protejarea tranzacțiilor serviciilor de aplicații

3 Există controale pentru a preveni transmiterea
incompletă, rutarea greșită, modificarea neautorizată a
mesajelor, divulgarea neautorizată, duplicarea
neautorizată a mesajelor sau atacurile de reluare?
A.14.2 Securitate în procesele de dezvoltare și suport
A.14.2. Politica de dezvoltare sigură

1 1. Organizația dezvoltă software sau sisteme?
2. Dacă da, există politici care impun implementarea și
evaluarea controalelor de securitate?
A.14.2. Proceduri de control al schimbărilor de sistem

2 Există un proces formal de control al schimbării?
A.14.2. Revizuirea tehnică a aplicațiilor după modificările

3 platformei de operare
Există un proces care să asigure efectuarea unei revizii
tehnice atunci când platformele de operare sunt
schimbate?
A.14.2. Restricții privind modificările aduse pachetelor software

4 Există o politică în vigoare care mandatează când și
Pagina 21 de 29 04-11-16
27001:2013 Anexa A)
cum pot fi schimbate sau modificate pachetele

software?
A.14.2. Principii de inginerie a sistemelor sigure

5 Organizația are principii documentate cu privire la
modul în care sistemele trebuie proiectate pentru a
asigura securitatea?
A.14.2. Mediu de dezvoltare sigur

6 1. A fost creat un mediu de dezvoltare sigur?
2. Toate proiectele utilizează mediul de dezvoltare
securizat în mod corespunzător în timpul ciclului de
viață al dezvoltării sistemului?
A.14.2. Dezvoltare externalizată

7 1. În cazul în care dezvoltarea a fost externalizată, este
acest lucru supravegheat?
2. Codul dezvoltat extern este supus unei revizuiri de
securitate înainte de implementare?
A.14.2. Testarea securității sistemului

8 În cazul în care sunt dezvoltate sisteme sau aplicații,
sunt acestea testate din punct de vedere al securității
ca parte a procesului de dezvoltare?
A.14.2. Testarea acceptării sistemului
Pagina 22 de 29 04-11-16
27001:2013 Anexa A)
9 Există un proces stabilit pentru a accepta noi sisteme /

aplicații sau upgrade-uri în utilizarea în producție?
A.14.3 Date de testare
A.14.3. Protecția datelor de testare

1 1. Există un proces de selectare a datelor de testare?
2. Datele de testare sunt protejate în mod
corespunzător?
A.15 Relațiile cu furnizorii
A.15.1 Securitatea informațiilor în relațiile cu furnizorii
A.15.1. Politica de securitate a informațiilor pentru relațiile cu

1 furnizorii
1. Securitatea informațiilor este inclusă în contractele
încheiate cu furnizorii și prestatorii de servicii?
2. Există o abordare de gestionare a riscurilor la nivelul
întregii organizații în ceea ce privește relațiile cu
furnizorii?
A.15.1. Abordarea securității în cadrul acordurilor cu furnizorii

2 1. Furnizorilor li se pun la dispoziție cerințe de
securitate documentate?
2. Este controlat și monitorizat accesul furnizorilor la
Pagina 23 de 29 04-11-16
27001:2013 Anexa A)
informații, active și infrastructură?
A.15.1. Lanțul de aprovizionare pentru tehnologia informației și

3 comunicațiilor
Acordurile cu furnizorii includ cerințe privind
securitatea informațiilor în cadrul lanțului de
aprovizionare cu servicii și produse?
A.15.2 Managementul livrării serviciilor pentru furnizori
A.15.2. Monitorizarea și revizuirea serviciilor furnizorilor

1 Furnizorii sunt supuși revizuirii și auditului periodic?
A.15.2. Gestionarea modificărilor aduse serviciilor furnizorilor

2 Modificările aduse furnizării de servicii fac obiectul unui
proces de management care include evaluarea
securității și a riscurilor?
A.16 Managementul incidentelor de securitate a informațiilor
A.16.1 Gestionarea incidentelor și îmbunătățirilor aduse securității informa țiilor
A.16.1. Responsabilități și proceduri

1 Sunt responsabilitățile de management clar identificate
și documentate în procesele de gestionare a
incidentelor?
A.16.1. Raportarea evenimentelor de securitate a informațiilor
Pagina 24 de 29 04-11-16
27001:2013 Anexa A)
2 1. Există un proces de raportare în timp util a

evenimentelor de securitate a informațiilor?
2. Există un proces de revizuire a evenimentelor de
securitate a informațiilor raportate și de acțiune în
urma acestora?
A.16.1. Raportarea deficiențelor de securitate a informațiilor

3 1. Există un proces de raportare a deficiențelor
identificate în materie de securitate a informațiilor?
2. Este acest proces comunicat pe scară largă?
3. Există un proces de revizuire și abordare a
rapoartelor în timp util?
A.16.1. Evaluarea evenimentelor de securitate a informațiilor și

4 luarea deciziilor cu privire la acestea
Există un proces pentru a se asigura că evenimentele
de securitate a informațiilor sunt evaluate și clasificate
în mod corespunzător?
A.16.1. Răspunsul la incidentele de securitate a informațiilor

5 Există un proces de răspuns la incidente care să
reflecte clasificarea și gravitatea incidentelor de
securitate a informațiilor?
Pagina 25 de 29 04-11-16
27001:2013 Anexa A)
A.16.1. Învățarea din incidentele de securitate a informațiilor

6 Există un proces sau un cadru care să permită
organizației să învețe din incidentele de securitate a
informațiilor și să reducă impactul/probabilitatea unor
evenimente viitoare?
A.16.1. Colectarea probelor

7 1. Există o politică de pregătire criminalistică?
2. În cazul unui incident de securitate a informațiilor,
sunt datele relevante colectate într-un mod care să
permită utilizarea acestora ca probe?
A.17 Aspecte de securitate a informațiilor în managementul continuit ății afacerii
A.17.1 Continuitatea securității informațiilor
A.17.1. Planificarea continuității securității informațiilor

1 Este securitatea informațiilor inclusă în planurile de
continuitate ale organizației?
A.17.1. Implementarea continuității securității informațiilor

2 Funcția de securitate a informațiilor a organizației a
documentat, implementat și menținut procese pentru a
menține continuitatea serviciului în timpul unei situații
adverse?
A.17.1. Verificați, revizuiți și evaluați continuitatea securității
Pagina 26 de 29 04-11-16
27001:2013 Anexa A)
3 informațiilor
Planurile de continuitate sunt validate și verificate la
intervale regulate?
A.17.2 Concedieri
A.17.2.1 Disponibilitatea facilităților de prelucrare a informațiilor

Unitățile de procesare a informațiilor au suficientă
redundanță pentru a îndeplini cerințele de disponibilitate
ale organizațiilor?
A.18 Conformitate
A.18.1 Respectarea cerințelor legale și contractuale
A.18.1.1 Identificarea legislației aplicabile și a cerințelor

contractuale
1. Organizația a identificat și a documentat toate
cerințele legislative, de reglementare sau
contractuale relevante legate de securitate?
2. Este documentată conformitatea?
A.18.1.2 Drepturi de proprietate intelectuală

1. Organizația ține o evidență a tuturor drepturilor de
proprietate intelectuală și a utilizării produselor
Pagina 27 de 29 04-11-16
27001:2013 Anexa A)
software brevetate?
2. Organizația monitorizează utilizarea software-ului fără
licență?
A.18.1.3 Protecția înregistrărilor

Sunt înregistrările protejate împotriva pierderii,
distrugerii, falsificării și accesului sau eliberării
neautorizate în conformitate cu cerințele legislative, de
reglementare, contractuale și comerciale?
A.18.1.4 Confidențialitatea și protecția informațiilor de

identificare personală
1. Datele cu caracter personal sunt identificate și
clasificate în mod corespunzător?
2. Datele cu caracter personal sunt protejate în
conformitate cu legislația relevantă?
A.18.1.5 Reglementarea controalelor criptografice

Controalele criptografice sunt protejate în conformitate
cu toate acordurile, legislația și reglementările
relevante?
A.18.2 Revizuiri privind securitatea informațiilor
A.18.2.1 Analiza independentă a securității informațiilor

1. Abordarea organizațiilor în ceea ce privește
Pagina 28 de 29 04-11-16
27001:2013 Anexa A)
gestionarea securității informațiilor face obiectul unei

evaluări independente periodice?
2. Punerea în aplicare a măsurilor de securitate face
obiectul unei revizuiri periodice independente?
A.18.2.2 Respectarea politicilor și standardelor de securitate

1. Organizația instruiește managerii să revizuiască în
mod regulat respectarea politicilor și procedurilor din
domeniul lor de responsabilitate?
2. Sunt păstrate înregistrări ale acestor recenzii?
A.18.2.3 Analiza conformității tehnice

Organizația efectuează periodic evaluări tehnice ale
conformității sistemelor sale de informații?
Pagina 29 de 29 04-11-16

Întrebări Pe Lista de Verificare A Auditului Intern - Controalele ISMS

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Întrebări Pe Lista de Verificare A Auditului Intern - Controalele ISMS

Încărcat de

Drepturi de autor:

Formate disponibile

<Denumire prescurtată> Întrebări de audit intern – Controale de risc ISMS (ISO

A.5 Politici de securitate a informațiilor

A.5.1 Direcția de management pentru securitatea informațiilor

A.5.1.1 Politici pentru securitatea informațiilor

A.5.1.2 Revizuirea politicilor de securitate a informațiilor

A.6 Organizarea securității informațiilor

A.6.1 Organizarea internă

A.6.1.1 Roluri și responsabilități în domeniul securității

A.6.1.2 Separarea sarcinilor

A.6.1.3 Contactul cu autoritățile

Contactul cu grupuri de interese speciale

Securitatea informațiilor în managementul proiectelor

A.6.2 Dispozitivele mobile și telemunca

A.6.2.1 Politica privind dispozitivele mobile

1. Există o politică privind dispozitivele mobile?

A.7 Securitatea resurselor umane

A.7.1 Înainte de angajare

A.7.1. Condiții de muncă și de încadrare în muncă

A.7.2 În timpul angajării

A.7.2. Responsabilități de conducere

Conștientizarea, educarea și formarea în domeniul

2 Întregul personal, contractanții și utilizatorii terți

A.7.3 Încetarea și schimbarea contractului de muncă

A.7.3. Încetarea sau modificarea responsabilităților de muncă

A.8 Gestionarea activelor

A.8.1 Responsabilitatea pentru active

A.8.1. Inventarierea activelor

prelucrarea informațiilor și a informațiilor?

A.8.1. Dreptul de proprietate asupra activelor

A.8.1. Utilizarea acceptabilă a activelor

A.8.1. Returnarea activelor

A.8.2 Clasificarea informațiilor

A.8.2. Clasificarea informațiilor

A.8.2. Etichetarea informațiilor

A.8.2. Manipularea activelor

A.8.3 Manipularea mass-media

A.8.3.1 Gestionarea suporturilor amovibile Actualizare S-002 pentru :

A.8.3.2 Eliminarea mediilor

care sunt eliminate suporturile amovibile?

A.8.3.3 Transfer fizic de suporturi

A.9 Controlul accesului

A.9.1 Cerințe de afaceri pentru controlul accesului

A.9.1.1 Politica de control al accesului

A.9.1.2 Accesul la rețele și servicii de rețea User,pass pentru aplicatii

A.9.2 Gestionarea accesului utilizatorilor

A.9.2.1 Înregistrarea și radierea utilizatorului AD, posta, imprimanta

A.9.2.2 Asigurarea accesului utilizatorilor

A.9.2.3 Gestionarea drepturilor de acces privilegiat

A.9.2.5 Revizuirea drepturilor de acces ale utilizatorilor

A.9.2.6 Eliminarea sau ajustarea drepturilor de acces

Există un proces pentru a se asigura că drepturile de

A.9.3 Responsabilitățile utilizatorilor

A.9.3.1 Utilizarea informațiilor de autentificare secretă

A.9.4 Controlul accesului la sistem și aplicație

A.9.4.1 Restricționarea accesului la informații

A.9.4.2 Proceduri sigure de conectare

A.9.4.3 Sistem de gestionare a parolelor

1. Sistemele de parole sunt interactive?

A.9.4.4 Utilizarea programelor utilitare privilegiate

A.9.4.5 Controlul accesului la codul sursă al programului

A.10.1 Controale criptografice

A.10.1. Managementul cheilor

A.11 Securitatea fizică și a mediului