在 ISO27001 审核中,可能会审核以下现场: **一、办公场所** 1. 工作区域 - 检查员工工作区域的物理安全措施,如门禁系统是否有效控制人员进出;是否有明确的标识区分不同安全级别的区域;是否有防止未经授权的人员窥视敏感信息的措施,如屏风、隐私膜等。 - 观察员工对信息安全的日常遵守情况,如是否妥善保管个人工作设备、是否在离开工位时锁定电脑屏幕等。 2. 会议室 - 查看会议室在使用过程中的信息安全控制,例如是否在会议结束后清理敏感资料;是否有防止会议内容被窃听的措施,如采用隔音设备或禁止携带未经授权的录音设备。 **二、数据中心/机房** 1. 物理环境 - 评估机房的门禁控制、监控系统、消防设施等物理安全措施是否完备。检查温度、湿度控制设备是否正常运行,以确保服务器和网络设备的稳定运行。 - 确认机房的电力供应是否有冗余备份,如 UPS(不间断电源)和备用发电机等。 2. 设备管理 - 审查服务器、网络设备、存储设备等的摆放是否合理,是否便于维护和管理。检查设备的标识是否清晰,以便在出现问题时能够快速定位。 - 核实设备的维护记录,包括定期巡检、故障处理等情况,确保设备的可靠性和安全性。 **三、研发区域** 1. 项目管理 - 检查研发项目的信息安全管理流程,包括需求分析、设计、编码、测试等阶段的安全控制措施。例如,是否对敏感的研发数据进行加密存储和传输;是否有严格的版本控制和访问权限管理。 - 观察研发人员在使用开发工具和技术时是否遵循信息安全规范,如避免使用未经授权的软件和插件。 2. 知识产权保护 - 评估企业对研发成果的知识产权保护措施,如专利申请、版权登记等。审查是否有防止研发成果被窃取或泄露的措施,如签订保密协议、限制访问研发文档等。 **四、仓库/档案室** 1. 存储管理 - 检查存储敏感信息或重要资产的仓库或档案室的物理安全措施,如门锁、监控、防火设施等。确认存储物品的分类和标识是否清晰,便于管理和查找。 - 核实库存管理系统是否能够准确记录物品的进出情况,防止资产丢失或被盗。 2. 文档管理 - 审查纸质文档的存储和管理情况,如是否存放在防火、防潮的文件柜中;是否有定期的文档清理和销毁制度,以防止敏感信息泄露。 **五、网络运维中心** 1. 网络监控 - 查看网络运维中心的监控系统,了解网络流量、设备状态等的实时监测情况。确认是否有异常报警机制,以便及时发现和处理网络安全事件。 - 检查网络拓扑图和设备清单,确保对网络架构和设备配置有清晰的了解。 2. 安全设备管理 - 审查防火墙、入侵检测系统、VPN 等安全设备的配置和管理情况。核实安全策略是否及时更新,以应对不断变化的安全威胁。 - 观察网络运维人员对安全设备的日常维护和管理操作,如日志审查、设备升级等。
