ISO 27001 认证通常会审核以下场所:
一、办公场所
一般办公区域
检查员工的日常办公环境,包括电脑、文件存储、网络连接等是否符合信息安全要求。例如,是否有明确的桌面清理政策,以防止敏感信息泄露。
观察员工对信息安全政策的遵守情况,如是否妥善保管密码、是否随意连接外部设备等。
会议室
确认会议室在使用过程中的信息安全措施,例如是否在会议结束后清理敏感信息、是否有防止未经授权的人员进入会议室窃听的措施。
检查会议室的电子设备(如投影仪、音响系统等)是否安全,是否存在被黑客攻击或信息泄露的风险。
二、数据中心和机房
物理安全
评估机房的门禁系统是否严格,只有授权人员才能进入。检查是否有监控摄像头覆盖关键区域,以及监控记录的保存和管理情况。
考察机房的防火、防水、防潮、防静电等措施是否到位,如灭火器、漏水检测设备、湿度控制设备等的配备和运行情况。
设备管理
检查服务器、网络设备、存储设备等的摆放是否合理,是否有利于散热和维护。确认设备的标识是否清晰,便于管理和维护。
核实设备的维护记录,包括定期巡检、故障处理、软件更新等,确保设备的稳定运行和安全性。
电力供应和环境控制
审查机房的电力供应系统,包括备用电源(如UPS、发电机)的配置和测试情况,以确保在电力中断时能够及时切换,保证设备的正常运行。
检查机房的温度、湿度控制设备,确保环境参数在设备要求的范围内,防止设备因环境因素损坏。
三、研发场所
知识产权保护
对于有研发活动的组织,审核人员会关注研发成果的保护措施。检查是否有明确的知识产权管理政策,包括专利申请、技术保密等方面的规定。
观察研发人员在工作中对敏感技术和知识产权的保护意识,如是否妥善保管研发文档、是否在与外部合作时签订保密协议等。
代码和数据安全
审查研发过程中的代码管理和数据存储方式。确保代码存储在安全的服务器上,有版本控制和访问权限管理。检查数据的备份和恢复策略,防止数据丢失。
评估研发环境的网络安全,防止外部攻击和恶意软件入侵。例如,是否有防火墙、入侵检测系统等安全设备,以及研发人员使用的开发工具是否安全可靠。
四、仓库和档案管理场所
物理存储安全
检查仓库和档案管理场所的物理安全措施,如门锁、监控、防火设施等。确保存储的物品(如纸质档案、存储介质等)不会被盗窃、损坏或丢失。
考察存储环境是否适宜,如温度、湿度控制,防止物品因环境因素受损。
访问控制
确认只有授权人员才能进入仓库和档案管理场所。检查访问记录的管理情况,以便追溯人员的进出情况。
对于存储敏感信息的档案,审查其访问权限的管理是否严格,是否采用加密等技术手段保护信息安全。
五、远程办公场所(如果适用)
网络安全
评估远程办公人员使用的网络连接的安全性。检查是否采用虚拟专用网络(VPN)等安全技术,确保数据在传输过程中不被窃取或篡改。
审查远程办公设备(如笔记本电脑、移动设备等)的安全配置,包括防病毒软件、防火墙、操作系统更新等。
人员管理
确认远程办公人员是否接受了与在办公室工作相同的信息安全培训,了解信息安全政策和要求。
考察组织对远程办公人员的监督和管理措施,如是否有定期的安全检查、是否要求远程办公人员报告安全事件等。
