What is an ISMS Audit Checklist?

An ISMS Audit Checklist is a structured guide used to assess the effectiveness and compliance of an Information Security Management System according to standards like ISO 27001.

Why is ISMS auditing important?

ISMS auditing helps organizations identify security gaps, ensure compliance with regulations, and improve overall information security management.

ISMS

تعریف دامنه سیستم مدیریت امنیت اطلاعات – ISMS Scope Definition
فهرست دارایی‌های اطلاعاتی – Information Asset Inventory
روش ارزیابی ریسک – Risk Assessment Methodology
طرح مقابله با ریسک – Risk Treatment Plan (RTP)
بیانیه قابلیت اعمال – Statement of Applicability (SoA)
سیاست امنیت اطلاعات – Information Security Policy
سیاست کنترل دسترسی – Access Control Policy
سیاست مدیریت دارایی‌ها – Asset Management Policy
سیاست استفاده مجاز – Acceptable Use Policy (AUP)
سیاست پشتیبان‌گیری – Backup Policy
طرح تداوم کسب‌وکار – Business Continuity Plan (BCP)
طرح بازیابی از حادثه – Disaster Recovery Plan (DRP)
رویه مدیریت رخداد – Incident Management Procedure
ثبت وقایع امنیتی – Security Incident Register
کنترل دسترسی کاربران – User Access Control
مدیریت رمز عبور – Password Management
مدیریت تغییر – Change Management
مدیریت پیکربندی – Configuration Management
مدیریت وصله امنیتی – Security Patch Management
کنترل‌های امنیت فیزیکی – Physical Security Controls
کنترل دسترسی به تجهیزات – Equipment Access Control
آموزش آگاهی امنیتی – Security Awareness Training
آموزش کارکنان جدید – New Employee Security Training
بازبینی سیاست‌ها – Policy Review
بررسی دوره‌ای دسترسی‌ها – Periodic Access Review
گزارش‌گیری رویدادها – Event Logging and Monitoring
مدیریت رخدادهای امنیتی – Security Incident Management
مدیریت ارتباطات امنیتی – Security Communication Management
ثبت و بازنگری ریسک‌ها – Risk Register Review
نظارت بر دسترسی منطقی – Logical Access Monitoring
رمزنگاری داده‌ها – Data Encryption
مدیریت کلید رمزنگاری – Key Management
بررسی لاگ سیستم‌ها – System Log Review
آزمایش طرح BCP – BCP Testing
آزمایش DRP – DRP Testing
مدیریت سرویس‌دهندگان – Supplier Management
قراردادهای امنیتی با پیمانکاران – Supplier Security Agreements
تحلیل ریسک‌های جدید – Emerging Risk Analysis
کنترل رسانه‌های ذخیره‌سازی – Removable Media Control
نحوه امحاء اطلاعات – Secure Disposal of Information
کنترل‌های شبکه – Network Security Controls
تقسیم‌بندی شبکه – Network Segmentation
فایروال و IDS/IPS – Firewall and IDS/IPS
بررسی آسیب‌پذیری – Vulnerability Assessment
تست نفوذ – Penetration Testing
مدیریت نقاط انتهایی – Endpoint Security Management
بروزرسانی آنتی‌ویروس – Antivirus Update Management
رمزگذاری لپ‌تاپ‌ها – Laptop Encryption
نظارت بر دسترسی از راه دور – Remote Access Monitoring
امنیت سیستم‌های عامل – Operating System Security
امنیت پایگاه داده – Database Security
امنیت اپلیکیشن‌ها – Application Security
بازرسی داخلی ISMS – ISMS Internal Audit
بررسی شکایات امنیتی – Security Complaints Handling
مدیریت تغییرات بحرانی – Critical Change Management
امنیت در توسعه نرم‌افزار – Secure Software Development
بررسی ریسک برون‌سپاری – Outsourcing Risk Review
ثبت فعالیت کاربران – User Activity Logging
ایجاد حساب جدید – New Account Provisioning
غیرفعالسازی حساب‌های غیرفعال – Deactivation of Inactive Accounts
مدیریت دستگاه‌های موبایل – Mobile Device Management (MDM)
سیاست استفاده از BYOD – Bring Your Own Device Policy
مدیریت امنیت ابری – Cloud Security Management
حفظ حریم خصوصی داده‌ها – Data Privacy Compliance
انطباق با GDPR – GDPR Compliance
مدیریت حقوق دسترسی – Privileged Access Management (PAM)
مستندسازی سیاست‌ها – Policy Documentation
تهیه گزارش سالانه ISMS – ISMS Annual Report
نظارت بر عملکرد امنیت – Security Performance Monitoring
بررسی کنترل‌های فنی – Technical Controls Review
مرور کنترل‌های مدیریتی – Management Controls Review
کنترل‌های رفتاری – Behavioral Controls
امنیت ایمیل – Email Security
تشخیص فیشینگ – Phishing Detection
کنترل دسترسی مبتنی بر نقش – Role-based Access Control (RBAC)
استفاده از MFA – Multi-Factor Authentication (MFA)
مدیریت رمزهای عبور قوی – Strong Password Enforcement
نصب و پیکربندی امن سیستم – Secure System Configuration
احراز هویت کاربران – User Authentication
تاییدیه دسترسی مدیریتی – Administrative Access Approval
نظارت بر محیط فیزیکی – Environmental Monitoring
حفاظت در برابر بدافزار – Malware Protection
نظارت بر تهدیدات – Threat Monitoring
مدیریت آسیب‌پذیری مستمر – Continuous Vulnerability Management
ارزیابی انطباق قانونی – Legal Compliance Evaluation
بازبینی دستیابی به منابع حساس – Critical Asset Access Review
مستندسازی شواهد ممیزی – Audit Evidence Documentation
به‌روزرسانی منظم سیاست‌ها – Regular Policy Updates
گزارش‌دهی رخدادهای بزرگ – Major Incident Reporting
استفاده از SIEM – Security Information and Event Management (SIEM)
تدوین رویه‌های حذف امن – Secure Data Deletion Procedures
بررسی کنترل دسترسی فیزیکی – Physical Access Control Review
پایش و ارزیابی تامین‌کنندگان – Supplier Security Evaluation
سیاست امنیت چاپ – Print Security Policy
نظارت بر ترافیک شبکه – Network Traffic Monitoring
ارزیابی اثربخشی ISMS – ISMS Effectiveness Assessment
بررسی شاخص‌های عملکرد امنیت – Security KPI Review
مدیریت امنیت در پروژه‌ها – Project Security Management
پایش کاربران ممتاز – Privileged User Monitoring
ارزیابی امنیت ارتباطات – Communication Security Review
مدیریت دسترسی اضطراری – Emergency Access Management
مستندسازی یافته‌های ممیزی – Audit Findings Documentation
پیاده‌سازی بهبود مستمر – Continual Improvement Implementation
بررسی سیاست تفکیک وظایف – Segregation of Duties Policy
کنترل دسترسی مبتنی بر زمان – Time-based Access Control
استفاده از Honeypot برای شناسایی نفوذ – Honeypot Deployment
پایش زنجیره تأمین – Supply Chain Risk Monitoring
کنترل دسترسی بر اساس مکان – Location-based Access Control
ممیزی تطابق با ISO 27001 – ISO 27001 Compliance Audit
ارزیابی تاثیر بر داده‌های شخصی – Data Protection Impact Assessment (DPIA)
گزارش آسیب‌پذیری به مراجع – Vulnerability Disclosure Process
کنترل‌های امنیتی DevOps – DevSecOps Controls
مدیریت رخدادهای امنیتی در فضای ابری – Cloud Incident Response
مستندسازی روابط قانونی با شخص ثالث – Third-party Legal Agreements
نقشه معماری امنیت اطلاعات – Information Security Architecture Map
تجزیه‌وتحلیل لاگ‌های SIEM – SIEM Log Analysis
تعیین معیارهای بحرانی امنیت – Security Criticality Metrics
سیاست امنیت چاپگرها – Printer Security Policy
شناسایی داده‌های حساس – Sensitive Data Identification
ارزیابی امنیت دستگاه‌های IoT – IoT Security Assessment
پایش ترافیک داخلی شبکه – Internal Network Traffic Monitoring
کنترل دسترسی مبتنی بر شرایط – Conditional Access Enforcement
سیاست امنیت فضای ذخیره‌سازی ابری – Cloud Storage Security Policy
تاییدیه حذف اطلاعات حساس – Secure Data Erasure Verification
گزارش‌دهی دوره‌ای به مدیریت ارشد – Periodic Executive Reporting
پایش سوءاستفاده از حساب‌ها – Account Abuse Detection
مستندسازی کنترل‌های امنیتی اجرایی – Implemented Security Controls Log
سیاست نگهداری نسخه‌های پشتیبان – Backup Retention Policy
ایجاد نقشه تهدیدات سایبری – Cyber Threat Mapping
پایش تغییرات غیرمجاز – Unauthorized Change Monitoring
ارزیابی امنیت ابزارهای همکاری آنلاین – Collaboration Tool Security Review
کنترل دسترسی مبتنی بر مجوز – Permission-based Access Control
احراز هویت زیستی – Biometric Authentication Implementation
مستندسازی اجرای اصلاحیه‌ها – Patch Deployment Documentation
پایش سطح دسترسی مدیران سیستم – Admin Access Review
کنترل دسترسی بر اساس حساسیت داده – Sensitivity-based Access Control
تجزیه‌وتحلیل سطح بلوغ ISMS – ISMS Maturity Level Assessment
مدیریت خطرات وابسته به اشخاص ثالث – Third-party Risk Management
مستندسازی جلسات تیم امنیت – Security Team Meeting Minutes
تاییدیه حذف حساب کارکنان خارج‌شده – Former Employee Account Deletion Verification
آزمایش‌های امنیتی دوره‌ای – Periodic Security Testing
تطبیق با الزامات محلی حفاظت داده – Local Data Protection Compliance
ثبت تغییرات در سیاست‌های امنیتی – Security Policy Change Log
ارزیابی آسیب‌پذیری‌های داخلی – Internal Vulnerability Scanning
پایش تهدیدات روز صفر – Zero-day Threat Monitoring
کنترل امنیتی سیستم‌های مجازی – Virtualization Security Controls
ارزیابی سیاست‌های رمزنگاری – Encryption Policy Review
نظارت بر دسترسی کاربر مهمان – Guest Access Control
بررسی رعایت SLAهای امنیتی – Security SLA Compliance Review
سیاست حفاظت از داده‌های در حال انتقال – Data-in-Transit Protection Policy
ارزیابی تهدیدات داخلی – Insider Threat Risk Assessment
ارزیابی امنیتی تلفن‌های همراه – Mobile Device Security Assessment
ممیزی سطح دسترسی کاربران ممتاز – Privileged User Access Audit
تست بازیابی داده‌ها – Data Recovery Testing
بررسی کنترل‌های امنیتی مرورگر – Browser Security Controls Review
تعیین الزامات امنیتی برای توسعه‌دهندگان – Developer Security Requirements
کنترل‌ امنیتی تجهیزات شبکه – Network Equipment Security Checks
ممیزی حساب‌های سیستمی پیش‌فرض – Default System Accounts Audit
ارزیابی امنیت ارتباطات VPN – VPN Security Evaluation
سیاست استفاده از رسانه‌های قابل حمل – Portable Media Usage Policy
پایش تهدیدات مبتنی بر ایمیل – Email Threat Intelligence Monitoring
بررسی احراز هویت دو مرحله‌ای – Two-Factor Authentication Verification
مستندسازی کنترل‌های امنیت فیزیکی – Physical Security Control Documentation
کنترل‌ امنیتی سامانه‌های حسابداری – Financial Systems Security Review
تطبیق با چارچوب NIST – NIST Framework Alignment
مدیریت رمز عبور در سیستم‌های صنعتی – ICS Password Management
ارزیابی ابزارهای رمزنگاری مورد استفاده – Encryption Tools Assessment
پایش دسترسی به اطلاعات طبقه‌بندی شده – Classified Information Access Monitoring
بررسی امنیت پایگاه داده NoSQL – NoSQL Database Security Review
ممیزی سیاست تغییر رمز عبور – Password Rotation Policy Audit
مستندسازی مدیریت وقفه‌های سیستم – Downtime Management Documentation
بررسی تطبیق امنیت با ISO 22301 – ISO 22301 Security Compliance
ممیزی سطح دسترسی به سیستم‌های بحرانی – Critical Systems Access Audit
ارزیابی امنیتی فایل‌های اشتراکی – Shared File Security Evaluation
پایش عملکرد دیواره آتش – Firewall Performance Monitoring
بررسی انطباق با استاندارد CIS Controls – CIS Controls Compliance Check
مستندسازی زنجیره مسئولیت امنیتی – Security Accountability Chain
بررسی تطبیق با مقررات GDPR – GDPR Compliance Verification
تجزیه و تحلیل تهدیدات مبتنی بر هوش مصنوعی – AI-based Threat Analysis
ممیزی سیاست‌های استفاده از اینترنت – Internet Usage Policy Audit
کنترل امنیتی تجهیزات وایرلس – Wireless Devices Security Checks
پایش دسترسی به اطلاعات محرمانه – Confidential Data Access Tracking
ارزیابی امنیت کانتینرها – Container Security Assessment
بازبینی قراردادهای امنیت اطلاعات با پیمانکاران – Contractor Security Agreement Review
ممیزی امنیتی حساب‌های API – API Account Security Audit
پایش نشت اطلاعات – Data Leakage Monitoring
ارزیابی تهدیدات مبتنی بر مهندسی اجتماعی – Social Engineering Threat Evaluation
کنترل امنیتی سیستم‌های SCADA – SCADA Security Review
بررسی تطبیق با PCI DSS – PCI DSS Compliance Check
مدیریت دسترسی در محیط‌های BYOD – BYOD Access Management
ارزیابی امنیت پروتکل‌های ارتباطی – Communication Protocol Security Assessment
ممیزی پایداری سرویس‌های امنیتی – Security Services Continuity Audit
تست اثربخشی آموزش‌های امنیتی – Security Awareness Training Testing
ارزیابی سیاست نگهداری لاگ – Log Retention Policy Review
تجزیه‌ و تحلیل تهدیدات داخلی – Internal Threat Behavior Analytics
ممیزی ابزارهای مدیریت دسترسی – Access Management Tools Audit
پایش تهدیدات پیشرفته مداوم – APT (Advanced Persistent Threat) Monitoring
مستندسازی کنترل‌های امنیتی در DevOps – DevOps Security Documentation
بررسی امنیت انتقال فایل‌های FTP – FTP Security Review
ممیزی امنیت شبکه بی‌سیم مهمان – Guest Wi-Fi Network Audit
کنترل امنیتی خدمات ابری SaaS – SaaS Cloud Services Security Control
ارزیابی امنیتی سیستم‌های VoIP – VoIP Security Assessment
ممیزی تنظیمات DNS ایمن – Secure DNS Configuration Audit
بررسی سیاست حفظ داده‌های تاریخی – Historical Data Retention Policy Review
تجزیه و تحلیل امنیت نرم‌افزارهای Open Source – Open Source Software Security Analysis
پایش امنیت در بستر بلاکچین – Blockchain Environment Security Monitoring
ارزیابی امنیتی ابزارهای ChatOps – ChatOps Security Evaluation
کنترل دسترسی مبتنی بر نقش RBAC – Role-Based Access Control Audit
ممیزی امنیت تجهیزات IoT – IoT Device Security Audit
بررسی عملکرد SIEM در تشخیص تهدید – SIEM Threat Detection Efficiency Review
تحلیل تهدیدات Zero-Day – Zero-Day Threat Analysis
ممیزی سیستم‌های مدیریت رمز عبور – Password Management System Audit
ارزیابی امنیتی ایمیل‌های سازمانی – Corporate Email Security Assessment
بررسی سیاست‌های عدم افشای اطلاعات NDA – NDA Compliance Review
ممیزی امنیت در محیط‌های مجازی VDI – Virtual Desktop Infrastructure Audit
بررسی امنیتی فایل‌های log حساس – Sensitive Log File Security Check
ممیزی چرخه حیات حساب‌های کاربری – User Account Lifecycle Audit
ارزیابی امنیتی مکانیزم‌های OTP – One-Time Password Mechanism Evaluation
بررسی امنیت APIهای RESTful – RESTful API Security Review
تحلیل امنیتی محیط‌های Containerized – Containerized Environments Security Analysis
ممیزی و مستندسازی تنظیمات SSO – Single Sign-On Configuration Audit
کنترل امنیتی انتقال داده در USB – USB Data Transfer Security Control
ارزیابی امنیتی DevSecOps Pipelines – DevSecOps Pipeline Security Assessment
بررسی تطابق با HIPAA در اطلاعات سلامت – HIPAA Compliance for Health Data
کنترل امنیتی داشبوردهای مدیریتی – Admin Dashboard Access Security Control
تحلیل امنیتی الگوریتم‌های رمزنگاری – Cryptographic Algorithm Security Review
ممیزی تجهیزات امنیت فیزیکی مانند CCTV – Physical Security Devices Audit
ارزیابی امنیتی ذخیره‌سازی ابری – Cloud Storage Security Evaluation
بررسی به‌روزرسانی‌های امنیتی خودکار – Automated Security Patch Review
ممیزی کنترل دسترسی فیزیکی با کارت هوشمند – Smart Card Physical Access Audit
ارزیابی امنیتی سیستم‌های Remote Desktop – Remote Desktop Security Assessment
بررسی امنیت مکانیزم‌های CAPTCHA – CAPTCHA Security Mechanism Review
تجزیه‌ و تحلیل حملات Insider Threat – Insider Threat Analysis
پایش تهدیدات از طریق Dark Web Monitoring – Dark Web Threat Intelligence Monitoring
کنترل امنیتی سیستم‌های ERP – ERP Systems Security Control
ممیزی تنظیمات امنیتی در مرورگرهای وب – Web Browser Security Configuration Audit
بررسی امنیت وب‌سایت در برابر XSS – XSS Protection Verification
ارزیابی فرآیند مدیریت آسیب‌پذیری – Vulnerability Management Process Evaluation
ممیزی سیاست‌های حذف ایمن داده – Secure Data Deletion Policy Audit
تحلیل امنیتی ترافیک شبکه داخلی – Internal Network Traffic Security Analysis
ممیزی و بازبینی دستگاه‌های فایروال – Firewall Device Configuration Audit
ارزیابی امنیتی محیط‌های Kubernetes – Kubernetes Environment Security Assessment
کنترل دسترسی چند سطحی به داده‌ها – Multi-Level Data Access Control
ممیزی امنیت سیستم‌های مانیتورینگ و لاگینگ – Monitoring and Logging Systems Audit
تحلیل امنیت در فرآیندهای DevOps – DevOps Workflow Security Analysis
بررسی امنیتی Session Management – Secure Session Handling Review
ارزیابی امنیت سیستم‌های پرداخت آنلاین – Online Payment System Security Assessment
کنترل امنیتی پروتکل‌های Remote Access – Remote Access Protocol Security Control
بررسی انطباق با چارچوب OWASP SAMM – OWASP SAMM Compliance Review
ارزیابی امنیتی انتقال اطلاعات در WebSocket – WebSocket Data Transmission Security Check
ممیزی رمزگذاری End-to-End – End-to-End Encryption Audit
تحلیل آسیب‌پذیری‌های Third-party Software – Third-party Software Vulnerability Analysis
بررسی امنیت اطلاعات ذخیره‌شده در Cache – Cached Data Security Review
پایش تهدیدات از طریق SIEM Threat Feeds – SIEM Threat Feed Monitoring
کنترل امنیتی تنظیمات DNSSEC – DNSSEC Configuration Control
ارزیابی امنیتی سیستم‌های SCIM – SCIM Protocol Security Evaluation
تحلیل امنیتی ابزارهای مدیریت پروژه – Project Management Tools Security Review
ممیزی کنترل‌های امنیتی Zero Trust – Zero Trust Security Controls Audit
بررسی سیاست‌های امنیتی در Cloud SaaS – SaaS Cloud Security Policy Review