ISO27001差距訪談提綱

1、A. 5信息安全方針A. 5.1公司是否存在信息安全方針和策略文件？A. 5.2信息安全方針和策略文件是否得到管理層批準(zhǔn)并正式發(fā)布和執(zhí)行？A. 6信息安全組織A. 6.1公司部是否設(shè)立了信息安全管理組織和角色？A. 6.2信息安全角色和責(zé)任是如何劃分和定義的？A. 6.3公司是否與外部權(quán)威機(jī)構(gòu)或?qū)＜揖托畔踩嚓P(guān)事務(wù)建立了聯(lián)系？A. 6.4公司部的信息安全審計是如何開展的？A. 6.5是否存在有效的信息處理設(shè)施管理程序？A. 6.6公司是否有協(xié)議/NDA來防止敏感信息的泄漏？A. 6.7公司在和外部伙伴（包括客戶和第三方組織）合作過程中，是否識別并且有效控制 由于外部伙伴而引入的信息安全風(fēng)險？

2、A.7資產(chǎn)管理A. 7.1是否為各類信息資產(chǎn)指定了責(zé)任人（屬主）？A. 7.2對各類信息資產(chǎn)的可承受使用是如何得以實(shí)現(xiàn)的？A. 7.3是否對信息資產(chǎn)進(jìn)行了恰當(dāng)?shù)姆诸?？A. 7.4如何對包括電子和紙質(zhì)在的信息資產(chǎn)進(jìn)行分類標(biāo)注？A. 7.5如何對不同類型的資產(chǎn)處理進(jìn)行保護(hù)？以確保其在存儲、傳送或訪問期間的安全?A.8人力資源安全A.8.1員工崗位職責(zé)描述中是否定義了和信息安全相關(guān)的責(zé)任要求?A.8.2員工招聘過程中如何進(jìn)行信息安全相關(guān)的背景檢查？A.8.3公司部員工的信息安全意識和培訓(xùn)是如何開展的？A.8.4公司是否設(shè)立了明確的信息安全違規(guī)處罰機(jī)制？A.8.5公司如何在員工離職期間進(jìn)行安全控制？A

3、.8.6部轉(zhuǎn)崗或離職人員如何進(jìn)行物品和訪問權(quán)限上繳？A.9物理與環(huán)境安全A.9.1公司是如何設(shè)立不同級別的隔離區(qū)域的？A.9.2公司如何保證人員進(jìn)出的安全控制？A.9.3公司如何看待來自部和外部的物理安全威脅？A.9.4公司是如何確保辦公環(huán)境的物理安全的？A.9.5公司部的物理安全責(zé)任如何認(rèn)定？A.9.6對于敏感區(qū)域（例如機(jī)房），公司如何保證其物理安全？A.9.7公司如何管理物理環(huán)境中各種設(shè)備以確保其安全?A.9.8公司如何確保場外設(shè)備使用的安全性?A.9.9公司如何確保物理環(huán)境中各項基礎(chǔ)設(shè)施的安全?A.10通信與操作管理A.10.1公司關(guān)于對信息系統(tǒng)和網(wǎng)絡(luò)通信設(shè)施的各種操作是否有文件化的程序

4、規(guī)定?A.10.2公司對信息處理設(shè)施和系統(tǒng)（包括設(shè)備、操作系統(tǒng)與應(yīng)用系統(tǒng)軟件）的變更控制如 何？A.10.3公司是如何遵循職責(zé)分離原則的?A.10.4公司是否將開發(fā)、測試和運(yùn)營系統(tǒng)進(jìn)行了有效的分離?A.10.5公司如何考慮第三方服務(wù)的交付、變更、監(jiān)督和檢查?A.10.6公司如何對資源使用進(jìn)行規(guī)劃管理?A.10.7公司如何解決惡意軟件/移動代碼的威脅問題?A.10.8公司如何實(shí)施備份操作?A.10.9公司如何確保網(wǎng)絡(luò)環(huán)境的安全性?A.10.10公司是如何管理磁帶、移動硬盤、USB盤、帶攝像和存儲功能小電子設(shè)備以與其他移動存儲介質(zhì)的？A.10.11公司如何處理不再使用的存儲介質(zhì)?A.10.12公司

5、是否制定有明確的信息交換策略與程序?A.10.13公司如何確保在公共可訪問系統(tǒng)上進(jìn)行信息交換的安全性？包括網(wǎng)上交易A.10.14公司如何通過日志管理來跟蹤各種信息處理活動?A.11訪問控制A.11.1公司是否建立了明確的訪問控制策略?A.11.2公司如何實(shí)現(xiàn)系統(tǒng)的注冊和管理?A.11.3公司如何進(jìn)行用戶口令管理?A.11.4公司員工對口令使用的安全意識如何?A.11.5員工對桌面清理、清屏和無人值守設(shè)備使用等方面策略的理解和執(zhí)行情況如何?A.11.6公司是否有明確的網(wǎng)絡(luò)服務(wù)使用策略?A.11.7公司在網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)管理方面采取和何種安全控制?A.11.8在操作系統(tǒng)運(yùn)行管理過程中采取了何種安

6、全控制?A.11.9對關(guān)鍵的應(yīng)用系統(tǒng)，如何確保其信息訪問的控制？A.11.10公司如何對筆記本電腦等移動設(shè)施的使用進(jìn)行管控?A.12信息系統(tǒng)獲取、開發(fā)與維護(hù)A.12.1公司對信息系統(tǒng)（包括操作系統(tǒng)、基礎(chǔ)設(shè)施、應(yīng)用軟件、服務(wù)等）在設(shè)計、實(shí)施、 更新或采購時是否做過安全需求分析？A.12.2應(yīng)用系統(tǒng)本身在數(shù)據(jù)輸入輸出以與中間處理等環(huán)節(jié)實(shí)施了何種控制措施?A.12.3公司如何對密碼使用進(jìn)行控制和管理？A.12.4公司在應(yīng)用系統(tǒng)投入運(yùn)營時會采取何種控制？A.12.5在應(yīng)用系統(tǒng)運(yùn)維期間，如何確保系統(tǒng)與相關(guān)數(shù)據(jù)的安全性？A.12.6在應(yīng)用系統(tǒng)開發(fā)和支持過程中，如何實(shí)施變更管理？A.12.7在應(yīng)用系統(tǒng)開發(fā)和

7、支持過程中，如何防止信息泄漏？A.12.8公司是怎樣控制外包軟件開發(fā)過程的？A.12.9對于應(yīng)用系統(tǒng)的技術(shù)漏洞，有怎樣的管理機(jī)制?A.13信息安全事件管理A.13.1公司的信息安全事件和隱患報告機(jī)制情況如何?A.13.2公司信息安全事件管理的責(zé)任和流程是怎樣定義的？A.13.3公司如何對信息安全事件進(jìn)行總結(jié)并汲取教訓(xùn)？A.13.4如果信息安全事件牽涉到法律問題，公司如何進(jìn)行取證?A.14業(yè)務(wù)連續(xù)性管理A.14.1公司業(yè)務(wù)連續(xù)性管理的基本狀況如何?A.14.2在公司業(yè)務(wù)連續(xù)性管理框架中，角色和責(zé)任如何認(rèn)定?A.14.3公司業(yè)務(wù)連續(xù)性計劃的圍是如何定義的?A.14.4公司的業(yè)務(wù)連續(xù)性計劃是否進(jìn)行更新和演練?A.14.5公司如何考慮業(yè)