信息安全內(nèi)部審核檢查表

1、.：.； 上海聯(lián)眾網(wǎng)絡(luò)信息 ISO27001:2005信息平安目的與控制檢查表 二一三年三月十二日 A.5平安方針 規(guī)范條款號(hào)標(biāo) 題目的/控制控制 理 由控 制 要 求審核發(fā)現(xiàn)A.5.1信息平安方針目的根據(jù)業(yè)務(wù)要求以及相關(guān)的法律法規(guī)為信息平安提供管理指點(diǎn)和支持。A.5.1.1信息平安方針文件控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果?？偨?jīng)理能否確保制定與公司目的一致的明晰的信息平安方針，并且經(jīng)過(guò)在組織內(nèi)發(fā)布和維護(hù)信息平安方針來(lái)闡明對(duì)信息平安的支持和承諾。信息平安方針在中描畫，由總經(jīng)理同意發(fā)布？管理手冊(cè)中有信息平安方針A.5.1.2信息平安方針評(píng)審控制根據(jù)Info-Riskmanag

2、er風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。每年管理評(píng)審或發(fā)生艱苦變化時(shí)能否對(duì)信息平安方針的繼續(xù)適宜性、充分性和有效性進(jìn)展評(píng)價(jià)，必要時(shí)進(jìn)展修訂？管理評(píng)審報(bào)告 A.6信息平安組織規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.6.1信息平安組織目的管理組織內(nèi)部信息平安。A.6.1.1信息平安管理承諾控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果?？偨?jīng)理能否承諾建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、堅(jiān)持和改良ISMS，并經(jīng)過(guò)一系列的活動(dòng)，提供證明。該承諾中進(jìn)展相能否描畫？A.6.1.2信息平安的協(xié)作控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否成立以信息平安管理者代表、各部門信息平安擔(dān)

3、任人組成的跨部門的聯(lián)席會(huì)議，協(xié)調(diào)信息平安管理任務(wù)，對(duì)體系運(yùn)轉(zhuǎn)中存在的問(wèn)題進(jìn)展處理。會(huì)議由人事行政部擔(dān)任組織安排并做好會(huì)議記錄？A.6.1.3信息平安職責(zé)分配控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否清楚確實(shí)定一切的信息平安職責(zé)。最高管理者授權(quán)信息平安管理者代表，全面擔(dān)任信息平安管理體系的建立、實(shí)施與堅(jiān)持任務(wù)？對(duì)每一項(xiàng)重要資產(chǎn)指定信息平安責(zé)任人。A.6.1.4信息處置設(shè)備的授權(quán)過(guò)程控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否根據(jù)運(yùn)用部門需求提出新的信息處置設(shè)備包括軟件的配置要求，并組織驗(yàn)收與實(shí)施，確保與原有系統(tǒng)的兼容？A.6.1.5嚴(yán)密協(xié)議控制根據(jù)In

4、fo-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否與正式錄用員工在勞動(dòng)合同中附加有關(guān)嚴(yán)密方面的內(nèi)容條款或簽署。員工聘用期滿分開(kāi)公司之前，能否提示其對(duì)嚴(yán)密所作的承諾？A.6.1.6與權(quán)威機(jī)構(gòu)的聯(lián)絡(luò)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。人事行政部能否制定規(guī)定，詳細(xì)闡明由誰(shuí)何時(shí)與權(quán)威機(jī)構(gòu)聯(lián)絡(luò)，以及怎樣識(shí)別能否該及時(shí)報(bào)告的能夠會(huì)違背法律的信息平安事件？A.6.1.7與專業(yè)小組的聯(lián)絡(luò)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否就計(jì)算機(jī)信息及通訊網(wǎng)絡(luò)平安問(wèn)題與效力提供部門堅(jiān)持聯(lián)絡(luò)，以確保和在出現(xiàn)平安事故時(shí)盡快采取適當(dāng)?shù)男袆?dòng)和獲得建議？A.6.1.8信息平安的獨(dú)立

5、評(píng)審控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。人事行政部能否擔(dān)任組織、謀劃內(nèi)部審核，根據(jù)謀劃的時(shí)間間隔，或者當(dāng)平安設(shè)備發(fā)生艱苦變化時(shí)，對(duì)組織管理信息平安的方法及其實(shí)施情況進(jìn)展獨(dú)立評(píng)審？A.6.2外部相關(guān)方目的識(shí)別外部相關(guān)方訪問(wèn)的風(fēng)險(xiǎn)，明確對(duì)外部相關(guān)方訪問(wèn)控制的要求，并控制外部相關(guān)方帶來(lái)的風(fēng)險(xiǎn)，堅(jiān)持被外部相關(guān)方訪問(wèn)、處置、共享、管理的組織信息及信息處置設(shè)備的平安。A.6.2.1與外部相關(guān)方有關(guān)的風(fēng)險(xiǎn)識(shí)別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否識(shí)別外部相關(guān)方對(duì)信息資產(chǎn)和信息處置設(shè)備呵斥的風(fēng)險(xiǎn)，并在同意外部相關(guān)方訪問(wèn)信息資產(chǎn)和信息處置設(shè)備前實(shí)施適當(dāng)?shù)目刂疲⒑炇?/p>

6、規(guī)定訪問(wèn)和任務(wù)安排條款和條件的？A.6.2.2處置與顧客相關(guān)的平安問(wèn)題控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。外包責(zé)任部門能否能否識(shí)別外包活動(dòng)的風(fēng)險(xiǎn)，明確外包活動(dòng)的信息平安要求，在外包合同中明確規(guī)定信息平安要求。在同意顧客訪問(wèn)組織信息或資產(chǎn)前，能否該處置一切已識(shí)別的平安要求？A.7資產(chǎn)管理規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.7.1資產(chǎn)責(zé)任目的對(duì)本公司資產(chǎn)包括顧客要求嚴(yán)密的數(shù)據(jù)、軟件及產(chǎn)品進(jìn)展有效維護(hù)。A.7.1.1資產(chǎn)清單控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否組織各部門識(shí)別資產(chǎn)，并根據(jù)重要資產(chǎn)判別準(zhǔn)那么確定公司的重要資產(chǎn)

7、，經(jīng)過(guò)風(fēng)險(xiǎn)管理軟件，建立？A.7.1.2資產(chǎn)一切權(quán)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否組織相關(guān)部門識(shí)別資產(chǎn)并指定資產(chǎn)擔(dān)任人？A.7.1.3資產(chǎn)的合理運(yùn)用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否制定相能否的業(yè)務(wù)系統(tǒng)能否用管理制度，重要設(shè)備有運(yùn)用闡明書，規(guī)定了資產(chǎn)的合理運(yùn)用規(guī)那么？運(yùn)用或訪問(wèn)組織資產(chǎn)的員工、協(xié)作方以及第三方用戶能否了解與信息處置設(shè)備和資源相關(guān)的信息和資產(chǎn)方面的限制。并對(duì)信息資源的運(yùn)用，以及發(fā)生在其責(zé)任下的運(yùn)用擔(dān)任？A.7.2信息分類目的本公司根據(jù)信息的敏感性對(duì)信息進(jìn)展分類，明確維護(hù)要求、優(yōu)先權(quán)和等級(jí)，以確保對(duì)資產(chǎn)采取適當(dāng)?shù)木S護(hù)。A.

8、7.2.1分類指南控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否有信息密級(jí)規(guī)定劃分秘級(jí)？A.7.2.2信息的標(biāo)識(shí)和處置控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。對(duì)于屬于企業(yè)、企業(yè)與國(guó)家的文件，密級(jí)確定部門能否按要求進(jìn)展適當(dāng)?shù)臉?biāo)注？A.8人力資源平安規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.8.1聘用前目的對(duì)聘用過(guò)程進(jìn)展管理，確保員工、合同方和第三方用戶了解其責(zé)任，并且能勝任其義務(wù)，以降低設(shè)備被盜竊、欺詐或誤用的風(fēng)險(xiǎn)。A.8.1.1角色和職責(zé)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。與信息平安有關(guān)的部門的平安職責(zé)能否明確規(guī)定

9、？A.8.1.2挑選控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。人力資源部能否擔(dān)任對(duì)初始錄用員工進(jìn)展才干、信譽(yù)調(diào)查，每年對(duì)關(guān)鍵信息平安崗位進(jìn)展年度調(diào)查，對(duì)于不符合平安要求的不得錄用或進(jìn)展崗位調(diào)整？A.8.1.3雇傭條款和條件控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否規(guī)定了員工、合同方以及第三方的聘用條款和條件？A.8.2聘用期間目的確保一切的員工、合同方和第三方用戶知道信息平安要挾和利害關(guān)系、他們的職責(zé)和義務(wù)、并預(yù)備好在其正常任務(wù)過(guò)程中支持組織的平安方針，并且減少人為錯(cuò)誤的風(fēng)險(xiǎn)。審核發(fā)現(xiàn)A.8.2.1管理職責(zé)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)

10、果。公司管理者能否要求員工、協(xié)作方以及第三方用戶，加強(qiáng)信息平安認(rèn)識(shí)，根據(jù)建立的方針和程序來(lái)運(yùn)用平安？A.8.2.2信息平安教育和培訓(xùn)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。與ISMS有關(guān)的一切員工，有關(guān)的第三方訪問(wèn)者，能否接受平安認(rèn)識(shí)、方針、程序的培訓(xùn)。方針、程序變卦后能否及時(shí)傳到達(dá)全體員工。人力資源部經(jīng)過(guò)組織實(shí)施培訓(xùn)，確保員工平安認(rèn)識(shí)的提高與有才干勝任所承當(dāng)?shù)男畔⑵桨踩蝿?wù)？A.8.2.3懲戒過(guò)程控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。違背組織平安方針和程序的員工公司能否將根據(jù)違反程度及呵斥的影響進(jìn)展處分，處分在平安破壞經(jīng)過(guò)證明地情況下進(jìn)展？A.8.3聘用中止或

11、變化目的確保員工、協(xié)作方以及第三方用戶以一種有序的方式分開(kāi)公司或變卦聘用關(guān)系。A.8.3.1終止責(zé)任控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。在員工離任前和第三方用戶完成合同時(shí)，能否進(jìn)展明確終止責(zé)任的溝通？A.8.3.2資產(chǎn)歸還控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。員工離任或任務(wù)變動(dòng)前，能否辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)？A.8.3.3解除訪問(wèn)權(quán)限控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。員工離任或任務(wù)變動(dòng)前，能否解除對(duì)信息和信息處置設(shè)備訪問(wèn)權(quán)限，或根據(jù)變化作相能否的調(diào)整？A.9物理與環(huán)境平安規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制

12、要 求審核發(fā)現(xiàn)A.9.1平安區(qū)域目的防止對(duì)組織辦公場(chǎng)所和信息的未授權(quán)訪問(wèn)、損壞和干擾。是A.9.1.1實(shí)物平安周界控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司平安區(qū)域能否分為普通平安區(qū)域與特別平安區(qū)域，特別平安區(qū)域包括機(jī)房和監(jiān)控機(jī)房、機(jī)要室？。是A.9.1.2物理進(jìn)入控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。進(jìn)出公司大院能否有門衛(wèi)保安控制？員工能否憑任務(wù)牌進(jìn)入辦公區(qū)。能否經(jīng)過(guò)授權(quán)的長(zhǎng)期訪問(wèn)第三方進(jìn)入被授權(quán)的任務(wù)區(qū)域？是A.9.1.3辦公室、房間和設(shè)備的平安控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。特別平安區(qū)域內(nèi)的辦公室、房間和設(shè)備能否進(jìn)展必要的

13、控制，以防止火災(zāi)、盜竊或其它方式的危害？是A.9.1.4防備外部和環(huán)境要挾 控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。機(jī)房設(shè)備能否安裝在距墻、門窗有一定間隔 的地方。并具有防備火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)禍的平安控制措施？是A.9.1.5在平安區(qū)域任務(wù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否建立相關(guān)制度，明確規(guī)定員工、第三方人員在有關(guān)平安區(qū)域任務(wù)的根本平安要求，并要求員工、第三方人員嚴(yán)厲遵守？是A.9.1.6公共訪問(wèn)、交付和裝載區(qū)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否設(shè)立設(shè)置前臺(tái)接待處接待外來(lái)人員，前臺(tái)與特別平安區(qū)域予以隔離？

14、是A.9.2設(shè)備平安目的防止資產(chǎn)的損失、損壞或喪失及業(yè)務(wù)活動(dòng)的中斷。A.9.2.1設(shè)備的定位和維護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。設(shè)備運(yùn)用部門能否擔(dān)任對(duì)設(shè)備進(jìn)展定置管理或維護(hù)好，采取措施以降低環(huán)境要挾和危害的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)訪問(wèn)的時(shí)機(jī)？是A.9.2.3電纜的平安控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否按照相關(guān)規(guī)范對(duì)傳輸線路進(jìn)展敷設(shè)、調(diào)配、維護(hù)，防止線路缺點(diǎn)？是A.9.2.4設(shè)備維護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。信息系統(tǒng)設(shè)備及用戶計(jì)算機(jī)終端能否由軟件部進(jìn)展維護(hù)？是A.9.2.5場(chǎng)所外設(shè)備的平安控制根據(jù)Info-Riskm

15、anager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。擁有筆記本的部門在其分開(kāi)規(guī)定的區(qū)域時(shí)，能否經(jīng)過(guò)部門指點(diǎn)授權(quán)并對(duì)其進(jìn)展嚴(yán)厲控制，防止其喪失和未經(jīng)授權(quán)的訪問(wèn)？是A.9.2.6設(shè)備的平安處置及再利用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。含有敏感信息的設(shè)備在報(bào)廢或改做他用時(shí)，能否由運(yùn)用部門能否利用平安的處置方法將設(shè)備中存儲(chǔ)的敏感信息去除并保管去除記錄？是A.9.2.7資產(chǎn)轉(zhuǎn)移控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。未經(jīng)授權(quán)之前，能否不將設(shè)備、信息或軟件帶到任務(wù)場(chǎng)所外？重要信息設(shè)備的遷移能否被授權(quán)，遷移活動(dòng)能否被記錄？是A.10通訊和操作管理規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制

16、要 求審核發(fā)現(xiàn)A.10.1操作程序和職責(zé)目的確保信息處置設(shè)備的正確和平安運(yùn)用。A.10.1.1作業(yè)程序文件化控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否按照信息平安方針的要求，建立并實(shí)施文件化的作業(yè)程序？。是A.10.1.2變卦管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。對(duì)信息處置設(shè)備的變卦能否按相關(guān)規(guī)定進(jìn)展。能否用系統(tǒng)和軟件等方面的更改實(shí)施嚴(yán)厲控制，在更改前評(píng)價(jià)更改所帶來(lái)的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不勝利更改的恢復(fù)？是A.10.1.3職責(zé)分別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為防止非授權(quán)的更改或誤用信

17、息或效力的時(shí)機(jī)，能否按要求進(jìn)展職責(zé)分配？是A.10.1.4開(kāi)發(fā)和運(yùn)作設(shè)備的分別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。開(kāi)發(fā)部門在進(jìn)展軟件和測(cè)試程序的開(kāi)發(fā)時(shí)，能否有一個(gè)獨(dú)立開(kāi)發(fā)與測(cè)試環(huán)境，與作業(yè)設(shè)備分別？是A.10.2第三方效力交付管理目的執(zhí)行并堅(jiān)持與第三方效力交付協(xié)議相一致的信息平安和效力交付等級(jí)。 檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相能否的變化，以確保交付的效力滿足第三方協(xié)議中的一切要求。A.10.2.1效力交付控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否對(duì)第三方的效力的交付，包括協(xié)議規(guī)定的平安安排、效力定義以及效力管理等方面進(jìn)展管理和驗(yàn)收。能否確保第三方

18、堅(jiān)持充分的效力才干，并且具備有效的任務(wù)方案，即使發(fā)生艱苦的效力缺點(diǎn)或?yàn)?zāi)難也能堅(jiān)持效力交付的銜接性？是A.10.2.2第三方效力的監(jiān)控和評(píng)審控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。第三方關(guān)系的管理能否有專門的人員，確保第三方分配職責(zé)符合協(xié)議要求。能否對(duì)協(xié)議要求，特別是平安要求的符合性進(jìn)展監(jiān)控能否該有充分可用的技術(shù)技藝和資源。能否當(dāng)發(fā)現(xiàn)效力交付缺乏時(shí)能否該采取適當(dāng)?shù)拇胧?？是A.10.2.3管理第三方效力的更改控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。對(duì)第三方效力更改的管理過(guò)程能否思索：a) 組織的更改，包括加強(qiáng)當(dāng)前提供的效力，開(kāi)發(fā)新能否用程序和系統(tǒng)，修正和更新方針及程

19、序，處理信息平安事件，提高平安性的新控制？b) 第三方效力的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，運(yùn)用新技術(shù)，更改效力設(shè)備的物理位置，更改供能否商？是A.10.3系統(tǒng)謀劃與驗(yàn)收目的使系統(tǒng)缺點(diǎn)風(fēng)險(xiǎn)最小化。A.10.3.1容量管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否對(duì)信息網(wǎng)絡(luò)系統(tǒng)的容量需求進(jìn)展監(jiān)控，并對(duì)未來(lái)容量需求進(jìn)展謀劃，適當(dāng)時(shí)機(jī)進(jìn)展容量擴(kuò)展？是A.10.3.2系統(tǒng)驗(yàn)收控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。新系統(tǒng)、系統(tǒng)晉級(jí)接納前，系統(tǒng)驗(yàn)收部門能否制定接納準(zhǔn)那么，經(jīng)測(cè)試合格后方可正式運(yùn)轉(zhuǎn)，測(cè)試記錄及驗(yàn)收?qǐng)?bào)告能否予以保管/是A.10.4防備惡意軟件目的維護(hù)軟件和信

20、息的完好性。A.10.4.1防備惡意代碼控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否為控制惡意軟件的主管部門，擔(dān)任提供防備惡意軟件的技術(shù)工具并對(duì)技術(shù)工具進(jìn)展實(shí)時(shí)晉級(jí)，各部門能否詳細(xì)擔(dān)任本部門的惡意軟件預(yù)防控制任務(wù)？是A.10.4.2防備可挪動(dòng)代碼控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。授權(quán)運(yùn)用挪動(dòng)代碼時(shí)，配置能否該確保已授權(quán)挪動(dòng)代碼的運(yùn)轉(zhuǎn)符合明確定義的平安方針，未經(jīng)授權(quán)的挪動(dòng)代碼能否該被阻止執(zhí)行。是A.10.5備份目的堅(jiān)持信息處置和通訊效力的完好性和可用性。A.10.5.1信息備份控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公能否司根據(jù)風(fēng)險(xiǎn)評(píng)

21、價(jià)的結(jié)果對(duì)重要數(shù)據(jù)庫(kù)、軟件等進(jìn)展備份軟件部為全公司信息備份提供技術(shù)支持，各業(yè)務(wù)主管部門能否協(xié)同軟件部制定備份戰(zhàn)略？是A.10.6網(wǎng)絡(luò)平安管理目的為堅(jiān)持對(duì)網(wǎng)絡(luò)中的信息及支持性設(shè)備進(jìn)展有效維護(hù)A.10.6.1網(wǎng)絡(luò)控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否充分管理和控制網(wǎng)絡(luò)，以防備要挾，維持系統(tǒng)和運(yùn)用網(wǎng)絡(luò)的能否用程序的平安，包括傳輸中的信息。實(shí)施網(wǎng)絡(luò)平安控制以確保網(wǎng)絡(luò)上信息的平安，并對(duì)接入效力進(jìn)展維護(hù)，防止未經(jīng)授權(quán)訪問(wèn)？是A.10.6.2網(wǎng)絡(luò)效力的平安控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否根據(jù)組織的平安戰(zhàn)略，識(shí)別現(xiàn)有的網(wǎng)絡(luò)效力，明確規(guī)定網(wǎng)絡(luò)效力

22、平安屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)平安管理員進(jìn)展參數(shù)配置與維護(hù)管理？是A.10.7介質(zhì)的處置目的為防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，根據(jù)介質(zhì)所儲(chǔ)存的信息的敏感性或重要性進(jìn)展適當(dāng)?shù)木S護(hù)，平安處置，確保因介質(zhì)不當(dāng)呵斥信息泄露事故發(fā)生。A.10.7.1可挪動(dòng)介質(zhì)的管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。對(duì)可挪動(dòng)介質(zhì)包括光盤、磁帶、磁盤、盒式磁帶和曾經(jīng)印刷好的報(bào)告，各部門能否按其管理權(quán)限并根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果對(duì)其實(shí)施有效的控制？是A.10.7.2介質(zhì)的處置控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。對(duì)于含有敏感信息或重要信息的介質(zhì)在不需求或再運(yùn)用時(shí)，處置部門能否按照要求采取平安可靠處

23、置的方法將其信息去除？是A.10.7.3信息處置程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為維護(hù)敏感信息不會(huì)因未經(jīng)授權(quán)處置而呵斥走漏或?yàn)E用，本公司能否建立并實(shí)施管理制度？是A.10.7.4系統(tǒng)文件的平安控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否采取措施，維護(hù)系統(tǒng)文件，防止未經(jīng)授權(quán)的訪問(wèn)。各部門對(duì)所屬的系統(tǒng)文件，無(wú)論以何種媒體方式存在，能否按要求予以控制？A.10.8信息和軟件交換目的明確信息和軟件交換的控制目的，確保在內(nèi)部及任何外部機(jī)構(gòu)之間所交換的信息和軟件的平安。A.10.8.1信息交換方針和程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果

24、。在與顧客進(jìn)展數(shù)據(jù)與軟件交換的過(guò)程中能否采用以下的平安控制措施：a)簽署平安嚴(yán)密協(xié)議，明確雙方的平安責(zé)任與平安交接方式？b)假設(shè)有要求，采用加密方式傳輸數(shù)據(jù)？c)由授權(quán)人員接受并登記？是A.10.8.2交換協(xié)議控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否建立并堅(jiān)持相應(yīng)的方針，以維護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)，并作為制定交換協(xié)議的參考？是A.10.8.3物理介質(zhì)的傳送控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為防止被傳送的介質(zhì)在傳送運(yùn)輸過(guò)程中發(fā)生喪失、未經(jīng)授權(quán)的訪問(wèn)或毀壞，呵斥信息的泄露、不完好或不可用，擔(dān)任介質(zhì)傳送的

25、部門能否采用以下方法進(jìn)展控制：a) 選擇適宜的平安傳送方式；b) 堅(jiān)持傳送活動(dòng)記錄？是A.10.8.5業(yè)務(wù)信息系統(tǒng)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司經(jīng)過(guò)能否用系統(tǒng)進(jìn)展日常辦公、消費(fèi)運(yùn)營(yíng)管理，本公司建立并實(shí)施相能否系統(tǒng)的平安運(yùn)用戰(zhàn)略和能否用管理，以維護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息，減少系統(tǒng)呵斥的信息泄露？是A.10.9電子商務(wù)效力目的確保電子商務(wù)效力的平安，及其平安運(yùn)用。A.10.9.1電子商務(wù)控制本公司無(wú)該項(xiàng)業(yè)務(wù)A.10.9.2在線買賣控制本公司無(wú)該項(xiàng)業(yè)務(wù)A.10.9.3公共信息控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司經(jīng)過(guò)公共可用網(wǎng)站運(yùn)用電子方

26、式公布的信息，能否按規(guī)定進(jìn)展控制？ 是A.10.10監(jiān)控目的探測(cè)未經(jīng)授權(quán)的信息處置活動(dòng)。A.10.10.1審核日志控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否建立并保管例外事件或其它平安相關(guān)事件的審核日志，以便對(duì)未來(lái)的調(diào)查和訪問(wèn)控制監(jiān)測(cè)提供協(xié)助 。審核日志普統(tǒng)統(tǒng)過(guò)運(yùn)用系統(tǒng)檢測(cè)工具按照事先的設(shè)置自動(dòng)生成？是A.10.10.2監(jiān)控系統(tǒng)的運(yùn)用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。監(jiān)控部門能否按照規(guī)定周期對(duì)對(duì)監(jiān)控結(jié)果進(jìn)展評(píng)審，確保用戶只執(zhí)行被明確授權(quán)的活動(dòng)。發(fā)現(xiàn)異常事件能否采取必要的措施并實(shí)施？是A.10.10.3日志信息的維護(hù)控制根據(jù)Info-Riskmana

27、ger風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否實(shí)施控制，防止對(duì)日志記錄設(shè)備的未經(jīng)授權(quán)的更改和出現(xiàn)操作問(wèn)題？是A.10.10.4管理員和操作員日志控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。管理員和操作員的日志能否該包括：a) 事情勝利或失敗發(fā)生的時(shí)間； b) 事情的有關(guān)信息如：操作的文件或缺點(diǎn)信息；c) 涉及哪一個(gè)賬號(hào)以及哪一個(gè)管理員或操作員；d) 涉及哪一個(gè)過(guò)程？是A.10.10.5缺點(diǎn)日志控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否規(guī)定了用戶或系統(tǒng)程序報(bào)告的有關(guān)信息處置系統(tǒng)的問(wèn)題如何記錄，以及清楚的規(guī)定了如何處置報(bào)告的缺點(diǎn)？是A.10.10.6時(shí)鐘同步控制根據(jù)Info-Riskma

28、nager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司中心路由器能否設(shè)置為時(shí)鐘同步效力器，在網(wǎng)絡(luò)系統(tǒng)的域控制器與時(shí)鐘同步效力器進(jìn)展對(duì)時(shí)，一切的計(jì)算機(jī)設(shè)備能否必需登陸域？A.11訪問(wèn)控制規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.11.1訪問(wèn)控制的業(yè)務(wù)要求目的確保信息處置設(shè)備的正確和平安運(yùn)用。A.11.1.1訪問(wèn)控制戰(zhàn)略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否基于訪問(wèn)控制戰(zhàn)略，明確規(guī)定訪問(wèn)控制的業(yè)務(wù)要求，規(guī)定訪問(wèn)控制規(guī)那么和每個(gè)用戶或用戶組的訪問(wèn)權(quán)益？是A.11.2用戶訪問(wèn)管理目的確保授權(quán)用戶可以訪問(wèn)信息系統(tǒng)，防止對(duì)信息系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)。A.11.2.1用戶注冊(cè)控制根據(jù)

29、Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否根據(jù)規(guī)定的訪問(wèn)控制戰(zhàn)略及確定的訪問(wèn)規(guī)那么，訪問(wèn)權(quán)限管理部門對(duì)用戶進(jìn)展書面訪問(wèn)授權(quán)？是A.11.2.2特權(quán)管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。特權(quán)分配能否以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的義務(wù)后能否被收回，確保特權(quán)擁有者的特權(quán)是任務(wù)所需求的且不存在富有的特權(quán)？是A.11.2.3用戶口令管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。各系統(tǒng)管理員能否對(duì)被授權(quán)訪問(wèn)該系統(tǒng)的用戶口令予以分配？是A.11.3用戶責(zé)任目的明確用戶責(zé)任,防止對(duì)信息和信息處置設(shè)備非授權(quán)用戶的訪問(wèn)、破壞或盜竊。A.11.3.

30、1口令的運(yùn)用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否在相應(yīng)的能否用管理中明確規(guī)定了口令平安選擇與運(yùn)用要求，一切用戶能否嚴(yán)厲遵守？是A.11.3.2無(wú)人值守的用戶設(shè)備控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否在和相應(yīng)的運(yùn)用管理中規(guī)定一切用戶維護(hù)無(wú)人值守設(shè)備的平安要求和程序，以及他們?cè)趯?shí)施此類維護(hù)方面的責(zé)任？是A.11.3.3清潔桌面和去除屏幕戰(zhàn)略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否制定去除桌面、去除屏幕的戰(zhàn)略并實(shí)施，各部門擔(dān)任人能否擔(dān)任監(jiān)視本部門員工該戰(zhàn)略的日常實(shí)施情況？是A.11.4網(wǎng)絡(luò)訪問(wèn)控制目的維護(hù)網(wǎng)絡(luò)效力，防

31、止對(duì)網(wǎng)絡(luò)效力的未授權(quán)訪問(wèn)。A.11.4.1網(wǎng)絡(luò)效力運(yùn)用戰(zhàn)略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否建立并網(wǎng)絡(luò)效力平安戰(zhàn)略，以確保網(wǎng)絡(luò)效力平安與效力質(zhì)量？是A.11.4.2外部聯(lián)接用戶的驗(yàn)證控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。外部銜接的用戶對(duì)本公司內(nèi)部網(wǎng)絡(luò)訪問(wèn)，能否用戶的訪問(wèn)授權(quán)按規(guī)定實(shí)施授權(quán)；能否只需經(jīng)過(guò)授權(quán)的用戶才可以實(shí)施外部銜接？是A.11.4.3網(wǎng)絡(luò)中設(shè)備的鑒別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。假設(shè)通訊僅能從特定的位置和設(shè)備發(fā)起是重要的，能否可以采用設(shè)備鑒別？設(shè)備中的標(biāo)識(shí)符或附加的標(biāo)識(shí)符能否可以用來(lái)顯示該設(shè)備能否被允許銜

32、接到網(wǎng)絡(luò)？假設(shè)存在多個(gè)網(wǎng)絡(luò)，尤其是這些網(wǎng)絡(luò)有不同的敏感程度，那么標(biāo)識(shí)符能否該明確顯示設(shè)備被允許接入的網(wǎng)絡(luò)？能否需求思索設(shè)備的物理維護(hù)，以堅(jiān)持設(shè)備標(biāo)識(shí)符的平安？是A.11.4.4遠(yuǎn)程診斷和配置端口的維護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否與設(shè)備供能否商簽署平安協(xié)議，口令等平安措施對(duì)遠(yuǎn)程診斷斷口的維護(hù)，防止被非法運(yùn)用？是A.11.4.5網(wǎng)絡(luò)分別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否為確保本公司網(wǎng)絡(luò)平安，采用物理和邏輯兩種方式進(jìn)展網(wǎng)絡(luò)隔離？是A.11.4.6網(wǎng)絡(luò)銜接控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否根據(jù)訪問(wèn)控制戰(zhàn)

33、略的要求，來(lái)限制用戶的銜接才干。例如經(jīng)過(guò)網(wǎng)絡(luò)網(wǎng)關(guān)來(lái)控制，網(wǎng)關(guān)的平安設(shè)置能否與組織的訪問(wèn)控制戰(zhàn)略堅(jiān)持一致？是A.11.4.7網(wǎng)絡(luò)路由控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否根據(jù)訪問(wèn)控制方針和網(wǎng)絡(luò)平安要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機(jī)制，對(duì)路由實(shí)施控制？是A.11.5操作系統(tǒng)的訪問(wèn)控制目的防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問(wèn)。A.11.5.1平安登錄程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否經(jīng)過(guò)技術(shù)手段提供平安的操作系統(tǒng)系統(tǒng)平安登錄程序？為減少非授權(quán)訪問(wèn)的時(shí)機(jī)，能否對(duì)信息效力系統(tǒng)訪問(wèn)采用平安登錄過(guò)程實(shí)現(xiàn)？是A.11.5.2用戶標(biāo)識(shí)

34、與驗(yàn)證控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。用戶能否有獨(dú)一的識(shí)別符，以便他們個(gè)人單獨(dú)運(yùn)用時(shí)，能查出活動(dòng)的個(gè)人責(zé)任，用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置；假設(shè)多個(gè)用戶共用一個(gè)識(shí)別符USER ID能否由訪問(wèn)授權(quán)主管部門授權(quán)？是A.11.5.3口令管理系統(tǒng)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部能否加強(qiáng)口令管理，經(jīng)過(guò)技術(shù)手段提供有效的、互動(dòng)的設(shè)備以確?？诹钯|(zhì)量。除非一次口令系統(tǒng)，經(jīng)過(guò)操作系統(tǒng)的強(qiáng)迫措施要求用戶定期變卦口令？是A.11.5.4系統(tǒng)適用程序的運(yùn)用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。軟件部門能否對(duì)系統(tǒng)能否用程序的運(yùn)用進(jìn)展限制

35、和嚴(yán)厲控制，并規(guī)定授權(quán)的運(yùn)用者。是A.11.5.5會(huì)話超時(shí)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。各系統(tǒng)管理員在其管理的終端處于不活動(dòng)時(shí)，能否利用鎖屏、去除屏幕以防止非授權(quán)的訪問(wèn)，但不封鎖能否用或網(wǎng)絡(luò)話路。對(duì)于外部訪問(wèn)系統(tǒng)效力器的銜接能否有時(shí)限控制？是是A.11.5.6聯(lián)接時(shí)間的限制控制根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果，本條款不適用NAA.11.6能否用程序及信息訪問(wèn)控制目的防止未經(jīng)授權(quán)訪問(wèn)信息系統(tǒng)內(nèi)的信息。A.11.6.1信息訪問(wèn)限制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果?；诒竟鞠M(fèi)運(yùn)營(yíng)管理能否用要求并服從訪問(wèn)戰(zhàn)略，向運(yùn)用用戶提供訪問(wèn)信息和能否用系統(tǒng)功能?是A.11.6

36、.2敏感系統(tǒng)隔離控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，能否采取措施對(duì)敏感系統(tǒng)予以隔離？是A.11.7挪動(dòng)式計(jì)算和遠(yuǎn)程任務(wù)目的明確控制目的，確保挪動(dòng)式計(jì)算和遠(yuǎn)程任務(wù)設(shè)備的信息平安。A.11.7.1挪動(dòng)計(jì)算和通訊控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否建立實(shí)施運(yùn)用規(guī)定，對(duì)筆記本電腦的挪動(dòng)辦公實(shí)施有效平安管理？是A.11.7.2遠(yuǎn)程任務(wù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否建立遠(yuǎn)程任務(wù)平安戰(zhàn)略，并對(duì)遠(yuǎn)程任務(wù)用戶實(shí)施授權(quán)管理，采取必要的平安措施防止遠(yuǎn)程任務(wù)帶來(lái)的平安風(fēng)險(xiǎn)？是A.12系統(tǒng)獲取、

37、開(kāi)發(fā)和維護(hù)規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.12.1信息系統(tǒng)的平安要求目的確保平安性已構(gòu)成信息系統(tǒng)的一部分。A.12.1.1平安需求分析和規(guī)范控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。信息系統(tǒng)建立部門在進(jìn)展新系統(tǒng)建立或系統(tǒng)更新時(shí)，能否對(duì)系統(tǒng)進(jìn)展分析，根據(jù)業(yè)務(wù)功能要求及信息平安要求，明確規(guī)定控制要求？系統(tǒng)軟件本身的功能及平安特性能否在設(shè)計(jì)開(kāi)發(fā)輸入時(shí)能否明確提出，并進(jìn)展評(píng)審？能否用系統(tǒng)建立按照規(guī)定執(zhí)行？是是是A.12.2能否用程序的正確處置目的防止能否用程序中錯(cuò)誤的、用戶數(shù)據(jù)喪失、未經(jīng)授權(quán)的修正或?yàn)E用。A.12.2.1輸入數(shù)據(jù)的驗(yàn)證控制根據(jù)Info-R

38、iskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。系統(tǒng)建立能否明確能否用系統(tǒng)輸入數(shù)據(jù)驗(yàn)證的要求，以確保輸入數(shù)據(jù)正確和恰當(dāng)？各部門能否用系統(tǒng)的操作人員能否對(duì)輸入到系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)展仔細(xì)核對(duì)，對(duì)于關(guān)鍵或重要輸入數(shù)據(jù)的輸入能否由相能否的作業(yè)流程所規(guī)定的人員進(jìn)展確認(rèn)？是是A.12.2.2內(nèi)部處置控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。系統(tǒng)建立能否思索系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求，以查處數(shù)據(jù)處置過(guò)程的錯(cuò)誤？是A.12.2.3音訊的完好性控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。系統(tǒng)建立時(shí)能否識(shí)別音訊的真實(shí)性和完好性需求，并識(shí)別和實(shí)施適當(dāng)?shù)目刂?？是A.12.2.4輸出數(shù)據(jù)的驗(yàn)證控制根據(jù)In

39、fo-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。系統(tǒng)建立能否思索運(yùn)用系統(tǒng)輸出數(shù)據(jù)確認(rèn)的要求，以確保對(duì)儲(chǔ)存的信息處置的正確和環(huán)境相適能否？各部門能否用系統(tǒng)的操作人員能否對(duì)能否用系統(tǒng)輸出的數(shù)據(jù)進(jìn)展仔細(xì)核對(duì)，對(duì)于關(guān)鍵或重要的輸出數(shù)據(jù)能否由相能否的作業(yè)流程所規(guī)定的人員進(jìn)展確認(rèn)？是是A.12.3加密控制目的經(jīng)過(guò)加密方法確保信息的性、完好性和有效性。A.12.3.1運(yùn)用密碼控制戰(zhàn)略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否根據(jù)及維護(hù)本公司數(shù)據(jù)的要求，制定數(shù)據(jù)加密戰(zhàn)略并實(shí)施？能否正確運(yùn)用加密技術(shù)，確保能否用利益最大化，危險(xiǎn)最小化，須防止不恰當(dāng)或不正確的運(yùn)用？是A.12.3.2密鑰管理控制

40、根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否根據(jù)所采用的加密技術(shù)對(duì)密鑰產(chǎn)生、平安分發(fā)、儲(chǔ)存、平安運(yùn)用等方面進(jìn)展管理，以支持密碼技術(shù)的能否用？能否防止密鑰的任何損壞或喪失包括泄密都可以導(dǎo)致信息、真實(shí)性和/或完好性的損害？是A.12.4系統(tǒng)文件的平安目的控制對(duì)系統(tǒng)文件和程序源代碼的訪問(wèn)，并確保系統(tǒng)文件的平安。A.12.4.1操作軟件的控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。規(guī)定軟件部和系統(tǒng)運(yùn)用主管部門能否對(duì)操作系統(tǒng)軟件的版本管理、安裝、運(yùn)用和備份進(jìn)展嚴(yán)厲控制。規(guī)定在新軟件安裝或軟件晉級(jí)之前，能否經(jīng)測(cè)試和審批后方可按規(guī)定程序進(jìn)展？是A.12.4.2系統(tǒng)測(cè)試數(shù)據(jù)的

41、維護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司能否規(guī)定不得運(yùn)用包含個(gè)人信息和敏感信息以及運(yùn)轉(zhuǎn)數(shù)據(jù)庫(kù)用于測(cè)試？是A.12.4.3對(duì)程序源代碼的訪問(wèn)控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為降低計(jì)算機(jī)程序被破壞的能夠性，系統(tǒng)建立部門能否按規(guī)定的要求對(duì)程序源代碼實(shí)施管理/是A.12.5開(kāi)發(fā)和支持過(guò)程的平安目的確保能否用系統(tǒng)軟件和信息的平安。A.12.5.1變卦控制程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為使對(duì)信息系統(tǒng)的損害降至最小，系統(tǒng)的變卦，在更改前能否進(jìn)展適當(dāng)?shù)臏y(cè)試與評(píng)審，經(jīng)開(kāi)發(fā)軟件擔(dān)任人同意后予以實(shí)施？操作系統(tǒng)及能否用系統(tǒng)的晉級(jí)能否經(jīng)

42、過(guò)系統(tǒng)主管部門測(cè)試、評(píng)審與同意后方可進(jìn)展？是是A.12.5.2操作系統(tǒng)變卦后對(duì)能否用程序的技術(shù)復(fù)查控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。當(dāng)操作系統(tǒng)發(fā)生更改時(shí)，操作系統(tǒng)更改對(duì)運(yùn)用系統(tǒng)的影響能否由系統(tǒng)主管部門進(jìn)展評(píng)審，確保對(duì)作業(yè)或平安措施無(wú)不利影響？是A.12.5.3軟件包的變卦的限制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。本公司不鼓勵(lì)修正軟件包，假設(shè)有必要確需進(jìn)展更改，更改提出部門能否在實(shí)施前進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)，確定必需的控制措施，保管原始軟件，并在完全一樣的復(fù)制軟件上進(jìn)展更改，更改實(shí)施前能否得到軟件部指點(diǎn)和系統(tǒng)能否用主管部門的授權(quán)？是A.12.5.4信息走漏控制根據(jù)

43、Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。能否對(duì)軟件的采購(gòu)、運(yùn)用、變卦及開(kāi)發(fā)過(guò)程進(jìn)展控制和檢查以防止能夠的隱藏通道和特洛伊碼？是A.12.5.5外包軟件開(kāi)發(fā)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。開(kāi)發(fā)軟件正式外包前，設(shè)計(jì)開(kāi)發(fā)部門能否明確軟件開(kāi)發(fā)的平安技術(shù)要求，并與軟件開(kāi)發(fā)方簽署技術(shù)協(xié)議在協(xié)議中明確規(guī)定平安技術(shù)要求包括開(kāi)發(fā)過(guò)程；軟件安裝運(yùn)用前，能否進(jìn)展測(cè)試，以防止隱藏通道及特洛伊碼的存在？是A.12.6技術(shù)薄弱點(diǎn)管理目的降低由曾經(jīng)公布的薄弱點(diǎn)所帶來(lái)破壞的風(fēng)險(xiǎn)。A.12.6.1技術(shù)薄弱點(diǎn)的控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。歸口管理部門能否對(duì)技術(shù)薄弱點(diǎn)

44、能否進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)，進(jìn)展專項(xiàng)分析，制定風(fēng)險(xiǎn)處置方案，根據(jù)風(fēng)險(xiǎn)處置方案采取對(duì)能否的技術(shù)和管理措施。是A.13信息平安事件管理規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.13.1報(bào)告信息平安事情和弱點(diǎn)目的保證與信息系統(tǒng)相關(guān)聯(lián)的信息平安事情和弱點(diǎn)的溝通，溝通的方式能否允許采取及時(shí)糾正措施。A.13.1.1報(bào)告信息平安事情控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。平安事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、事情、事故責(zé)任者能否立刻向主管部門報(bào)告，主管部門和責(zé)任部門能否及時(shí)對(duì)事情、事故進(jìn)展反能否處置。一切員工有報(bào)告平安事情、事故的義務(wù)？是A.13.1.2報(bào)告平安弱點(diǎn)控制根

45、據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。各部門及全體員工能否按照要求及時(shí)識(shí)別平安薄弱點(diǎn)及能夠的平安要挾，一旦發(fā)現(xiàn)能否及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或平安管理?yè)?dān)任人能否采取有效的預(yù)防措施，防止要挾的發(fā)生?是A.13.2信息平安事件和改良的管理目的保證能否用于信息平安事件管理的方法的一致和有效。A.13.2.1責(zé)任和程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。事故主管部門接到報(bào)告以后，能否立刻進(jìn)展迅速、有效和有序的反響?是A.13.2.2從事故中汲取教訓(xùn)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。事故發(fā)生后，主管部門能否對(duì)事故發(fā)生的緣由、類型、損失進(jìn)

46、展鑒定，并提出防止此類事故再次發(fā)生的措施或建議，構(gòu)成事故調(diào)查分析及處置報(bào)告，責(zé)成責(zé)任部門實(shí)施糾正措施？是A.13.2.3證據(jù)的搜集控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。人事行政部能否擔(dān)任發(fā)生法律糾紛與訴訟的證據(jù)搜集，并確保證據(jù)搜集能否符合以下要求：a) 所呈證據(jù)能否符合國(guó)家有關(guān)的證據(jù)法規(guī)；b) 符合用于提供可接受證據(jù)的任何已發(fā)布的規(guī)范或法規(guī)；c) 對(duì)已搜集到的證據(jù)進(jìn)展平安的保管，防止未經(jīng)授權(quán)的更改或破壞；d) 搜集到的證據(jù)符合法庭所要求的方式。A.14業(yè)務(wù)繼續(xù)性管理規(guī)范條款號(hào)標(biāo) 題目的/控制控 制 理 由控 制 要 求審核發(fā)現(xiàn)A.14.1業(yè)務(wù)繼續(xù)性管理的內(nèi)容目的抵消業(yè)務(wù)活動(dòng)遭

47、到干擾的影響，并防止關(guān)鍵業(yè)務(wù)處置受大的信息系統(tǒng)缺點(diǎn)或者災(zāi)難的影響，確?？梢约皶r(shí)恢復(fù)根本運(yùn)轉(zhuǎn)。A.14.1.1業(yè)務(wù)繼續(xù)性管理過(guò)程中包含的信息平安控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。公司能否建立并實(shí)施管理程序，在發(fā)生災(zāi)難或平安缺點(diǎn)時(shí)，實(shí)施繼續(xù)性管理方案，確保關(guān)鍵業(yè)務(wù)及時(shí)得到恢復(fù)？是A.14.1.2業(yè)務(wù)繼續(xù)性和風(fēng)險(xiǎn)分析控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果。為到達(dá)公司業(yè)務(wù)的繼續(xù)性目的，軟件部能否組織有關(guān)部門在適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)價(jià)的根底上，進(jìn)展災(zāi)難及系統(tǒng)中斷影響分析，識(shí)別出呵斥關(guān)鍵業(yè)務(wù)中斷的主要事件及其影響？是A.14.1.3編制并實(shí)施包含信息平安在內(nèi)的繼續(xù)性業(yè)務(wù)方案控制根據(jù)Info-Riskmanage