信息安全管理體系審核檢查表

信息安全管理體系審核檢查表標(biāo)準(zhǔn)要求的強制性ISMS文件強制性ISMS文件講明(1)ISMS方針文件，包括ISMS的范疇按照標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2)風(fēng)險評估程序按照“4.3.1”d)和e)的要求，要有形成文件的“風(fēng)險評估方法的描述”和“風(fēng)險評估報告”。為了減少文件量，可創(chuàng)建一個《風(fēng)險評估程序》該程序文件應(yīng)包括“風(fēng)險評估方法的描述”，而其運行的結(jié)果應(yīng)產(chǎn)生《風(fēng)險評估報告》(3)風(fēng)險處理程序按照標(biāo)準(zhǔn)“4.3.1”f)的要求，要有形成文件的“風(fēng)險處理打算”。因此，可創(chuàng)建一個《風(fēng)險處理程序》該程序文件運行的結(jié)果應(yīng)產(chǎn)生《風(fēng)險處理打算》(4)文件操縱程序按照標(biāo)準(zhǔn)的“4.3.2文件操縱”的要求，要有形成文件的“文件操縱程序”。(5)記錄操縱程序按照標(biāo)準(zhǔn)的“4.3.3記錄操縱”的要求，要有形成文件的“記錄操縱程序”。(6)內(nèi)部審核程序按照標(biāo)準(zhǔn)的“6內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7)糾正措施與預(yù)防措施程序按照標(biāo)準(zhǔn)的“8.2糾正措施”的要求，要有形成文件的“糾正措施程序”。按照“8.3預(yù)防措施”的要求，要有形成文件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序”通常能夠合并成一個文件。(8)操縱措施有效性的測量程序按照標(biāo)準(zhǔn)的“4.3.1g)”的要求，要有形成文件的“操縱措施有效性的測量程序”。(9)治理評審程序“治理評審”過程不一定要形成文件，但最好形成“治理評審程序”文件，以方便實際工作。(9)適用性聲明按照標(biāo)準(zhǔn)的“4.3.1i)”的要求，要有形成文件的適用性聲明。審核重點檢查受審核組織如何評估信息安全風(fēng)險和如何設(shè)計其ISMS,包括如何：定義風(fēng)險評估方法（參見4.2.1c）識不安全風(fēng)險（參見4.2.1d））分析和評判安全風(fēng)險（參見4.2.1e）識不和評判風(fēng)險處理選擇措施（參見的4.2.1f）選擇風(fēng)險處理所需的操縱目標(biāo)和操縱措施（參見4.2.1g））確保治理者正式批準(zhǔn)所有殘余風(fēng)險（參見4.2.1h）確保在ISMS實施和運行之前，獲得治理者授權(quán)（參見的4.2.1i））預(yù)備適用性聲明（參見4.2.1j）檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測量、報告和評審（包括抽樣檢查關(guān)鍵的過程是否到位），至少包括：ISMS監(jiān)視與評審（按照4.2.3監(jiān)視與評審ISMS”條款）操縱措施有效性的測量（按照4.3.1g）內(nèi)部ISMS審核（按照第6章“內(nèi)部ISMS審核”）治理評審（按照第7章“ISMS的治理評審”）ISMS改進（按照第8章“ISMS改進”）。檢查治理者如何執(zhí)行治理評審（包括抽樣檢查關(guān)鍵的過程是否到位），按照條款包括：監(jiān)視與評審ISMS第7章“ISMS的治理評審”。檢查治理者如何履行信息安全的職責(zé)（包括抽樣檢查關(guān)鍵的過程是否到位），按照條款包括：4.2.3監(jiān)視與評審ISMS治理職責(zé)7ISMS的治理評審檢查安全方針、風(fēng)險評估結(jié)果、操縱目標(biāo)與操縱措施、各種活動和職責(zé)，相互之間有如何連帶關(guān)系（也參見本文第8章“過程要求的符合性審核”）。上次審核發(fā)覺的糾正/預(yù)防措施分析與執(zhí)行情形；內(nèi)審與治理評審的實施情形；治理體系的變更情形；信息資產(chǎn)的變更與相應(yīng)的風(fēng)險評估和處理情形；信息安全事故的處理和記錄等。檢驗組織的ISMS是否連續(xù)地全面地符合ISO/IEC27001:2005的要求。評審在那個認(rèn)證周期中ISMS的實施與連續(xù)愛護的情形，包括：檢查ISMS是否按照ISO/IEC27001:2005的要求加以實施、愛護和改進；評審ISMS文件和定期審核（包括內(nèi)部審核和監(jiān)督審核）的結(jié)果；檢查ISMS如何應(yīng)對組織的業(yè)務(wù)與運行的變化；檢驗治理者對愛護ISMS有效性的承諾情形。4信息安全治理體系4.1總要求建立和治理ISMS建立ISMS標(biāo)準(zhǔn)的要求審核內(nèi)容審核記錄注釋與指南a）組織要定義ISMS的范疇?組織是否有一個定義ISMS范疇的過程？對“定義ISMS的范疇”要求的符合性審核，要確保ISMS的定義不僅要包括范疇，也要包括邊界。對任何范疇的刪減，必須有詳細講明和正當(dāng)性理由。?是否有對任何范疇的刪減？b）組織要定義ISMS方針?組織是否有一個ISMS方針文件？要求明確規(guī)定ISMS方針的5個差不多點，即ISMS方針要：1） 包括信息安全的目標(biāo)框架、信息安全工作的總方向和原則；2） 考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3） 與組織開發(fā)與愛護ISMS的戰(zhàn)略性風(fēng)險治理，結(jié)合起或保扌寸致；4） 建立風(fēng)險評判準(zhǔn)則；5） 獲得治理者批準(zhǔn)。在對那個要求的符合性審核時，要確保組織的ISMS方針滿足上述5個要求。還要注意到ISMS方針與信息安全方針的關(guān)系。?組織的ISMS方針文件是否滿足ISO/IEC27001:2005規(guī)定的5個差不多點（見注釋與指南欄）？c）組織要定義風(fēng)險評估方法?組織是否有一個定義風(fēng)險評估方法的文件？要求明確規(guī)定，“定義組織的風(fēng)險評估方法”的工作（活動）要包括：1）確定風(fēng)險評估方法，而那個評估方法要適合組織的ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求；?組織的風(fēng)險評估方法是否適合ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全

要求和法律法規(guī)要求？2）制定同意風(fēng)險的準(zhǔn)則，確定可同意的風(fēng)險級不。在對要求的符合性審核時，要確保上述2個要求得到滿足。?同意風(fēng)險的準(zhǔn)則是否差不多確定？并按照此準(zhǔn)則，確定了可同意的風(fēng)險級不？d）組織要識不安全風(fēng)險?組織是否有一個識不安全風(fēng)險的過程？“識不安全風(fēng)險”是一個過程（活動）。而那個過程要包括：1） 識不組織ISMS范疇內(nèi)的資產(chǎn)及其責(zé)任人；2） 識不資產(chǎn)所面臨的威逼；3） 識不可能被威逼利用的脆弱點；4） 識不資產(chǎn)保密性、完整性和可用性的喪失造成的阻礙。在對要求的符合性審核時，要確保“識不安全風(fēng)險”要包括上述工作（活動）。?識不安全風(fēng)險的過程是否符合規(guī)定（參見“注釋與指南”欄）？e）組織要分析和評判安全風(fēng)險?組織是否有一個用于評估安全風(fēng)險的過程？要求明確規(guī)定，“分析和評判安全風(fēng)險”過程（活動）要包括：1） 評估安全破壞（包括資產(chǎn)的保密性、完整性，或可用性的喪失的后果）可能產(chǎn)生的對組織的業(yè)務(wù)阻礙；2） 評估由要緊威逼和脆弱點導(dǎo)致的安全破壞的現(xiàn)實可能性、對資產(chǎn)的阻礙和當(dāng)前所實施的操縱措施；3） 估算風(fēng)險的級不；4） 確定風(fēng)險是否可同意，或者是否需要使用本組織的同意風(fēng)險的準(zhǔn)則進行處理?！胺治龊驮u判安全風(fēng)險”的結(jié)果應(yīng)產(chǎn)生一個“風(fēng)險評估報告”。在對要求的符合性審核時，要確保滿足上述要求。?是否評估了安全破壞可能產(chǎn)生對組織的業(yè)務(wù)阻礙？?那個安全風(fēng)險評估過程是否符合規(guī)定（參見“注釋與指南欄”）？f）組織要識不和評判風(fēng)險處理選擇措施?組織是否有一個用于識不和評判風(fēng)險處理選擇措施的過程？要求明確規(guī)定，可選擇的措施包括：1） 米納適當(dāng)?shù)牟倏v措施；2） 同意風(fēng)險；

?那個過程是否慮了4種可能的選擇（參見“注釋與指南欄”）？3） 幸免風(fēng)險；4） 轉(zhuǎn)移風(fēng)險。在對要求的審核時，要確保組織有一個“識不和評判風(fēng)險處理選擇措施”的過程，并考慮了上述4種可能的選擇。g）組織要選擇風(fēng)險處理所需的操縱目標(biāo)和操縱措施?組織是否有一個用于選擇ISO/IEC27001:2005附錄A的風(fēng)險處理操縱目標(biāo)和操縱措施的過程？“選擇風(fēng)險處理所需的操縱目標(biāo)和操縱措施”過程又包含3個具體要求：1） 操縱目標(biāo)和操縱措施要進行選擇和實施，以滿足風(fēng)險評估和風(fēng)險處理過程中所識不的安全要求；2） 操縱目標(biāo)和操縱措施的選擇要考慮同意風(fēng)險的準(zhǔn)則，以及法律法規(guī)要求和合同要求；3） 附錄A中的操縱目標(biāo)和操縱措施要加以選擇，作為此“選擇風(fēng)險處理所需的操縱目標(biāo)和操縱措施”過程的一部分，以滿足已識不的安全需求。在對要求的審核時，要與本書第9章“操縱目標(biāo)和操縱措施的審核”結(jié)合一起進行。最重要的是要確保所選擇的操縱目標(biāo)和操縱措施：?符合風(fēng)險評估與處理過程中差不多識不安全要求；?符合同意風(fēng)險準(zhǔn)則的要求，以及法律法規(guī)的要求和合同的要求；如果附錄A中的操縱目標(biāo)和操縱措施適用于已識不的安全要求，要加以選擇，不要錯漏?？蓞⒁姳緯?章“操縱目標(biāo)和操縱措施的審核”。?那個過程是否確保所選擇的操縱目標(biāo)和操縱措施滿足有關(guān)要求（參見“注釋與指南”欄）？?附錄A的操縱目標(biāo)和操縱措施是否都被選擇？?如果不選擇，是否有正當(dāng)性理由？?是否選擇了附錄A以外的操縱措施？h）組織要確保治理者正式批準(zhǔn)所有殘余風(fēng)險?所有殘余風(fēng)險是否獲得治理者正式批準(zhǔn)？第一要明白得“殘余風(fēng)險”的意義。i）組織要確保在ISMS?ISMS實施和運行是否獲要檢查是否有領(lǐng)導(dǎo)的簽字（可參見后面“4.3.2文

實施和運行之前，獲得治理者授權(quán)得治理者授權(quán)？件操縱”的審核）。j）組織要預(yù)備適用性聲明?組織是否有一個預(yù)備適用性聲明的過程？要求明確規(guī)定，“適用性聲明”必須至少包括以下3項內(nèi)容：1） 所選擇操縱目標(biāo)和操縱措施，及其選擇的理由；2） 當(dāng)前實施的操縱目標(biāo)和操縱措施；3） 附錄A中任何操縱目標(biāo)和操縱措施的刪減，以及刪減的正當(dāng)性理由。在對要求審核時，最重要的是要確保：“適用性聲明”的內(nèi)容至少含有上述3項；不選擇的理由必須是合理的，或證明其是正當(dāng)性的。由于附錄A舉薦的操縱目標(biāo)和操縱措施是最佳實踐，因此如果沒有正當(dāng)性理由，都要加以選擇，要防止漏選。對要求的審核，可與后面“4.3.1總則”i）的審核和第9章“操縱目標(biāo)和操縱措施的審核”結(jié)合一起進行。?適用性聲明的內(nèi)容是否有含有標(biāo)準(zhǔn)規(guī)定的“3項內(nèi)容”（參見“注釋與指南”欄）？?適用性聲明是否記載附錄A中任何操縱目標(biāo)和操縱措施的刪減，以及刪減的正當(dāng)性理由？實施與運行ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要制定風(fēng)險處理打算?組織是否有一個符合標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng)險處理打算文件的過程？要求明確規(guī)定，組織要有一個產(chǎn)生風(fēng)險處理打算的過程或程序。而那個過程要確定信息安全風(fēng)險的治理措施、資源、職責(zé)和優(yōu)先級。由于標(biāo)準(zhǔn)的第4章只是“打算”時期，在標(biāo)準(zhǔn)第5章中將提出更具體的“資源”要求。關(guān)于“風(fēng)險處理打算”，可與“4.3.1總則”條款的要求一起審核（見“4.3.1總則”f）審核）。?是否有一個“風(fēng)險處理打算”文件？b）組織要實施風(fēng)險處理打算?組織是否有一個符合標(biāo)準(zhǔn)此條款要求的“實施風(fēng)要求明確規(guī)定，組織要有一個“實施風(fēng)險處理打算”的過程，或程序。而那個過程的目的是要達到

險處理打算”的過程？已確定的操縱目標(biāo)，包括資金安排、角色和職責(zé)的分配。c）組織要實施所選擇的操縱措施?組織是否有一個符合標(biāo)準(zhǔn)此條款要求的“實施所選擇的操縱措施”的過程？要求明確規(guī)定，組織要有一個“實施所選擇的操縱措施”的過程，或程序，其目的是要滿足操縱目標(biāo)。d）組織要定義如何測量所選操縱措施的有效性?組織是否有一個“測量所選操縱措施有效性”的過程？即組織要：1） 定義如何測量所選操縱措施的有效性，即要有一個“測量所選操縱措施有效性”的過程；2） 規(guī)定如何使用這些測量措施，對操縱措施的有效性進行測量（或評估）；據(jù)此，治理者和職員就能夠確定所選操縱措施是否實現(xiàn)原打算的操縱目標(biāo)，或?qū)崿F(xiàn)的程度。在對那個要求的審核時，審核員必須檢查受審核組織：是否有一個測量所選擇操縱措施有效性的“測量措施”；如何使用其測量措施進行測量；所選操縱措施是否達到既定的操縱目標(biāo)?？膳c4.2.3c）規(guī)定的要求同時審核（參見“4.2.3監(jiān)視與評審ISMS”）?如何使用測量措施，去測量操縱措施的有效性？e）組織要實施培訓(xùn)和意識教育打算?組織是否有一個符合標(biāo)準(zhǔn)此條款要求的“實施培訓(xùn)和意識教育打算”的過程？關(guān)于實施ISMS的組織來講，專門重要的情況是培訓(xùn)，使其職員了解標(biāo)準(zhǔn)的意圖和信息安全的原理。因此在“實施與運行組織的ISMS”中，第一要有“培訓(xùn)和意識教育打算”（參見“5.2.2培訓(xùn)、意識和能力”）。f）組織要治理ISMS的運行? 組織是否有“治理ISMS的運行”的過程？要求明確規(guī)定，ISMS的運行需要治理。g）組織要治理ISMS? 組織是否有對ISMS實要求明確規(guī)定，ISMS實施所需要的資源要加以治

的資源施所需要的資源進行治理的過程？理（參見“5.2資源治理”）。h）組織要實施組織的安全程序和其他操縱措施?組織的ISMS是否有“迅速檢測安全事件和對安全事故能做出迅速反應(yīng)”的程序？要求規(guī)定，在“迅速檢測安全事件和對安全事故能做出迅速反應(yīng)”方面，要有有關(guān)的程序和操縱措施（參見“4.2.3監(jiān)視與評審ISMS”a））。監(jiān)視與評審ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要執(zhí)行監(jiān)視與評審程序?組織是否有“監(jiān)視與評審程序”，以：1） 迅速檢測處理產(chǎn)生的錯誤；2） 迅速識不試圖的和得逞的安全違規(guī)事件和事故；3） 使治理者能確定指定人員的安全活動或通過信息技術(shù)實施的安全活動是否如期執(zhí)行；4） 通過使用指示器，關(guān)心檢測安全事件并預(yù)防安全事故;5） 確定解決安全違規(guī)事件的措施是否有效？要求明確規(guī)定，求組織要有“監(jiān)視與評審程序”，以達到以下5個目的：1） 迅速檢測處理產(chǎn)生的錯誤；2） 迅速識不試圖的和得逞的安全違規(guī)事件和事故；3） 使治理者能確定指定人員的安全活動（或通過信息技術(shù)實施的安全活動）是否如期執(zhí)行；4） 通過使用指示器，關(guān)心檢測安全事件并預(yù)防安全事故；5） 確定解決安全違規(guī)事件的措施是否有效。在對要求的審核時，必須檢查這些內(nèi)容。b）組織要定期評審ISMS有效性?是否有符合此要求“ISMS有效性的定期評審”的過程？要求明確規(guī)定，組織對ISMS的有效性，進行定期評審（包括ISMS方針和目標(biāo)的符合性評審、安全操縱措施的有效性評審）。

而在對ISMS有效性的定期評審時，要聯(lián)系到（或考慮到）安全審核的結(jié)果、事故、有效性測量的結(jié)果、所有有關(guān)方的建議和反饋。在對要求的審核時，要檢查是否有有關(guān)的過程或活動。c）組織要測量操縱措施的有效性?是否有到位的“測量操縱措施的有效性”的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要測量操縱措施的有效性以驗證安全要求是否得到滿足。在對要求的審核時，要檢查是否有“測量操縱措施的有效性”的過程或程序。d）組織要評審風(fēng)險評估?是否有到位的“評審風(fēng)險評估”的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按照既定的時刻間隔，評審風(fēng)險評估、殘余風(fēng)險和已確定的可冋意的風(fēng)險級不，要考慮以下方面的變化：1） 組織；2） 技術(shù)；3） 業(yè)務(wù)目標(biāo)和過程；4） 已識不的威逼；5） 已實施的操縱措施的有效性；6） 外部事件，如法律法規(guī)環(huán)境的變化、合同義務(wù)的變化和社會環(huán)境的變化。在對要求的審核時，要檢查是否有有關(guān)的過程或活動。?“評審風(fēng)險評估”的過程是否考慮了“6方面的變化”（參見注釋與指南）？e）組織要執(zhí)行定期的ISMS內(nèi)部審核?是否有到位的定期的“ISMS內(nèi)部審核”過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按既定的時刻間隔，執(zhí)行ISMS內(nèi)部審核。在對要求的審核時，要檢查是否有“定期的ISMS內(nèi)部審核”過程或程序。而對ISMS內(nèi)部審核的符合性審核要按照標(biāo)準(zhǔn)第6章的要求執(zhí)行。

f）組織要執(zhí)行定期的ISMS治理評審?是否有到位的定期的“ISMS治理評審”過程或程序？那個要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按既定的時刻間隔，執(zhí)行ISMS治理評審。在對那個要求的審核時，要檢查是否有定期的“ISMS治理評審”過程或程序。而對ISMS治理評審的符合性審核要按照標(biāo)準(zhǔn)的第7章的要求執(zhí)行。g）組織要更新信息安全打算?組織是否參考監(jiān)視和評審活動的發(fā)覺，而“更新信息安全打算”？那個要求明確規(guī)定，組織要參考監(jiān)視和評審活動的發(fā)覺，更新安全打算。h）組織要愛護ISMS事件和行動措施的紀(jì)錄?是否有到位的“愛護ISMS事件和行動措施的紀(jì)錄”的過程？那個要求明確規(guī)定，組織要記錄可能阻礙ISMS有效性的事件和所采取的措施。對那個要求的審核，可與標(biāo)準(zhǔn)的“4.3.3記錄操縱”條款要求的審核一起進行。保持與改進ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要實施ISMS改進?是否有到位的“實施ISMS改進”的過程？要求明確規(guī)定，組織對已識不的ISMS改進點，要加以實施。對要求的符合性審核時，要確保有到位的“實施ISMS改進”的過程。b）組織要采取適當(dāng)?shù)募m正措施和預(yù)防措施?是否有到位的“糾正措施和預(yù)防措施”的過程？要求明確規(guī)定，組織有與標(biāo)準(zhǔn)的“8.2糾正措施”條款和“8.3預(yù)防措施”條款保持一致的“糾正措施和預(yù)防措施”的過程，并要求吸取其它組織和本組織的安全體會教訓(xùn)。對要求的審核，可與標(biāo)準(zhǔn)的“8.2糾正措施”條款和“8.3預(yù)防措施”條款的要求的審核一起進行。?是否有到位的吸取其它組織和本組織的安全體會教訓(xùn)的過程？c）組織要向所有有關(guān)方交流ISMS的措施?是否有向所有有關(guān)方交流ISMS改進的過程？要求明確規(guī)定，組織要向所有有關(guān)方交流ISMS的行動措施和改進情形，確保有適當(dāng)?shù)脑斍橹v明，

和改進狀況并取得一致意見。d）組織要確保ISMS的改進達到預(yù)期目標(biāo)?是否有確保ISMS的改進達到了預(yù)期目標(biāo)的過程？治理者要跟蹤改進，直到達到了預(yù)期目標(biāo)。4.3文件要求總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1）ISMS文件要包括治理決定的記錄?是否ISMS文件包括有治理決定的記錄？在左欄所示的這3）個要求是在“4.3.1總則”條款開始的一個引言段中提出的。那個地點提出ISMS文件：1） 必須包括治理決定的記錄；2） 必須確保所采取的行動措施可追蹤到治理決定和方針；3） 必須確保已記錄的結(jié)果是可再生的。那個地點明確了，展現(xiàn)三者（即所選擇的操縱措施、風(fēng)險評估的結(jié)果、ISMS方針與目標(biāo)）之間的關(guān)系的重要性。即從所選擇操縱措施可追溯到風(fēng)險評估的結(jié)果，而從風(fēng)險評估的結(jié)果又可追溯到ISMS方針與目標(biāo)。2）ISMS文件要確保所采取的措施可追蹤到治理決定和方針?是否ISMS文件確保所采取的措施可追蹤到治理決定和方針？3）ISMS文件要確保記錄的結(jié)果是可再生的?是否ISMS文件確保記錄的結(jié)果是可再生的？a）ISMS文件要包括ISMS方針與目標(biāo)文件?是否有ISMS方針與目標(biāo)文件？標(biāo)準(zhǔn)規(guī)定，ISMS文件要包括9方面的文件（見本表從a）-i）欄）。其中，ISMS方針是最高級（或頂級）的文件。b）ISMS文件要包括ISMS的范疇?是否有一個描述ISMS范疇的文件？?標(biāo)準(zhǔn)要求的ISMS文件內(nèi)容不一定都要形成單一文件；某些有關(guān)的內(nèi)容可合并在一起，而形成一個文件，也可不能認(rèn)為違反標(biāo)準(zhǔn)的要求。在實際中，為了減少文件量，“ISMS的范疇”常合并于ISMS方針文件。

?參見表1-1a）。c）ISMS文件要包括支持ISMS的程序和操縱措施?是否有支持ISMS的程序和操縱措施？那個地點，只是泛泛地提出?！爸С諭SMS的程序和操縱措施”包括的內(nèi)容專門廣。除了標(biāo)準(zhǔn)強制要求的程序文件外，還可有許多組織自主決定的文件。文件的內(nèi)容可隨組織的不同而有所不同。要緊取決于：1） 組織的業(yè)務(wù)活動及風(fēng)險；2） 安全要求的嚴(yán)格程度；3） 治理體系的范疇和復(fù)雜程度。組織需要哪些ISMS文件、操縱措施及其復(fù)雜程度如何，通?？砂凑诊L(fēng)險評估的結(jié)果而決定（參見第6章“6.3.1.1獲得ISMS文件”）。d）ISMS文件要包括風(fēng)險評估方法的描述?是否有描述風(fēng)險評估方法的文件？?與標(biāo)準(zhǔn)4.2.1c）條款的要求一致。最佳的實踐表明，“風(fēng)險評估方法的描述”可合并于“風(fēng)險評估程序”；而“風(fēng)險評估程序”的運行結(jié)果又產(chǎn)生“風(fēng)險評估報告”。參見的表1-1c）；參見“標(biāo)準(zhǔn)要求的強制性ISMS文件”。e）ISMS文件要包括風(fēng)險評估報告?是否有可用的風(fēng)險評估報告？f）ISMS文件要包括風(fēng)險處理打算?是否有可用的風(fēng)險處理打算？?與標(biāo)準(zhǔn)4.2.2b）的要求一致；參見“標(biāo)準(zhǔn)要求的強制性ISMS文件”。g）ISMS文件要包括操縱措施有效性的測量程序?是否有描述如何測量操縱措施有效性的程序文件？?與標(biāo)準(zhǔn)4.2.3c的要求一致；參見“標(biāo)準(zhǔn)要求的強制性ISMS文件”。h）ISMS文件要包括本標(biāo)準(zhǔn)所要求的記錄?是否有提供符合要求證據(jù)的記錄？?“記錄”的范疇專門廣。實際上，每一個程序文件的運行結(jié)果都能夠產(chǎn)生可作為證據(jù)的“記錄”。參見“4.3.3記錄操縱”。i）ISMS文件要包括適用性聲明?是否有符合要求的適用性聲明？參見表ITj）。

4.3.2文件操縱標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1）ISMS所要求的文件要加以愛護和操縱是否有一個用于愛護和操縱ISMS文件的過程？要求是標(biāo)準(zhǔn)的“4.3.2文件操縱”條款開始的一個引言段中提出的。那個地點只是泛泛地提出。實際上，“愛護和操縱ISMS文件的過程”可用“文件操縱程序文件”進行操縱。2）ISMS文件操縱程序要形成文件是否有一個形成文件的文件操縱程序？“形成文件的文件操縱程序”一樣稱為“文件操縱程序文件”那個程序文件是標(biāo)準(zhǔn)要求的必須的ISMS文件之一?！?.3.2文件操縱”條款要緊的要求是：建立一個“文件操縱程序文件”，并對文件進行以下10方面操縱（見下面a-j）。a）“文件操縱程序文件”要定義“文件公布前要得到批準(zhǔn)”?是否文件公布前要得到批準(zhǔn)？在對那個“4.3.2文件操縱”條款要求的審核時，要緊檢查：1） 組織是否有一個用于操縱ISMS文件的“文件操縱程序文件”；2） 組織的ISMS文件實際上是否受控；3） 是否從“10方面”（a-j）操縱ISMS文件。b）“文件操縱程序文件”要定義“必要時評審與更新文件，并再次獲得批準(zhǔn)”?是否必要時評審與更新文件，并再次批準(zhǔn)文件？c）“文件操縱程序文件”要定義“文件的更換和現(xiàn)行修訂狀態(tài)得到標(biāo)識”?是否文件的更換和現(xiàn)行修訂狀態(tài)得到標(biāo)識？d）“文件操縱程序文件”要定義“在使用處可獲得有關(guān)版本的適?是否在使用處可獲得有關(guān)版本的適用文件？

用文件”e)“文件操縱程序文件”要定義“文件保持清晰、易于識不”?是否文件保持清晰、易于識不？f)“文件操縱程序文件”要定義“文件可為需要的人員使用，并按照有關(guān)程序進行傳輸、貯存和最終銷毀”?是否文件可為需要的人員使用，并按照有關(guān)程序進行傳輸、貯存和最終銷毀？g)“文件操縱程序文件”要定義“外來文件得到標(biāo)識”?是否外來文件得到標(biāo)識？h)“文件操縱程序文件”要定義“文件的分發(fā)受操縱”?是否文件的分發(fā)受操縱？i)“文件操縱程序文件”要定義“防止作廢文件非預(yù)期使用”?是否“防止作廢文件非預(yù)期使用”？j)“文件操縱程序文件”要定義“對需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識”?是否“對需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識”？記錄操縱標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.記錄要加以建立與保持?是否有一個建立與保持記錄的過程？記錄是提供符合ISMS要求和有效運行客觀證據(jù)的一種專門類型的文件。

b.記錄要加以愛護與操縱?是否有一個愛護與操縱記錄的過程？記錄需要建立與保持、愛護與操縱。c.ISMS要考慮有關(guān)法律法規(guī)要求和合同義務(wù)?ISMS是否考慮了有關(guān)法律法規(guī)要求和合同義務(wù)？組織要提供證據(jù)（記錄），證明其ISMS考慮了有關(guān)法律法規(guī)要求和合同義務(wù)。d.記錄要保持清晰、易于識不和檢索?記錄是否保持清晰、易于識不和檢索？作為客觀證據(jù)的記錄，必須易于明白得，不能模糊不清。e.記錄的操縱要形成文件并加以實施?記錄的操縱是否形成了文件？記錄的操縱包括：記錄的標(biāo)識、貯存、愛護、檢索、儲存期限和處置等。這些操縱要形成文件，通常稱為“記錄操縱程序文件”“記錄操縱程序文件”是必須要有的ISMS文件之。f.記錄要保留ISMS過程的執(zhí)行情形，和所有重大安全事故的執(zhí)行情形?記錄是否保留了ISMS過程的執(zhí)行情形？那個地點，ISMS過程是指ISO/IEC27001:2005的4.2條款所列出的過程，包括ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進。所有這些過程的記錄要加以保留，所有重大安全事故的紀(jì)錄也要保留。?記錄是否保留了所有重大安全事故的執(zhí)行情形？5治理職責(zé)

治理承諾標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南治理者要對ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進，做出承諾，提供證據(jù)。?是否有一個確保治理者對ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進，做出承諾的過程？那個地點，“治理承諾”應(yīng)明白得為“最高治理者（層）的承諾”。ISO/IEC27001:2005標(biāo)準(zhǔn)認(rèn)為，ISMS的成功運行需要治理者參與并做出承諾。因此標(biāo)準(zhǔn)要求最高治理層（包括總經(jīng)理和治理者代表等）展現(xiàn)出其如何支持（或承諾）ISMS建立、實施與運行、監(jiān)視與評審、保持與改進，并提供8方面內(nèi)容的證據(jù)，包括：a） 制定ISMS方針；b） 確保建立ISMS目標(biāo)和打算；c） 建立信息安全的角色和職責(zé)；d） 向該組織傳達滿足信息安全目標(biāo)與符合信息安全方針的重要性、法律責(zé)任和連續(xù)改進的需要；e） 提供足夠的資源；f） 決定同意風(fēng)險的準(zhǔn)則和風(fēng)險的可同意級不準(zhǔn)則；g） 確保ISMS內(nèi)審的執(zhí)行；h） 進行ISMS治理評審。?治理者提供承諾的證據(jù)是否包括8方面的內(nèi)容（見“注釋與指南”欄）？資源治理資源提供標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要確定和提供所需要的資源?治理者是否提供ISMS活動所需要的資源？那個地點ISMS活動包括ISMS建立、實施與運行、監(jiān)視與評審、保持和改進。

?治理者是否提供確保信息安全程序支持業(yè)務(wù)要求所需要的資源？資源包括人、財、物（如設(shè)備、工具和資料等）。?治理者是否提供滿足法律法規(guī)要求、合同安全要求所需要的資源？?是否提供通過正確實施操縱措施愛護安全所需要的資源？?治理者是否提供必要的評審與對評審結(jié)果做出適當(dāng)反應(yīng)所需要的資源？?治理者是否提供改進ISMS有效性所需要的資源？培訓(xùn)、意識和能力標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要確保分配有ISMS職責(zé)的所有人員都具有執(zhí)行所要求任務(wù)的能力?是否有一個確保分配有ISMS職責(zé)的所有人員都具有完成所要求任務(wù)的能力的過程？要求明確規(guī)定，確保分配有ISMS職責(zé)的所有人員都具有完成其所要求任務(wù)的能力。那個過程包括4個活動：a） 確定所有ISMS人員所必要的能力；b） 提供培訓(xùn)，或采取其它措施（例如聘用有能力的人員），以滿足這些需要；c） 評判培訓(xùn)等措施的有效性；d） 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。在對要求的符合性審核時，要檢查培訓(xùn)記錄和有關(guān)證據(jù)。

b.組織要確保所有有關(guān)人員意識到其信息安全活動的重要性?是否有一個確保所有有關(guān)人員都識到其信息安全活動的重要性的過程？要求明確規(guī)定，組織要確保所有有關(guān)人員意識到其信息安全活動的利害關(guān)系與重要性，并為達到ISMS目標(biāo)做出奉獻。在對要求的符合性審核時，能夠抽查有關(guān)人員的安全意識。內(nèi)部ISMS審核標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)定期進行內(nèi)部ISMS審核? 是否有一個定期進行內(nèi)部ISMS審核的過程？要求明確規(guī)定，“組織要按照既定的時刻間隔進行內(nèi)部ISMS審核”而內(nèi)部審核的目的是確定其ISMS的操縱目標(biāo)、操縱措施、過程和程序是否：符合本標(biāo)準(zhǔn)和有關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實施和保持；按預(yù)期執(zhí)行。在對要求符合性審核時，要確保上述要求得到滿足＜(2)制定審核方案是否有一個申核方案？該申核方案是否考慮了受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果？要求明確規(guī)定，在進行內(nèi)部審核之前，要制定“審核方案”而那個審核方案要考慮受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果。(3)定義審核的準(zhǔn)則、范疇、頻次和方法?審核的準(zhǔn)則、范疇、頻次和方法是否定義？在實際中，審核的準(zhǔn)則、范疇、頻次和方法能夠包含于申核方案或申核打算中。(4)審核員的選擇，審核的實施要確保審核過程的客觀公平?審核員的選擇，審核的實施是否確保審核過程的客觀公平？在這方面，應(yīng)遵照本書第4章的規(guī)定執(zhí)行。其中包括“審核發(fā)覺、審核結(jié)論和審核報告要真實和準(zhǔn)確地反映審核活動”(5)審核員不準(zhǔn)審核?是否審核員審核了自己要識不內(nèi)部審核員除了內(nèi)審以外的其它工作。

自己的工作的工作？(6)形成內(nèi)審程序文件?是否有定義內(nèi)審職責(zé)和要求方面的內(nèi)審程序文件？要求明確規(guī)定，內(nèi)審的職責(zé)和要求(包括審核的打算與實施、審核結(jié)果的報告、記錄的保持等)必須以形成文件的程序加以定義。在對要求的符合性審核時，要確保上述要求得到滿足,(7)采取糾正措施?是否有一個確保受審部門的責(zé)任治理者及時采取措施，排除“已發(fā)覺的不符合事項及其產(chǎn)生的緣故”的過程？要求的意義包括：受審部門的責(zé)任治理者要采取糾正措施；糾正措施要包含緣故分析；糾正措施不能有不適當(dāng)?shù)难舆t。在對要求的符合性審核時，要確保上述要求得到滿足(8)跟蹤糾正措施?是否有一個對糾正措施的跟蹤活動？“跟蹤糾正措施”是受審部門責(zé)任治理者的職責(zé)，包括：要跟蹤和驗證糾正措施，直到真正獲得落實；要報告跟蹤和驗證的結(jié)果。?跟蹤活動是否包括驗證和驗證結(jié)果的報告？ISMS的治理評審總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)治理者要每年至少評審1次ISMS?是否有一個確保最高治理者每年至少評審1次ISMS的過程？治理評審的目的是確保ISMS連續(xù)的適宜性、充分性和有效性。為了確保最冋治理者母年至少訐申1次ISMS，最好的實踐是通過使用一個“治理評審程序文件”進行操縱?！爸卫碓u審程序文件”也操縱有關(guān)的治理評審過程，以滿足標(biāo)準(zhǔn)的要求。然而，標(biāo)準(zhǔn)沒有明確規(guī)定一定要有一個形成文件的“治理評審程序”。因此，在審核時，要緊是要確保有符合要求的評審過程。?是否檢查了ISMS的實施情形，以確保ISMS連續(xù)的適宜性、充分性和有效性？

（2）評審要包括評估改進的機會和變更ISMS的需要?在治理評審時，是否評估了ISMS（包括信息安全方針和信息安全目標(biāo)）改進的機會和變更的需要？在運行期間，操作者是不能任意變更ISMS的。ISMS的改進和變更，只能通過最高治理者對ISNS的評審，做出評審決定后，才能執(zhí)行。因此治理評申時，要有這方面的評估。（3）評審的結(jié)果要形成文件?評審結(jié)果是否形成了文件？審核員在進行“ISMS的治理評審”的審核時，必須按標(biāo)準(zhǔn)“4.3.3記錄操縱”條款的要求，檢查評審結(jié)果和有關(guān)的評審的記錄。（4）評審的記錄要加以保持?記錄是否按照“記錄操縱”的要求加以保持？評審輸入標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）治理評審的輸入要包括審核和評審結(jié)果?是否有一個確保治理評審的輸入包括標(biāo)準(zhǔn)要求的9方面信息的過程？在審核時，審核員應(yīng)第一檢查組織如何確保滿足標(biāo)準(zhǔn)規(guī)定的9方面治理評審的輸入信息（見本表的a-i）。?是否治理評審的輸入包括先前的審核和評審結(jié)果？審核員應(yīng)檢查治理評審的輸入是否包括先前的審核（包括內(nèi)審和外審）和治理評審的結(jié)果。b）治理評審的輸入要?是否治理評審的輸入申核員應(yīng)檢查治理評申的輸入是否包括有關(guān)方（如顧客和有關(guān)人員）的反饋，包括意見、埋怨和評論等。包括有關(guān)方的反饋包括有關(guān)方的反饋？c）治理評審的輸入要包括可用于改進ISMS的技術(shù)、產(chǎn)品或程序?是否治理評審的輸入包括可用于改進ISMS的技術(shù)、產(chǎn)品或程序？審核員應(yīng)檢查治理評審的輸入是否包括可用于改進ISMS有效性的技術(shù)、產(chǎn)品或程序。d）治理評審的輸入要包括預(yù)防和糾正措施的狀況?是否治理評審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查治理評審的輸入是否包括先前的預(yù)防措施和糾正措施的情形，包括查有關(guān)記錄。

e）治理評審的輸入要包括以往風(fēng)險評估沒有充分解決的脆弱點或威逼?是否治理評審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查治理評審的輸入是否包括在先前的風(fēng)險評估期間，沒有充分解決的安全咨詢題。f）治理評審的輸入要包括有效性測量的結(jié)果?是否治理評審的輸入包括ISMS有效性的測量結(jié)果？審核員應(yīng)檢查治理評審的輸入是否包括在先前對ISMS的有效性的測量結(jié)果。g）治理評審的輸入要包括以往治理評審的跟蹤措施?是否治理評審的輸入包括以往治理評審的跟蹤措施？審核員應(yīng)檢查治理評審的輸入是否包括以往治理評審的跟蹤措施，包括對以往治理評審結(jié)果的貫徹、跟蹤和驗證的結(jié)果。h）治理評審的輸入要包括可能阻礙ISMS的任何變更?是否治理評審的輸入包括可能阻礙ISMS的任何變更？審核員應(yīng)檢查治理評審的輸入是否包括可能阻礙ISMS的任何變更，包括顯現(xiàn)新的信息資產(chǎn)、技術(shù)的變更、內(nèi)外環(huán)境的變更和組織結(jié)構(gòu)的變更等。i）治理評審的輸入要包括改進的建議?是否治理評審的輸入包括任改進的建議？審核員應(yīng)檢查治理評審的輸入是否包括改進ISMS的任何建議。評審輸出標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）治理評審的輸出要包括ISMS有效性的改進?是否有一個確保治理評審的輸出包括5方面要求的過程？在審核時，審核員應(yīng)第一檢查組織如何確保治理評審滿足標(biāo)準(zhǔn)規(guī)定的5方面的輸出（見本表a）-e））。

?是否治理評審做出了改進ISMS有效性的決定？審核員應(yīng)檢查治理評審的輸出是否有改進ISMS有效性的決定。b）治理評審的輸出要包括風(fēng)險評估和風(fēng)險處理打算的更新?是否治理評審做出了更新風(fēng)險評估和風(fēng)險處理打算的決定？風(fēng)險是動態(tài)的。風(fēng)險評估活動要定期執(zhí)行，風(fēng)險處理打算要及時更新。治理評審要做出這方面的決定。申核員應(yīng)檢查治理評申的輸出是否有這方面的決定。c）治理評審的輸出要包括必要時對阻礙信息安全的程序和操縱措施的修改，以應(yīng)對可能沖擊ISMS的內(nèi)外事件?是否治理評審做出了在必要時對阻礙信息安全的程序和操縱措施的修改決定，以應(yīng)對可能沖擊ISMS的內(nèi)外事件？要求的含義是，為了應(yīng)對可能沖擊ISMS的內(nèi)外事件，包括：1） 業(yè)務(wù)要求發(fā)生變化；2） 安全要求發(fā)生變化；3） 阻礙現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程發(fā)生變化；4） 法律法規(guī)要求發(fā)生變化；5） 合同義務(wù)發(fā)生變化；6） 同意風(fēng)險的風(fēng)險級不和/或準(zhǔn)則發(fā)生變化。要對阻礙信息安全的程序和操縱措施進行修改。治理評審要做出這方面的決定。在審核時，要檢查這方面的決定。d）治理評審的輸出要包括對資源需求的決定?是否治理評審做出了對資源需求的決定？要求是解決資源需求。治理評審要做出解決ISMS資源需求的決定。在審核時，要檢查這方面的決定。e）治理評審的輸出要包括改進測量操縱措施有效性的方法?要求是改進如何測量操縱措施的有效性。治理評申要做出這方面的決定。在申核時，要檢查這方面的決定。ISMS改進連續(xù)改進

標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要連續(xù)改進ISMS的有效性?是否有一個確保組織連續(xù)改進ISMS有效性的過程？要求規(guī)定，組織要通過多種途徑，連續(xù)改進ISMS的有效性持，包括：1） 使用信息安全方針；2） 使用安全目標(biāo)；3） 使用審核結(jié)果；4） 使用監(jiān)視事件的分析；5） 使用糾正措施與預(yù)防措施；6） 使用治理評審。因此，審核員在進行審核時，應(yīng)考慮以上方面，并結(jié)合一起進行。糾正措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施，排除不符合ISMS要求的緣故?是否有一個確保米取措施，排除不符合ISMS要求的緣故的過程？要求規(guī)定，組織要采取措施，排除不符合ISMS要求的緣故，目的是防止不符合事項再次發(fā)生。b.糾正措施程序要形成文件?是否有一個糾正措施程序文件？“形成文件的糾正措施程序”通常也稱“糾正措施程序文件”，是標(biāo)準(zhǔn)強制性要求的ISMS文件之一。標(biāo)準(zhǔn)要求組織要建立和執(zhí)行“糾正措施程序文件”。那個“糾正措施程序文件”要定義6條要求（見本表“標(biāo)準(zhǔn)的要求”欄c-h）。審核員在文件評審時期，就應(yīng)對比此“8.2糾正措施”的要求，評審“糾正措施程序文件”的符合C.糾正措施程序文件要定義“識不不符合項”?是否糾正措施程序文件定義了“識不不符合項”？d.糾正措施程序文件要定義“確定產(chǎn)生不符合項的緣故”?是否糾正措施程序文件定義了“確定產(chǎn)生不符合項的緣故”？

e.糾正措施程序文件要定義“評判確保不符合項不再發(fā)生的措施需求”?是否糾正措施程序文件定義了“評判確保不符合項不再發(fā)生的措施需求”？性。f.糾正措施程序文件要定義“確定和實施所需要的糾正措施”?是否糾正措施程序文件定義了“確定和實施所需要的糾正措施”？g.糾正措施程序文件要定義“記錄所采取措施的結(jié)果”?是否糾正措施程序文件定義了“記錄所采取措施的結(jié)果”？h.糾正措施程序文件要定義“評審所采取的糾正措施”?是否糾正措施程序文件定義了“評審所采取的糾正措施”？預(yù)防措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施，排除潛在的不符合ISMS要求的緣故?是否有一個用于確保米取措施，排除潛在的不符合ISMS要求的緣故的過程？要求規(guī)定，組織要米取措施，排除潛在的不符合ISMS要求的緣故，目的是預(yù)先防止以后發(fā)生不符合事項。b.所采取的預(yù)防措施要與潛在咨詢題的阻礙程度相適應(yīng)?所采取的預(yù)防措施是否適于潛在咨詢題的阻礙？所要米取的預(yù)防措施，要按照潛在咨詢題的阻礙大小而決定。C.組織要建立一個預(yù)防措施程序文件，定義5條有關(guān)要求?是否有一個定義5條有關(guān)要求的預(yù)防措施程序文件？要求規(guī)定，組織要建立和執(zhí)行一個預(yù)防措施程序文件。該程序文件要定義5條有關(guān)要求：a） 識不潛在的不符合事項及其緣故；b） 評判預(yù)防發(fā)生不符合事項的措施的需要；C）確定和實施所需要的預(yù)防措施；

d） 記錄所采取措施的結(jié)果；e） 評審所采取的預(yù)防措施。在審核時，審核員要檢查確保：一組織要有一個形成文件的“預(yù)防措施程序”二該文件要定義上術(shù)5條要求。d.組織要識不差不多發(fā)生了變化的風(fēng)險?是否有一個用于識不差不多發(fā)生了變化的風(fēng)險的過程？風(fēng)險是動態(tài)的，組織必須有一個用于識不差不多發(fā)生了變化的風(fēng)險的過程，并對差不多發(fā)生了變化的風(fēng)險，要識不其預(yù)防措施的要求。有些組織通過使用一個“風(fēng)險評估程序文件”對此過程要求進行操縱。在審核時，審核員可結(jié)合標(biāo)準(zhǔn)的“4.2建立和治理ISMS”條款的有關(guān)要求，進行審核。e.組織要識不對差不多發(fā)生了變化的風(fēng)險的預(yù)防措施的要求?對差不多發(fā)生了重大變化的風(fēng)險，是否識不其預(yù)防措施要求？f.預(yù)防措施的優(yōu)先級要按照風(fēng)險評估的結(jié)果確定?是否預(yù)防措施的優(yōu)先級按照風(fēng)險評估的結(jié)果而確定？附錄2-操縱要求符合性審核A.5安全方針A.5.1信息安全方針目標(biāo)：依據(jù)業(yè)務(wù)要求和有關(guān)法律法規(guī)，提供信息安全的治理方向和支持有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.5.1.1信息安全方針文件是否有信息安全方針文件？信息安全方針文件是否獲得治理者批準(zhǔn)、公布和傳達給所有職員和有關(guān)的外方？信息安全方針文件是否符合標(biāo)準(zhǔn)的要求，如是否講明治理承諾，并提出組織治理信息安全的方法？A.5.1.2息安全方針的評審為了確保信息安全方針連續(xù)的適宜性、充分性和有效性，是否按既定的時刻間隔（或當(dāng)發(fā)生重大變化時）對其進行評審？A.6信息安全的組織A.6.1內(nèi)部的組織目標(biāo)：治理組織內(nèi)的信息安全。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.6.1.1信息安全的治理承諾治理者是否通過清晰的方向、可證實的承諾、明確的任務(wù)，和信息安全職責(zé)的承認(rèn)，來主動支持組織內(nèi)的安全？A.6.1.2信息安全和諧信息安全活動是否由不同部門的代表和諧有關(guān)工作？

A.6.1.3信息安全職責(zé)的分配所有的信息安全職責(zé)（包括愛護各個資產(chǎn)的職責(zé)和執(zhí)行特定安全過程的職責(zé)）是否有明確的規(guī)定？A.6.1.4信息處理設(shè)施的授權(quán)過程對新信息處理設(shè)施，是否有治理授權(quán)過程？A.6.1.5保密性協(xié)議是否所有職員都要簽署一個反映組織信息愛護需要的保密協(xié)議（或不泄露協(xié)議）？保密協(xié)議（或不泄露協(xié)議）是否得到識不和定期評審？A.6.1.6聯(lián)系權(quán)威部門組織是否與有關(guān)權(quán)威部門（例如，執(zhí)法部門、消防部門和監(jiān)管部門）保持適當(dāng)?shù)穆?lián)系？A.6.1.7聯(lián)系專門利益團體組織是否與專門利益團體、安全專家組和專業(yè)協(xié)會保持適當(dāng)?shù)穆?lián)系？A.6.1.8信息安全的獨立評審組織是否對其治理信息安全的方法與實踐（即信息安全操縱目標(biāo)與操縱措施、方針、過程和程序），按既定的時刻間隔（或當(dāng)安全實施發(fā)生重大變化時）進行獨立評審？A.6.2外方目標(biāo)：保持被外方訪咨詢與處理，與外方通信，或被治理的組織的信息與信息處理設(shè)施的安全有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.6.2.1外方有關(guān)風(fēng)險的識不組織的信息和信息處理設(shè)施受外方訪咨詢或治理而產(chǎn)生的風(fēng)險，是否進行識不？組織的信息和信息處理設(shè)施，在承諾外方訪咨詢前，是否執(zhí)行適當(dāng)?shù)牟倏v措施？A.6.2.2處理與顧客有關(guān)的安全咨詢題在承諾顧客訪咨詢組織信息或資產(chǎn)之前，所有確定的安全要求是否得到解決？A.6.2.3處理第三方涉及訪咨詢、處理、交流（或治理）組織的信息或

協(xié)議中的安全咨詢題信息處理設(shè)施的第二方協(xié)議，是否涵蓋所有有關(guān)的安全要求？A.7資產(chǎn)A.7.1對資產(chǎn)的職責(zé)目標(biāo)：實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)愛護有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.7.1.1資產(chǎn)清單是否所有資產(chǎn)度都進行了識不？是否所有重要資產(chǎn)都進行了登記、建立了清單文件并加以愛護？A.7.1.2資產(chǎn)責(zé)任人所有信息和信息處理設(shè)施有關(guān)資產(chǎn)，是否都有責(zé)任人？A.7.1.3資產(chǎn)的可同意使用信息和信息處理設(shè)施有關(guān)資產(chǎn)的可同意使用規(guī)貝y,是否確定、形成了文件并加以實施？A.7.2信息分類目標(biāo)：確保信息受到適當(dāng)級不的愛護。有關(guān)條款操縱要求與檢查題實施的方法，或刪減的正當(dāng)性A.7.2.1分類指南是否有一個信息分類指南（或分類法）？信息是否按照其對組織的價值、法律要求、敏銳性和關(guān)鍵性進行分類？A.7.2.2信息的標(biāo)記和處理信息標(biāo)記與處理程序是否按照組織采納的分類法，加以開發(fā)和實施？A.8人力資源安全A.8.1雇用之前

目標(biāo)：確保雇員、承包人和第三方用戶明白得其職責(zé)，適合其考慮的角色，以降低行竊、欺詐和誤用設(shè)施的風(fēng)險。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.8.1.1角色和職責(zé)雇員、承包人和第三方用戶的安全角色和職責(zé)是否按照組織的信息安全方針加以定義并形成了文件？A.8.1.2選擇對所有雇用的候選者、承包人和第三方用戶，是否按照有關(guān)法律法規(guī)、道德規(guī)范、相應(yīng)的業(yè)務(wù)要求、要被訪咨詢信息的類不、和已察覺的風(fēng)險，進行背景驗證檢杳？A.8.1.3雇用的條款和條件雇員、承包人和第三方用戶是否簽署了雇用合同的條款和條件，作為他們合同義務(wù)的一部分？“雇用合同的條款和條件”是否聲明雇員、承包人和第三方用戶的信息安全職責(zé)？A.8.2雇用期間目標(biāo)：確保所有雇員、承包人和第三方用戶意識到信息安全威逼與利害關(guān)系、他們的職責(zé)與義務(wù)，并在其正常工作中支持組織的安全方針和減少人為過失的風(fēng)險。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.8.2.1治理職責(zé)治理者是否要求雇員、承包人和第三方用戶，按照該組織已建立的方針和程序負起安全責(zé)任？A.8.2.2信息安全意識、教育和培訓(xùn)組織的所有雇員、有關(guān)的承包人和第三方用戶，是否都同意過適當(dāng)?shù)囊庾R培訓(xùn)和定期更新與其工作有關(guān)的組織的方針與程序方面的知識？A.8.2.3紀(jì)律處理過程關(guān)于安全違規(guī)的雇員，是否有一個正式的紀(jì)律處理過程？

A.8.3雇用終止或雇用變更目標(biāo)：確保雇員、承包人和第三方用戶以一個適宜的方式離職或變更雇用。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.8.3.1終止職責(zé)履行雇用終止或雇用變更的職責(zé)是否清晰地做出了規(guī)定和分配？A.8.3.2歸還資產(chǎn)所有雇員、承包人和第二方用戶在雇用、合同或協(xié)議終止時，是否歸還其使用的該組織的所有資產(chǎn)？A.8.3.3刪除訪咨詢權(quán)所有雇員、承包人和第三方用戶對信息和信息處理設(shè)施的訪咨詢權(quán)，在其雇用、合同或協(xié)議終止時，是否刪除，或進行變更調(diào)整？A.9物理和環(huán)境安全A.9.1安全區(qū)域目標(biāo)：防止對組織場所和信息，進行未授權(quán)的物理訪咨詢、損壞和干擾。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.9.1.1物理的安全邊界是否有用于愛護包含信息和信息處理設(shè)施的區(qū)域的安全邊界（諸如墻、入口操縱卡或受治理的接待臺等屏障）？A.9.1.2物理入口操縱為了確保只有已被授權(quán)人員才承諾訪咨詢，安全區(qū)域是否通過適用的入口操縱措施加以愛護？A.9.1.3愛護辦公室、房間和設(shè)施的安全辦公室、房間和設(shè)施的物理安全措施是否進行了設(shè)計并加以應(yīng)用？

A.9.1.4防范外部威逼和環(huán)境威逼對由火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然災(zāi)難或人為災(zāi)難引起的損害，是否設(shè)計與應(yīng)用了物理愛護措施？A.9.1.5在安全區(qū)域工作在安全區(qū)域工作的物理愛護措施和指南是否進行了設(shè)計并加以應(yīng)用？對在安全區(qū)域工作的人員，是否有任何安全操縱措施？A.9.1.6公共訪咨詢區(qū)和交接區(qū)為了幸免未授權(quán)訪咨詢，訪咨詢點（如交接區(qū)和未授權(quán)人員能夠進入的其它地點）是否進行操縱？交接區(qū)是否與信息處理設(shè)施隔開？A.9.2設(shè)備安全目標(biāo)：防止資產(chǎn)丟失、損壞、被盜或被破壞，和中斷組織的活動。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.9.2.1設(shè)備安置和愛護設(shè)備是否安置在可減少未授權(quán)訪咨詢的適當(dāng)?shù)攸c？關(guān)于處理敏銳數(shù)據(jù)的信息處理設(shè)施，是否安置在可限制觀測的位置？關(guān)于需要專門愛護的設(shè)備，是否進行隔離？對信息處理設(shè)施的運行有負面阻礙的環(huán)境條件（例如溫度和濕度），是否進行監(jiān)視？A.9.2.2支持性設(shè)施在由支持性設(shè)施的失效而引起的電源故障和其他中斷方面，設(shè)備是否有所防范？A.9.2.3布纜安全電源和傳輸數(shù)據(jù)的（或支持信息服務(wù)的）通信電纜是否防范攔截或損壞？A.9.2.4設(shè)備愛護設(shè)備是否按照供應(yīng)商舉薦的服務(wù)時刻間隔和講明書，進行正確愛護？

設(shè)備愛護是否只由已授權(quán)人員執(zhí)行？設(shè)備的愛護記錄是否儲存？A.9.2.5組織場所外的設(shè)備安全關(guān)于組織場所的設(shè)備，是否考慮了不同風(fēng)險，而采取安全措施？A.9.2.6設(shè)備的安全銷毀或安全再利用關(guān)于含有任何敏銳信息和許可軟件的儲存介質(zhì)，是否進行安全銷毀或安全覆蓋后再利用？A.9.2.7財產(chǎn)的移動是否設(shè)備、信息或軟件要帶出組織場所外，必須獲得治理者授權(quán)？A.10通信和運行治理A.10.1運行程序和職責(zé)目標(biāo)：確保信息處理設(shè)施的正確運行和安全運行。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.1.1形成運行程序文件運行程序是否形成了文件、加以保持并可為所有需要的用戶使用？A.10.1.2變更治理對信息處理設(shè)施和系統(tǒng)的變更是否受控？A.10.1.3責(zé)任的劃分為了減少對組織資產(chǎn)未授權(quán)（或無意識）的修改（或誤用）的機會，是否劃分了職責(zé)的責(zé)任與職責(zé)的范疇？A.10.1.4開發(fā)設(shè)施、測試設(shè)施和運行設(shè)施的分離為了減少未授權(quán)訪咨詢（或更換）運行系統(tǒng)的風(fēng)險，開發(fā)設(shè)施、測試設(shè)施和運行設(shè)施是否彼此分離開？A.10.2第三方服務(wù)交付治理目標(biāo)：按照第三方服務(wù)交付協(xié)議，實施和保持適當(dāng)水準(zhǔn)的信息安全和服務(wù)交付

有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.2.1服務(wù)交付第三方服務(wù)交付協(xié)議中所規(guī)定的安全操縱措施、服務(wù)定義和父付水準(zhǔn)，由第三方實施、運行和保持，是否獲得保證？A.10.2.2第三方服務(wù)的監(jiān)視和評審對第三方提供的服務(wù)、報告和記錄，是否定期地進行監(jiān)視、評審和審核？A.10.2.3第三方服務(wù)的變更治理對服務(wù)提供的變更（包括保持和改進現(xiàn)有的信息安全方針、程序和操縱措施），是否考慮所涉及的業(yè)務(wù)系統(tǒng)與過程的關(guān)鍵程度和風(fēng)險的再評估，進行治理？A.10.3系統(tǒng)規(guī)劃和驗收目標(biāo)：將系統(tǒng)故障的風(fēng)險降至最小。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.3.1容量治理為了確保所需的系統(tǒng)性能，是否對資源的使用進行監(jiān)視和調(diào)整，并對以后的容量需求做出規(guī)劃？A.10.3.2系統(tǒng)驗收新信息系統(tǒng)、升級和新版本的驗收準(zhǔn)則，是否建立了，并在系統(tǒng)驗收前和開發(fā)中進行適當(dāng)?shù)南到y(tǒng)測試？A.10.4防范惡意代碼和移動代碼目標(biāo)：愛護軟件和信息的完整性。以下是對在那個目標(biāo)下的2個操縱措施的審核有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.4.1對惡意代碼的操縱措施是否有對惡意代碼的操縱措施（包括對惡意代碼的監(jiān)測、預(yù)防和復(fù)原）？是否有禁止使用未授權(quán)軟件的正式方針？是否安裝并定期更新惡意代碼檢測與修復(fù)軟件？

是否有提升用戶對惡意代碼防范意識的程序？A.10.4.2對移動代碼的操縱措施當(dāng)移動代碼獲得授權(quán)使用時，是否配置確保該授權(quán)的移動代碼，按照清晰定義的安全方針的規(guī)定運行？當(dāng)移動代碼未獲得授權(quán)時，是否阻止其運行？A.10.5備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.5.1信息備份是否有備份方針？重要的信息和軟件是否按照備份方針的規(guī)定定期備份和測試？備份的儲備地是否安全，并與實際的使用場所保持足夠的距離？A.10.6網(wǎng)絡(luò)安全治理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持基礎(chǔ)設(shè)施的安全。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.6.1網(wǎng)絡(luò)操縱為了防止使用網(wǎng)絡(luò)時發(fā)生的威逼和愛護系統(tǒng)與應(yīng)用程序的安全，網(wǎng)絡(luò)是否充分受控？網(wǎng)絡(luò)的運行職責(zé)與運算機系統(tǒng)的運行職責(zé)是否分開？信息在公用網(wǎng)絡(luò)上傳輸時，是否有操縱措施？A.10.6.2網(wǎng)絡(luò)服務(wù)的安全是否有網(wǎng)絡(luò)服務(wù)（不管是內(nèi)部的，依舊外部的）？是否有確定所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)級不和治理要求的網(wǎng)絡(luò)服務(wù)協(xié)議？

A.10.7介質(zhì)處理目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動或銷毀，和中斷業(yè)務(wù)活動。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.7.1可移動介質(zhì)的治理是否有可移動介質(zhì)的治理程序？A.10.7.2介質(zhì)的處置關(guān)于不再需要的介質(zhì)，是否使用正式的程序進行安全地處置？為了保持審計蹤跡，是否保留敏銳信息的處置記錄？A.10.7.3信息處理程序是否有信息的處理與貯存程序？該程序是否要防范信息被未授權(quán)者泄漏或誤用？A.10.7.4系統(tǒng)文件的安全是否要防范系統(tǒng)文件被未授權(quán)訪咨詢？系統(tǒng)文件的訪咨詢名單是否保持在最小范疇，并獲得責(zé)任人授權(quán)？A.10.8信息的交換目標(biāo)：保持與內(nèi)部組織和與任何外部實體間信息和軟件交換時的安全。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.8.1信息交換方針和程序為了愛護通過使用各種類型的通信設(shè)施進行信息父換，是否有正式的信息父換方針、程序和操縱措施？A.10.8.2交換協(xié)議在組織和外方之間進行信息/軟件交換時，是否有交換協(xié)議？該交換協(xié)議是否指向所涉及的敏銳業(yè)務(wù)信息的安全咨詢題？A.10.8.3運輸中的當(dāng)含信息的介質(zhì)在組織的物理邊界以外運送時，

物理介質(zhì)是否有防范未授權(quán)訪咨詢、誤用或毀壞的措施？A.10.8.4電子消息發(fā)送當(dāng)用電子方法發(fā)送信息時，是否有適當(dāng)?shù)男畔圩o措施？A.10.8.5業(yè)務(wù)信息系統(tǒng)為了愛護相互連接的業(yè)務(wù)信息系統(tǒng)的信息，是否開發(fā)與實施了有關(guān)的方針和程序？A.10.9電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)服務(wù)的安全及其安全使用。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.9.1電子商務(wù)電子商務(wù)是否有防范欺詐活動、合同爭議和未授權(quán)泄露與修改信息的操縱措施？A.10.9.2在線交易在線交易中的信息是否受愛護，以防止傳輸錯誤、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制？A.10.9.3公共可用信息為了愛護公共可用系統(tǒng)中的信息的完整性，是否有防范未授權(quán)修改的操縱措施？A.10.10監(jiān)視目標(biāo)：檢測未授權(quán)的信息處理活動。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.10.1審計日志審計日志是否記錄用戶活動、專門事件和信息安全事件？為了關(guān)心以后的調(diào)查和訪咨詢操縱監(jiān)視，審計日志是否保持一段已商定的時期？A.10.10.2監(jiān)視系統(tǒng)的使用監(jiān)視信息處理設(shè)施的使用程序是否建立了？監(jiān)視活動的結(jié)果是否定期評審？A.10.10.3日志信記錄日志的設(shè)施和日志信息是否有防范被篡改和

息的愛護未授權(quán)訪咨詢的操縱措施？A.10.10.4治理員和操作員日志系統(tǒng)治理員和系統(tǒng)操作員的活動是否寫入日志中？是否定期檢查操作員日志？A.10.10.5故障日志系統(tǒng)故障是否被報告、記錄、分析和采取適當(dāng)?shù)拇胧?？A.10.10.6時鐘同步所有有關(guān)信息處理系統(tǒng)的時鐘是否都按統(tǒng)一的標(biāo)準(zhǔn)時刻進行同步設(shè)置？A.11訪咨詢操縱A.11.1訪咨詢操縱的業(yè)務(wù)要求目標(biāo)：操縱對信息的訪咨詢。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.1.1訪咨詢操縱方針訪咨詢操縱方針是否按照對訪咨詢操縱的業(yè)務(wù)要求與安全要求，進行定義、形成文件和評審？訪咨詢操縱方針是否為每個用戶（或用戶組）明確地規(guī)定了訪咨詢的規(guī)則和權(quán)限？A.11.2用戶訪咨詢治理目標(biāo)：確保授權(quán)用戶訪咨詢信息系統(tǒng)，防止未授權(quán)用戶訪咨詢信息系統(tǒng)。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.2.1用戶注冊是否有正式的用戶注冊與注銷程序，授權(quán)和撤銷對所有信息系統(tǒng)和服務(wù)的訪咨詢？A.11.2.2特權(quán)治理關(guān)于多用戶系統(tǒng)，特權(quán)的分配和使用是否受限制和受操縱？

A.11.2.3用戶口令治理口令的分配是否要用一個正式的治理過程進行操縱？A.11.2.4用戶訪咨詢權(quán)的評審治理者是否使用一個正式過程，定期地評審用戶的訪咨詢權(quán)？A.11.3用戶職責(zé)目標(biāo)：防止未授權(quán)用戶對信息和信息處理設(shè)施的訪咨詢、危害或竊取。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.3.1口令使用是否有指導(dǎo)用戶選擇和使用口令的指南、方針或規(guī)定？組織是否要求用戶遵照指南、方針或規(guī)定，選擇和使用口令？A.11.3.2無人值守的用戶設(shè)備用戶是否明白愛護無人值守的用戶設(shè)備的職責(zé)和程序？組織是否要求用戶確保無人值守的用戶設(shè)備得到適當(dāng)?shù)膼圩o？A.11.3.3清空桌面和屏幕方針為了防止敏銳的（或關(guān)鍵的）業(yè)務(wù)信息受未授權(quán)訪咨詢、丟失或損壞，組織是否實施一個清空桌面和屏幕方針？A.11.4網(wǎng)絡(luò)訪咨詢操縱目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪咨詢。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.4.1網(wǎng)絡(luò)服務(wù)的使用方針是否有一個只承諾用戶訪咨詢其已被授權(quán)使用的網(wǎng)絡(luò)服務(wù)？A.11.4.2外部連接的用戶鑒不對遠程用戶的訪咨詢操縱，是否使用適當(dāng)?shù)挠脩翳b不方法？

A.11.4.3網(wǎng)絡(luò)上的設(shè)備識不為了鑒不特定位置和設(shè)備的連接，是否把自動的設(shè)備識不作為一種手段？A.11.4.4遠程診斷端口和配置端口的愛護對診斷端口和配置端口的物理和邏輯訪咨詢，是否受操縱？A.11.4.5網(wǎng)絡(luò)隔離是否在網(wǎng)絡(luò)上對信息服務(wù)、用戶和信息系統(tǒng)進行隔離操縱？在各個不同的邏輯網(wǎng)絡(luò)域（如組織的內(nèi)部網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域等）之間，是否通過使用安全邊界（如防火墻等），進行隔離和愛護？A.11.4.6網(wǎng)絡(luò)連接操縱關(guān)于越過組織邊界的共享網(wǎng)絡(luò)（如電子郵件、網(wǎng)站訪咨詢、和文件傳送等），是否有網(wǎng)絡(luò)連接操縱措施？對共享網(wǎng)絡(luò)用戶連接網(wǎng)絡(luò)的能力，是否按照業(yè)務(wù)應(yīng)用系統(tǒng)的訪咨詢操縱方針和要求加以限制？A.11.4.7網(wǎng)絡(luò)路由操縱為了確保運算機連接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪咨詢操縱方針，共享網(wǎng)絡(luò)是否有路由操縱措施？A.11.5操作系統(tǒng)訪咨詢操縱目標(biāo)：防止對操作系統(tǒng)的未授權(quán)訪咨詢。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.5.1安全登錄程序為了最小化對操作系統(tǒng)未授權(quán)訪咨詢的機會，是否有一個操作系統(tǒng)安全登錄程序？對操作系統(tǒng)的訪咨詢，是否只能按安全登錄程序進行？A.11.5.2用戶標(biāo)識和鑒不是否所有用戶都有一個僅供其個人使用的唯獨標(biāo)識碼（用戶ID）？

所選用的用戶身份鑒不技術(shù)是否能證實所宣稱的用戶身份？A.11.5.3口令治理系統(tǒng)是否有口令治理系統(tǒng)？口令治理系統(tǒng)是否強迫用戶執(zhí)行各種口令安全操縱措施（如使用個人用戶ID與口令、選用與定期更換優(yōu)質(zhì)口令和安全地儲存口令等）？A.11.5.4系統(tǒng)有用工具的使用關(guān)于系統(tǒng)有用工具（程序）的使用，是否有限制和嚴(yán)格的操縱措施？A.11.5.5會話暫停為了防止未授權(quán)者訪咨詢系統(tǒng)，是否有確保運算機終端在一個設(shè)定的休止（或靜止）期后，被自動關(guān)閉（或鎖?。┑牟倏v措施？A.11.5.6連接時刻的限制為了提供額外的安全，關(guān)于高風(fēng)險應(yīng)用系統(tǒng)的連接，是否有連接時刻限制？A.11.6應(yīng)用系統(tǒng)和信息訪咨詢操縱目標(biāo)：防止未授權(quán)訪咨詢應(yīng)用系統(tǒng)中的信息有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.6.1信息訪咨詢限制用戶對信息和應(yīng)用系統(tǒng)功能的訪咨詢，是否按照已確定的訪咨詢操縱方針進行限制？A.11.6.2敏銳系統(tǒng)隔離敏銳系統(tǒng)是否有專用的（或孤立的）運算機環(huán)境？A.11.7移動運算機設(shè)施和遠程工作設(shè)施目標(biāo)：確保使用可移動運算機設(shè)施和遠程工作設(shè)施時的信息安全。有關(guān)條款操縱要求與檢查題實施的方法，或刪減的正當(dāng)性A.11.7.1移動運算機設(shè)施和通信設(shè)施在防范使用移動運算機設(shè)施和通信設(shè)施（如筆記本電腦、掌上電腦和移動電話等）的風(fēng)險方面，是否有正式方針，和適當(dāng)?shù)陌踩胧?/p>

A.11.7.2遠程工作設(shè)施組織是否開發(fā)和實施有關(guān)操縱遠程工作活動的方針、操作打算和程序？為了防范設(shè)備被盜、信息被未授權(quán)者泄露、組織的內(nèi)部系統(tǒng)被未授權(quán)者遠程訪咨詢等，遠程工作場地的愛護是否有恰當(dāng)?shù)拇胧緼.12信息系統(tǒng)獵取、開發(fā)和愛護A.12.1信息系統(tǒng)的安全要求目標(biāo)：確保安全是信息系統(tǒng)的一個組成部分。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.12.1.1安全要求分析和講明在新的信息系統(tǒng)（或增強的現(xiàn)有信息系統(tǒng)）的業(yè)務(wù)要求講明中，是否規(guī)定了對安全操縱措施的要求？A.12.2正確處理應(yīng)用系統(tǒng)中的數(shù)據(jù)目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯誤、遺失、未授權(quán)的修改或誤用有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.12.2.1輸入數(shù)據(jù)的確認(rèn)應(yīng)用系統(tǒng)的輸入數(shù)據(jù)是否進行確認(rèn)，以確保其正確和適當(dāng)？A.12.2.2內(nèi)部處理的操縱確認(rèn)檢查是否被整合到應(yīng)用系統(tǒng)中，以檢測由于處理錯誤（或有意行為）造成的信息錯誤？為了降低內(nèi)部處理的風(fēng)險，是否有適當(dāng)?shù)牟倏v措施？應(yīng)用系統(tǒng)的設(shè)計與實施是否能確保：處理失敗導(dǎo)致完整性損壞的風(fēng)險減至最??？A.12.2.3消息完整為了確定應(yīng)用系統(tǒng)中消息完整性的需要和確定最

性適用的操縱措施，是否進行安全風(fēng)險評估？A.12.2.4輸出數(shù)據(jù)的確認(rèn)應(yīng)用系統(tǒng)的輸出數(shù)據(jù)否進行確認(rèn)，以確保信息處理正確和符合要求？A.12.3密碼操縱目標(biāo)：通過密碼方法愛護信息的保密性、真實性或完整性。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.12.3.1密碼操縱的使用方針是否有“密碼操縱的使用方針”？A.12.3.2密鑰治理為了支持組織使用密碼技術(shù)，是否有密鑰治理系統(tǒng)？密鑰治理系統(tǒng)是否基于一組已商定的標(biāo)準(zhǔn)、程序和安全方法？A.12.4系統(tǒng)文件的安全目標(biāo)：確保系統(tǒng)文件的安全。有關(guān)條款操縱要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.12.4.1運行軟件的操縱為了減小損壞運行系統(tǒng)的風(fēng)險，在運行系統(tǒng)上安裝軟件方面，是否有程序