ISO27001-2013內(nèi)審檢查表范例

ISO27001-2013內(nèi)審檢查表,,,,,

適用條款,,審核問題,審核方式,審核發(fā)現(xiàn),審核結(jié)果

標(biāo)準(zhǔn)款項,標(biāo)題,,,,

4,組織環(huán)境,,,,

4.1,4.1理解組織及其環(huán)境,管理者代表是否了解公司的業(yè)務(wù)以及行業(yè)環(huán)境,訪談,,

4.2,4.2理解相關(guān)方的需求和期望,檢查組織是否了解客戶合同中的需求,訪談,,

4.3,4.3確定信息安全管理體系的范圍,"檢查組織的信息安全管理體系手冊中是否有明確管理范圍

檢查組織的適用性聲明，是否針對實際情況做合理刪減",訪談,,

4.4,4.4信息安全管理體系,檢查組織是否有正式的信息安全管理體系制度,抽樣,,

5,領(lǐng)導(dǎo),,,,

5.1,5.1領(lǐng)導(dǎo)和承諾,組織是否制定了明確的信息安全方針和目標(biāo)，這些方針和目標(biāo)與公司的業(yè)務(wù)是否相關(guān)。,訪談,,

5.2,5.2方針,是否有文件化的管理方針,現(xiàn)場觀察,,

5.3,5.3組織角色、職責(zé)和權(quán)限,是否建立了的信息安全管理組織，并明確其職責(zé)及權(quán)限,訪談,,

6,規(guī)劃,,,,

6.1,6.1應(yīng)對風(fēng)險和機(jī)會的措施,,,,

,6.1.1總則,檢查組織是否建立正式的風(fēng)險評估流程,現(xiàn)場觀察,,

,6.1.2信息安全風(fēng)險評估,是否建立了風(fēng)險接受準(zhǔn)則,現(xiàn)場觀察,,

,,風(fēng)險評估實施情況,現(xiàn)場觀察,,

,,抽樣最新一次風(fēng)險評估內(nèi)容，檢查風(fēng)險是否識別了責(zé)任人，風(fēng)險級別,現(xiàn)場觀察,,

,6.1.3信息安全風(fēng)險處置,檢查組織的風(fēng)險處置計劃，風(fēng)險是否都有風(fēng)險責(zé)任人審批，風(fēng)險處置方式。,現(xiàn)場觀察,,

,6.2信息安全目標(biāo)和規(guī)劃實現(xiàn),檢查組織是否建立信息安全目標(biāo)，信息安全目標(biāo)與管理方針是否存在關(guān)聯(lián),現(xiàn)場觀察,,

7,支持,,,,

,7.1資源,組織應(yīng)確定并提供建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。,訪談,,

,7.2能力,檢查組織在崗位說明書中明確信息安全方面的能力要求,現(xiàn)場觀察,,

,,檢查組織的培訓(xùn)計劃，是否有信息安全方面的培訓(xùn)內(nèi)容,現(xiàn)場觀察,,

,7.3意識,隨機(jī)訪談各部門員工5人，了解其是否知曉最新的信息安全管理體系及相關(guān)制度。,訪談,,

,7.4溝通,了解組織與相關(guān)方溝通的方式，頻率以及溝通的記錄,訪談,,

8,運行,,,,

,8.1運行的規(guī)劃和控制,檢查內(nèi)容詳見A5-A18,,,

9,績效評價,,,,

,9.1監(jiān)視、測量、分析和評價,檢查組織是否有體系有效性測量流程,現(xiàn)場觀察,,

,9.2內(nèi)部審核,檢查組織是否建立了內(nèi)審流程,現(xiàn)場觀察,,

,,檢查最新的內(nèi)審活動，是否包含檢查清單、檢查過程是否有效，對不符項的關(guān)閉情況,,,

,9.3管理評審,檢查公司的管評計劃,,,

,,檢查公司最新的管評活動記錄,,,

10,改進(jìn),,,,

,10.1不符合和糾正措施,檢查內(nèi)容同9.19.2,,,

A.5,安全方針,,,,

A.5.1,信息安全管理方向,,,,

A.5.1.1,信息安全方針,組織是否制定了明確的信息安全方針和目標(biāo)，這些方針和目標(biāo)與公司的業(yè)務(wù)是否相關(guān)。,現(xiàn)場觀察,,

A.5.1.2,信息安全方針的評審,獲取組織管理評審相關(guān)記錄，檢查管理評審會議中，是否對信息安全方針的達(dá)成情況進(jìn)行了評審。,,,

A.6,信息安全組織,,,,

A.6.1,內(nèi)部組織,,,,

A.6.1.1,信息安全的角色和職責(zé),是否所有的組織成員都明確自己的信息安全職責(zé)?以及對自己信息安全職責(zé)的明確程度?信息安全職責(zé)的分配是否與信息安全方針文件相一致?,現(xiàn)場觀察,,

A.6.1.2,與監(jiān)管機(jī)構(gòu)的聯(lián)系,檢查體系制度中，是否明確指定了與監(jiān)管機(jī)構(gòu)聯(lián)系的部門或負(fù)責(zé)人,現(xiàn)場觀察,,

A.6.1.3,與特殊利益團(tuán)體的聯(lián)系,與第三方接洽是否考慮了安全性？是否對相關(guān)資質(zhì)和背景進(jìn)行考察？,現(xiàn)場觀察,,

A.6.1.4,項目管理中的信息安全,"抽樣檢查本年度已實施完成的項目或正在實施的任意一個項目。

檢查項目管理過程中，是否依照組織信息安全管理制度相關(guān)要求進(jìn)行安全管理",現(xiàn)場觀察,,

A.6.1.5,職責(zé)分離,"檢查組織的崗位職責(zé)表，檢查是否明確定義了職責(zé)說明。

檢查是否有不兼容崗位設(shè)置說明；

檢查系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)運維是否由不同人員擔(dān)任。",現(xiàn)場觀察,,

A.6.2,移動設(shè)備和遠(yuǎn)程辦公,,,,

A.6.2.1,移動設(shè)備策略,"檢查公司信息安全管理制度中是否明確的制定了移動設(shè)備的安全管理策略；

隨機(jī)抽樣3臺移動設(shè)備，檢查設(shè)備的安全管控措施是否與制度相符。",現(xiàn)場觀察,,

A.6.2.2,遠(yuǎn)程辦公,檢查公司信息安全管理制度中是否明確的制定了遠(yuǎn)程辦公的管理策略；,現(xiàn)場觀察,,

A.7,人力資源安全,,,,

A.7.1,任用之前,,,,

A.7.1.1,篩選,隨機(jī)抽樣4名新入職員工的入職材料，檢查員工入職前，背景調(diào)查的相關(guān)記錄.,現(xiàn)場觀察,,

A.7.1.2,任用的條款及條件,檢查這4名新入職員工的勞動合同及是否簽署了保密協(xié)議。,現(xiàn)場觀察,,

A.7.2,任用中,,,,

A.7.2.1,管理職責(zé),隨機(jī)抽樣5名員工，檢查是否了解其工作職責(zé)。,抽樣,,

A.7.2.2,信息安全意識，教育和培訓(xùn),"獲取組織年度的培訓(xùn)計劃；

檢查年度培訓(xùn)計劃中是否包含了信息安全意識培訓(xùn)；

獲取當(dāng)年度信息安全培訓(xùn)的簽到表、培訓(xùn)記錄",現(xiàn)場觀察,,

A.7.2.3,紀(jì)律處理過程,"檢查組織是否制定了獎懲規(guī)則；

獲取當(dāng)年獎懲記錄",抽樣,,

A.7.3,任用的終止或變化,,,,

A.7.3.1,任用終止或變化的責(zé)任,"獲取當(dāng)年離職離崗或轉(zhuǎn)崗人員清單；

隨機(jī)抽樣四份離職或轉(zhuǎn)崗記錄，檢查所有控制環(huán)節(jié)是否都被有效實施；",抽樣,,

A.8,資產(chǎn)管理,,,,

A.8.1,對資產(chǎn)負(fù)責(zé),,,,

A.8.1.1,資產(chǎn)清單,"獲取組織的信息資產(chǎn)清單；

檢查信息資產(chǎn)清單是否每年都進(jìn)行更新；",現(xiàn)場觀察,,

A.8.1.2,資產(chǎn)責(zé)任人,"檢查資產(chǎn)清單中各類信息資產(chǎn)是否都指定了責(zé)任人；

抽樣5份重要的信息資產(chǎn)，驗證已定義的信息資產(chǎn)責(zé)任人是否與實際相符；",現(xiàn)場觀察,,

A.8.1.3,資產(chǎn)的允許使用,了解組織重要系統(tǒng)或數(shù)據(jù)是否定義了訪問規(guī)則；檢查系統(tǒng)及數(shù)據(jù)訪問的審批或授權(quán)記錄。,現(xiàn)場觀察,,

A.8.2,信息分類,,,,

A.8.2.1,信息的分類,"檢查信息資產(chǎn)相關(guān)制度，組織是否已定義了資產(chǎn)分類分級的標(biāo)準(zhǔn)；

檢查信息資產(chǎn)清單，各類信息資產(chǎn)是否依照規(guī)則進(jìn)行了分類和分級；",現(xiàn)場觀察,,

A.8.2.2,信息的標(biāo)記,隨機(jī)抽樣5份電子文檔以及紙質(zhì)文件檢查文件中是否明確標(biāo)記了保密等級,現(xiàn)場觀察,,

A.8.2.3,資產(chǎn)的處理,檢查信息資產(chǎn)相關(guān)制度，制度中是否已明確制定了資產(chǎn)的處理措施；,現(xiàn)場觀察,,

A.8.2.4,資產(chǎn)的歸還,隨機(jī)抽取本年度4份離職單，查看物品歸還情況,抽樣,,

A.8.3,介質(zhì)處理,,,,

A.8.3.1,可移動介質(zhì)的管理,現(xiàn)場觀察移動存儲使用和管控與制度是否相符；,現(xiàn)場觀察,,

A.8.3.2,介質(zhì)的處置,"檢查是否建立介質(zhì)消磁管理辦法，并按要求定期進(jìn)行回顧與更新；

抽查4份介質(zhì)報廢的審批及處置記錄",抽樣,,

A.8.3.3,物理介質(zhì)傳輸,"存有重要信息的介質(zhì)傳送時有哪些策略

抽樣策略的實施情況",抽樣,,

A.9,訪問控制,,,,

A.9.1,訪問控制的業(yè)務(wù)要求,,,,

A.9.1.1,訪問控制策略,"檢查組織是否建立了系統(tǒng)的訪問控制策略；

是否建立了安全或重要區(qū)域的訪問控制措施",現(xiàn)場觀察,,

A.9.1.2,網(wǎng)絡(luò)服務(wù)的使用政策,檢查組織是否建立了網(wǎng)絡(luò)安全域訪問控制策略；,現(xiàn)場觀察,,

A.9.2,用戶訪問管理,,,,

A.9.2.1,用戶注冊和注銷,"檢查賬戶開通管控情況：

抽樣2份重要業(yè)務(wù)系統(tǒng)用戶帳號開通審批記錄

抽樣4份新員工帳號開通申請記錄",抽樣,,

A.9.2.2,特權(quán)管理,"檢查特權(quán)賬戶授權(quán)、使用管控情況：

抽樣3份重要系統(tǒng)特權(quán)賬戶授權(quán)審批記錄

檢查特權(quán)賬戶使用是否符合制度要求",抽樣,,

A.9.2.3,用戶秘密認(rèn)證信息的管理,檢查組織用戶口令管理策略，是否對口令生成、發(fā)送、變更等環(huán)節(jié)制定了控制措施。,抽樣,,

A.9.2.4,用戶訪問權(quán)的復(fù)查,抽樣2套重要的服務(wù)器用戶帳號及權(quán)限復(fù)查記錄；檢查賬戶及權(quán)限復(fù)查工作是否滿足制度要求,抽樣,,

A.9.2.5,移除或調(diào)整訪問權(quán)限,隨機(jī)檢查2個重要系統(tǒng)賬戶清單，檢查今年離職用戶的賬戶是否被刪除或凍結(jié),抽樣,,

A.9.3,用戶職責(zé),,,,

A.9.3.1,秘密認(rèn)證信息的使用,隨機(jī)檢查3名員工電腦，要求其現(xiàn)場登錄，觀察輸入的密碼長度及復(fù)雜程度,抽樣,,

A.9.4,系統(tǒng)和應(yīng)用程序的訪問控制,,,,

A.9.4.1,信息訪問限制,"1.公司各類信息是否制定了相應(yīng)的訪問控制措施

2.現(xiàn)場抽查訪問控制措施的有效性",抽樣,,

A.9.4.2,安全登錄程序,檢查公司系統(tǒng)登錄程序，是否做到輸入密碼時，不顯示密碼。密碼連續(xù)輸錯N次自動鎖定；系統(tǒng)不操作一定時長后自動退出等功能。,抽樣,,

A.9.4.3,口令管理系統(tǒng),"檢查域控的密碼策略，檢查密碼設(shè)置的長度、復(fù)雜程度、修改周期是否符合制度要求；；

隨機(jī)抽查2個重要系統(tǒng)的用戶密碼管理策略，檢查密碼設(shè)置的長度、復(fù)雜程度、修改周期是否符合制度要求；",抽樣,,

A.9.4.4,特權(quán)實用程序的使用,抽查公司域控、重要系統(tǒng)中是否存在特權(quán)實用程序，這些程序的安全使用是否得到相應(yīng)的審批,抽樣,,

A.9.4.5,程序源碼的訪問控制,"檢查源程序訪問控制制度和措施

抽查源程序控制措施，檢查其是否符合制度要求",抽樣,,

A.10,密碼學(xué),,,,

A.10.1,密碼控制,,,,

A.10.1.1,密碼使用控制政策,檢查公司是否制定了加密策略，包括加密的對象、加密的方法、解密的方法等。,抽樣,,

A.10.1.2,密鑰管理,檢查公司對密鑰生命是否制定了控制措施。,抽樣,,

A.11,物理和環(huán)境安全,,,,

A.11.1,安全區(qū)域,,,,

A.11.1.1,物理安全邊界,重要安全區(qū)域是否隔離？,現(xiàn)場觀察,,

A.11.1.2,物理入口控制,"現(xiàn)場抽樣3份設(shè)備進(jìn)出單

檢查職場、機(jī)房進(jìn)出記錄?",抽樣,,

A.11.1.3,辦公室，房間和設(shè)施的安全保護(hù),現(xiàn)場查看辦公室的防火\防盜措施，檢查職場大門是否常閉,抽樣,,

A.11.1.4,外部和環(huán)境威脅的安全防護(hù),周遍環(huán)境的檢查(滅火設(shè)備、危險物品存放),抽樣,,

A.11.1.5,在安全區(qū)域工作,"安全區(qū)域是否有明確的管控措施

檢查是否有員工違背安全區(qū)域管控措施的行為",抽樣,,

A.11.1.6,交付和交接區(qū),"前臺的檢查(檢查記錄是否完備)前臺脫崗,保安脫崗.",抽樣,,

A.11.2,設(shè)備,,,,

A.11.2.1,設(shè)備安置和保護(hù),檢查設(shè)備是否按照要求放在適當(dāng)?shù)奈恢?（滅火器材、服務(wù)器）,抽樣,,

A.11.2.2,支持性設(shè)備,檢查核心設(shè)備是否安置了足夠的支持設(shè)施（防火、防水、防潮、防斷電、防雷電、防盜竊等）,抽樣,,

A.11.2.3,布纜安全,檢查強(qiáng)電與弱電電纜是否分開部署,抽樣,,

A.11.2.4,設(shè)備維護(hù),"檢查機(jī)房巡檢記錄，

獲取UPS、精密空調(diào)、消防設(shè)施的維護(hù)記錄；

驗證設(shè)備維護(hù)是否依照制度的要求及頻率實施",抽樣,,

A.11.2.5,資產(chǎn)的移動,與相關(guān)人員訪談，了解資產(chǎn)移動的控制措施；,抽樣,,

A.11.2.6,場外設(shè)備和資產(chǎn)安全,檢查相關(guān)制度，是否明確制定了場外設(shè)備管控措施；,抽樣,,

A.11.2.7,設(shè)備的安全處置或再利用,隨機(jī)抽樣下架設(shè)備數(shù)據(jù)清理的記錄,抽樣,,

A.11.2.8,無人值守的用戶設(shè)備,現(xiàn)場觀察機(jī)房中的服務(wù)器是否鎖屏，機(jī)房門是否常閉,現(xiàn)場觀察,,

A.11.2.9,清除桌面和清屏策略,隨機(jī)抽樣3名離開工位的員工，觀察工位上是否有敏感信息，電腦是否在一定時間內(nèi)自動鎖頻,現(xiàn)場觀察,,

A.12,操作安全,,,,

A.12.1,操作程序和職責(zé),,,,

A.12.1.1,文件化的操作程序,"檢查3份重要系統(tǒng)或設(shè)備的操作或維護(hù)手冊

形成的文件程序是否符合要求?（備份、日志、重置維護(hù)等）",抽樣,,

A.12.1.2,變更管理,抽樣3個重要系統(tǒng)的變更記錄?,抽樣,,

A.12.1.3,容量管理,"是否對重要設(shè)備、系統(tǒng)的容量（CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)帶寬等）進(jìn)行了監(jiān)控？

現(xiàn)場檢查監(jiān)控報警是否都被處置，及處置記錄",抽樣,,

A.12.1.4,開發(fā)，測試和運行環(huán)境的分離,"現(xiàn)場檢查開發(fā)、測試和生產(chǎn)網(wǎng)絡(luò)是否互通；

開發(fā)、測試和生產(chǎn)人員是否為同一人員。",抽樣,,

A.12.2,惡意軟件防護(hù),,,,

A.12.2.1,控制惡意軟件,"抽樣5臺辦公終端，檢查是否統(tǒng)一安裝了公司規(guī)定的防病毒軟件；

檢查病毒庫是否為最新的。",抽樣,,

A.12.3,備份,,,,

A.12.3.1,信息備份,"獲取備份策略；

依照備份策略，隨機(jī)抽樣3份備份，檢查備份記錄及備份文件存放情況；

依照備份策略，隨機(jī)抽樣3份備份恢復(fù)記錄；",抽樣,,

A.12.4,記錄和監(jiān)控,,,,

A.12.4.1,事件日志,"日記記錄表的檢查

抽查重要系統(tǒng)、核心網(wǎng)絡(luò)設(shè)備的日志審計記錄（日志檢查表）",抽樣,,

A.12.4.2,日志信息的保護(hù),檢查檢查重要系統(tǒng)日志防護(hù)措施，是否保障日志不被隨意刪除、篡改,抽樣,,

A.12.4.3,管理員和操作員日志,隨機(jī)抽取3份重要系統(tǒng)或設(shè)備的管理員操作日志審核記錄,抽樣,,

A.12.4.4,時鐘同步,抽查3臺系統(tǒng)設(shè)備的時間，確定是否保持一致,抽樣,,

A.12.5,操作軟件的控制,,,,

A.12.5.1,操作系統(tǒng)軟件的安裝,檢查生產(chǎn)系統(tǒng)軟件安裝的審批記錄；,抽樣,,

A.12.6,技術(shù)漏洞管理,,,,

A.12.6.1,技術(shù)漏洞的管理,抽查公司漏洞掃描記錄及處置記錄,抽樣,,

A.12.6.2,限制軟件安裝,"檢查是否有軟件白名單或黑名單

隨機(jī)抽樣3臺辦公終端，查看是否可以隨意安裝軟件

檢查抽樣的辦公終端，查看是否存在違規(guī)軟件",抽樣,,

A.12.7,信息系統(tǒng)審計考慮,,,,

A.12.7.1,信息系統(tǒng)審計控制,獲取上一年度審核計劃及審批記錄,訪談,,

A.13,通信安全,,,,

A.13.1,網(wǎng)絡(luò)安全管理,,,,

A.13.1.1,網(wǎng)絡(luò)控制,檢查一臺核心防火墻的規(guī)則策略，是否與公司網(wǎng)絡(luò)控制策略相符；,抽樣,,

A.13.1.2,網(wǎng)絡(luò)服務(wù)的安全,檢查公司網(wǎng)絡(luò)設(shè)備及安全設(shè)備的策略是否能有效的限制和防護(hù)網(wǎng)絡(luò)服務(wù),抽樣,,

A.13.1.3,網(wǎng)絡(luò)隔離,"獲取網(wǎng)絡(luò)拓?fù)鋱D；

了解安全域或網(wǎng)段劃分策略；

檢查隔離網(wǎng)段間是否能互連；",訪談,,

A.13.2,信息傳輸,,,,

A.13.2.1,信息傳輸?shù)牟呗院统绦?"檢查組織對敏感信息制定了傳輸和控制策略；

現(xiàn)場查看，傳輸控制措施的實施情況；",抽樣,,

A.13.2.2,信息傳輸協(xié)議,檢查組織是否制定了信息傳輸協(xié)議使用策略及要求；,現(xiàn)場觀察,,

A.13.2.3,電子消息,檢查組織是否制定了電子郵件、及時通信工具的使用策略；,現(xiàn)場觀察,,

A.13.2.4,保密或不泄露協(xié)議,隨機(jī)抽查3位研發(fā)人員的保密協(xié)議，查看協(xié)議中是否明確保密要求。,抽樣,,

A.14,系統(tǒng)獲取，開發(fā)和維護(hù),,,,

A.14.1,信息系統(tǒng)的安全要求,,,,

A.14.1.1,安全需求分析和規(guī)范,"獲取本年度已完成或正在實施的軟件開發(fā)項目清單；

獲取組織系統(tǒng)開發(fā)規(guī)程，檢查開發(fā)規(guī)程中，是否明確各類系統(tǒng)開發(fā)時信息安全的設(shè)計要求；

獲取一個項目的需求及開發(fā)文檔，檢查文檔中是否有信息安全相關(guān)的需求及開發(fā)設(shè)計；",抽樣,,

A.14.1.2,保護(hù)公共網(wǎng)絡(luò)上的應(yīng)用服務(wù),檢查公司官網(wǎng)信息變更控制內(nèi)容,現(xiàn)場觀察,,

A.14.1.3,保護(hù)應(yīng)用服務(wù)交易,檢查網(wǎng)絡(luò)交易類應(yīng)用服務(wù)系統(tǒng)，在數(shù)據(jù)交換、網(wǎng)絡(luò)連接等方面是否制定了控制措施；,現(xiàn)場觀察,,

A.14.2,開發(fā)和支持過程中的安全,,,,

A.14.2.1,安全開發(fā)策略,檢查公司是否建立了開發(fā)策略,抽樣,,

A.14.2.2,變更控制程序,"檢查新系統(tǒng)上線審批記錄；

檢查新系統(tǒng)變更審批記錄；",抽樣,,

A.14.2.3,操作平臺變更后對應(yīng)用的技術(shù)評估,獲取生產(chǎn)系統(tǒng)操作系統(tǒng)升級記錄，檢查升級前的評估測試記錄；,抽樣,,

A.14.2.4,軟件包變更的限制,檢查組織是否建立了系統(tǒng)開發(fā)軟件包變更控制措施；,抽樣,,

A.14.2.5,系統(tǒng)開發(fā)程序,檢查組織是否建立了系統(tǒng)開發(fā)程序及過程,抽樣,,

A.14.2.6,安全的開發(fā)環(huán)境,"現(xiàn)場檢查開發(fā)環(huán)境是否與辦公環(huán)境物理分隔

觀察開發(fā)網(wǎng)絡(luò)控制措施的有效性",抽樣,,

A.14.2.7,外包開發(fā),檢查組織是否制定了外包開發(fā)策略。,抽樣,,

A.14.2.8,系統(tǒng)安全性測試,抽取已上線系統(tǒng)的安全測試報告,抽樣,,

A.14.2.9,系統(tǒng)驗收測試,抽取系統(tǒng)驗收報告及各項測試報告,抽樣,,

A.14.3,測試數(shù)據(jù),,,,

A.14.3.1,測試數(shù)據(jù)的保護(hù),檢查生產(chǎn)數(shù)據(jù)脫敏記錄；,現(xiàn)場觀察,,

A.15,供應(yīng)關(guān)系,,,,

A.15.1,供應(yīng)關(guān)系的安全,,,,

A.15.1.1,供應(yīng)關(guān)系的信息安全策略,檢查組織是否建立了供應(yīng)商信息安全管理策略,訪談,,

A.15.1.2,供應(yīng)商協(xié)議中的安全,"獲取本年度供應(yīng)商清單；

隨機(jī)抽取3份供應(yīng)商合同及保密協(xié)議，檢查合同或保密協(xié)議中是否明確了信息安全方面的要求。",抽樣,,

A.15.1.3,信息和通信技術(shù)供應(yīng)鏈,檢查與通信供應(yīng)商簽署合同中，是否明確了網(wǎng)絡(luò)線路的可用性要求,訪談,,

A.15.2,供應(yīng)商服務(wù)交付管理,,,,

A.15.2.1,監(jiān)測和審查供應(yīng)商服務(wù),"了解供應(yīng)商考核方式

隨機(jī)抽查3份供應(yīng)商考核記錄；",抽樣,,

A.15.2.2,供應(yīng)商服務(wù)變更管理,"了解供應(yīng)商服務(wù)變更管理策略；

隨機(jī)抽查1份供應(yīng)商服務(wù)內(nèi)容變更及變更審批的記錄",抽樣,,

A.16,信息安全事件管理,,,,

A.16.1,信息安全事件管理和持續(xù)改進(jìn),,,,

A.16.1.1,職責(zé)和程序,檢查公司有無明確定義信息安全事件處置流程和職責(zé),訪談,,

A.16.1.2,報告信息安全事態(tài),"了解信息安全事件上報流程；

獲取信息安全事件上報記錄",訪談,,

A.16.1.3,報告信息安全弱點,訪談任意1名員工，觀察其是否了解可疑安全事件上報流程,訪談,,

A.16.1.4,評估和確定信息安全事態(tài),隨機(jī)抽取2份信息安全事件處置記錄，檢查事件評估及處置記錄是否齊全，是否符合制度要求,訪談,,

A.16.1.5,信息安全事件響應(yīng),檢查信息安全事件處置記錄，查看事件相應(yīng)及處置時間是否如何制度要求,訪談,,

A.16.1.6,回顧信息安全事故,抽樣當(dāng)年信息安全事件總結(jié)記錄,訪談,,

A.16.1.7,收集證據(jù),檢查信息安全事件處置記錄，查看事件處置過程中，是否對證據(jù)進(jìn)行保留和收集