搜索
.WORD完美格式..技术资料.专业整理.上海联众网络信息有限公司ISO27001:2005信息安全目标与控制检查表编制:审核:批准:二〇一三年三月十二日.WORD完美格式..技术资料.专业整理.A.5安全方针标准条款号标题目标/控制控制理由控制要求审核发现A.5.1信息安全方针目标依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。A.5.1.1信息安全方针文件控制根据Info-Riskmanager风险评估的结果。总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?管理手册中有信息安全方针A.5.1.2信息安全方针评审控制根据Info-Riskmanager风险评估的结果。每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订?管理评审报告A.6信息安全组织.WORD完美格式..技术资料.专业整理.标准条款号标题目标/控制控制理由控制要求审核发现A.6.1信息安全组织目标管理组织内部信息安全。A.6.1.1信息安全管理承诺控制根据Info-Riskmanager风险评估的结果。总经理是否承诺建立、实施、运作、监视、评审、保持和改进ISMS,并通过一系列的活动,提供证实。该承诺《信息安全管理手册》中进行相是否描述?A.6.1.2信息安全的协作控制根据Info-Riskmanager风险评估的结果。公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。会议由人事行政部负责组织安排并做好会议记录?A.6.1.3信息安全职责分配控制根据Info-Riskmanager风险评估的结果。公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?对每一项重要资产指定信息安全责任人。.WORD完美格式..技术资料.专业整理.A.6.1.4信息处理设备的授权过程控制根据Info-Riskmanager风险评估的结果。软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容?A.6.1.5保密协议控制根据Info-Riskmanager风险评估的结果。本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。员工聘用期满离开公司之前,是否提醒其对保密所作的承诺?A.6.1.6与权威机构的联系控制根据Info-Riskmanager风险评估的结果。人事行政部是否制定规定,详细说明由谁何时与权威机构联系,以及怎样识别是否该及时报告的可能会违背法律的信息安全事件?A.6.1.7与专业小组的联系控制根据Info-Riskmanager风险评估的结果。软件部是否就计算机信息及通信网络安全问题与服务提供部门保持联系,以确保和在出现安全事故时尽快采取适当的行动和取得建议?.WORD完美格式..技术资料.专业整理.A.6.1.8信息安全的独立评审控制根据Info-Riskmanager风险评估的结果。人事行政部是否负责组织、策划内部审核,根据策划的时间间隔,或者当安全设施发生重大变化时,对组织管理信息安全的方法及其实施情况进行独立评审?A.6.2外部相关方目标识别外部相关方访问的风险,明确对外部相关方访问控制的要求,并控制外部相关方带来的风险,保持被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全。A.6.2.1与外部相关方有关的风险识别控制根据Info-Riskmanager风险评估的结果。公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制,并签署规定访问和工作安排条款和条件的《保密协议》?A.6.2.2处理与顾客相关的安全问题控制根据Info-Riskmanager风险评估的结果。外包责任部门是否是否识别外包活动的风险,明确外包活动的信息安全要求,在外包合同中明确规定信息安全要求。在批准顾客访问组织信息或资产前,是否该处理所有已识别的安全要求?.WORD完美格式..技术资料.专业整理.A.7资产管理标准条款号标题目标/控制控制理由控制要求审核发现A.7.1资产责任目标对本公司资产(包括顾客要求保密的数据、软件及产品)进行有效保护。A.7.1.1资产清单控制根据Info-Riskmanager风险评估的结果。软件部是否组织各部门识别资产,并根据重要资产判断准则确定公司的重要资产,通过风险管理软件,建立《重要资产清单》?A.7.1.2资产所有权控制根据Info-Riskmanager风险评估的结果。软件部是否组织相关部门识别资产并指定资产负责人?A.7.1.3资产的合理使用控制根据Info-Riskmanager风险评估的结果。是否制定相是否的业务系统是否用管理制度,重要设备有使用说明书,规定了资产的合理使用规则?使用或访问组织资产的员工、合作方以及第三方用户是否了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用,以及发生在其责任下的使用负责?.WORD完美格式..技术资料.专业整理.A.7.2信息分类目标本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以确保对资产采取适当的保护。A.7.2.1分类指南控制根据Info-Riskmanager风险评估的结果。本公司是否有信息密级规定划分秘级?A.7.2.2信息的标识和处理控制根据Info-Riskmanager风险评估的结果。对于属于企业秘密、企业机密与国家秘密的文件,密级确定部门是否按要求进行适当的标注?.WORD完美格式..技术资料.专业整理.A.8人力资源安全标准条款号标题目标/控制控制理由控制要求审核发现A.8.1聘用前目标对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。A.8.1.1角色和职责控制根据Info-Riskmanager风险评估的结果。与信息安全有关的部门的安全职责是否明确规定?A.8.1.2筛选控制根据Info-Riskmanager风险评估的结果。人力资源部是否负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整?A.8.1.3雇佣条款和条件控制根据Info-Riskmanager风险评估的结果。公司是否规定了员工、合同方以及第三方的聘用条款和条件?.WORD完美格式..技术资料.专业整理.A.8.2聘用期间目标确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。审核发现A.8.2.1管理职责控制根据Info-Riskmanager风险评估的结果。公司管理者是否要求员工、合作方以及第三方用户,加强信息安全意识,依据建立的方针和程序来应用安全?A.8.2.2信息安全教育和培训控制根据Info-Riskmanager风险评估的结果。与ISMS有关的所有员工,有关的第三方访问者,是否接受安全意识、方针、程序的培训。方针、程序变更后是否及时传达到全体员工。人力资源部通过组织实施培训,确保员工安全意识的提高与有能力胜任所承担的信息安全工作?A.8.2.3惩戒过程控制根据Info-Riskmanager风险评估的结果。违背组织安全方针和程序的员工公司是否将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行?.WORD完美格式..技术资料.专业整理.A.8.3聘用中止或变化目标确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。A.8.3.1终止责任控制根据Info-Riskmanager风险评估的结果。在员工离职前和第三方用户完成合同时,是否进行明确终止责任的沟通?A.8.3.2资产归还控制根据Info-Riskmanager风险评估的结果。员工离职或工作变动前,是否办理资产归还手续,然后方能办理移交手续?A.8.3.3解除访问权限控制根据Info-Riskmanager风险评估的结果。员工离职或工作变动前,是否解除对信息和信息处理设施访问权限,或根据变化作相是否的调整?.WORD完美格式..技术资料.专业整理.A.9物理与环境安全标准条款号标题目标/控制控制理由控制要求审核发现A.9.1安全区域目标防止对组织办公场所和信息的未授权访问、损坏和干扰。是A.9.1.1实物安全周界控制根据Info-Riskmanager风险评估的结果。本公司安全区域是否分为一般安全区域与特别安全区域,特别安全区域包括机房和监控机房、机要室?。是A.9.1.2物理进入控制控制根据Info-Riskmanager风险评估的结果。进出公司大院是否有门卫保安控制?员工是否凭工作牌进入办公区。是否经过授权的长期访问第三方《出入证》进入被授权的工作区域?是A.9.1.3办公室、房间和设施的安全控制根据Info-Riskmanager风险评估的结果。特别安全区域内的办公室、房间和设施是否进行必要的控制,以防止火灾、盗窃或其它形式的危害?是.WORD完美格式..技术资料.专业整理.A.9.1.4防范外部和环境威胁控制根据Info-Riskmanager风险评估的结果。机房设备是否安装在距墙、门窗有一定距离的地方。并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施?是A.9.1.5在安全区域工作控制根据Info-Riskmanager风险评估的结果。公司是否建立相关制度,明确规定员工、第三方人员在有关安全区域工作的基本安全要求,并要求员工、第三方人员严格遵守?是A.9.1.6公共访问、交付和装载区控制根据Info-Riskmanager风险评估的结果。公司是否设立设置前台接待处接待外来人员,前台与特别安全区域予以隔离?是A.9.2设备安全目标防止资产的损失、损坏或丢失及业务活动的中断。A.9.2.1设备的定位和保护控制根据Info-Riskmanager风险评估的结果。设备使用部门是否负责对设备进行定置管理或保护好,采取措施以降低来自环境威胁和危害的风险以及未经授权访问的机会?是A.9.2.3电缆的安全控制根据Info-Riskmanager风险评估的结果。软件部是否按照相关标准对传输线路进行敷设、调配、维护,防止线路故障?是.WORD完美格式..技术资料.专业整理.A.9.2.4设备维护控制根据Info-Riskmanager风险评估的结果。信息系统设备及用户计算机终端是否由软件部进行维护?是A.9.2.5场所外设备的安全控制根据Info-Riskmanager风险评估的结果。拥有笔记本的部门在其离开规定的区域时,是否经过部门领导授权并对其进行严格控制,防止其丢失和未经授权的访问?是A.9.2.6设备的安全处置及再利用控制根据Info-Riskmanager风险评估的结果。含有敏感信息的设备在报废或改做他用时,是否由使用部门是否利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录?是A.9.2.7资产转移控制根据Info-Riskmanager风险评估的结果。未经授权之前,是否不将设备、信息或软件带到工作场所外?重要信息设备的迁移是否被授权,迁移活动是否被记录?是.WORD完美格式..技术资料.专业整理.A.10通信和操作管理标准条款号标题目标/控制控制理由控制要求审核发现A.10.1操作程序和职责目标确保信息处理设备的正确和安全使用。A.10.1.1作业程序文件化控制根据Info-Riskmanager风险评估的结果。本公司是否按照信息安全方针的要求,建立并实施文件化的作业程序?。是A.10.1.2变更管理控制根据Info-Riskmanager风险评估的结果。对信息处理设施的变更是否按相关规定进行。是否用系统和