ISO177992005SANSAuditCheckList(CN)信息安全管理

1、iso iec 27002:2005 審計(jì)清單 4/09/2021 信息安全管理iso/ iec 27002:2005(iso/ iec 27001:2005)sans audit check listauthor: val thiagarajan b.e., m.comp, ccse, mcse, sfs, its 2319, it security specialist.status: finallast updated: 3rd may 2006owner: sanspermission to use extracts from iso 17799:2005 was provided b

2、y standards council of canada, in cooperation with ihs canada. no further reproduction is permitted without prior written approval from standards council of canada. documents can be purchased at www.standardsstore.ca.目錄安全方針4信息安全方針4信息安全的組織5內(nèi)部組織5外部組織6資產(chǎn)管理7對(duì)資產(chǎn)的責(zé)任7信息分類7人力資源安全8雇傭前8雇傭中8雇傭終止或變更9物理和環(huán)境安全9安全區(qū)

3、域9設(shè)備安全10通訊和操作管理12操作程序和職責(zé)12第三方服務(wù)交付管理13系統(tǒng)規(guī)劃與驗(yàn)收13防范惡意代碼和移動(dòng)代碼14備份14網(wǎng)絡(luò)安全管理14介質(zhì)處置15信息交換15電子商務(wù)服務(wù)16監(jiān)督17訪問(wèn)控制18訪問(wèn)控制的業(yè)務(wù)要求18用戶訪問(wèn)管理18用戶責(zé)任19網(wǎng)絡(luò)訪問(wèn)控制20操作系統(tǒng)訪問(wèn)控制21應(yīng)用和信息訪問(wèn)控制22移動(dòng)計(jì)算和遠(yuǎn)程工作22信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)23信息系統(tǒng)安全要求23應(yīng)用的正確處理23加密控制24系統(tǒng)文件安全25開(kāi)發(fā)和支持過(guò)程的安全25技術(shù)脆弱點(diǎn)管理26信息安全事故管理27報(bào)告信息安全事件和弱點(diǎn)27信息安全事故的管理和改進(jìn)27業(yè)務(wù)連續(xù)性管理28業(yè)務(wù)連續(xù)性管理的信息安全方面28符合性

4、29符合法律法規(guī)要求29符合安全方針、標(biāo)準(zhǔn)，以及技術(shù)符合性31信息系統(tǒng)審核的考慮因素31參考資料32信息安全管理 iso iec 27002:2005 審計(jì)清單審計(jì)人員：_ 審計(jì)日期：_信息安全管理 iso iec 27002:2005 審計(jì)清單參考審計(jì)范圍、目標(biāo)和問(wèn)題結(jié)果清單章節(jié)條款審計(jì)問(wèn)題發(fā)現(xiàn)符合性安全方針1.15.1信息安全方針.1信息安全方針文件l 是否存在經(jīng)過(guò)管理層批準(zhǔn)的信息安全方針，發(fā)布并傳達(dá)給所有員工？l 安全方針是否陳述了管理承諾，并且設(shè)立了信息安全管理的組織目標(biāo)？.2信息安全方針的評(píng)審l 是否按計(jì)劃的時(shí)間間隔，或者在發(fā)生重大變化時(shí)評(píng)審信息安全方

5、針，以確保方針的持續(xù)適合性、充分性和有效性？l 信息安全方針有沒(méi)有所有者，此人負(fù)有經(jīng)過(guò)組織批準(zhǔn)的起草、評(píng)審和評(píng)估安全方針的管理責(zé)任？l 有沒(méi)有制定信息安全方針評(píng)審程序，該程序是否包括管理評(píng)審的要求？l 有沒(méi)有考慮/重視管理評(píng)審的結(jié)果？l 修訂的方針有沒(méi)有得到管理層的批準(zhǔn)？信息安全的組織2.16.1內(nèi)部組織.1管理層對(duì)信息安全的承諾管理層有沒(méi)有積極支持組織內(nèi)的安全措施。例如清楚明確的方向，可證實(shí)的承諾，明確分配和確認(rèn)信息安全職責(zé)。.2信息安全協(xié)調(diào)組織的各個(gè)部門有沒(méi)有指派具有恰當(dāng)?shù)慕巧吐氊?zé)的代表參與協(xié)調(diào)信息安全活動(dòng)？.3信息安全職責(zé)分配有沒(méi)有清晰地

6、識(shí)別和定義保護(hù)各種資產(chǎn)，以及執(zhí)行特定安全過(guò)程的職責(zé)？.4信息處理設(shè)施的授權(quán)過(guò)程有沒(méi)有定義和實(shí)施對(duì)組織內(nèi)任何新的信息處理設(shè)施的管理授權(quán)程序？.5保密協(xié)議l 有沒(méi)有清楚地定義并有規(guī)律地評(píng)審組織的保密性需求或用于保護(hù)信息的保密協(xié)議？l 有沒(méi)有用合適的法律用詞指出保護(hù)機(jī)密信息的需求？.6與政府部門的聯(lián)系有沒(méi)有一個(gè)程序描述了在什么情況下，應(yīng)該由誰(shuí)聯(lián)系哪個(gè)政府部門，比如公安局、消防局，以及如何報(bào)告事故？.7與特殊利益團(tuán)體的聯(lián)系有沒(méi)有與特殊的利益團(tuán)體比如專業(yè)的安全論壇或者安全專家協(xié)會(huì)保持恰當(dāng)?shù)穆?lián)系？.8信息安全的獨(dú)立評(píng)審有沒(méi)有按

7、照計(jì)劃的時(shí)間間隔，或者在安全實(shí)施發(fā)生重大改變時(shí)，對(duì)組織的信息安全管理目標(biāo)及其實(shí)現(xiàn)進(jìn)行獨(dú)立評(píng)審？2.26.2外部組織.1識(shí)別與外部組織相關(guān)的風(fēng)險(xiǎn)在外部組織需要訪問(wèn)組織內(nèi)的信息和信息處理設(shè)施時(shí)，有沒(méi)有在授予訪問(wèn)權(quán)限前識(shí)別訪問(wèn)導(dǎo)致的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)目刂拼胧?2與客戶接觸時(shí)強(qiáng)調(diào)安全在授予客戶對(duì)組織的信息或資產(chǎn)的訪問(wèn)權(quán)限前，是否確保所有的安全需求得到了滿足？.3在第三方協(xié)議中強(qiáng)調(diào)安全第三方協(xié)議中有沒(méi)有要求在訪問(wèn)、處理、通訊、管理組織的信息或信息處理設(shè)施，或者往信息處理設(shè)施引入產(chǎn)品或服務(wù)時(shí)，必須符合所有適用的安全要求？資產(chǎn)管理3.17.1對(duì)資產(chǎn)的責(zé)任3.

8、資產(chǎn)清單是不是所有的資產(chǎn)都得到識(shí)別，有沒(méi)有維護(hù)所有重要資產(chǎn)的清單或者登記表.2資產(chǎn)責(zé)任人每個(gè)已識(shí)別的資產(chǎn)都有責(zé)任人，和一個(gè)已定義且得到一致同意的安全類別，以及定期審核的訪問(wèn)權(quán)限.3資產(chǎn)的可接受使用有沒(méi)有確定一個(gè)信息和資產(chǎn)的可接受使用規(guī)定，并實(shí)施了該規(guī)定3.27.2信息分類.1分類指南有沒(méi)有根據(jù)信息的價(jià)值、法律法規(guī)的要求、敏感度和重要性分類信息.2信息標(biāo)識(shí)和處理有沒(méi)有根據(jù)組織采用的分類標(biāo)準(zhǔn)，制定一系列標(biāo)識(shí)和處理信息的程序人力資源安全4.18.1雇傭前.1角色和職責(zé)l 有沒(méi)有根據(jù)組織的信息安全策略定義并

9、記錄員工、承包商和第三方用戶的安全角色和職責(zé)l 在雇用前過(guò)程中有沒(méi)有就定義的角色和職責(zé)與職位的候選人進(jìn)行明確的溝通.2審查l 有沒(méi)有根據(jù)相關(guān)規(guī)定對(duì)所有職位、合同商和第三方用戶候選者進(jìn)行背景驗(yàn)證審查l 審查有沒(méi)有包括身份證明書，所聲稱的學(xué)術(shù)和專業(yè)資質(zhì)證明，以及獨(dú)立的身份檢驗(yàn).3雇傭條款和條件l 有沒(méi)有要求員工、合同商和第三方用戶簽訂保密協(xié)議，作為雇傭合同的初始條款l 協(xié)議有沒(méi)有包含組織、員工、第三方用戶和合同商的信息安全責(zé)任4.28.2雇傭中.1管理職責(zé)管理層有沒(méi)有要求員工、合同商和第三方用戶根據(jù)組織建立的策略和程序?qū)嵤┌踩?2信息

10、安全意識(shí)、教育和培訓(xùn)組織的所有員工，合同方和第三方用戶，有沒(méi)有受到與其工作職能相關(guān)的適當(dāng)?shù)陌踩庾R(shí)培訓(xùn)和組織方針及程序的定期更新培訓(xùn).3懲戒過(guò)程對(duì)于違反安全規(guī)定的員工有沒(méi)有正式的懲戒過(guò)程4.38.3雇傭終止或變更.1終止職責(zé)有沒(méi)有清晰規(guī)定和分配進(jìn)行雇傭終止或變更的責(zé)任.2歸還資產(chǎn)有沒(méi)有適當(dāng)?shù)某绦虼_保當(dāng)雇傭、合同或協(xié)議終止時(shí)，員工、合同方和第三方用戶歸還所使用的組織資產(chǎn).3移除訪問(wèn)權(quán)限當(dāng)雇傭、合同或協(xié)議終止時(shí)，有沒(méi)有撤銷員工、合同方和第三方用戶對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)限，或根據(jù)變化調(diào)整物理和環(huán)境安全5.19.1安全區(qū)域5.1.1

11、9.1.1物理安全邊界有沒(méi)有使用物理邊界安全設(shè)施（例如門卡控制出入的大門、人工接待臺(tái)等）來(lái)保護(hù)信息處理服務(wù).2物理進(jìn)入控制有沒(méi)有適當(dāng)?shù)倪M(jìn)入控制程序確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)組織內(nèi)部區(qū)域.3辦公室、房間和設(shè)施的安全提供信息處理服務(wù)的房間有沒(méi)有上鎖或者房?jī)?nèi)有可鎖定的柜子、保險(xiǎn)箱.4防范外部和環(huán)境威脅l 有沒(méi)有設(shè)計(jì)并實(shí)施針對(duì)火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施l 鄰近地點(diǎn)有沒(méi)有潛在的安全威脅.5在安全區(qū)域工作有沒(méi)有設(shè)計(jì)并實(shí)施在安全區(qū)域工作的物理保護(hù)措施和指南.6公共訪問(wèn)和裝卸區(qū)域?qū)τ?/p>

12、裝卸或其他未經(jīng)授權(quán)人員可以進(jìn)入的公共訪問(wèn)區(qū)域有沒(méi)有加以控制，那里的信息處理設(shè)施有沒(méi)有加以隔離以防止非授權(quán)的訪問(wèn)5.29.2設(shè)備安全.1設(shè)備安置和保護(hù)有沒(méi)有保護(hù)設(shè)備以減少來(lái)自環(huán)境的威脅或危害，并減少未經(jīng)授權(quán)訪問(wèn)的機(jī)會(huì) .2支持性設(shè)施l 有沒(méi)有保護(hù)設(shè)備免受電力中斷或其他支持性設(shè)施失效所導(dǎo)致的中斷l(xiāng) 有沒(méi)有采取某些持續(xù)供電措施，如多路供電、ups、備用發(fā)電機(jī)等.3電纜安全l 有沒(méi)有保護(hù)承載數(shù)據(jù)或支持信息服務(wù)的電力和通訊電纜免遭中斷或破壞l 對(duì)于敏感或關(guān)鍵的系統(tǒng)，有沒(méi)有采取進(jìn)一步的安全控制.4設(shè)備維護(hù)l 有沒(méi)有正確地維護(hù)設(shè)備以確保其持續(xù)可

13、用性和完整性l 設(shè)備是不是按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范進(jìn)行維護(hù)l 是不是只有經(jīng)過(guò)授權(quán)的人員才能進(jìn)行維護(hù)l 有沒(méi)有保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正措施的記錄l 對(duì)于需要離場(chǎng)維護(hù)的設(shè)備有沒(méi)有進(jìn)行適當(dāng)?shù)目刂苐 設(shè)備有沒(méi)有保險(xiǎn)，有沒(méi)有遵守保險(xiǎn)方面的要求.5場(chǎng)外設(shè)備安全l 有沒(méi)有評(píng)估場(chǎng)外設(shè)備的風(fēng)險(xiǎn)并采取降低風(fēng)險(xiǎn)的控制措施l 在組織外使用信息處理設(shè)施有沒(méi)有得到管理授權(quán).6設(shè)備的安全處置或重用有沒(méi)有檢查所有含存儲(chǔ)介質(zhì)的設(shè)備，以確保在銷毀或重用設(shè)備前物理摧毀或者安全重寫所有敏感數(shù)據(jù)或授權(quán)軟件.7資產(chǎn)轉(zhuǎn)移有沒(méi)有控制措施，確保未經(jīng)授權(quán)，不能將設(shè)備、

14、信息和軟件帶離工作場(chǎng)所通訊和操作管理6.110.1操作程序和職責(zé).1文件化的操作程序l 操作程序有沒(méi)有文件化，得到維護(hù)且所有需要的用戶都可以獲得l 有沒(méi)有把這些文件化程序視為正式的文件，且任何變更須得到管理授權(quán).2變更管理有沒(méi)有控制所有對(duì)信息處理設(shè)施和系統(tǒng)的變更6.1.310.1.3職責(zé)分離有沒(méi)有分離職責(zé)和區(qū)域，以降低未授權(quán)修改或?yàn)E用組織的信息和服務(wù)的機(jī)會(huì)6.1.410.1.4開(kāi)發(fā)、測(cè)試與運(yùn)營(yíng)設(shè)施的分離有沒(méi)有分離開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施。例如，開(kāi)發(fā)和生產(chǎn)軟件應(yīng)該運(yùn)行在不同的計(jì)算機(jī)上。開(kāi)發(fā)和生產(chǎn)網(wǎng)絡(luò)應(yīng)該互相隔離6.210.2第三方服務(wù)交付管理.1

15、服務(wù)交付有沒(méi)有措施確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包含的安全控制、服務(wù)定義和交付等級(jí).2第三方服務(wù)的監(jiān)督和評(píng)審l 有沒(méi)有定期對(duì)第三方提供的服務(wù)、報(bào)告和記錄進(jìn)行監(jiān)視和評(píng)審l 有沒(méi)有定期對(duì)第三方服務(wù)、報(bào)告和記錄進(jìn)行審核6.2.310.2.3管理第三方服務(wù)的變更l 有沒(méi)有管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有信息安全方針、程序和控制措施l 有沒(méi)有考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、涉及的過(guò)程和風(fēng)險(xiǎn)的再評(píng)估6.310.3系統(tǒng)規(guī)劃與驗(yàn)收.1容量管理有沒(méi)有監(jiān)控容量需求并反應(yīng)未來(lái)的容量要求，以確保擁有足夠的處理能力和存儲(chǔ)空間.2系統(tǒng)驗(yàn)收l(shuí) 有沒(méi)有建立新

16、信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則l 接收系統(tǒng)前有沒(méi)有進(jìn)行適當(dāng)?shù)臏y(cè)試6.410.4防范惡意代碼和移動(dòng)代碼.1防范惡意代碼有沒(méi)有制定并實(shí)施程序，通過(guò)檢測(cè)、預(yù)防和恢復(fù)來(lái)防范惡意代碼，并進(jìn)行適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn).2防范移動(dòng)代碼l 是不是只可以使用獲得授權(quán)的移動(dòng)代碼l 配置管理有沒(méi)有確保授權(quán)的移動(dòng)代碼按照安全方針運(yùn)行l(wèi) 有沒(méi)有阻止未經(jīng)授權(quán)的移動(dòng)代碼運(yùn)行6.510.5備份.1信息備份l 有沒(méi)有根據(jù)既定的備份策略對(duì)信息和軟件進(jìn)行備份并定期測(cè)試l 所有基本的信息和軟件能否在災(zāi)難或介質(zhì)故障后進(jìn)行恢復(fù)6.610.6網(wǎng)絡(luò)安全管理.1網(wǎng)絡(luò)控制l

17、 有沒(méi)有充分管理和控制網(wǎng)絡(luò)以防范威脅、保持使用網(wǎng)絡(luò)包括信息傳輸?shù)南到y(tǒng)和應(yīng)用程序的安全l 有沒(méi)有實(shí)施控制以確保網(wǎng)絡(luò)上信息的安全，防止未經(jīng)授權(quán)訪問(wèn)所連接的服務(wù).2網(wǎng)絡(luò)服務(wù)安全l 有沒(méi)有識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)和管理要求，并包含在網(wǎng)絡(luò)服務(wù)協(xié)議中l(wèi) 有沒(méi)有對(duì)網(wǎng)絡(luò)服務(wù)提供商以安全方式管理商定服務(wù)的能力予以確定并定期監(jiān)督，還應(yīng)商定審計(jì)的權(quán)利6.710.7介質(zhì)處置.1可移動(dòng)介質(zhì)的管理l 有沒(méi)有建立可移動(dòng)介質(zhì)的管理程序，如磁帶、磁盤、閃存等l 所有的程序和授權(quán)級(jí)別是否清晰地形成文件.2介質(zhì)的處置不再需要的介質(zhì)有沒(méi)有按照正式的程序進(jìn)行安全可靠的處

18、置6.7.310.7.3信息處理程序l 有沒(méi)有處理信息存儲(chǔ)的程序l 該程序有沒(méi)有考慮防范信息的未授權(quán)泄露或誤用6.7.410.7.4系統(tǒng)文件安全保護(hù)系統(tǒng)文件免受未授權(quán)的訪問(wèn)6.810.8信息交換.1信息交換策略和程序l 有沒(méi)有建立正式的交換策略、程序和控制，以保護(hù)信息l 這些程序和控制有沒(méi)有涵蓋使用電子通訊設(shè)施交換信息.2交換協(xié)議l 有沒(méi)有建立組織和外部組織交換信息和軟件的協(xié)議l 協(xié)議的安全內(nèi)容有沒(méi)有反映涉及的業(yè)務(wù)信息的敏感度6.8.310.8.3運(yùn)輸中的物理介質(zhì)包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，有沒(méi)有防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞6.8.410.

19、8.4電子消息有沒(méi)有保護(hù)包含在發(fā)送的電子消息中的信息(電子消息包括但不限于電子郵件、電子數(shù)據(jù)交換（edi）、即時(shí)通信)6.8.510.8.5業(yè)務(wù)信息系統(tǒng)有沒(méi)有制定并實(shí)施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)相關(guān)聯(lián)的信息 6.910.9電子商務(wù)服務(wù).1電子商務(wù)l 有沒(méi)有保護(hù)電子商務(wù)中通過(guò)公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭(zhēng)議、未授權(quán)的訪問(wèn)和修改l 有沒(méi)有考慮諸如使用密碼技術(shù)等安全控制l 有沒(méi)有文件化的協(xié)議來(lái)支持和貿(mào)易伙伴之間的電子商務(wù)安排，該協(xié)議使雙方致力于商定的貿(mào)易條款，包括安全問(wèn)題的細(xì)節(jié).2在線交易有沒(méi)有保護(hù)在線交易信息，以防止不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)

20、的信息更改、未經(jīng)授權(quán)的信息泄露、未經(jīng)授權(quán)的信息復(fù)制或重放 6.9.310.9.3公共可用信息有沒(méi)有保護(hù)公共可用信息的完整性，防止未經(jīng)授權(quán)的更改6.1010.10監(jiān)督0.1審計(jì)日志l 有沒(méi)有產(chǎn)生記錄用戶活動(dòng)、意外以及信息安全事件的審計(jì)日志，并且按照約定的期限進(jìn)行保存，以支持將來(lái)的調(diào)查和訪問(wèn)控制檢測(cè)l 保留審計(jì)日志時(shí)應(yīng)考慮適當(dāng)?shù)碾[私保護(hù)措施0.2監(jiān)視系統(tǒng)的使用l 有沒(méi)有制定并實(shí)施監(jiān)視信息處理設(shè)施系統(tǒng)使用的程序l 有沒(méi)有定期評(píng)審監(jiān)視活動(dòng)的結(jié)果l 各個(gè)信息處理設(shè)施的監(jiān)控級(jí)別是否由風(fēng)險(xiǎn)評(píng)估決定6.10.310.10.3日志信息保護(hù)有沒(méi)有保護(hù)日志設(shè)施和日志信息免受破

21、壞和未經(jīng)授權(quán)的訪問(wèn)6.10.410.10.4管理員和操作員日志l 有沒(méi)有記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)l 有沒(méi)有定期評(píng)審上述活動(dòng)日志6.10.510.10.5故障日志l 有沒(méi)有記錄并分析錯(cuò)誤日志，并采取適當(dāng)?shù)拇胧﹍ 各系統(tǒng)的日志記錄級(jí)別是否由風(fēng)險(xiǎn)評(píng)估決定，并考慮性能的降低6.10.610.10.6時(shí)鐘同步組織內(nèi)或同一安全域內(nèi)的所有信息處理設(shè)施的時(shí)鐘有沒(méi)有按照約定的正確時(shí)間源保持同步(正確設(shè)置計(jì)算機(jī)時(shí)鐘對(duì)于保持審計(jì)日志的準(zhǔn)確性非常重要)訪問(wèn)控制7.111.1訪問(wèn)控制的業(yè)務(wù)要求.1訪問(wèn)控制策略l 有沒(méi)有制定并評(píng)審基于業(yè)務(wù)和安全需求的訪問(wèn)控制策略l 訪問(wèn)控制策略有沒(méi)有同時(shí)考慮物理

22、和邏輯訪問(wèn)控制l 有沒(méi)有將通過(guò)訪問(wèn)控制要滿足的業(yè)務(wù)要求的清晰說(shuō)明提供給用戶和服務(wù)提供者7.211.2用戶訪問(wèn)管理.1用戶注冊(cè)有沒(méi)有建立正式的用戶注冊(cè)和解除注冊(cè)程序，以允許和撤銷對(duì)所有信息系統(tǒng)和服務(wù)的訪問(wèn) .2特權(quán)管理有沒(méi)有限制并控制信息系統(tǒng)環(huán)境下特權(quán)的使用和分配，例如根據(jù)需要知道原則分配特權(quán)，或特權(quán)僅在通過(guò)正式授權(quán)流程后分配 7.2.311.2.3用戶口令管理l 有沒(méi)有通過(guò)正式的管理流程控制口令的分配l 有沒(méi)有要求用戶簽署一份聲明，以保持口令的保密性7.2.411.2.4用戶訪問(wèn)權(quán)限的評(píng)審有沒(méi)有按計(jì)劃的時(shí)間間隔評(píng)審用戶訪問(wèn)權(quán)限的流程，例如：每三個(gè)月評(píng)審特殊權(quán)

23、限，每六個(gè)月評(píng)審普通權(quán)限7.311.3用戶責(zé)任.1口令使用有沒(méi)有要求用戶在選擇和使用口令時(shí)遵循良好的安全慣例 .2無(wú)人值守的用戶設(shè)備有沒(méi)有讓用戶和合同商了解保護(hù)無(wú)人值守設(shè)備的安全要求和程序例如：會(huì)話結(jié)束時(shí)登出或設(shè)置自動(dòng)登出，結(jié)束時(shí)終止會(huì)話等7.3.311.3.3桌面及屏幕清空策略l 有沒(méi)有針對(duì)文件、可移動(dòng)存儲(chǔ)介質(zhì)的桌面清空策略l 有沒(méi)有針對(duì)信息處理設(shè)施的屏幕清空策略7.411.4網(wǎng)絡(luò)訪問(wèn)控制.1網(wǎng)絡(luò)服務(wù)使用策略l 用戶是不是只能訪問(wèn)經(jīng)過(guò)明確授權(quán)使用的服務(wù)l 有沒(méi)有制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略.2外部連接用戶的鑒別有沒(méi)有

24、適當(dāng)?shù)蔫b別機(jī)制控制遠(yuǎn)程用戶的訪問(wèn)7.4.311.4.3網(wǎng)絡(luò)設(shè)備的識(shí)別有沒(méi)有考慮自動(dòng)設(shè)備識(shí)別，將其作為鑒別特定位置及設(shè)備連接的方法7.4.411.4.4遠(yuǎn)程診斷和配置端口保護(hù)有沒(méi)有安全地控制對(duì)診斷和配置端口的物理和邏輯訪問(wèn)7.4.511.4.5網(wǎng)絡(luò)隔離l 有沒(méi)有隔離網(wǎng)絡(luò)上的信息服務(wù)組、用戶和信息系統(tǒng)l 有沒(méi)有使用安全邊界機(jī)制如防火墻來(lái)隔離網(wǎng)絡(luò)（業(yè)務(wù)伙伴或第三方需要訪問(wèn)信息系統(tǒng)）l 有沒(méi)有考慮把無(wú)線網(wǎng)絡(luò)與內(nèi)部和專用網(wǎng)絡(luò)隔離開(kāi)7.4.611.4.6網(wǎng)絡(luò)連接控制訪問(wèn)控制策略有沒(méi)有規(guī)定共享網(wǎng)絡(luò)的網(wǎng)絡(luò)連接控制，尤其是那些延伸到組織邊界之外的網(wǎng)絡(luò)7.4.711.4.7網(wǎng)絡(luò)路由控制l 網(wǎng)絡(luò)控制策略有沒(méi)有規(guī)定路

25、由控制l 路由選擇控制是否基于確定的源地址和目的地址檢驗(yàn)機(jī)制7.511.5操作系統(tǒng)訪問(wèn)控制.1安全登錄程序是否通過(guò)安全登錄程序控制對(duì)操作系統(tǒng)的訪問(wèn).2用戶標(biāo)識(shí)和鑒別l 所有用戶如操作員、系統(tǒng)管理員和其他技術(shù)人員是否有唯一的識(shí)別碼（用戶id）l 有沒(méi)有選擇合適的認(rèn)證技術(shù)驗(yàn)證所宣稱的用戶身份l 在例外環(huán)境下，如果存在明顯的業(yè)務(wù)利益，可以使用共享用戶id。對(duì)于這種情況，有沒(méi)有要求額外的控制以維護(hù)可核查性7.5.311.5.3口令管理系統(tǒng)有沒(méi)有口令管理系統(tǒng)以加強(qiáng)口令控制 7.5.411.5.4系統(tǒng)實(shí)用工具的使用有沒(méi)有限制并嚴(yán)格控制能越過(guò)系統(tǒng)和應(yīng)用控制的實(shí)用工具的使用

26、7.5.511.5.5會(huì)話超時(shí)不活動(dòng)的會(huì)話是否在一個(gè)設(shè)定的不活動(dòng)周期后關(guān)閉(對(duì)于某些系統(tǒng)，清空屏幕并防止未授權(quán)訪問(wèn)，但不關(guān)閉應(yīng)用或網(wǎng)絡(luò)會(huì)話提供了一種受限制的超時(shí)形式)7.5.611.5.6聯(lián)機(jī)時(shí)間限制有沒(méi)有限制對(duì)高風(fēng)險(xiǎn)應(yīng)用程序的連接時(shí)間，這類限制應(yīng)考慮終端安裝在高風(fēng)險(xiǎn)位置的敏感應(yīng)用7.611.6應(yīng)用和信息訪問(wèn)控制.1信息訪問(wèn)限制有沒(méi)有根據(jù)規(guī)定的訪問(wèn)控制策略，限制用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn).2敏感系統(tǒng)隔離敏感系統(tǒng)有沒(méi)有使用獨(dú)立的計(jì)算環(huán)境，例如運(yùn)行在特定的計(jì)算機(jī)上，僅和信任的應(yīng)用系統(tǒng)共享資源等7.711.7移動(dòng)計(jì)算和遠(yuǎn)程工作.1移

27、動(dòng)計(jì)算和通訊l 有沒(méi)有建立正式的策略并采取適當(dāng)?shù)陌踩胧?，以防范使用移?dòng)計(jì)算和移動(dòng)通訊設(shè)施的風(fēng)險(xiǎn)l 移動(dòng)計(jì)算和通訊設(shè)施包括：筆記本、掌上機(jī)、膝上機(jī)、智能卡和移動(dòng)電話l 移動(dòng)計(jì)算策略有沒(méi)有考慮在不受保護(hù)的環(huán)境下工作的風(fēng)險(xiǎn).2遠(yuǎn)程工作l 有沒(méi)有制定并實(shí)施遠(yuǎn)程工作的策略、操作計(jì)劃和程序l 管理層有沒(méi)有授權(quán)和控制遠(yuǎn)程工作活動(dòng)，并進(jìn)行適當(dāng)?shù)陌才判畔⑾到y(tǒng)的獲取、開(kāi)發(fā)和維護(hù)8.112.1信息系統(tǒng)安全要求.1安全要求分析和規(guī)范l 新的信息系統(tǒng)或現(xiàn)有信息系統(tǒng)的更新的安全需求有沒(méi)有詳述安全控制要求 l 安全要求和控制有沒(méi)有反映所涉及信息資產(chǎn)的業(yè)務(wù)價(jià)值和由于安全失敗引起的業(yè)務(wù)損失

28、l 信息安全系統(tǒng)需求與實(shí)施安全的過(guò)程是否在信息系統(tǒng)項(xiàng)目的早期階段集成8.212.2應(yīng)用的正確處理.1輸入數(shù)據(jù)驗(yàn)證l 有沒(méi)有驗(yàn)證應(yīng)用系統(tǒng)的輸入數(shù)據(jù)，以確保正確和適當(dāng)l 有沒(méi)有考慮下述控制：用于檢查錯(cuò)誤信息的不同類型的輸入，響應(yīng)確認(rèn)差錯(cuò)的程序，定義數(shù)據(jù)輸入過(guò)程中所涉及的全部人員的職責(zé)等.2內(nèi)部處理控制l 應(yīng)用程序有沒(méi)有包含確認(rèn)檢查，以檢測(cè)任何由于流程錯(cuò)誤或故意行為造成的信息出錯(cuò)l 設(shè)計(jì)和實(shí)施應(yīng)用時(shí)有沒(méi)有確保把由于處理失敗導(dǎo)致的完整性被損壞的風(fēng)險(xiǎn)降至最低8.2.312.2.3消息完整性l 有沒(méi)有識(shí)別應(yīng)用系統(tǒng)中確保和保護(hù)信息完整性的要求，識(shí)別并實(shí)施適當(dāng)?shù)目刂苐 有沒(méi)

29、有進(jìn)行安全風(fēng)險(xiǎn)評(píng)估以決定是否需要信息完整性，并識(shí)別實(shí)施中最合適的方法8.2.412.2.4輸出數(shù)據(jù)驗(yàn)證有沒(méi)有驗(yàn)證應(yīng)用系統(tǒng)的輸出數(shù)據(jù)，以確保存儲(chǔ)信息的處理是正確的且與環(huán)境相適宜8.312.3加密控制.1使用加密控制的策略l 有沒(méi)有制定并實(shí)施使用加密控制保護(hù)信息的策略l 密碼策略有沒(méi)有考慮使用密碼控制的管理方法、風(fēng)險(xiǎn)評(píng)估結(jié)果所要求的保護(hù)級(jí)別、密鑰管理方法、為有效實(shí)施而采用的標(biāo)準(zhǔn)等.2密鑰管理l 有沒(méi)有進(jìn)行密鑰管理，以支持組織對(duì)密碼技術(shù)的使用l 有沒(méi)有保護(hù)密鑰，防止修改、遺失和損壞l 有沒(méi)有保護(hù)秘密密鑰和私有密鑰，防止泄露l 有沒(méi)有對(duì)用于生成、存儲(chǔ)密鑰的設(shè)備進(jìn)行物

30、理保護(hù)l 密鑰管理系統(tǒng)是否基于一組已商定的標(biāo)準(zhǔn)、程序和方法8.412.4系統(tǒng)文件安全.1操作軟件控制有沒(méi)有建立程序，控制在運(yùn)營(yíng)系統(tǒng)之上安裝應(yīng)用軟件(降低運(yùn)營(yíng)系統(tǒng)損壞的風(fēng)險(xiǎn)).2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)l 有沒(méi)有保護(hù)并控制系統(tǒng)測(cè)試數(shù)據(jù)l 有沒(méi)有避免使用包含個(gè)人信息或其他敏感信息的運(yùn)行數(shù)據(jù)庫(kù)進(jìn)行測(cè)試8.4.312.4.3程序源代碼的訪問(wèn)控制有沒(méi)有嚴(yán)格控制對(duì)程序源代碼庫(kù)的訪問(wèn)8.512.5開(kāi)發(fā)和支持過(guò)程的安全.1變更控制程序l 有沒(méi)有實(shí)施嚴(yán)格的控制程序，控制對(duì)信息系統(tǒng)變更的實(shí)施l 該程序有沒(méi)有包括風(fēng)險(xiǎn)評(píng)估、變更影響分析.2操作系統(tǒng)變更

31、后的應(yīng)用系統(tǒng)技術(shù)評(píng)審操作系統(tǒng)變更后，有沒(méi)有程序或過(guò)程評(píng)審并測(cè)試關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對(duì)組織的運(yùn)營(yíng)或安全產(chǎn)生負(fù)面影響8.5.312.5.3軟件包變更限制l 不鼓勵(lì)對(duì)軟件包進(jìn)行變更或僅限于必要的變更l 有沒(méi)有嚴(yán)格控制所有變更8.5.412.5.4信息泄露l 有沒(méi)有實(shí)施控制以防信息泄露l 有沒(méi)有考慮如下控制：掃描外部介質(zhì)和通信、在法律法規(guī)允許的前提下定期監(jiān)視個(gè)人和系統(tǒng)行為、監(jiān)控資源使用8.5.512.5.5軟件開(kāi)發(fā)外包l 有沒(méi)有對(duì)外包開(kāi)發(fā)的軟件進(jìn)行監(jiān)控和管理 l 有沒(méi)有考慮：許可證問(wèn)題、源代碼托管、質(zhì)量保證的合同要求、安裝前測(cè)試以檢測(cè)惡意代碼和特洛伊代碼等8.612.6技術(shù)脆弱點(diǎn)管理8.6

32、.112.6.1控制技術(shù)脆弱點(diǎn)l 有沒(méi)有及時(shí)獲取所使用信息系統(tǒng)的技術(shù)脆弱點(diǎn)信息l 有沒(méi)有評(píng)估組織技術(shù)脆弱點(diǎn)暴露的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)拇胧┙档拖嚓P(guān)風(fēng)險(xiǎn)信息安全事故管理9.113.1報(bào)告信息安全事件和弱點(diǎn).1報(bào)告信息安全事件l 有沒(méi)有通過(guò)適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事件l 有沒(méi)有制定并實(shí)施正式的信息安全事件報(bào)告程序、事故響應(yīng)和升級(jí)程序.2報(bào)告信息安全弱點(diǎn)有沒(méi)有程序要求所有員工、合同方和第三方用戶注意并報(bào)告系統(tǒng)或服務(wù)中發(fā)現(xiàn)或疑似的安全弱點(diǎn)9.213.2信息安全事故的管理和改進(jìn).1職責(zé)和程序l 有沒(méi)有建立管理職責(zé)和程序，以迅速、有效和有序地響應(yīng)信息

33、安全事故l 有沒(méi)有監(jiān)控系統(tǒng)、報(bào)警和弱點(diǎn)來(lái)檢測(cè)信息安全事故l 有沒(méi)有與管理層協(xié)商信息安全事故管理的目標(biāo)并達(dá)成一致.2從信息安全事故中學(xué)習(xí)l 有沒(méi)有建立識(shí)別并量化信息安全事故的類型、數(shù)量和費(fèi)用的機(jī)制l 有沒(méi)有使用從過(guò)去信息安全事故評(píng)估中獲取的信息來(lái)識(shí)別再發(fā)生或重大影響的事故9.2.313.2.3收集證據(jù)l 信息安全事故發(fā)生后，有沒(méi)有根據(jù)法律規(guī)定（無(wú)論是民法還是刑法）跟蹤個(gè)人或組織的行動(dòng)l 有沒(méi)有收集、保留事故相關(guān)證據(jù)，并以符合相關(guān)法律的形式提交l 當(dāng)為了懲罰目的而收集和提交證據(jù)時(shí)，有沒(méi)有制定并遵循內(nèi)部規(guī)程業(yè)務(wù)連續(xù)性管理10.114.1業(yè)務(wù)連續(xù)性管理的信息安全方面10.1.114.

34、1.1在業(yè)務(wù)連續(xù)性管理過(guò)程中包含信息安全l 有沒(méi)有一個(gè)管理程序，闡明組織業(yè)務(wù)連續(xù)性對(duì)信息安全的要求l 該程序有沒(méi)有闡明組織面臨的風(fēng)險(xiǎn)，識(shí)別業(yè)務(wù)關(guān)鍵資產(chǎn)，識(shí)別事故影響，考慮實(shí)施附加的預(yù)防性控制，并形成表明了安全需求的業(yè)務(wù)連續(xù)性計(jì)劃文檔.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估有沒(méi)有識(shí)別可能導(dǎo)致業(yè)務(wù)過(guò)程中斷的事故，以及這類中斷發(fā)生的可能性和影響、中斷的信息安全后果10.1.314.1.3制定并實(shí)施包括信息安全的連續(xù)性計(jì)劃l 有沒(méi)有開(kāi)發(fā)計(jì)劃，在業(yè)務(wù)流程中斷或失效后能在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營(yíng)并確保信息的可用性l 計(jì)劃有沒(méi)有考慮鑒別和協(xié)調(diào)職責(zé)、鑒別可接受損失、實(shí)施恢復(fù)和重建程序、文檔化規(guī)程、定期測(cè)試10.1.414.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架l 有沒(méi)有單一的業(yè)務(wù)連續(xù)性計(jì)劃框架l 有沒(méi)有維護(hù)該框架以確保所有計(jì)劃的一致性，并識(shí)別測(cè)試和保持的優(yōu)先級(jí)l 業(yè)務(wù)連續(xù)性計(jì)劃有沒(méi)有闡明識(shí)別出的信息安全需求10.1.514.1.5bcp的測(cè)試、維護(hù)和再評(píng)估l 有沒(méi)有定期測(cè)試并更新bcp，以確保bcp的更新和有效性l bcp的測(cè)試能否確?；謴?fù)團(tuán)隊(duì)的所有成員及其他相關(guān)人員知道該計(jì)劃，明確他們