浙江省交通系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目

1、浙江省交通系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目安全管理調(diào)查表單位（部門）名稱填表人：職位：聯(lián)系 ：填表日期：1 安全策略序號(hào)審查點(diǎn)問題描述符合情況備注信息安全策略信息安全策略文檔是否已經(jīng)制定并發(fā)布了能夠反映組織安全管理意圖的信息安全策略文件？ 是 否是否描述了相應(yīng)的管理責(zé)任和管理方法？ 是 否復(fù)審與評(píng)價(jià)是否有專人按照特定的過程定期進(jìn)行復(fù)審與評(píng)價(jià)？ 是 否能否確保當(dāng)系統(tǒng)安全狀態(tài)發(fā)生變化時(shí)及時(shí)地進(jìn)入復(fù)審與評(píng)價(jià)的過程，以便及時(shí)地修改安全策略，恢復(fù)到組織可接受的安全狀態(tài)？ 是 否2 組織安全序號(hào)審查點(diǎn)問題描述符合情況備注信息安全架構(gòu)信息安全管理機(jī)構(gòu)是否具有負(fù)責(zé)對(duì)組織內(nèi)各安全管理實(shí)體進(jìn)行支持的安全管理、決策機(jī)構(gòu)？

2、是 否信息安全協(xié)調(diào)機(jī)構(gòu)是否具有對(duì)安全控制進(jìn)行實(shí)施過程中所涉及的內(nèi)部相關(guān)部門進(jìn)行協(xié)調(diào)的機(jī)構(gòu)？ 是 否信息安全責(zé)任分配是否明確定義了保護(hù)個(gè)人財(cái)產(chǎn)的責(zé)任和實(shí)施安全措施的特定過程？ 是 否信息處理授權(quán)過程是否建立了對(duì)新信息處理設(shè)備的授權(quán)管理過程？ 是 否專家信息安全建議是否能夠在需要時(shí)以某種方式獲得專家級(jí)建議？ 是 否組織間合作是否與公安機(jī)關(guān)、電信運(yùn)營(yíng)等組織保持適當(dāng)?shù)慕佑|，以便當(dāng)系統(tǒng)發(fā)生安全事件時(shí)，能夠及時(shí)地采取快速行動(dòng)加以解決？ 是 否獨(dú)立復(fù)查是否有獨(dú)立的部門或外部專業(yè)機(jī)構(gòu)對(duì)組織的安全管理進(jìn)行獨(dú)立復(fù)查？ 是 否第三方訪問安全來自第三方風(fēng)險(xiǎn)的識(shí)別是否已經(jīng)明確定義了來自第三方訪問的風(fēng)險(xiǎn)？ 是 否是否規(guī)定

3、了第三方的訪問類型？ 是 否是否對(duì)來自第三方的風(fēng)險(xiǎn)采取了適當(dāng)?shù)目刂拼胧?是 否是否在簽定了相應(yīng)條款后才允許第三方對(duì)信息及信息處理系統(tǒng)進(jìn)行許可的訪問？ 是 否第三方合同中應(yīng)提及的安全需求是否第三方對(duì)組織信息訪問的合同中所包含的內(nèi)容均符合組織的安全策略及相關(guān)制度？ 是 否外包外包合同中的安全需求是否在外包合同中明確描述了組織的安全需求？ 是 否是否在合同中包含了對(duì)專業(yè)術(shù)語(yǔ)的解釋？ 是 否是否明確了外包服務(wù)所涉及的系統(tǒng)范圍和服務(wù)方式？ 是 否3 資產(chǎn)分類和控制序號(hào)審查點(diǎn)問題描述符合情況備注資產(chǎn)責(zé)任資產(chǎn)清單是否組織的重要資產(chǎn)由一份清單被管理和維護(hù)？ 是 否是否每個(gè)資產(chǎn)都標(biāo)明了所有者、類型、級(jí)別（或價(jià)

4、值）和當(dāng)前所處位置？ 是 否信息分類分類指導(dǎo)方針是否具有信息分類的方案或指導(dǎo)方針？ 是 否信息的標(biāo)記和處理是否根據(jù)分類方案對(duì)信息進(jìn)行標(biāo)記并指出處理方式？ 是 否4 個(gè)人安全序號(hào)審查點(diǎn)問題描述符合情況備注工作定義和資源的安全性工作責(zé)任中的安全是否在組織的信息安全政策中確定了安全角色和責(zé)任？其中包括實(shí)施維護(hù)安全政策的通用責(zé)任，也包括對(duì)一些特殊財(cái)產(chǎn)的特殊保護(hù)的責(zé)任，或者是執(zhí)行一些特定安全處理和活動(dòng)時(shí)應(yīng)負(fù)的責(zé)任。 是 否個(gè)人觀察和政策是否對(duì)永久雇員的觀察與確認(rèn)貫穿于其工作的始終？應(yīng)包括以下內(nèi)容： a)令人滿意的性格特征； b)對(duì)員工履歷的檢查； c)聲稱的學(xué)術(shù)及專業(yè)資格的認(rèn)證； d)獨(dú)立身份確認(rèn)。 是

5、 否保密協(xié)議是否要求員工在任職之初簽署保密協(xié)議？ 是 否是否臨時(shí)雇員和第三方的用戶在訪問信息處理系統(tǒng)以前首先簽署保密協(xié)議？ 是 否雇傭條件與條款是否在雇傭條款中包括了員工對(duì)信息安全的責(zé)任以及員工享有的法律權(quán)利和義務(wù)？ 是 否用戶培訓(xùn)信息安全教育和培訓(xùn)是否組織內(nèi)的雇員和第三方使用信息的合作伙伴均接受過相應(yīng)的培訓(xùn)？ 是 否安全事件和故障的響應(yīng)匯報(bào)安全事件是否存在正式的匯報(bào)過程，將安全事件及時(shí)匯報(bào)給上級(jí)管理部門？ 是 否匯報(bào)安全弱點(diǎn)是否存在正式的匯報(bào)過程，將漏洞或安全威脅及時(shí)通知給用戶？ 是 否匯報(bào)軟件故障是否有正式的匯報(bào)過程匯報(bào)軟件故障？ 是 否事件的教訓(xùn)是否具有定量統(tǒng)計(jì)事件及故障類型、強(qiáng)度和損失

6、的機(jī)制？ 是 否紀(jì)律處理是否對(duì)違反了組織安全政策的雇員有明確的處理方法？ 是 否5 物理和環(huán)境安全序號(hào)審查點(diǎn)問題描述符合情況備注安全域物理安全邊界是否通過在商務(wù)活動(dòng)及信息處理系統(tǒng)的周邊建立一些物理障礙物的方式來實(shí)現(xiàn)物理保護(hù)？ 是 否物理訪問控制是否對(duì)安全區(qū)域增加適當(dāng)?shù)脑L問控制保護(hù)，確保允許只有經(jīng)過授權(quán)的人員方可進(jìn)入？ 是 否安全辦公室，房間和設(shè)備是否存在一個(gè)安全區(qū)域，它由鎖著的辦公室、保險(xiǎn)柜或是限定在某個(gè)物理安全邊界內(nèi)的幾個(gè)房間組成？ 是 否隔離送貨和裝貨區(qū)域是否控制送貨和裝貨區(qū)域，使它們與信息處理設(shè)備相隔離，以避免未授權(quán)訪問？ 是 否設(shè)備安全設(shè)備放置與保護(hù)是否設(shè)備被適當(dāng)?shù)胤胖煤捅Ｗo(hù)，以避免未

7、經(jīng)授權(quán)的訪問？ 是 否是否環(huán)境條件被監(jiān)控，以減少來自環(huán)境的威脅和災(zāi)難風(fēng)險(xiǎn)？ 是 否電源供應(yīng)是否對(duì)設(shè)備實(shí)行斷電保護(hù)，或其他電力不正常時(shí)的保護(hù)？ 是 否電纜安全是否對(duì)電源和傳送數(shù)據(jù)的或支持信息服務(wù)的通信電纜應(yīng)加以保護(hù)，防止竊聽和破壞？ 是 否設(shè)備維護(hù)是否按照廠商的要求的時(shí)間間隔和指標(biāo)，定期對(duì)設(shè)備進(jìn)行維護(hù)？ 是 否是否只允許授權(quán)的維護(hù)人員實(shí)施修理和服務(wù)？ 是 否是否記錄所有可能的和實(shí)際的故障，和所有預(yù)防性的、正確的維護(hù)？ 是 否是否對(duì)設(shè)備送修采取適當(dāng)?shù)目刂拼胧?是 否設(shè)備脫機(jī)安全是否無論設(shè)備的所有權(quán)如何，均應(yīng)在得到授權(quán)的情況下方可在組織環(huán)境外使用設(shè)備進(jìn)行信息處理？ 是 否安全的處置和設(shè)備的再利用是

8、否對(duì)包含敏感信息的存儲(chǔ)設(shè)備進(jìn)行物理破壞或進(jìn)行安全的覆蓋，而不是使用普通的刪除操作？ 是 否通用控制清除桌面和清除屏幕政策是否啟用了計(jì)算機(jī)屏幕自動(dòng)保護(hù)功能？ 是 否財(cái)物的遷移是否在未經(jīng)授權(quán)時(shí)不允許將設(shè)備、信息和軟件帶離工作現(xiàn)場(chǎng)？ 是 否6 通信和操作管理序號(hào)審查點(diǎn)問題描述符合情況備注操作規(guī)程和責(zé)任記錄操作程序是否記錄和保持安全政策指明的操作程序？ 是 否操作變更控制是否對(duì)信息處理設(shè)備和系統(tǒng)的變更進(jìn)行控制？ 是 否事件管理程序是否明確了事件管理責(zé)任并建立了處理程序，確保在意外事件發(fā)生時(shí)，快速有效的反應(yīng)？ 是 否責(zé)任劃分是否分清了管理或執(zhí)行某些職責(zé)或職責(zé)的范圍，以便降低對(duì)信息或服務(wù)未經(jīng)授權(quán)的改動(dòng)？

9、是 否開發(fā)和運(yùn)行系統(tǒng)的分離是否考慮將運(yùn)行，測(cè)試和開發(fā)環(huán)境進(jìn)行分離為不同級(jí)別？ 是 否外部設(shè)備管理是否事先明確了采用外部承包商對(duì)信息處理設(shè)施進(jìn)行管理帶來潛的潛在安全風(fēng)險(xiǎn)？ 是 否是否對(duì)潛在的風(fēng)險(xiǎn)加以控制，并在合同中達(dá)成一致？ 是 否系統(tǒng)計(jì)劃和驗(yàn)收容量計(jì)劃是否注意了系統(tǒng)的容量需求，并對(duì)未來容量的需求進(jìn)行計(jì)劃，以確保有足夠的處理能力和存儲(chǔ)空間？ 是 否系統(tǒng)驗(yàn)收是否建立了對(duì)新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收標(biāo)準(zhǔn)，并在此之前進(jìn)行適當(dāng)?shù)南到y(tǒng)性能測(cè)試？ 是 否對(duì)惡意攻擊軟件的防護(hù)對(duì)惡意軟件的控制是否存在對(duì)惡意軟件的使用的控制措施？ 是 否是否在安全政策上描述應(yīng)具備軟件許可證和禁止使用未授權(quán)的軟件？ 是 否是

10、否對(duì)來自不能確定來源或來自未授權(quán)渠道的電子介質(zhì)上的任何文件，或者從不令人信任的網(wǎng)絡(luò)接收到的文件在使用前進(jìn)行安全檢查？ 是 否是否安裝了防病毒軟件？ 是 否是否保持病毒定義碼的及時(shí)更新？ 是 否日常管理信息備份是否定期對(duì)重要的商業(yè)信息和軟件進(jìn)行備份？ 是 否是否建立完善的備份體系，以確保在系統(tǒng)遭受攻擊或者存儲(chǔ)介質(zhì)失效時(shí)，所有重要的商務(wù)信息和軟件都可以恢復(fù)？ 是 否是否針對(duì)單獨(dú)系統(tǒng)的備份體制進(jìn)行了周期性的測(cè)試，以確保其滿足商業(yè)連續(xù)性計(jì)劃的需要？ 是 否操作人員日志是否操作人員將自己的操作記錄全部記錄在日志中？ 是 否是否操作日志與操作程序定期進(jìn)行獨(dú)立的對(duì)照？ 是 否錯(cuò)誤日志是否對(duì)系統(tǒng)錯(cuò)誤進(jìn)行及時(shí)匯

11、報(bào)和管理？ 是 否網(wǎng)絡(luò)管理網(wǎng)絡(luò)控制是否采取了一系列的控制措施，以確保網(wǎng)絡(luò)中的數(shù)據(jù)安全，并使一些相連的設(shè)備免受未授權(quán)訪問？ 是 否是否分清了網(wǎng)絡(luò)運(yùn)行責(zé)任和計(jì)算機(jī)操作的責(zé)任？ 是 否是否建立了有關(guān)遠(yuǎn)程設(shè)備，包括用戶區(qū)域的設(shè)備的管理責(zé)任和程序？ 是 否是否將管理活動(dòng)與業(yè)務(wù)和商務(wù)活動(dòng)并行，以確保在信息處理設(shè)施中得以始終的貫徹？ 是 否介質(zhì)處理和安全可移動(dòng)的計(jì)算機(jī)媒質(zhì)的管理是否建立了對(duì)可移動(dòng)的計(jì)算機(jī)介質(zhì)的管理程序，如磁帶，磁盤，卡帶和打印報(bào)告等？ 是 否介質(zhì)的丟棄是否在存儲(chǔ)介質(zhì)不再需要時(shí)，應(yīng)對(duì)存儲(chǔ)介質(zhì)秘密地、安全地進(jìn)行處理？ 是 否信息處理程序是否建立了處理和存儲(chǔ)信息的程序，以便信息不被泄露或?yàn)E用？ 是

12、 否系統(tǒng)文件的安全是否將安全要求較高的文件存儲(chǔ)在安全的地方？ 是 否是否將能夠訪問系統(tǒng)文件的人控制在最小范圍，并由應(yīng)用的所有者來進(jìn)行授權(quán)？ 是 否信息和軟件的交換信息和軟件交換的協(xié)議是否為組織間的信息和軟件交換（電子或人工形式的）簽訂協(xié)議？ 是 否是否協(xié)議的內(nèi)容反映了所涉及的商業(yè)信息的敏感程度？ 是 否介質(zhì)傳送的安全性是否使用可信的傳送工具和傳送人，確保信息在物理傳送過程中避免遭到未授權(quán)訪問、濫用和破壞？ 是 否是否對(duì)介質(zhì)的傳送過程進(jìn)行記錄？ 是 否電子郵件的安全性是否具有電子郵件安全策略？ 是 否是否部署適當(dāng)?shù)碾娮余]件安全防護(hù)措施？ 是 否電子辦公室系統(tǒng)的安全性是否制定并實(shí)施了安全策略和指南

13、，用以控制與電子辦公室系統(tǒng)的商業(yè)和安全風(fēng)險(xiǎn)？ 是 否開放性系統(tǒng)是否注意保護(hù)電子信息的完整性，以防可能破壞組織名譽(yù)的未授權(quán)篡改？ 是 否是否在允許信息被公眾訪問以前進(jìn)行過正式的確認(rèn)？ 是 否是否對(duì)可以被公眾訪問的軟件，數(shù)據(jù)及其他一些信息采取適當(dāng)機(jī)制予以保護(hù)？ 是 否其它形式的信息交換是否建立一些程序和控制，來保護(hù)這樣一些形式的信息交換，如，語(yǔ)音， 及視頻通信系統(tǒng)等？ 是 否7 訪問控制序號(hào)審查點(diǎn)問題描述符合情況備注訪問控制的商業(yè)需求訪問控制策略是否訪問控制的商業(yè)需求已經(jīng)被明確定義和文檔化？ 是 否是否訪問控制策略對(duì)每個(gè)用戶、用戶組均指明了規(guī)則和權(quán)利？ 是 否用戶訪問管理用戶注冊(cè)是否對(duì)多用戶系統(tǒng)和

14、業(yè)務(wù)有正式的用戶準(zhǔn)許訪問的注冊(cè)和取消注冊(cè)的程序？ 是 否特權(quán)管理是否對(duì)特權(quán)（在多用戶系統(tǒng)中，使得用戶能夠操作系統(tǒng)或控制應(yīng)用的權(quán)限）的使用和分配加以嚴(yán)格管理和控制？ 是 否用戶口令管理是否通過正式的管理程序來控制口令的分配？ 是 否是否要求用戶簽訂一個(gè)聲明來保證其個(gè)人口令的保密性？ 是 否用戶訪問權(quán)利的審查是否實(shí)施正式的程序，定期審查用戶的訪問權(quán)限？ 是 否用戶責(zé)任口令使用是否存在一個(gè)指南去指導(dǎo)用戶使用并維護(hù)安全的口令？ 是 否無人值守的用戶設(shè)備是否對(duì)無人值守的設(shè)備進(jìn)行了適當(dāng)?shù)谋Ｗo(hù)？ 是 否網(wǎng)絡(luò)訪問控制使用網(wǎng)絡(luò)服務(wù)的策略是否只為用戶提供他們有權(quán)使用的業(yè)務(wù)的直接訪問？ 是 否強(qiáng)制路徑是否控制從用戶

15、終端到計(jì)算機(jī)服務(wù)的路徑？ 是 否外部連接的用戶身份驗(yàn)證是否適當(dāng)?shù)剡x擇外部連接用戶的身份認(rèn)證機(jī)制？ 是 否節(jié)點(diǎn)鑒別是否對(duì)遠(yuǎn)程計(jì)算機(jī)的連接進(jìn)行鑒別？ 是 否遠(yuǎn)程診斷端口保護(hù)是否對(duì)診斷端口的訪問進(jìn)行了嚴(yán)格控制？ 是 否網(wǎng)絡(luò)隔離是否對(duì)不同安全級(jí)別的網(wǎng)絡(luò)采取了適當(dāng)?shù)母綦x方式？ 是 否網(wǎng)絡(luò)連接控制是否對(duì)網(wǎng)絡(luò)進(jìn)行了綜合控制，以限制用戶間的互連？ 是 否網(wǎng)絡(luò)路由控制是否對(duì)網(wǎng)絡(luò)路由進(jìn)行了綜合控制，以確保計(jì)算機(jī)連接和信息流動(dòng)不會(huì)違反商業(yè)應(yīng)用的訪問控制政策？ 是 否網(wǎng)絡(luò)服務(wù)的安全是否對(duì)所有網(wǎng)絡(luò)服務(wù)的安全特征都具有明確的描述？ 是 否操作系統(tǒng)訪問控制自動(dòng)終端識(shí)別是否考慮自動(dòng)終端識(shí)別，來對(duì)特定地點(diǎn)和可移動(dòng)設(shè)備的連接進(jìn)行

16、身份確認(rèn)？ 是 否終端登錄程序是否對(duì)通過安全的登錄程序來實(shí)現(xiàn)終端的安全訪問？ 是 否用戶標(biāo)識(shí)和鑒別是否所有的用戶（包括技術(shù)支持人員，如，操作員，網(wǎng)絡(luò)管理者，系統(tǒng)編程人員和數(shù)據(jù)庫(kù)管理員）對(duì)應(yīng)于他們個(gè)人和單獨(dú)的使用情況，使用一個(gè)單獨(dú)的標(biāo)識(shí)（用戶ID），以便可以將他們的活動(dòng)追溯到責(zé)任人？ 是 否口令管理系統(tǒng)是否采用一個(gè)口令管理系統(tǒng)并由獨(dú)立的授權(quán)機(jī)構(gòu)來分配用戶口令？ 是 否使用系統(tǒng)工具是否對(duì)能夠改寫系統(tǒng)和應(yīng)用控制的系統(tǒng)工具程序進(jìn)行嚴(yán)格和緊密的控制？ 是 否保護(hù)用戶的強(qiáng)制告警是否考慮對(duì)可能成為強(qiáng)制目標(biāo)的用戶提供強(qiáng)制告警？ 是 否終端超時(shí)是否設(shè)置了終端連接超時(shí)？ 是 否連接時(shí)間的限制是否對(duì)于某些重要的應(yīng)用

17、提供了附加控制來嚴(yán)格地限制連接時(shí)間？ 是 否應(yīng)用的訪問控制信息訪問限制是否按照特定的訪問控制政策對(duì)信息系統(tǒng)進(jìn)行訪問，訪問是否基于具體的商業(yè)應(yīng)用需求并與組織系統(tǒng)訪問政策一致？ 是 否敏感信息隔離是否對(duì)敏感系統(tǒng)設(shè)置一個(gè)專用（隔離）的計(jì)算機(jī)環(huán)境？ 是 否監(jiān)視系統(tǒng)訪問和使用事件記錄是否建立記錄以外和其他與安全相關(guān)的審核記錄，并保持一定的事件，以備將來用于調(diào)查和訪問控制監(jiān)視？ 是 否監(jiān)視系統(tǒng)使用是否建立了監(jiān)視信息處理設(shè)備使用的程序？ 是 否時(shí)鐘同步是否計(jì)算機(jī)或通信設(shè)備有按照世界時(shí)或本地時(shí)運(yùn)行真實(shí)時(shí)鐘的能力？ 是 否移動(dòng)計(jì)算和遠(yuǎn)程工作移動(dòng)計(jì)算是否考慮采用移動(dòng)計(jì)算設(shè)備帶來的風(fēng)險(xiǎn)，并建立有關(guān)的正式政策，特別是

18、在無保護(hù)的環(huán)境下？ 是 否是否對(duì)使用移動(dòng)設(shè)備與網(wǎng)絡(luò)進(jìn)行的連接給予適當(dāng)?shù)谋Ｗo(hù)？ 是 否遠(yuǎn)程工作是否已經(jīng)對(duì)遠(yuǎn)程工作的地點(diǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，以防對(duì)信息和設(shè)備的盜竊，信息的泄露，對(duì)組織內(nèi)部系統(tǒng)的遠(yuǎn)程未授權(quán)訪問和對(duì)系統(tǒng)的濫用等等？ 是 否是否組織考慮建立政策、程序和標(biāo)準(zhǔn)來控制遠(yuǎn)程工作活動(dòng)，以保證只有在依照組織的安全政策，采取了適當(dāng)?shù)陌踩胧┖涂刂埔院螅拍苓M(jìn)行遠(yuǎn)程工作？ 是 否8 系統(tǒng)開發(fā)和維護(hù)序號(hào)審查點(diǎn)問題描述符合情況備注系統(tǒng)安全需求安全需求的分析及詳述是否具有對(duì)新系統(tǒng)，或?qū)ΜF(xiàn)有系統(tǒng)進(jìn)行安全升級(jí)的安全需求聲明，并詳細(xì)說明有關(guān)控制需求？ 是 否是否在系統(tǒng)開發(fā)之前完成了風(fēng)險(xiǎn)評(píng)估工作？ 是 否應(yīng)用系統(tǒng)中的安全

19、輸入數(shù)據(jù)確認(rèn)是否數(shù)據(jù)輸入到應(yīng)用系統(tǒng)之前被確認(rèn)，以確保數(shù)據(jù)的輸入是正確的、適合的？ 是 否是否對(duì)商業(yè)交易，標(biāo)準(zhǔn)數(shù)據(jù)（姓名和地址，信用級(jí)別，用戶參考號(hào)碼），和參數(shù)表（銷售價(jià)格，貨幣兌換率，稅率）的輸入進(jìn)行了檢查？ 是 否內(nèi)部處理控制是否在數(shù)據(jù)處理過程中包含了可用性檢查，以確保正確輸入的數(shù)據(jù)不被錯(cuò)誤處理或故意破壞？ 是 否是否實(shí)施了適當(dāng)?shù)拇胧┯糜诒苊鈨?nèi)部處理錯(cuò)誤？ 是 否信息鑒別是否通過安全風(fēng)險(xiǎn)評(píng)估來決定是否需要信息鑒別，和選擇實(shí)施鑒別的最合適的方法？ 是 否輸出數(shù)據(jù)確認(rèn)是否對(duì)應(yīng)用系統(tǒng)中輸出的數(shù)據(jù)應(yīng)加以確認(rèn)，以確保對(duì)周圍系統(tǒng)而言，存儲(chǔ)信息的處理是正確的和適當(dāng)?shù)模?是 否密碼控制使用密碼控制的政策是否

20、通過風(fēng)險(xiǎn)評(píng)估來確定是否采用密碼系統(tǒng)加以保護(hù)？ 是 否加密是否考慮對(duì)敏感或重要信息進(jìn)行加密保護(hù)？ 是 否數(shù)字簽名是否采用數(shù)字簽名機(jī)制？ 是 否認(rèn)可服務(wù)是否抗抵賴機(jī)制被采用？ 是 否密鑰管理是否有密鑰管理系統(tǒng)來支持組織對(duì)加密技術(shù)的使用？ 是 否是否密鑰管理系統(tǒng)是基于認(rèn)可的標(biāo)準(zhǔn)、過程、方法？ 是 否系統(tǒng)文件安全操作系統(tǒng)軟件的控制是否存在相應(yīng)的機(jī)制對(duì)操作系統(tǒng)的系統(tǒng)文件進(jìn)行控制？ 是 否系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)是否對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)和控制？ 是 否程序源庫(kù)的訪問控制是否對(duì)程序源庫(kù)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)和限制？ 是 否研發(fā)和支持過程的安全系統(tǒng)更改控制過程是否規(guī)范化更改流程,以確保系統(tǒng)的安全性及控制過程不被損壞。 是 否

21、是否程序員只有在經(jīng)正式授權(quán)后才能更改他們的工作所需要的系統(tǒng)的部分？ 是 否操作系統(tǒng)變化的技術(shù)回顧是否當(dāng)變化發(fā)生時(shí)，對(duì)應(yīng)用系統(tǒng)進(jìn)行測(cè)試以保證對(duì)系統(tǒng)及安全性沒有負(fù)面影響？ 是 否對(duì)軟件包更改的限制是否對(duì)軟件包更改進(jìn)行限制？ 是 否隱藏的通道和特洛伊代碼是否檢查隱藏通道和特洛伊木馬？ 是 否外部采購(gòu)的軟件研發(fā)是否對(duì)外部研制的軟件考慮以下方面：a）許可證；b)確認(rèn)已進(jìn)行的工作的質(zhì)量和精度；c)在第三方合作失敗情況下，合同的安排；d)檢查工作的質(zhì)量和準(zhǔn)確性權(quán)力；e)合同對(duì)代碼的質(zhì)量的要求；f)在安裝前測(cè)試以發(fā)現(xiàn)特洛伊代？ 是 否9 商業(yè)持續(xù)性管理序號(hào)審查點(diǎn)問題描述符合情況備注商業(yè)持續(xù)性管理的特征商業(yè)連續(xù)性管理過程是否有一個(gè)可管理的過程，適