信息安全管理體系自檢表

供應(yīng)商信息安全管理體系自檢表,,,,

1、信息安全體系,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

1.1,供應(yīng)商是否制定信息安全管理的相關(guān)方針、政策、制度并實施？,2,有制定如計算機信息保密制度、指紋門禁等,"○政策或制度文件

△執(zhí)行記錄"

1.2,供應(yīng)商是否建立信息安全管理組織并例行運作？如：建立信息安全委員會，包括高層領(lǐng)導(dǎo)、各部相關(guān)主管、信息安全部或?qū)＜媛毿畔踩珜＜遥▎T）等。,2,有制定資安組織架構(gòu)，有相關(guān)運作記錄。,"○組織任命文件

△組織運作記錄"

1.3,供應(yīng)商是否制定信息安全規(guī)范及違規(guī)處罰條例并實施？,2,員工手冊上有相關(guān)處罰條例,"○規(guī)范及違規(guī)處罰條例

△檢查記錄"

1.4,供應(yīng)商是否對信息資產(chǎn)進行密級劃分，如絕秘、機密、秘密、內(nèi)部公開、外部公開等，并進行分級管理？信息資產(chǎn)獲取和使用是否嚴(yán)格執(zhí)行“工作相關(guān)、最小授權(quán)、審批受控和不信任原則”？,2,有分級，針對文件與計算機網(wǎng)絡(luò)、USB接口等進行管控。,○信息資產(chǎn)管理文件

1.5,供應(yīng)商是否通過第三方ISO27001信息安全體系認(rèn)證？,2,無,○證書掃描件

1.6,供應(yīng)商是否定期組織信息安全內(nèi)部稽查，并針對發(fā)現(xiàn)的問題進行改善？,2,不夠完善,△稽查報告、改善計劃及問題關(guān)閉情況

總得分Subtotal,,12,,

合規(guī)性Compliance%,,100.00%,,

2、信息安全協(xié)議,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

2.1,供應(yīng)商是否與***簽暑(Non-DisclosureAgreement)協(xié)議？,2,暫無,○已簽署的NDA協(xié)議掃描件

2.2,供應(yīng)商是否將NDA協(xié)議條款融入到信息安全管理制度、規(guī)范中？,2,,○管理制度、規(guī)范

2.3,供應(yīng)商是否與員工簽署信息安全保密協(xié)議？保密協(xié)議須包含違約處罰及追究刑事責(zé)任等條款。,2,有簽訂員工保密協(xié)議、專案保密協(xié)議,"○關(guān)鍵崗位員工專項保密協(xié)議掃描件

○普通員工通用版保密協(xié)議掃描件"

總得分Subtotal,,6,,

合規(guī)性Compliance%,,100.00%,,

3、人員管理,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

3.1,供應(yīng)商是否建立關(guān)鍵崗位人員清單？包括但不限于姓名、信用等級、IT權(quán)限、保密協(xié)議簽署、崗前培訓(xùn)等。,2,,△關(guān)鍵崗位人員清單

3.2,供應(yīng)商是否建立關(guān)鍵崗位信息安全管理細(xì)則？,2,,○管理文件

3.3,供應(yīng)商負(fù)責(zé)***項目的人員不得參與***競爭對手的項目。,2,,○管理文件

3.4,供應(yīng)商招聘關(guān)鍵崗位人員是否進行了信用度審查？包括但不限于背景調(diào)查、誠信記錄、入職動機、工作穩(wěn)定性等。,2,,△信用度審查記錄

3.5,供應(yīng)商是否對新員工進行信息安全入職培訓(xùn)？包括但不限于信息安全制度、規(guī)范，員工保密協(xié)議內(nèi)容等。,2,,"○培訓(xùn)教材

△培訓(xùn)記錄"

3.6,供應(yīng)商是否例行組織在職員工的信息安全培訓(xùn)和宣傳？,2,,"○培訓(xùn)教材

△宣傳材料

△培訓(xùn)記錄"

3.7,供應(yīng)商是否對關(guān)鍵崗位人員進行信息安全例行檢查，并針對發(fā)現(xiàn)的問題進行改善？,2,,"○檢查CheckList

△檢查結(jié)果及改善記錄"

3.8,供應(yīng)商在關(guān)鍵崗位人員離職前，是否安排一個月脫密期？是否及時收回信息資產(chǎn)及IT權(quán)限？是否進行日志審計？,2,,"○管理文件

△離職人員信息確認(rèn)表

△審計記錄"

3.9,供應(yīng)商是否禁止關(guān)鍵崗位人員與無關(guān)人員談?wù)摶蛐孤?**項目信息？,2,針對可能會接觸產(chǎn)品或者產(chǎn)品信息人員簽訂保密協(xié)議,○管理文件

3.10,供應(yīng)商是否建立外來人員管理要求？來訪人員是否登記備案？,2,有程序文件、門禁管制制度、來賓管理程序,"○管理文件

△來訪人員登記記錄"

總得分Subtotal,,20,,

合規(guī)性Compliance%,,100.00%,,

4、物理安全,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

4.1,供應(yīng)商是否建立***專區(qū)或物理隔離區(qū)？,2,,△專區(qū)或物理隔離區(qū)照片

4.2,供應(yīng)商是否在***專區(qū)或物理隔離區(qū)設(shè)置門禁、攝像頭和保安員？,2,,△區(qū)域門禁、攝像頭、保安員照片

4.3,供應(yīng)商進入***專區(qū)或物理隔離區(qū)的人員是否佩帶身份標(biāo)識卡？,2,,△身份標(biāo)識卡照片

4.4,供應(yīng)商是否在***專區(qū)或物理隔離區(qū)門口標(biāo)識“***專區(qū)，無關(guān)人員禁止進入”？,2,,△區(qū)域標(biāo)識照片

4.5,供應(yīng)商是否禁止***競爭對手參觀***專區(qū)或物理隔離區(qū)？,2,,○管理文件

4.6,未經(jīng)***采購信息安全主管授權(quán)，禁止在***專區(qū)或物理隔離區(qū)拍照、錄像。,2,,○管理文件

4.7,***專區(qū)或物理隔離區(qū)是否使用獨立的IT系統(tǒng)？包括服務(wù)器、計算機、存儲介質(zhì)及訪問控制等。,2,,○管理文件

4.8,供應(yīng)商的服務(wù)器機房是否安裝防火、防水及報警等裝置？,2,,△機房照片（標(biāo)識各裝置位置）

總得分Subtotal,,16,,

合規(guī)性Compliance%,,100.00%,,

5、IT管理,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

5.1,供應(yīng)商是否建立IT系統(tǒng)信息安全管理要求？包括IT權(quán)限、計算機、服務(wù)器、存儲介質(zhì)、機房等管理。,2,有相關(guān)文件,○IT系統(tǒng)信息安全管理要求

5.2,供應(yīng)商是否通過IT手段禁用USB口、外網(wǎng)訪問和郵件外發(fā)？特殊情況使用，是否經(jīng)過業(yè)務(wù)及信息安全主管審批？,2,有文件管控及實際管控,"△IT控制措施

△審批記錄"

5.3,供應(yīng)商是否通過IT技術(shù)手段監(jiān)控所有計算機的USB口、光驅(qū)、硬盤、網(wǎng)口以及郵件發(fā)送、外網(wǎng)訪問等？,2,通過企業(yè)端可監(jiān)控和控制,△監(jiān)控截圖

5.4,供應(yīng)商計算機是否設(shè)置開機密碼、域密碼、屏保密碼等？密碼復(fù)雜度是否符合要求？,2,電腦依個人設(shè)置個人賬戶及密碼，離開電腦旁需鎖定電腦屏幕。,○管理文件

5.5,供應(yīng)商計算機是否設(shè)置自動屏保？屏保啟動時間是否小于10分鐘？,2,設(shè)置電腦密碼、離開電腦需鎖定電腦屏幕。,○管理文件

5.6,供應(yīng)商服務(wù)器或公共盤是否設(shè)置訪問權(quán)限？開通權(quán)限是否經(jīng)過業(yè)務(wù)及信息安全主管批準(zhǔn)？,2,網(wǎng)絡(luò)權(quán)限申請單，經(jīng)信息主管審核、總經(jīng)理批準(zhǔn)。,"△權(quán)限清單

△審批記錄"

5.7,供應(yīng)商是否有兩個以上IT系統(tǒng)管理員并使用獨立帳號和密碼？所有人員的帳號和密碼嚴(yán)禁轉(zhuǎn)借或擴散。,2,電腦依個人設(shè)置個人賬戶及密碼,○管理文件

5.8,供應(yīng)商服務(wù)器是否異地適時備份？,2,服務(wù)器有定期備份。,"○備份機制

△備份記錄截圖"

5.9,供應(yīng)商計算機、服務(wù)器或存儲設(shè)備，停止使用或用作它用前是否進行低級格式化？,2,所有辦公電腦在更換用途時會將數(shù)據(jù)備份，然后格式化。,"○管理文件

△低格記錄"

5.10,供應(yīng)商關(guān)鍵崗位是否禁止使用便攜機？臺式機機箱是否加鎖？,2,所有人員不得攜帶個人計算機進入公司。公司計算機不得出公司。,"○管理文件

△加鎖照片"

總得分Subtotal,,20,,

合規(guī)性Compliance%,,100.00%,,

6、文檔下載,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

6.1,供應(yīng)商下載***文檔的計算機是否使用專用臺式機？是否使用固定IP和MAC地址綁定并申報***備案？,2,,"○管理文件

△固定IP和MAC地址對應(yīng)表"

6.2,供應(yīng)商是否指定專員負(fù)責(zé)***文檔接收和下載？專員是否有備份？專員及備份人員個人信息是否報***備案？,2,,△專員信息表

6.3,供應(yīng)商下載***文檔的專員是否簽暑專項保密協(xié)議？是否通過信用度審查？是否從內(nèi)部調(diào)配經(jīng)過2－3年考驗、穩(wěn)定性好、誠信度高、規(guī)范嚴(yán)謹(jǐn)?shù)膯T工擔(dān)任？,2,,"△保密協(xié)議掃描件

△信用度審查記錄掃描件"

6.4,供應(yīng)商接收和下載的***文檔是否存放在指定的服務(wù)器或公共盤？是否禁止通過內(nèi)部郵件、可移動存儲設(shè)備方式傳遞***文檔？,2,,"○管理文件

△服務(wù)器或公共盤名稱或截圖"

6.5,供應(yīng)商存放***文檔的服務(wù)器和公共盤是否設(shè)置訪問權(quán)限？是否確保只有負(fù)責(zé)***文檔轉(zhuǎn)換或工程設(shè)計的人員可以訪問？,2,,△權(quán)限清單

6.6,供應(yīng)商接收和下載的***文檔是否建立清單？是否按照產(chǎn)品結(jié)構(gòu)齊套保存？,2,,△***文檔清單

總得分Subtotal,,12,,

合規(guī)性Compliance%,,100.00%,,

7、文檔轉(zhuǎn)換,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

7.1,供應(yīng)商是否建立***文檔轉(zhuǎn)換與設(shè)計人員信息安全要求及內(nèi)部文件傳遞規(guī)范？,2,,"○文檔轉(zhuǎn)換與設(shè)計人員信息安全要求

○內(nèi)部文件傳遞規(guī)范

"

7.2,供應(yīng)商***文檔轉(zhuǎn)換與設(shè)計區(qū)域是否安裝門禁、攝像頭？,2,,△區(qū)域門禁、攝像頭照片

7.3,供應(yīng)商轉(zhuǎn)換后的文檔是否無***LOGO？,2,,○管理文件

7.4,供應(yīng)商轉(zhuǎn)換后的文檔是否通過服務(wù)器或公共盤開放權(quán)限傳遞給文控中心？禁止通過內(nèi)部郵件、移動存儲設(shè)備傳遞文檔。,2,,"○管理文件

△服務(wù)器或公共盤名稱或截圖"

7.5,供應(yīng)商負(fù)責(zé)***文檔轉(zhuǎn)換與設(shè)計的工程師是否簽暑專項保密協(xié)議？是否通過信用度審查？,2,,"△保密協(xié)議掃描件

△信用度審查記錄掃描件"

7.6,供應(yīng)商是否禁止打印文件？特殊情況打印，是否經(jīng)過業(yè)務(wù)及信息安全主管審批？,2,,○管理文件

總得分Subtotal,,12,,

合規(guī)性Compliance%,,100.00%,,

8、文控中心,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

8.1,供應(yīng)商是否建立文件管理規(guī)定及文控人員信息安全管理要求？,2,,"○文件管理規(guī)定

○文控人員管理要求"

8.2,供應(yīng)商文控中心是否設(shè)置專區(qū)、專柜、專人管理？是否安裝門禁、攝像頭？,2,,△文控中心專區(qū)、專柜、門禁、攝像頭照片

8.3,供應(yīng)商與***項目相關(guān)的文檔是否按照機密文件進行管理？,2,,○管理文件

8.4,供應(yīng)商的紙件文檔的發(fā)放、查閱是否進行登記？登記記錄是否最少保存一年？,2,,△文檔發(fā)放、借閱登記記錄

8.5,供應(yīng)商因產(chǎn)品停止生產(chǎn)或版本切換等原因?qū)⒁白鲝U”的文件是否進行回收并保留回收記錄？,2,,△文件回收記錄

總得分Subtotal,,10,,

合規(guī)性Compliance%,,100.00%,,

9、生產(chǎn)區(qū)域,,,,

序號#,評分內(nèi)容Requirements,得分Score,評分備注Scoringremarks,"證據(jù)要求Evidence

○流程文件

△執(zhí)行記錄"

9.1,供應(yīng)商生產(chǎn)區(qū)域是否制定信息安全管理要求并明確傳達到每一個人？,2,有制定3級安保措施、針對不同等級的區(qū)域采取不同保密等級規(guī)定，并以通告、郵件等發(fā)布。,"○生產(chǎn)區(qū)域信息安全管理規(guī)定

△宣傳或培訓(xùn)記錄"

9.2,供應(yīng)商生產(chǎn)區(qū)域是否安裝門禁、攝像頭并配置保安人員？,2,重要區(qū)域均配置攝像頭、并保存三個月，配置安保人員,△生產(chǎn)區(qū)域門禁、攝像頭、