5?????安全政策

5.1???信息安全政策制定、發(fā)布和分發(fā)的程度如何？

???????（參考 ISO 27002：控制 5.1.1 和 5.1.2）

6?????信息安全組織

6.1???公司內(nèi)部如何組織信息安全？

???????（參考 ISO 27002：控制 6.1.3）

6.2???在與外部公司簽約之前，是否對(duì)人員和組織風(fēng)險(xiǎn)進(jìn)行了風(fēng)險(xiǎn)分析？

???????（參考 ISO 27002：控制 6.2.1）

6.3???與外部公司合作如何確保保密協(xié)議？

???????（參考 ISO 27002：控制 6.2.3）

7?????資產(chǎn)管理

7.1????“公司的（實(shí)物和數(shù)字）資產(chǎn)如何盤(pán)點(diǎn)？

“

???????（參考 ISO 27002：控制 7.1.1）

7.2????《公司信息如何分類(lèi)？

“

???????（參考 ISO 27002：控制 7.2.1）

8?????人力資源安全

8.1???員工在多大程度上有義務(wù)遵守信息安全要求？

???????（參考 ISO 27002：控制 8.1.3）

8.2???如何對(duì)員工進(jìn)行培訓(xùn)并使其了解處理有關(guān)信息及其處理的威脅？

???????（參考 ISO 27002：控制 8.2.1 和 8.2.2）

8.3???在就業(yè)變化的情況下，訪問(wèn)權(quán)限或授權(quán)在多大程度上被調(diào)整（授予/撤銷(xiāo)權(quán)利）以及這些變化是如何記錄的？

???????（參考 ISO 27002：控制 8.3.1 和 8.3.3）

9?????物理和環(huán)境安全

9.1???如何定義安全區(qū)域以及如何保護(hù)它們？

???????（參考 ISO 27002：控制 9.1.1）

9.2???公司對(duì)物理威脅（例如火災(zāi)、地震等）的準(zhǔn)備程度如何？

???????（參考 ISO 27002：控制 9.1.4）

9.3???公司內(nèi)部的門(mén)禁管理是如何組織的？

???????（參考 ISO 27002：控制 9.1.6）

9.4???為保護(hù)已交付或已發(fā)貨的貨物采取了哪些預(yù)防措施？

???????（參考 ISO 27002：控制 9.1.6）

9.5???如何定義資源使用（包括清除、處置和回收）的過(guò)程？

???????（參考 ISO 27002：控制 9.2.5、9.2.6 和 9.2.7）

10???通信和運(yùn)營(yíng)管理

10.1?公司內(nèi)部系統(tǒng)在多大程度上建立了變更管理，這些系統(tǒng)是最新的嗎？

???????（參考 ISO 27002：控制 10.1.2）

10.2?開(kāi)發(fā)和測(cè)試設(shè)施/系統(tǒng)與運(yùn)營(yíng)設(shè)施/系統(tǒng)的分離程度如何？

???????（參考 ISO 27002：控制 10.1.4）

10.3?外部公司提供的服務(wù)、報(bào)告和記錄如何對(duì)信息安全進(jìn)行監(jiān)控和審計(jì)/檢查？

???????（參考 ISO 27002：控制 10.2.2）

10.4?公司內(nèi)部針對(duì)惡意軟件（病毒、蠕蟲(chóng)等）的防護(hù)已開(kāi)發(fā)到何種程度？

???????（參考 ISO 27002：控制 10.4.1）

10.5?本地防火墻和/或 HIDS/HIPS 軟件在多大程度上安裝在所有系統(tǒng)上？

???????（參考 ISO 27002：控制 10.4.1）

10.6?對(duì)活動(dòng)內(nèi)容（例如 ActiveX-Controls、Java-Applets）采取了何種程度的安全措施？

???????（參考 ISO 27002：控制 10.4.2）

10.7?如何創(chuàng)建和控制數(shù)據(jù)備份，定期測(cè)試恢復(fù)到什么程度？

???????（參考 ISO 27002：控制 10.5.1）

10.8?如何管理和控制網(wǎng)絡(luò)以保護(hù)它們免受威脅？

???????（參考 ISO 27002：控制 10.6.1）

10.9?公司內(nèi)部對(duì)調(diào)制解調(diào)器設(shè)備（如模擬、ISDN、DSL、UMTS、GPRS 等）的使用如何監(jiān)管？

???????（參考 ISO 27002：控制 10.6.1）

10.10??????網(wǎng)絡(luò)服務(wù)（例如DNS、DHCP、VPN、MPLS、ERP、電子郵件、DMS……）的安全要求在多大程度上被定義和實(shí)施？

???????（參考 ISO 27002：控制 10.6.2）

10.11??????網(wǎng)絡(luò)服務(wù)（例如DNS、DHCP、VPN、MPLS、ERP、電子郵件、DMS……）的服務(wù)水平協(xié)議（SLA）在多大程度上完成？

???????（參考 ISO 27002：控制 10.6.2）

10.12??????關(guān)于移動(dòng)存儲(chǔ)介質(zhì)（例如磁帶、USB 記憶棒、USB 硬盤(pán)驅(qū)動(dòng)器、CD、DVD 等）處理的政策在多大程度上存在？

???????（參考 ISO 27002：控制 10.7.1）

10.13??????安全處置不再需要的計(jì)算機(jī)媒體的流程在多大程度上存在？

???????（參考 ISO 27002：控制 10.7.2）

10.14??????在物理運(yùn)輸包含機(jī)密信息的媒體（例如 CD、DVD、紙質(zhì)文件）（例如 DHL、UPS）時(shí)，采取了何種程度的預(yù)防措施？

???????（參考 ISO 27002：控制 10.8.3）

10.15以電子方式交換機(jī)密信息時(shí)采取了??????哪些預(yù)防措施？

???????（參考 ISO 27002：控制 10.8.4）

10.16??????系統(tǒng)管理員和操作員的活動(dòng)如何登錄關(guān)鍵系統(tǒng)？

???????（參考 ISO 27002：控制 10.10.4）

10.17??????流程的定義和實(shí)施在多大程度上滿足了有關(guān)監(jiān)控和記錄信息系統(tǒng)使用情況的法律要求？

???????（參考 ISO 27002：控制 10.10.1、10.10.2、10.10.3 和 10.10.5）

11???訪問(wèn)控制

11.1?在多大程度上存在用戶注冊(cè)、更改和刪除流程以確保對(duì)所有信息系統(tǒng)和服務(wù)的適當(dāng)訪問(wèn)？

???????（參考 ISO 27002：控制 11.2.1）

11.2?如何授予和檢查各種用例的用戶和管理員權(quán)限？

???????（參考 ISO 27002：控制 11.2.2 和 11.2.4）

11.3?關(guān)于創(chuàng)建和處理個(gè)人密碼的政策在多大程度上被定義？

???????（參考 ISO 27002：控制 11.3.1）

11.4?已在何種程度上定義了概述密碼結(jié)構(gòu)和復(fù)雜程度的政策，以及為使用和向用戶提供密碼的規(guī)則？

???????（參考 ISO 27002：控制 11.2.3）

11.5?離開(kāi)工作區(qū)時(shí)對(duì)處理設(shè)備和文件有什么要求？

???????（參考 ISO 27002：控制 11.3.3）

11.6?對(duì)遠(yuǎn)程訪問(wèn)公司網(wǎng)絡(luò)的政策和措施制定和實(shí)施到什么程度？

???????（參考 ISO 27002：控制 11.4.2）

11.7?對(duì)系統(tǒng)和基礎(chǔ)設(shè)施組件診斷和配置端口的訪問(wèn)對(duì)技術(shù)網(wǎng)絡(luò)訪問(wèn)進(jìn)行了何種程度的監(jiān)控？

???????（參考 ISO 27002：控制 11.4.4）

11.8?通過(guò)分段/分離，網(wǎng)絡(luò)安全性提高到什么程度？

???????（參考 ISO 27002：控制 11.4.5）

11.9?IT系統(tǒng)的訪問(wèn)按照數(shù)據(jù)和信息的分類(lèi)實(shí)施了多少用戶認(rèn)證？

???????（參考 ISO 27002：控制 11.5.2）

11.10??????該政策在多大程度上參考了與移動(dòng)計(jì)算機(jī)相關(guān)的風(fēng)險(xiǎn)？

???????（參考 ISO 27002：控制 11.7.1）

12???信息系統(tǒng)獲取、開(kāi)發(fā)和管理

12.1?使用加密（密碼學(xué)）對(duì)信息進(jìn)行適當(dāng)保護(hù)的程度如何？

???????（參考 ISO 27002：控制 12.3.1）

12.2?在購(gòu)買(mǎi)或開(kāi)發(fā)軟件時(shí)，對(duì)信息安全要求的考慮程度如何？

???????（參考 ISO 27002：控制 12.5.4）

12.3?對(duì)信息系統(tǒng)技術(shù)漏洞的信息進(jìn)行及時(shí)評(píng)估的程度如何，對(duì)安全實(shí)施（補(bǔ)丁管理）采取了何種程度的適當(dāng)措施？

???????（參考 ISO 27002：控制 12.6.1）

13???信息安全事件管理

13.1?公司內(nèi)部信息安全事件是如何以及在哪里報(bào)告的？

???????（參考 ISO 27002：控制 13.1.1 和 13.1.2）

13.2?信息安全事件和漏洞的評(píng)估和處理程度如何？

???????（參考 ISO 27002：控制 13.2.1）

14???業(yè)務(wù)連續(xù)性管理

14.1?公司內(nèi)部為發(fā)展和維護(hù)業(yè)務(wù)連續(xù)性（穩(wěn)定業(yè)務(wù)的連續(xù)性）采取了何種措施？

???????（參考 ISO 27002：控制 14.1.1）

15???合規(guī)性

15.1?在何種程度上確保了有關(guān)知識(shí)產(chǎn)權(quán)（例如專(zhuān)利、軟件開(kāi)發(fā)和代碼等）的法律要求？

???????（參考 ISO 27002：控制 15.1.2）

15.2?實(shí)施了哪些法規(guī)和措施以保護(hù)個(gè)人信息符合法律/合同法規(guī)（例如數(shù)據(jù)隱私法）？

???????（參考 ISO 27002：控制 15.1.4）

15.3?在多大程度上檢查了組織部門(mén)是否符合公司安全政策和標(biāo)準(zhǔn)？

???????（參考 ISO 27002：控制 15.2.1）

15.4?對(duì)運(yùn)營(yíng)信息系統(tǒng)的安全審計(jì)（滲透和漏洞測(cè)試）進(jìn)行了何種程度的精心策劃、協(xié)調(diào)和執(zhí)行？

???????（參考 ISO 27002：控制 15.2.2）