ISO177992005SANSAuditCheckList(CN)信息安全管理

1、iso iec 27002:2005 審計清單 4/09/2021 信息安全管理iso/ iec 27002:2005(iso/ iec 27001:2005)sans audit check listauthor: val thiagarajan b.e., m.comp, ccse, mcse, sfs, its 2319, it security specialist.status: finallast updated: 3rd may 2006owner: sanspermission to use extracts from iso 17799:2005 was provided b

2、y standards council of canada, in cooperation with ihs canada. no further reproduction is permitted without prior written approval from standards council of canada. documents can be purchased at www.standardsstore.ca.目錄安全方針4信息安全方針4信息安全的組織5內(nèi)部組織5外部組織6資產(chǎn)管理7對資產(chǎn)的責(zé)任7信息分類7人力資源安全8雇傭前8雇傭中8雇傭終止或變更9物理和環(huán)境安全9安全區(qū)

3、域9設(shè)備安全10通訊和操作管理12操作程序和職責(zé)12第三方服務(wù)交付管理13系統(tǒng)規(guī)劃與驗收13防范惡意代碼和移動代碼14備份14網(wǎng)絡(luò)安全管理14介質(zhì)處置15信息交換15電子商務(wù)服務(wù)16監(jiān)督17訪問控制18訪問控制的業(yè)務(wù)要求18用戶訪問管理18用戶責(zé)任19網(wǎng)絡(luò)訪問控制20操作系統(tǒng)訪問控制21應(yīng)用和信息訪問控制22移動計算和遠程工作22信息系統(tǒng)的獲取、開發(fā)和維護23信息系統(tǒng)安全要求23應(yīng)用的正確處理23加密控制24系統(tǒng)文件安全25開發(fā)和支持過程的安全25技術(shù)脆弱點管理26信息安全事故管理27報告信息安全事件和弱點27信息安全事故的管理和改進27業(yè)務(wù)連續(xù)性管理28業(yè)務(wù)連續(xù)性管理的信息安全方面28符合性

4、29符合法律法規(guī)要求29符合安全方針、標準，以及技術(shù)符合性31信息系統(tǒng)審核的考慮因素31參考資料32信息安全管理 iso iec 27002:2005 審計清單審計人員：_ 審計日期：_信息安全管理 iso iec 27002:2005 審計清單參考審計范圍、目標和問題結(jié)果清單章節(jié)條款審計問題發(fā)現(xiàn)符合性安全方針1.15.1信息安全方針.1信息安全方針文件l 是否存在經(jīng)過管理層批準的信息安全方針，發(fā)布并傳達給所有員工？l 安全方針是否陳述了管理承諾，并且設(shè)立了信息安全管理的組織目標？.2信息安全方針的評審l 是否按計劃的時間間隔，或者在發(fā)生重大變化時評審信息安全方

5、針，以確保方針的持續(xù)適合性、充分性和有效性？l 信息安全方針有沒有所有者，此人負有經(jīng)過組織批準的起草、評審和評估安全方針的管理責(zé)任？l 有沒有制定信息安全方針評審程序，該程序是否包括管理評審的要求？l 有沒有考慮/重視管理評審的結(jié)果？l 修訂的方針有沒有得到管理層的批準？信息安全的組織2.16.1內(nèi)部組織.1管理層對信息安全的承諾管理層有沒有積極支持組織內(nèi)的安全措施。例如清楚明確的方向，可證實的承諾，明確分配和確認信息安全職責(zé)。.2信息安全協(xié)調(diào)組織的各個部門有沒有指派具有恰當?shù)慕巧吐氊?zé)的代表參與協(xié)調(diào)信息安全活動？.3信息安全職責(zé)分配有沒有清晰地

6、識別和定義保護各種資產(chǎn)，以及執(zhí)行特定安全過程的職責(zé)？.4信息處理設(shè)施的授權(quán)過程有沒有定義和實施對組織內(nèi)任何新的信息處理設(shè)施的管理授權(quán)程序？.5保密協(xié)議l 有沒有清楚地定義并有規(guī)律地評審組織的保密性需求或用于保護信息的保密協(xié)議？l 有沒有用合適的法律用詞指出保護機密信息的需求？.6與政府部門的聯(lián)系有沒有一個程序描述了在什么情況下，應(yīng)該由誰聯(lián)系哪個政府部門，比如公安局、消防局，以及如何報告事故？.7與特殊利益團體的聯(lián)系有沒有與特殊的利益團體比如專業(yè)的安全論壇或者安全專家協(xié)會保持恰當?shù)穆?lián)系？.8信息安全的獨立評審有沒有按

7、照計劃的時間間隔，或者在安全實施發(fā)生重大改變時，對組織的信息安全管理目標及其實現(xiàn)進行獨立評審？2.26.2外部組織.1識別與外部組織相關(guān)的風(fēng)險在外部組織需要訪問組織內(nèi)的信息和信息處理設(shè)施時，有沒有在授予訪問權(quán)限前識別訪問導(dǎo)致的風(fēng)險，并采取適當?shù)目刂拼胧?2與客戶接觸時強調(diào)安全在授予客戶對組織的信息或資產(chǎn)的訪問權(quán)限前，是否確保所有的安全需求得到了滿足？.3在第三方協(xié)議中強調(diào)安全第三方協(xié)議中有沒有要求在訪問、處理、通訊、管理組織的信息或信息處理設(shè)施，或者往信息處理設(shè)施引入產(chǎn)品或服務(wù)時，必須符合所有適用的安全要求？資產(chǎn)管理3.17.1對資產(chǎn)的責(zé)任3.

8、資產(chǎn)清單是不是所有的資產(chǎn)都得到識別，有沒有維護所有重要資產(chǎn)的清單或者登記表.2資產(chǎn)責(zé)任人每個已識別的資產(chǎn)都有責(zé)任人，和一個已定義且得到一致同意的安全類別，以及定期審核的訪問權(quán)限.3資產(chǎn)的可接受使用有沒有確定一個信息和資產(chǎn)的可接受使用規(guī)定，并實施了該規(guī)定3.27.2信息分類.1分類指南有沒有根據(jù)信息的價值、法律法規(guī)的要求、敏感度和重要性分類信息.2信息標識和處理有沒有根據(jù)組織采用的分類標準，制定一系列標識和處理信息的程序人力資源安全4.18.1雇傭前.1角色和職責(zé)l 有沒有根據(jù)組織的信息安全策略定義并

9、記錄員工、承包商和第三方用戶的安全角色和職責(zé)l 在雇用前過程中有沒有就定義的角色和職責(zé)與職位的候選人進行明確的溝通.2審查l 有沒有根據(jù)相關(guān)規(guī)定對所有職位、合同商和第三方用戶候選者進行背景驗證審查l 審查有沒有包括身份證明書，所聲稱的學(xué)術(shù)和專業(yè)資質(zhì)證明，以及獨立的身份檢驗.3雇傭條款和條件l 有沒有要求員工、合同商和第三方用戶簽訂保密協(xié)議，作為雇傭合同的初始條款l 協(xié)議有沒有包含組織、員工、第三方用戶和合同商的信息安全責(zé)任4.28.2雇傭中.1管理職責(zé)管理層有沒有要求員工、合同商和第三方用戶根據(jù)組織建立的策略和程序?qū)嵤┌踩?2信息

10、安全意識、教育和培訓(xùn)組織的所有員工，合同方和第三方用戶，有沒有受到與其工作職能相關(guān)的適當?shù)陌踩庾R培訓(xùn)和組織方針及程序的定期更新培訓(xùn).3懲戒過程對于違反安全規(guī)定的員工有沒有正式的懲戒過程4.38.3雇傭終止或變更.1終止職責(zé)有沒有清晰規(guī)定和分配進行雇傭終止或變更的責(zé)任.2歸還資產(chǎn)有沒有適當?shù)某绦虼_保當雇傭、合同或協(xié)議終止時，員工、合同方和第三方用戶歸還所使用的組織資產(chǎn).3移除訪問權(quán)限當雇傭、合同或協(xié)議終止時，有沒有撤銷員工、合同方和第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限，或根據(jù)變化調(diào)整物理和環(huán)境安全5.19.1安全區(qū)域5.1.1

11、9.1.1物理安全邊界有沒有使用物理邊界安全設(shè)施（例如門卡控制出入的大門、人工接待臺等）來保護信息處理服務(wù).2物理進入控制有沒有適當?shù)倪M入控制程序確保只有經(jīng)過授權(quán)的人員才可以訪問組織內(nèi)部區(qū)域.3辦公室、房間和設(shè)施的安全提供信息處理服務(wù)的房間有沒有上鎖或者房內(nèi)有可鎖定的柜子、保險箱.4防范外部和環(huán)境威脅l 有沒有設(shè)計并實施針對火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護措施l 鄰近地點有沒有潛在的安全威脅.5在安全區(qū)域工作有沒有設(shè)計并實施在安全區(qū)域工作的物理保護措施和指南.6公共訪問和裝卸區(qū)域?qū)τ?/p>

12、裝卸或其他未經(jīng)授權(quán)人員可以進入的公共訪問區(qū)域有沒有加以控制，那里的信息處理設(shè)施有沒有加以隔離以防止非授權(quán)的訪問5.29.2設(shè)備安全.1設(shè)備安置和保護有沒有保護設(shè)備以減少來自環(huán)境的威脅或危害，并減少未經(jīng)授權(quán)訪問的機會 .2支持性設(shè)施l 有沒有保護設(shè)備免受電力中斷或其他支持性設(shè)施失效所導(dǎo)致的中斷l(xiāng) 有沒有采取某些持續(xù)供電措施，如多路供電、ups、備用發(fā)電機等.3電纜安全l 有沒有保護承載數(shù)據(jù)或支持信息服務(wù)的電力和通訊電纜免遭中斷或破壞l 對于敏感或關(guān)鍵的系統(tǒng)，有沒有采取進一步的安全控制.4設(shè)備維護l 有沒有正確地維護設(shè)備以確保其持續(xù)可

13、用性和完整性l 設(shè)備是不是按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范進行維護l 是不是只有經(jīng)過授權(quán)的人員才能進行維護l 有沒有保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正措施的記錄l 對于需要離場維護的設(shè)備有沒有進行適當?shù)目刂苐 設(shè)備有沒有保險，有沒有遵守保險方面的要求.5場外設(shè)備安全l 有沒有評估場外設(shè)備的風(fēng)險并采取降低風(fēng)險的控制措施l 在組織外使用信息處理設(shè)施有沒有得到管理授權(quán).6設(shè)備的安全處置或重用有沒有檢查所有含存儲介質(zhì)的設(shè)備，以確保在銷毀或重用設(shè)備前物理摧毀或者安全重寫所有敏感數(shù)據(jù)或授權(quán)軟件.7資產(chǎn)轉(zhuǎn)移有沒有控制措施，確保未經(jīng)授權(quán)，不能將設(shè)備、

14、信息和軟件帶離工作場所通訊和操作管理6.110.1操作程序和職責(zé).1文件化的操作程序l 操作程序有沒有文件化，得到維護且所有需要的用戶都可以獲得l 有沒有把這些文件化程序視為正式的文件，且任何變更須得到管理授權(quán).2變更管理有沒有控制所有對信息處理設(shè)施和系統(tǒng)的變更6.1.310.1.3職責(zé)分離有沒有分離職責(zé)和區(qū)域，以降低未授權(quán)修改或濫用組織的信息和服務(wù)的機會6.1.410.1.4開發(fā)、測試與運營設(shè)施的分離有沒有分離開發(fā)、測試和運營設(shè)施。例如，開發(fā)和生產(chǎn)軟件應(yīng)該運行在不同的計算機上。開發(fā)和生產(chǎn)網(wǎng)絡(luò)應(yīng)該互相隔離6.210.2第三方服務(wù)交付管理.1

15、服務(wù)交付有沒有措施確保第三方實施、運行并保持第三方服務(wù)交付協(xié)議中包含的安全控制、服務(wù)定義和交付等級.2第三方服務(wù)的監(jiān)督和評審l 有沒有定期對第三方提供的服務(wù)、報告和記錄進行監(jiān)視和評審l 有沒有定期對第三方服務(wù)、報告和記錄進行審核6.2.310.2.3管理第三方服務(wù)的變更l 有沒有管理服務(wù)提供的變更，包括保持和改進現(xiàn)有信息安全方針、程序和控制措施l 有沒有考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、涉及的過程和風(fēng)險的再評估6.310.3系統(tǒng)規(guī)劃與驗收.1容量管理有沒有監(jiān)控容量需求并反應(yīng)未來的容量要求，以確保擁有足夠的處理能力和存儲空間.2系統(tǒng)驗收l 有沒有建立新

16、信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準則l 接收系統(tǒng)前有沒有進行適當?shù)臏y試6.410.4防范惡意代碼和移動代碼.1防范惡意代碼有沒有制定并實施程序，通過檢測、預(yù)防和恢復(fù)來防范惡意代碼，并進行適當?shù)挠脩粢庾R培訓(xùn).2防范移動代碼l 是不是只可以使用獲得授權(quán)的移動代碼l 配置管理有沒有確保授權(quán)的移動代碼按照安全方針運行l(wèi) 有沒有阻止未經(jīng)授權(quán)的移動代碼運行6.510.5備份.1信息備份l 有沒有根據(jù)既定的備份策略對信息和軟件進行備份并定期測試l 所有基本的信息和軟件能否在災(zāi)難或介質(zhì)故障后進行恢復(fù)6.610.6網(wǎng)絡(luò)安全管理.1網(wǎng)絡(luò)控制l

17、 有沒有充分管理和控制網(wǎng)絡(luò)以防范威脅、保持使用網(wǎng)絡(luò)包括信息傳輸?shù)南到y(tǒng)和應(yīng)用程序的安全l 有沒有實施控制以確保網(wǎng)絡(luò)上信息的安全，防止未經(jīng)授權(quán)訪問所連接的服務(wù).2網(wǎng)絡(luò)服務(wù)安全l 有沒有識別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級和管理要求，并包含在網(wǎng)絡(luò)服務(wù)協(xié)議中l(wèi) 有沒有對網(wǎng)絡(luò)服務(wù)提供商以安全方式管理商定服務(wù)的能力予以確定并定期監(jiān)督，還應(yīng)商定審計的權(quán)利6.710.7介質(zhì)處置.1可移動介質(zhì)的管理l 有沒有建立可移動介質(zhì)的管理程序，如磁帶、磁盤、閃存等l 所有的程序和授權(quán)級別是否清晰地形成文件.2介質(zhì)的處置不再需要的介質(zhì)有沒有按照正式的程序進行安全可靠的處

18、置6.7.310.7.3信息處理程序l 有沒有處理信息存儲的程序l 該程序有沒有考慮防范信息的未授權(quán)泄露或誤用6.7.410.7.4系統(tǒng)文件安全保護系統(tǒng)文件免受未授權(quán)的訪問6.810.8信息交換.1信息交換策略和程序l 有沒有建立正式的交換策略、程序和控制，以保護信息l 這些程序和控制有沒有涵蓋使用電子通訊設(shè)施交換信息.2交換協(xié)議l 有沒有建立組織和外部組織交換信息和軟件的協(xié)議l 協(xié)議的安全內(nèi)容有沒有反映涉及的業(yè)務(wù)信息的敏感度6.8.310.8.3運輸中的物理介質(zhì)包含信息的介質(zhì)在組織的物理邊界以外運送時，有沒有防止未授權(quán)的訪問、不當使用或毀壞6.8.410.

19、8.4電子消息有沒有保護包含在發(fā)送的電子消息中的信息(電子消息包括但不限于電子郵件、電子數(shù)據(jù)交換（edi）、即時通信)6.8.510.8.5業(yè)務(wù)信息系統(tǒng)有沒有制定并實施策略和程序，以保護與業(yè)務(wù)信息系統(tǒng)相關(guān)聯(lián)的信息 6.910.9電子商務(wù)服務(wù).1電子商務(wù)l 有沒有保護電子商務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭議、未授權(quán)的訪問和修改l 有沒有考慮諸如使用密碼技術(shù)等安全控制l 有沒有文件化的協(xié)議來支持和貿(mào)易伙伴之間的電子商務(wù)安排，該協(xié)議使雙方致力于商定的貿(mào)易條款，包括安全問題的細節(jié).2在線交易有沒有保護在線交易信息，以防止不完整的傳輸、路由錯誤、未經(jīng)授權(quán)

20、的信息更改、未經(jīng)授權(quán)的信息泄露、未經(jīng)授權(quán)的信息復(fù)制或重放 6.9.310.9.3公共可用信息有沒有保護公共可用信息的完整性，防止未經(jīng)授權(quán)的更改6.1010.10監(jiān)督0.1審計日志l 有沒有產(chǎn)生記錄用戶活動、意外以及信息安全事件的審計日志，并且按照約定的期限進行保存，以支持將來的調(diào)查和訪問控制檢測l 保留審計日志時應(yīng)考慮適當?shù)碾[私保護措施0.2監(jiān)視系統(tǒng)的使用l 有沒有制定并實施監(jiān)視信息處理設(shè)施系統(tǒng)使用的程序l 有沒有定期評審監(jiān)視活動的結(jié)果l 各個信息處理設(shè)施的監(jiān)控級別是否由風(fēng)險評估決定6.10.310.10.3日志信息保護有沒有保護日志設(shè)施和日志信息免受破

21、壞和未經(jīng)授權(quán)的訪問6.10.410.10.4管理員和操作員日志l 有沒有記錄系統(tǒng)管理員和系統(tǒng)操作員的活動l 有沒有定期評審上述活動日志6.10.510.10.5故障日志l 有沒有記錄并分析錯誤日志，并采取適當?shù)拇胧﹍ 各系統(tǒng)的日志記錄級別是否由風(fēng)險評估決定，并考慮性能的降低6.10.610.10.6時鐘同步組織內(nèi)或同一安全域內(nèi)的所有信息處理設(shè)施的時鐘有沒有按照約定的正確時間源保持同步(正確設(shè)置計算機時鐘對于保持審計日志的準確性非常重要)訪問控制7.111.1訪問控制的業(yè)務(wù)要求.1訪問控制策略l 有沒有制定并評審基于業(yè)務(wù)和安全需求的訪問控制策略l 訪問控制策略有沒有同時考慮物理

22、和邏輯訪問控制l 有沒有將通過訪問控制要滿足的業(yè)務(wù)要求的清晰說明提供給用戶和服務(wù)提供者7.211.2用戶訪問管理.1用戶注冊有沒有建立正式的用戶注冊和解除注冊程序，以允許和撤銷對所有信息系統(tǒng)和服務(wù)的訪問 .2特權(quán)管理有沒有限制并控制信息系統(tǒng)環(huán)境下特權(quán)的使用和分配，例如根據(jù)需要知道原則分配特權(quán)，或特權(quán)僅在通過正式授權(quán)流程后分配 7.2.311.2.3用戶口令管理l 有沒有通過正式的管理流程控制口令的分配l 有沒有要求用戶簽署一份聲明，以保持口令的保密性7.2.411.2.4用戶訪問權(quán)限的評審有沒有按計劃的時間間隔評審用戶訪問權(quán)限的流程，例如：每三個月評審特殊權(quán)

23、限，每六個月評審普通權(quán)限7.311.3用戶責(zé)任.1口令使用有沒有要求用戶在選擇和使用口令時遵循良好的安全慣例 .2無人值守的用戶設(shè)備有沒有讓用戶和合同商了解保護無人值守設(shè)備的安全要求和程序例如：會話結(jié)束時登出或設(shè)置自動登出，結(jié)束時終止會話等7.3.311.3.3桌面及屏幕清空策略l 有沒有針對文件、可移動存儲介質(zhì)的桌面清空策略l 有沒有針對信息處理設(shè)施的屏幕清空策略7.411.4網(wǎng)絡(luò)訪問控制.1網(wǎng)絡(luò)服務(wù)使用策略l 用戶是不是只能訪問經(jīng)過明確授權(quán)使用的服務(wù)l 有沒有制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略.2外部連接用戶的鑒別有沒有

24、適當?shù)蔫b別機制控制遠程用戶的訪問7.4.311.4.3網(wǎng)絡(luò)設(shè)備的識別有沒有考慮自動設(shè)備識別，將其作為鑒別特定位置及設(shè)備連接的方法7.4.411.4.4遠程診斷和配置端口保護有沒有安全地控制對診斷和配置端口的物理和邏輯訪問7.4.511.4.5網(wǎng)絡(luò)隔離l 有沒有隔離網(wǎng)絡(luò)上的信息服務(wù)組、用戶和信息系統(tǒng)l 有沒有使用安全邊界機制如防火墻來隔離網(wǎng)絡(luò)（業(yè)務(wù)伙伴或第三方需要訪問信息系統(tǒng)）l 有沒有考慮把無線網(wǎng)絡(luò)與內(nèi)部和專用網(wǎng)絡(luò)隔離開7.4.611.4.6網(wǎng)絡(luò)連接控制訪問控制策略有沒有規(guī)定共享網(wǎng)絡(luò)的網(wǎng)絡(luò)連接控制，尤其是那些延伸到組織邊界之外的網(wǎng)絡(luò)7.4.711.4.7網(wǎng)絡(luò)路由控制l 網(wǎng)絡(luò)控制策略有沒有規(guī)定路

25、由控制l 路由選擇控制是否基于確定的源地址和目的地址檢驗機制7.511.5操作系統(tǒng)訪問控制.1安全登錄程序是否通過安全登錄程序控制對操作系統(tǒng)的訪問.2用戶標識和鑒別l 所有用戶如操作員、系統(tǒng)管理員和其他技術(shù)人員是否有唯一的識別碼（用戶id）l 有沒有選擇合適的認證技術(shù)驗證所宣稱的用戶身份l 在例外環(huán)境下，如果存在明顯的業(yè)務(wù)利益，可以使用共享用戶id。對于這種情況，有沒有要求額外的控制以維護可核查性7.5.311.5.3口令管理系統(tǒng)有沒有口令管理系統(tǒng)以加強口令控制 7.5.411.5.4系統(tǒng)實用工具的使用有沒有限制并嚴格控制能越過系統(tǒng)和應(yīng)用控制的實用工具的使用

26、7.5.511.5.5會話超時不活動的會話是否在一個設(shè)定的不活動周期后關(guān)閉(對于某些系統(tǒng)，清空屏幕并防止未授權(quán)訪問，但不關(guān)閉應(yīng)用或網(wǎng)絡(luò)會話提供了一種受限制的超時形式)7.5.611.5.6聯(lián)機時間限制有沒有限制對高風(fēng)險應(yīng)用程序的連接時間，這類限制應(yīng)考慮終端安裝在高風(fēng)險位置的敏感應(yīng)用7.611.6應(yīng)用和信息訪問控制.1信息訪問限制有沒有根據(jù)規(guī)定的訪問控制策略，限制用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問.2敏感系統(tǒng)隔離敏感系統(tǒng)有沒有使用獨立的計算環(huán)境，例如運行在特定的計算機上，僅和信任的應(yīng)用系統(tǒng)共享資源等7.711.7移動計算和遠程工作.1移

27、動計算和通訊l 有沒有建立正式的策略并采取適當?shù)陌踩胧?，以防范使用移動計算和移動通訊設(shè)施的風(fēng)險l 移動計算和通訊設(shè)施包括：筆記本、掌上機、膝上機、智能卡和移動電話l 移動計算策略有沒有考慮在不受保護的環(huán)境下工作的風(fēng)險.2遠程工作l 有沒有制定并實施遠程工作的策略、操作計劃和程序l 管理層有沒有授權(quán)和控制遠程工作活動，并進行適當?shù)陌才判畔⑾到y(tǒng)的獲取、開發(fā)和維護8.112.1信息系統(tǒng)安全要求.1安全要求分析和規(guī)范l 新的信息系統(tǒng)或現(xiàn)有信息系統(tǒng)的更新的安全需求有沒有詳述安全控制要求 l 安全要求和控制有沒有反映所涉及信息資產(chǎn)的業(yè)務(wù)價值和由于安全失敗引起的業(yè)務(wù)損失

28、l 信息安全系統(tǒng)需求與實施安全的過程是否在信息系統(tǒng)項目的早期階段集成8.212.2應(yīng)用的正確處理.1輸入數(shù)據(jù)驗證l 有沒有驗證應(yīng)用系統(tǒng)的輸入數(shù)據(jù)，以確保正確和適當l 有沒有考慮下述控制：用于檢查錯誤信息的不同類型的輸入，響應(yīng)確認差錯的程序，定義數(shù)據(jù)輸入過程中所涉及的全部人員的職責(zé)等.2內(nèi)部處理控制l 應(yīng)用程序有沒有包含確認檢查，以檢測任何由于流程錯誤或故意行為造成的信息出錯l 設(shè)計和實施應(yīng)用時有沒有確保把由于處理失敗導(dǎo)致的完整性被損壞的風(fēng)險降至最低8.2.312.2.3消息完整性l 有沒有識別應(yīng)用系統(tǒng)中確保和保護信息完整性的要求，識別并實施適當?shù)目刂苐 有沒

29、有進行安全風(fēng)險評估以決定是否需要信息完整性，并識別實施中最合適的方法8.2.412.2.4輸出數(shù)據(jù)驗證有沒有驗證應(yīng)用系統(tǒng)的輸出數(shù)據(jù)，以確保存儲信息的處理是正確的且與環(huán)境相適宜8.312.3加密控制.1使用加密控制的策略l 有沒有制定并實施使用加密控制保護信息的策略l 密碼策略有沒有考慮使用密碼控制的管理方法、風(fēng)險評估結(jié)果所要求的保護級別、密鑰管理方法、為有效實施而采用的標準等.2密鑰管理l 有沒有進行密鑰管理，以支持組織對密碼技術(shù)的使用l 有沒有保護密鑰，防止修改、遺失和損壞l 有沒有保護秘密密鑰和私有密鑰，防止泄露l 有沒有對用于生成、存儲密鑰的設(shè)備進行物

30、理保護l 密鑰管理系統(tǒng)是否基于一組已商定的標準、程序和方法8.412.4系統(tǒng)文件安全.1操作軟件控制有沒有建立程序，控制在運營系統(tǒng)之上安裝應(yīng)用軟件(降低運營系統(tǒng)損壞的風(fēng)險).2系統(tǒng)測試數(shù)據(jù)的保護l 有沒有保護并控制系統(tǒng)測試數(shù)據(jù)l 有沒有避免使用包含個人信息或其他敏感信息的運行數(shù)據(jù)庫進行測試8.4.312.4.3程序源代碼的訪問控制有沒有嚴格控制對程序源代碼庫的訪問8.512.5開發(fā)和支持過程的安全.1變更控制程序l 有沒有實施嚴格的控制程序，控制對信息系統(tǒng)變更的實施l 該程序有沒有包括風(fēng)險評估、變更影響分析.2操作系統(tǒng)變更

31、后的應(yīng)用系統(tǒng)技術(shù)評審操作系統(tǒng)變更后，有沒有程序或過程評審并測試關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會對組織的運營或安全產(chǎn)生負面影響8.5.312.5.3軟件包變更限制l 不鼓勵對軟件包進行變更或僅限于必要的變更l 有沒有嚴格控制所有變更8.5.412.5.4信息泄露l 有沒有實施控制以防信息泄露l 有沒有考慮如下控制：掃描外部介質(zhì)和通信、在法律法規(guī)允許的前提下定期監(jiān)視個人和系統(tǒng)行為、監(jiān)控資源使用8.5.512.5.5軟件開發(fā)外包l 有沒有對外包開發(fā)的軟件進行監(jiān)控和管理 l 有沒有考慮：許可證問題、源代碼托管、質(zhì)量保證的合同要求、安裝前測試以檢測惡意代碼和特洛伊代碼等8.612.6技術(shù)脆弱點管理8.6

32、.112.6.1控制技術(shù)脆弱點l 有沒有及時獲取所使用信息系統(tǒng)的技術(shù)脆弱點信息l 有沒有評估組織技術(shù)脆弱點暴露的風(fēng)險，并采取適當?shù)拇胧┙档拖嚓P(guān)風(fēng)險信息安全事故管理9.113.1報告信息安全事件和弱點.1報告信息安全事件l 有沒有通過適當?shù)墓芾硗緩奖M快報告信息安全事件l 有沒有制定并實施正式的信息安全事件報告程序、事故響應(yīng)和升級程序.2報告信息安全弱點有沒有程序要求所有員工、合同方和第三方用戶注意并報告系統(tǒng)或服務(wù)中發(fā)現(xiàn)或疑似的安全弱點9.213.2信息安全事故的管理和改進.1職責(zé)和程序l 有沒有建立管理職責(zé)和程序，以迅速、有效和有序地響應(yīng)信息

33、安全事故l 有沒有監(jiān)控系統(tǒng)、報警和弱點來檢測信息安全事故l 有沒有與管理層協(xié)商信息安全事故管理的目標并達成一致.2從信息安全事故中學(xué)習(xí)l 有沒有建立識別并量化信息安全事故的類型、數(shù)量和費用的機制l 有沒有使用從過去信息安全事故評估中獲取的信息來識別再發(fā)生或重大影響的事故9.2.313.2.3收集證據(jù)l 信息安全事故發(fā)生后，有沒有根據(jù)法律規(guī)定（無論是民法還是刑法）跟蹤個人或組織的行動l 有沒有收集、保留事故相關(guān)證據(jù)，并以符合相關(guān)法律的形式提交l 當為了懲罰目的而收集和提交證據(jù)時，有沒有制定并遵循內(nèi)部規(guī)程業(yè)務(wù)連續(xù)性管理10.114.1業(yè)務(wù)連續(xù)性管理的信息安全方面10.1.114.

34、1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全l 有沒有一個管理程序，闡明組織業(yè)務(wù)連續(xù)性對信息安全的要求l 該程序有沒有闡明組織面臨的風(fēng)險，識別業(yè)務(wù)關(guān)鍵資產(chǎn)，識別事故影響，考慮實施附加的預(yù)防性控制，并形成表明了安全需求的業(yè)務(wù)連續(xù)性計劃文檔.2業(yè)務(wù)連續(xù)性和風(fēng)險評估有沒有識別可能導(dǎo)致業(yè)務(wù)過程中斷的事故，以及這類中斷發(fā)生的可能性和影響、中斷的信息安全后果10.1.314.1.3制定并實施包括信息安全的連續(xù)性計劃l 有沒有開發(fā)計劃，在業(yè)務(wù)流程中斷或失效后能在要求的時間內(nèi)和要求的等級上保持和恢復(fù)運營并確保信息的可用性l 計劃有沒有考慮鑒別和協(xié)調(diào)職責(zé)、鑒別可接受損失、實施恢復(fù)和重建程序、文檔化規(guī)程、定期測試10.1.414.1.4業(yè)務(wù)連續(xù)性計劃框架l 有沒有單一的業(yè)務(wù)連續(xù)性計劃框架l 有沒有維護該框架以確保所有計劃的一致性，并識別測試和保持的優(yōu)先級l 業(yè)務(wù)連續(xù)性計劃有沒有闡明識別出的信息安全需求10.1.514.1.5bcp的測試、維護和再評估l 有沒有定期測試并更新bcp，以確保bcp的更新和有效性l bcp的測試能否確?；謴?fù)團隊的所有成員及其他相關(guān)人員知道該計劃，明確他們