信息安全管理體系表格

信息安全管理體系審核指南表格大全標準要求的強制性ISMS文件強制性ISMS文件注釋與指南對“定義ISMS的范圍”要求的符合性審核，要確ISMS的定義不僅要包括范圍，也要包括邊界。對要求明確規(guī)定ISMS方針的5個基本點，即ISMS包括信息安全的目標框架、信息安全工作的總方考慮業(yè)務要求、法律法規(guī)的要求和合同要求；與組織開發(fā)與維護ISMS的戰(zhàn)略性風險管理，結合建立風險評價準則；獲得管理者批準。在對這個要求的符合性審核時，要確保組織的方針滿足上述5個要求。還要注意到ISMS方要求明確規(guī)定，“定義組織的風險評估方法”的工(活動)要包括:而這個評估方法要適合組織確定風險評估方法，適合已確定的組織的業(yè)務信息安全的要求、ISMS說明(1)ISMS方針文件，包括ISMS的范圍標準的要求審核內容根據(jù)標準“4.3.1”a)和b)的要求。審核記錄(2)風險評估程序組織是否有一個定義？a)組織要定義ISMSISMS的范圍范圍的過程？？是否有對任何范圍的刪減？要有形成文件的“風險評估，和e)的要求根據(jù)“4.3.1”d)可創(chuàng)方法的描述”和“風險評估報告”。為了減少文件量，。該程序文件應包括“風險評估方建一個《風險評估程序》法的描述”，而其運行的結果應產生《風險評估報告》。(3)風險處理程序組織是否有一個?b)組織要定義ISMS方針文件？方針？組織的ISMS,根據(jù)標準“4.3.1”f)的要求要有形成文件的“風險處理。該程序文件計劃”。因此，可創(chuàng)建一個《風險處理程序》。運行的結果應產生《風險處理計劃》ISMS方針文件(4)文件控制程序ISO/IEC是否滿足27001:2005規(guī)定的要有形成文件的“文“根據(jù)標準的4.3.2文件控制”的要求，。件控制程序”個基5(5)記錄控制程序本點(見注釋與指南欄4.3.3記錄控制”的要求，要有形成文件的“記根據(jù)標準的“錄控制程序”。)？(6)內部審核程序6根據(jù)標準的“內部ISMS審核”的要求，要有形成文件的“內部審核程序”。(7)糾正措施與預防措施程序？組織是否有一個定義c)組織要定義風險8.2根據(jù)標準的“糾正措施”的要求，要有形成文件的“糾預防措施”的要求，要有形成文。根據(jù)“8.3正措施程序”“預防措施程序”和件的“預防措施程序”?！凹m正措施程序”通常可以合并成一個文件。(8)控制措施有效性的測量程序評估方法風險評估方法的文件？組織的風險評估方法是？g)根據(jù)標準的“4.3.1”的要求，要有形成文件的“控制措施有效性的測量程序”。（9）管理評審程序ISMS的要求、否適合確定的組織的業(yè)務信息安全“管理評過程不一定要形成文件，“管理評審”但最好形成審程序”文件，以方便實際工作。適合已（9）適用性聲明,4.3.1i）根據(jù)標準的“”的要求要有形成文件的適用性聲明。1審核重點第二階段審核：檢查受審核組織如何評估信息安全風險和如何設計其ISMS，包括如何：a）定義風險評估方法（參見4.2.1c）?識別安全風險（參見4.2.1d））?分析和評價安全風險（參見4.2.1e）?識別和評價風險處理選擇措施（參見的4.2.1f）?選擇風險處理所需的控制目標和控制措施（參見4.2.1g））?確保管理者正式批準所有殘余風險（參見4.2.1h）?確保在ISMS實施和運行之前，獲得管理者授權（參見的4.2.1i））?準備適用性聲明（參見4.2.1j）?檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測量、報告和評審（包括抽樣檢查關鍵的過程是否到b）位），至少包括：ISMS監(jiān)視與評審（依照4.2.3監(jiān)視與評審ISMS”條款）？控制措施有效性的測量（依照4.3.1g）?內部ISMS審核（依照第6章“內部ISMS審核”）？管理評審（依照第7章“ISMS的管理評審”）PISMS改進（依照第8章“ISMS改進”）。?檢查管理者如何執(zhí)行管理評審（包括抽樣檢查關鍵的過程是否到位），依照條款包括：c）4.2.3監(jiān)視與評審ISMS?第7章“ISMS的管理評審”。？檢查管理者如何履行信息安全的職責（包括抽樣檢查關鍵的過程是否到位），依照條款包d）括：4.2.3監(jiān)視與評審ISMS?5管理職責?7ISMS的管理評審？檢查安全方針、風險評估結果、控制目標與控制措施、各種活動和職責，相互之間有如何e）連帶關系（也參見本文第8章“過程要求的符合性審核”）。監(jiān)督審核：上次審核發(fā)現(xiàn)的糾正/預防措施分析與執(zhí)行情況；a)內審與管理評審的實施情況；b)管理體系的變更情況；c)信息資產的變更與相應的風險評估和處理情況；d)信息安全事故的處理和記錄等。e)再認證審核：檢驗組織的ISMS是否持續(xù)地全面地符合ISO/IEC27001:2005的要求。a)評審在這個認證周期中ISMS的實施與繼續(xù)維護的情況，包括：b)檢查ISMS是否按照ISO/IEC27001:2005的要求加以實施、維護和改進；？評審ISMS文件和定期審核(包括內部審核和監(jiān)督審核)的結果；？檢查ISMS如何應對組織的業(yè)務與運行的變化；？檢驗管理者對維護ISMS有效性的承諾情況。?24信息安全管理體系4.1總要求4.2建立和管理ISMS4.2.1建立ISMS任何范圍的刪減，必須有詳細說明和正當性理由方針要1)向和原則2)3)一起或保持一致4)5)ISM針與信息安全方針的關系1)要求和法律法規(guī)要求；制定接受風險的準則，確定可接受的風險級別。2)要求和法律法規(guī)要求？1接受風險的準則是否已？個要求d)組織要識別安全風險經確定？并根據(jù)此準則，確定了可接受的風險級別？得到程(活組織是否有一個識別安？全風險的過程？組織要分析和評價e)安全風險識別安全風險的過程？參見“注釋是否符合規(guī)定(ISMS產所面3)完影響風。析和評包括資能產生主要威與指南”欄)？組織是否有個用于？評估安全風險的過程？是否評估了安全破壞可？能產生對組織的業(yè)務影響？這個安全風險評估過？

參見“注（程是否符合規(guī)定）釋與指南欄”？可能,3）算參見“注（程是否符合規(guī)定）釋與指南欄”？可能,3）算

使用本的一個“的符合上述要求。組織是否有一個用于識？f）組織要識別和評價要求明確規(guī)定，可選擇的措施包括:別和評價風險處理選擇措施采用適當?shù)目刂拼胧?）風險處理選擇措施2）接受風險；的過程？2種4這個過程是否慮了？（可能的選擇參見“注釋與指南欄”）？避免“識另組織要選擇風險處g）理所需的控制目標和控制措施4評價可能的控制措制措施理過程控制目貝嘰以控制措組織是否有一個用于？ISO/IEC27001:2005選擇的風險處理控制目標A附錄和控制措施的過程？這個過程是否確保所？h）組織要確保管理者選擇的控制目標和控制措參見“注施滿足相關要求（“選擇過程的和9在確保結目標和別安全規(guī)的要適用于不要錯的審核

釋與指南”欄）？的控制目標和控附錄A?制措施是否都被選擇？是否有正？如果不選擇，當性理由？以外A?是否選擇了附錄的控制措施？所有殘余風險是否獲得？正式批準所有殘余風險管理者正式批準？3i）組織要確保在ISMS實施和運行之前，獲得管理者授權組織要準備適用性j）聲明實施和運行是否獲ISMS?得管理者授權？文“4件控制求明確及其選措施;3）刪的是要上述3推薦的要加以防止漏組織是否有一個準備適？用性聲明的過程？適用性聲明的內容是否？項內有含有標準規(guī)定的“3參見“注釋與指南”（容”欄）？適用性聲明是否記載？中任何控制目標和控附錄A以及刪減的制措施的刪減，正當性理由？的審對制目標實施與運行ISMS4.2.2

標準要求組織要制定風險處a）理計劃審核內容組織是否有一個符合？標準此條款要求的產生風險處理計劃文件的過程？“風險處理？是否有一個審核記錄注釋上理計戈險的管階段,計劃”文件？早可與’見"的4b）組織要實施風險處組織是否有一個符合？要求明理計劃c）組織要實施所選擇的控制措施組織要定義如何測d）"實施風標準此條款要求的險處理計劃”的過程？劃”的確定的組織要施”的組織要組織是否有一個符合標？準此條款要求的"實施所選擇的控制措施”的過程？"測量組織是否有一個？即要有一定義如何測量所選控制措施的有效性，1）量所選控制措施的有所選控制措施有效性”的過個"測量所選施的有效2）規(guī)定如何使用這些測量措施，去？如何使用測量措施，e）組織要實施培訓和意識教育計劃測量控制措施的有效性？）;性進行測量（或評估據(jù)此，管理者和員工就可以確定所選的程度。在對這個要求的審核時，審核員必須檢查受審核組性的？;措施”如何使用其測量措施進行測量；？所選控制措施是否達到既定的控制目標。？參見規(guī)定的要求同時審核（？可與4.2.3c））監(jiān)視與評審ISMS""4.2.3對于實施ISMS的組織來說，很重息安全的原理。因此在”中，首先要有"培訓和"實施與運行纟意識和能力”。組織是否有一個符合？“實施培標準此條款要求的訓和意識教育計劃”的過程？ISMS組織是否有？，ISMS要求明確規(guī)定的運行需要管理。組織要管理f）ISMS“管理5的運行ISMSg）組織要管理的資源h）組織要實施組織的運行”的過程？實ISMS組織是否有對?施所需要的資源進行管理的過程？“迅是否有組織的ISMS?實施所（參見安全事的安全程序和其他控制措施速檢測安全事件和對安全事故能做出迅速反應”的程序？能做出ISMS”ISMS監(jiān)視與評審4.2.3標準要求組織要執(zhí)行監(jiān)視與a）評審程序審核內容“監(jiān)視與評組織是否有？，以：審程序”迅速檢測處理產生的1）審核記錄注釋與程序”生的錯錯誤；迅速識別試圖的和得2）逞的安全違規(guī)事件和事故；迅速識使管理b）組織要定期評審使管理者能確定指定3）人員的安全活動或通過信息技術實施的安全活動是否如）信息技扌曰示器定解決的審杉組織對期執(zhí)行；通過使用指示器，幫助4）檢測安全事件并預防安全事故；確定解決安全違規(guī)事件5）的措施是否有效？是否有符合此要求？6ISMS有效性“ISMS有效性的定期評審”|方針和目標的符合性評審、安全控ISMS（包括評審組織要測量控制c）措施的有效性d）組織要測量控制c）措施的有效性d）組織要評審風險評估的過程？“測量控是否有到位的？的過程制措施的有效性”或程序？“評審風是否有到位的？的過程或程序？險評估”的？“評審風險評估”方面的過程是否考慮了"6?參見注釋與指南變化”（）組織；1））。制措施的有效性評審或有效性的定期評審時，要聯(lián)系到果、事故、考慮到）所有相關方的建議和反饋。在對要求的審求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要測量控制措對要求的審核時，要檢查是否有“測量控制措施的有效性”“監(jiān)視和評審ISMS要按照既定的時間間隔，評審風險評估、慮以下方面的變化：e）組織要執(zhí)行定期的是否有到位的定期的？內部審核”過程或程內部審核°ISMS要按既定的時間間隔，執(zhí)行'‘內部審核ISMSISMS的變化查是否"監(jiān)視2）技術；3）業(yè)務目標和過程;4）已識5）已法規(guī)環(huán)7序？ISMS在審核的要求執(zhí)組織要執(zhí)行定期的f）管理評審ISMS組織要更新信息安g）全計劃h）ISMS組織要維護事件和行動措施的紀錄是否有到位的定期的？過程或程ISMS管理評審”“這個要要按既個要求理評審按照標組織要ISMS這的事件可與標

序？組織是否參考監(jiān)視和評？“更新信息審活動的發(fā)現(xiàn)，而安全計劃”？是否有到位的“維護？事件和行動措施的紀ISMS錄”的過程？ISMS4.2.4保持與改進標準要求ISMS組織要實施a）改進組織要采取適當b）的糾正措施和預防措審核內容是否有到位的“實施？改進”的過程？ISMS“糾正措？是否有到位的施和預防措施”的過程？審核記錄注釋改進點對要求改進”正措施“8.3施是否有到位的吸取其？它組織和本組織的安全經施和預織的安8驗教訓的過程？糾正措c）組織要向所有相關方交流ISMS的措施是否有向所有相關方？改進的過程？交流ISMS條款"ISM動措施和改進狀況d）組織要確保ISMS的改進達到預期目標的改進是否有確保ISMS?達到了預期目標的過程？并取預期目文件要求4.3總則4.3.1標準要求審核內容審核記錄注釋文件要包括1）ISMS管理決定的記錄文件要確保所2）ISMS采取的措施可追蹤到文件包括有ISMS?是否管理決定的記錄？文件確保所是否ISMS?采取的措施可追蹤到管理總則”文件:須包括施可追管理決定和方針文件要確保記3）ISMS錄的結果是可再生的決定和方針？文件確保記ISMS是否？和方所選擇關系的錄的結果是可再生的？記錄記錄1010性。即從所選擇控制措施可追溯到風險評估的結果，ISMS方針與目標。而從風險評估的結果又可追溯到方針與目是否定，ISMS文件要包括9(a)ISMS。欄a)-表從i))其中，方針與目標文件)或頂級標文件？ISMS(ISMS方針是最高文件要包括b)ISMS的是否有一個描述？ISMS范?的文范圍ISMS圍的文件？求的文個文9件，的范圍文件。ISMS這容很廣多組織同而有1)安全管理c)ISMS文件要包括支的程序和控制ISMS持的程ISMS?是否有支持序和控制措施？措施控制措見第通6.3.1文件要包括風d)ISMS險評估方法的描述是否有描述風險評估方法的文件？?條款的明，"合并于“風險評估程序”；而“風險評估程序”的是否有可用的風險評？e)ISMS文件要包括運行結果又產生“風險1-1c)；?參見的表文件要包括f)ISMS風險處理計劃是否有可用的風險處理計劃？?參見與標準性ISM文件要包括g)ISMS控制措施有效性的測是否有描述如何測量控？制措施有效性的程序文件？?的要求的強制量程序是否有提供符合要求“記錄”的范圍很廣。？實際上，？每一個程序文件？文件要包括本h)ISMS證據(jù)的記錄”。標準所要求的記錄

i)ISMS文件要包括適用性聲明是否有符合要求的適？用性聲明？1-14.3.2文件控制標準要求1)ISMS所要求的文件要加以保護和控制審核內容是否有個用于保護和ISMS文件的過程？控制審核記錄注釋始的-出的。程”2)ISMS文件控制程序要形成文件a)“文件控制程序文要定義“文件發(fā)布件”前要得到批準”是否有一個形成文件的文件控制程序？是否文件發(fā)布前要得？到批準？序文般稱為求的必求是:對文件條款要組織是b)“文件控制程序文件”要定義“必要時評是否必要時評審與更？新文件，并再次批準文件？制程文件。并再次審與更新文件，獲得批準”“文件控制程序文c)件”要定義“文件的更是否文件的更改和現(xiàn)？行修訂狀態(tài)得到標識？改和現(xiàn)行修訂狀態(tài)得11到標識”d)“文件控制程序文件”要定義“在使用處可獲得有關版本的適用文件”是否在使用處可獲得？有關版本的適用文件？“文件控制程序文e)要定義“文件保持件”清晰、易于識別”f)“文件控制程序文件”要定義“文件可為需要的人員使用，并依易？是否文件保持清晰、于識別？是否文件可為需要的？并依照相關程序人員使用，進行傳輸、貯存和最終銷照相關程序進行傳輸、貯存和最終銷毀”g)“文件控制程序文毀？是否外來文件得到標？1414件”要定義“外來文件得到標識”h)“文件控制程序文件”要定義“文件的分識？是否文件的分發(fā)受控？制？發(fā)受控制”i)“文件控制程序文件”要定義“防止作廢“防止作廢文件非是否？預期使用”？文件非預期使用”j)“文件控制程序文件”要定義“對需要?！皩π枰Ａ舻淖?？是否？廢文件做出適當?shù)臉俗R”留的作廢文件做出適當?shù)臉俗R”124.3.3記錄控制標準要求審核內容審核記錄注釋觀證據(jù)持、保證據(jù)(據(jù)的記制包括和處置錄控制須要有27001過程,過程的要保留記錄要加以建立與a.保持記錄要加以保護與b.控制是否有一個建立與保？持記錄的過程？是否有一個保護與控？制記錄的過程？要考慮相關c.ISMS法律法規(guī)要求和合同義務是否考慮了相關法ISMS?律法規(guī)要求和合同義務？記錄要保持清晰、d.易于識別和檢索e.記錄的控制要形成文件，并加以實施易記錄是否保持清晰、？于識別和檢索？記錄的控制是否形成？了文件？

過記錄要保留f.ISMSISMS記錄是否保留了？程的執(zhí)行情況，和所有重大安全事故的執(zhí)行情況過程的執(zhí)行情況？記錄是否保留了所有重？大安全事故的執(zhí)行情況？135管理職責5.1管理承諾標準要求審核內容審核記錄注釋上管理者要對ISMS的實施與運行、建立、監(jiān)是否有一個確保管理？ISMS者對的建立、實施與這里，ISO/I管理者視與評審、保持和改做出承諾進，，提供證運行、監(jiān)視與評審、保持和改進，做出承諾的過程？據(jù)。管理者提供承諾的證？方面的內容據(jù)是否包括8?見“注釋與指南”欄()理層(立、實內容的方針建立息安全任和持風險的內審5.2資源管理5.2.1資源提供標準要求組織要確定和提供審核內容活？管理者是否提供ISMS審核記錄注釋上行、監(jiān)所需要的資源動所需要的資源？標準要求審核內容標準要求審核內容審核記錄注釋?管理者是否提供確保信息安全程序支持業(yè)務要求所需要的資源？管理者是否提供滿足？合同安全要法律法規(guī)要求、求所需要的資源？是否提供通過正確實？。如施控制措施維護安全所需要的資源？管理者是否提供必要？的評審與對評審結果做出適當反應所需要的資源？管理者是否提供改進？ISMS有效性所需要的資源？培訓、意識和能力5.2.2標準要求審核內容審核記錄注釋a.組織要確保分配有職責的所有人員ISMS都具有執(zhí)行所要求任務的能力是否有一個確保分配？職責的所有人員都有ISMS具有完成所要求任務的能力的過程？職責的具有完動：有能力這些需保持檢查培15b.組織要確保所有相關人員意識到其信息安全活動的重要性證據(jù)到其信ISMS抽查相是否有一個確保所有？相關人員都識到其信息安全活動的重要性的過程？審核6內部ISMS標準要求審核內容標準要求審核內容審核記錄注釋16審核員的選擇，審(4)核的實施要確保審核過程的客觀公正審核員不準審核(5)自己的工作審核員的選擇，審核的？實施是否確保審核過程的客觀公正？是否審核員審核了自己？的工作？章的規(guī)"審核地反映其它工形成內審程序文(6)件采取糾正措施(7)是否有定義內審職責？和要求方面的內審程序文件？？是否有一個確保受審部(包括以劃上文件的確保上門的責任管理者及時采取措施，消除"已發(fā)現(xiàn)的不符合1)措施要糾正措施不能有不適當?shù)难舆t。事項及其產生的原因”的過3)在對要求的符合性審核時，要確保上述要求得到滿足是否有一個對糾正措？"跟蹤糾正措施”是受審部門責任管理者的職責，跟蹤糾正措施(8)施的跟蹤活動？包括：跟蹤活動是否包括驗？證和驗證結果的報告？要跟報告跟(1)定期進行內部ISMS審核制定審核方案⑵是否有一個定期進行？(1)定期進行內部ISMS審核制定審核方案⑵是否有一個定期進行？內部ISMS審核的過程？是否有一個審核方案？？"組織ISMS審控制目標準和安全要d)在^足。該審核方案是否考慮了？。核方案”而這個審核方案要考慮受審核的過程與受受審核的過程與受審核的部審核的部門的狀況和重要性，以及以在實際中，審核的準則、范圍、頻次和方法可以定義審核的準則、(3)范圍、頻次和方往審核的結果？審核的準貝1」、范圍、頻？次和方法是否定義？的管理評審7ISMS7.1總則（1）管理者要每年至是否有一個確保最咼管？次持續(xù)的ISMS1理者每年至少評審ISMS和有效次1少評審的過程？審次17的實施ISMS是否檢查了？持續(xù)的適情況，以確保ISMS宜性、充分性和有效性？進行'也控制過程,有一個（2）評審要包括評估改進的機會和變更ISMS的需要在管理評審時，是否評？（包括信息安全方估了ISMS針和信息安全目標）改進的“管理符合要能任意理者對此管理評審的結果要形成（3）文件評審的記錄要加以⑷機會和變更的需要？評審結果是否形成了文？審時理評審條款的件？記錄是否按照“記錄控？制”的要求加以保持？保持評審輸入7.2注釋與指南審核記錄標準要求審核內容是否有一個確保管理？在審核時，審核員應首先檢查組織如何確保滿足a結方面管理評審的輸入信息標準規(guī)定的9評審的輸入包括標準要求。果方面信息的過程？a-i）的9是否管理評審包括先前的審b）管理評審的輸入要包括相關方的反饋括先前的審核和評審結果？是否管理評審的輸入？包括相關方的反饋？和管檢查管見、抱論等18c）管理評審的輸入要是否管理評審的輸入？審核員包括可用于改進ISMS的技術、產品或程序d）管理評審的輸入要包括預防和糾正措施的技包括可用于改進ISMS術、產品或程序？有效是否管理評審的輸入包？括預防和糾正措施的狀況？審核員措施和的狀況e）管理評審的輸入要包括以往風險評估沒是否管理評審的輸入包？括預防和糾正措施的狀況？審核員險評估有充分解決的脆弱點或威脅是否管理評審的輸入包？審核員應檢查管理評審的輸入是否包括在先前對管理評審的輸.的測量結果。括ISMS包括有效性測量的結果是否管理評審的輸入包？g）管理評審的輸入要審核員應檢查管理評審包括以往管理評審的跟蹤措施h）包括以往管理評審的跟蹤措施h）管理評審的輸入要ISMS的包括可能影響括以往管理評審的跟蹤措施？是否管理評審的輸入？的任何ISMS包括可能影響任何變更管理評審的輸入要i）變更？是否管理評審的輸入？包括改進的建議包括任改進的建議？理評審徹、跟入是否信息資變更、應檢查ISMS197.3評審輸出標準要求管理評審的輸出要a）包括ISMS有效性的改進審核內容是否有一個確保管理？方面要求評審的輸出包括5的過程？審核記錄注釋保管理的輸出管理評審的輸出要b）是否管理評審做出了？ISMS有效性的決定？改進是否管理評審做出了？ISMS審的決定風險包括風險評估和風險處理計劃的更新c）管理評審的輸出要更新風險評估和風險處理計劃的決定？是否管理評審做出了在？處理計審核員要求的包括必要時對影響信息安全的程序和控制措施的修改，以應對可必要時對影響信息安全的程序和控制措施的修改決定，的內外以應對可能沖擊ISMS件，包化；2的內外事能沖擊ISMS件事件？影響規(guī)要求接受影響信要做出d）管理評審的輸出要是否管理評審做出了對？在審求。I

資源需求的決定。資源需求的決定？包括對資源需求的決在審核時，要檢查這方面的決定。定管理評審的輸出要e)包括改進測量控制措施有效性的方法?20要求是做出這改進8ISMS持續(xù)改進8.1標準要求審核內容審核記錄注釋組織要持續(xù)改進ISMS的有效性是否有一個確保組織持？續(xù)改進ISMS有效性的過程？ISMS要效性持使用使用使用使用使月考慮以并結8.2糾正措施標準要求組織要采取審核內容是否有一個確保審核記錄注釋措施，a.要求消除不采取?要求ISMS措施，消除求規(guī)定符合ISMS的原因糾正不符合的原因的過程？是否“形成措施程序要b.形成文有一個糾正措施？程序文程序文件件？21C.糾正措施程序文件要定義“識別不符合項”糾正措施程序文件d.“確定產生不符要定義合項的原因”e.糾正措施程序文件是否糾正措施程序文？標準要求組織要建立和執(zhí)行“糾正措施程序文？件”。件定義了“識別不符合項”見本(要定義6條要求這個“糾正措施程序文件”。糾正8.2就應對照此“審核員在文件評審階段，件定義了“確定產生不符合措施”的要求，評性。是否糾正措施程序文？件定義了“評價確保不符合要定義“評價確保不符合項不再發(fā)生的措項不再發(fā)生的措施需求”？施需求”糾正措施程序文件f.要定義“確定和實施是否糾正措施程序文？件定義了“確定和實施所需

所需要的糾正措施”要的糾正措施”？是否糾正措施程序文？g.糾正措施程序文件件定義了“記錄所采取措施要定義“記錄所采取措施的結果”的結果是否糾正措施程序文？h.糾正措施程序文件件定義了“評審所采取的糾要定義“評審所采取正措施”？的糾正措施8.3預防措施標準要求審核內容審核記錄注釋組織要采取措施，a.消除潛在的不符合ISMS要求的原因是否有個用于確保采？取措施，消除潛在的不符合要求的原因的過程？ISMS要求規(guī)要求的22所采取的預防措b.所采取的預防措施是？所要采施要與潛在問題的影響程度相適應組織要建立一個C.否適于潛在問題的影響？條相是否有一個定義？5小而決施程序5關要求的預防措施程序文條相關要求：文件。該程序文件要定義預防措施程序文件，定義5條相關要求識別潛在評價預防發(fā)生不符合事項的措施的需要；b)確定和實施所需要的預防措施；C)記錄所采取措施的結果；d)評審所采取的預防措施。e)在審核時，審核員要檢查確保：一組織要有一個；一該文件要定義上術形成文件的“預防措施程序”條要求。5風險了變化的風險的過程，并對已經發(fā)生了變化的風險，要識別其預防措施的要求。有些組織通過使用一個“風險評估管在審核時，審核員可結合標準的“4.2”條款的相關要求，進行審核°ISMS理d.組織要識別已經發(fā)生了變化的風險是否有個用于識別已？經發(fā)生了變化的風險的過組織要識別對已經e.發(fā)生了變化的風險的預防措施的要求程？對已經發(fā)生了重大變？化的風險，是否識別其預防措施要求？預防措施的優(yōu)先f.級要根據(jù)風險評估的是否預防措施的優(yōu)先級？根據(jù)風險評估的結果而確結果確定定？

23附錄2-控制要求符合性審核A.5安全方針A.5.1信息安全方針目標：依據(jù)業(yè)務要求和相關法律法規(guī)，提供信息安全的管理方向和支持。相關條款A.5.1.1信息安全是否有信息安全方針文件？方針文件信息安全方針文件是否獲得管理者批準、發(fā)布和控制要求與檢查內容實施的方法，或刪減的正當性傳達給所有員工和相關的外方？信息安全方針文件是否符合標準的要求，如是否說明管理承諾，并提出組織管理信息安全的方法？息安全方為了確保信息安全方針持續(xù)的適宜性、充分性和A.5.1.2針的評審有效性，化時是否按既定的時間間隔）對其進行評審？或當發(fā)生重大變（A.6信息安全的組織A.6.1內部的組織目標：管理組織內的信息安全。相關條款管理者是否通過清晰的方向、可證實的承諾、明A.6.1.1信息安全確的任務，的管理承諾控制要求與檢查內容和信息安全職責的承認，來積極支持組實施的方法，或刪減的正當性織內的安全？信息安全活動是否由不同部門的代表協(xié)調相關工A.6.1.2信息安全協(xié)調作？所有的信息安全職責信息安全A.6.1.3執(zhí)行特定安全過程的職責）是否有明確的規(guī)定？職責的分配（包括保護各個資產的職責和

24A.6.1.4信息處理對新信息處理設施，是否有管理授權過程？設施的授權過程保密性協(xié)議A.6.1.5是否所有員工都要簽署一個反映組織信息保護需？）要的保密協(xié)議（或不泄露協(xié)議是否得到識別和定期評）保密協(xié)議（或不泄露協(xié)議審？聯(lián)系權威A.6.1.6部門例如，執(zhí)法部門、消防組織是否與相關權威部門（保持適當?shù)穆?lián)系？部門和監(jiān)管部門）組織是否與特殊利益團體、安全專家組和專業(yè)協(xié)A.6.1.7聯(lián)系特殊利益團體會保持適當?shù)穆?lián)系？（A.6.1.8信息安踐，安全控制目標與控制措施、方針、過程和程序的獨立評審）或當安全實施發(fā)生重大變化按既定的時間間隔（）進外方A.6.2目標：保持被外方訪問與處理，與外方通信，或被管理的組織的信息與信息處理設施的安全。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.6.2.1外方相關風險的識別A.6.2.2處理與顧客有關的安全問題組織的信息和信息處理設施受外方訪問或管理而產生的風險，是否進行識別？組織的信息和信息處理設施，在允許外方訪問前，是否執(zhí)行適當?shù)目刂拼胧?？在允許顧客訪問組織信息或資產之前，所有確定的安全要求是否得到解決？A.6.2.3處理第三方協(xié)議中的安全問題或管理（）組織的信息或信涉及訪問、處理、交流息處理設施的第三方協(xié)議，是否涵蓋所有相關的安全要求？25A.7資產A.7.1對資產的職責目標：實現(xiàn)和保持對組織資產的適當保護。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.7.1.1資產清單A.7.1.2資產責任人是否所有資產度都進行了識別？是否所有重要資產都進行了登記、建立了清單文件并加以維護？所有信息和信息處理設施相關資產，是否都有責A.7.1.3資產的可任人？信息和信息處理設施相關資產的可接受使用規(guī)接受使用貝叭是否確定、形成了文件并加以實施？

A.7.2信息分類目標：確保信息受到適當級別的保護。相關條款分類指南A.7.2.1控制要求與檢查題）？是否有一個信息分類指南（或分類法實施的方法，或刪減的正當性信息是否按照其對組織的價值、法律要求、敏感性和關鍵性進行分類？A.7.2.2信息的標記和處理信息標記與處理程序是否按照組織采用的分類法，加以開發(fā)和實施？A.8人力資源安全A.8.1雇用之前目標：確保雇員、承包人和第三方用戶理解其職責，適合其考慮的角色，以降低行竊、欺詐和誤用設施的風險。相關條款A.8.1.1角色和職責控制要求與檢查內容雇員、承包人和第三方用戶的安全角色和職責是實施的方法，或刪減的正當性否按照組織的信息安全方針加以定義并形成了文26件？篩選A.8.1.2是否對所有雇用的候選者、承包人和第三方用戶，按照相關法律法規(guī)、道德規(guī)范、相應的業(yè)務要求、和已察覺的風險，進行背景要被訪問信息的類別、雇用的條A.8.1.3驗證檢查？雇員、承包人和第三方用戶是否簽署了雇用合同的條款和條件，作為他們合同義務的一部分？款和條件“雇用合同的條款和條件”是否聲明雇員、承包人和第三A.8.2雇用期間目標：確保所有雇員、承包人和第三方用戶意識到信息安全威脅與利害關系、他們的職責與義務，并在其正常工作中支持組織的安全方針和減少人為過失的風險。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.8.2.1管理職責信息安全A.8.2.2管理者是否要求雇員、承包人和第三方用戶，按照該組織已建立的方針和程序負起安全責任？組織的所有雇員、相關的承包人和第三方用戶，意識、教育和培訓是否都接受過適當?shù)囊庾R培訓和定期更新與其工作有關的組織的方針與程序方面的知識？紀律處理A.8.2.3過程對于安全違規(guī)的雇員，是否有個正式的紀律處理過程？雇用終止或雇用變更A.8.3目標：確保雇員、承包人和第三方用戶以一個適宜的方式離職或變更雇用。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.8.3.1終止職責履行雇用終止或雇用變更的職責是否清晰地做出

了規(guī)定和分配?27A.8.3.2歸還資產所有雇員、承包人和第三方用戶在雇用、合同或刪除訪問權A.8.3.3協(xié)議終止時，是否歸還其使用的該組織的所有資產？所有雇員、承包人和第三方用戶對信息和信息處在其雇用、合同或協(xié)議終止時，理設施的訪問權，是否刪除，或進行變更調整？物理和環(huán)境安全A.9A.9.1安全區(qū)域目標：防止對組織場所和信息，進行未授權的物理訪問、損壞和干擾。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.9.1.1物理的安全邊界是否有用于保護包含信息和信息處理設施的區(qū)域的安全邊界（諸如墻、入口控制卡或受管理的接A.9.1.2物理入口控制待臺等屏障）？為了確保只有已被授權人員才允許訪問，安全區(qū)域是否通過適用的入口控制措施加以保護？A.9.1.3保護辦公室、房間和設施的辦公室、房間和設施的物理安全措施是否進行了設計并加以應用？安全防范外部A.9.1.4對由火災、洪水、地震、爆炸、社會動蕩和其他形式的自然災難或人為災難引起的損害,計與應用了物理保護措施？A.9.1.5在安全區(qū)在安全區(qū)域工作的物理保護措施和指南是否進行域工作了設計并加以應用？對在安全區(qū)域工作的人員，是否有任何安全控制措施？28A.9.1.6公共訪問|為了避免未授權訪問，訪問點（如交接區(qū)和未授權人員可以進入的其它地點）是否進行控制？區(qū)和交接區(qū)交接區(qū)是否與信息處理設施隔開?設備安全A.9.2目標：防止資產丟失、損壞、被盜或被破壞，和中斷組織的活動。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.9.2.1設備安置和保護設備是否安置在可減少未授權訪問的適當?shù)攸c？對于處理敏感數(shù)據(jù)的信息處理設施，是否安置在可限制觀測的位置？對于需要特殊保護的設備，是否進行隔離？A.9.2.2支持性設對信息處理設施的運行有負面影響的環(huán)境條件（例如溫度和濕度），是否進行監(jiān)視？在由支持性設施的失效而引起的電源故障和其他3030施A.9.2.3布纜安全中斷方面，設備是否有所防范？通信電纜電源和傳輸數(shù)據(jù)的（或支持信息服務的）是否防范攔截或損壞？設備維護A.9.2.4設備是否按照供應商推薦的服務時間間隔和說明書，進行正確維護？設備維護是否只由已授權人員執(zhí)行？設備的維護記錄是否保存？對于組織場所的設備，是否考慮了不同風險，而組織場所A.9.2.5采取安全措施？外的設備安全設備的安A.9.2全銷毀或安全再利是否進行安全銷毀或安全覆蓋后再利用？29A.9.2.7財產的移動是否設備、信息或軟件要帶出組織場所外，必須獲得管理者授權？通信和運行管理A.10運行程序和職責A.10.1目標：確保信息處理設施的正確運行和安全運行。相關條款控制要求與檢查內容實施的方法，或刪減的正當性形成運行A.10.1.1程序文件A.10.1.2變更管理A.10.1.3責任的劃分A.10.1.4開發(fā)設運行程序是否形成了文件、加以保持并可為所有需要的用戶使用？對信息處理設施和系統(tǒng)的變更是否受控？的修改或無意識為了減少對組織資產未授權（）是否劃分了職責的責任與職責（或誤用）的機會，的范圍？）運行系統(tǒng)的風險，（為了減少未授權訪問或更改施、測試設施和運行設施的分離開發(fā)設施、測試設施和運行設施是否彼此分離開？第三方服務交付管理A.10.2目標：依照第三方服務交付協(xié)議，實施和保持適當水準的信息安全和服務交付。相關條款服務交付A.10.2.1控制要求與檢查內容第三方服務交付協(xié)議中所規(guī)定的安全控制措施、實施的方法，或刪減的正當性A.10.2.2第三方服務的監(jiān)視和評審服務定義和交付水準，由第三方實施、運行和保持，是否獲得保障？對第三方提供的服務、報告和記錄，是否定期地進行監(jiān)視、評審和審核？第三方服A.10.2.3務的變更管理（包括保持和改進現(xiàn)有的信息對服務提供的變更，是否考慮所涉及安全方針、程序和控制措施）的業(yè)務系統(tǒng)與過程的關鍵程度和風險的再評估,進行管理？系統(tǒng)規(guī)劃和驗收A.10.3目標：將系統(tǒng)故障的風險降至最小。相關條款控制要求與檢查內容實施的方法，或刪減的正當性容量管理A.10.3.1為了確保所需的系統(tǒng)性能，是否對資源的使用進行監(jiān)視和調整，并對未來的容量需求做出規(guī)劃？系統(tǒng)驗收A.10.3.2新信息系統(tǒng)、升級和新版本的驗收準則，是否建立了，并在系統(tǒng)驗收前和開發(fā)中進行適當?shù)南到y(tǒng)測試？A.10.4防范惡意代下是對在這個目標下白碼和移動代碼2個控制措施的審核。目標：保護軟件和信息的完整性。以勺相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.10.4.1對惡意代碼的控制措施（包括對惡意代碼是否有對惡意代碼的控制措施？的監(jiān)測、預防和恢復）是否有禁止使用未授權軟件的正式方針？是否安裝并定期更新惡意代碼檢測與修復軟件？A.10.4.2對移動代是否有提高用戶對惡意代碼防范意識的程序？當移動代碼獲得授權使用時，是否配置確保該授碼的控制措施權的移動代碼，按照清晰定義的安全方針的規(guī)定運行？當移動代碼未獲得授權時，是否阻止其運行？A.10.5備份目標：保持信息和信息處理設施的完整性和可用性。相關條款實施的方法，或刪減的正當性控制要求與檢查內容31A.10.5.1信息備份是否有備份方針？重要的信息和軟件是否按照備份方針的規(guī)定定期備份和測試？備份的存儲地是否安全，并與實際的使用場所保持足夠的距離？A.10.6網絡安全管理目標：確保網絡中的信息和支持基礎設施的安全。相關條款控制要求與檢查內容實施的方法，或刪減的正當性網絡控制A.10.6.1為了防止使用網絡時發(fā)生的威脅和維護系統(tǒng)與應用程序的安全，網絡是否充分受控？網絡的運行職責與計算機系統(tǒng)的運行職責是否分開？信息在公用網絡上傳輸時，是否有控制措施？？（不管是內部的，還是外部的）是否有網絡服務A.10.6.2網絡服務的安全是否有確定所有網絡服務的安全特性、服務級別和管理要求的網絡服務協(xié)議？介質處理A.10.7目標：防止資產遭受未授權泄露、修改、移動或銷毀，和中斷業(yè)務活動。相關條款A.10.7.1可移動介質的管理A.10.7.2介質的處控制要求與檢查內容實施的方法，或刪減的正當性

是否有可移動介質的管理程序？對于不再需要的介質，是否使用正式的程序進行置信息處理A.10.7.3安全地處置？為了保持審計蹤跡，是否保留敏感信息的處置記錄？是否有信息的處理與貯存程序?是否有可移動介質的管理程序？對于不再需要的介質，是否使用正式的程序進行置信息處理A.10.7.3安全地處置？為了保持審計蹤跡，是否保留敏感信息的處置記錄？是否有信息的處理與貯存程序?32程序A.10.7.4系統(tǒng)文件的安全該程序是否要防范信息被未授權者泄漏或誤用？是否要防范系統(tǒng)文件被未授權訪問？系統(tǒng)文件的訪問名單是否保持在最小范圍，并獲得責任人授權？信息的交換A.10.8目標：保持與內部組織和與任何外部實體間信息和軟件交換時的安全。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.10.8.1信息交換方針和程序A.10.8.2交換協(xié)議為了保護通過使用各種類型的通信設施進行信息交換，是否有正式的信息交換方針、程序和控制措施？軟件交換時，是否有在組織和外方之間進行信息/交換協(xié)議？A.10.8.3運輸中的該交換協(xié)議是否指向所涉及的敏感業(yè)務信息的安全問題？當含信息的介質在組織的物理邊界以外運送時，是否有防范未授權訪問、誤用或毀壞的措施？物理介質A.10.8.4當用電子方法發(fā)送信息時，是否有適當?shù)男畔⒈０l(fā)送A.10.8.5業(yè)務信息護措施？為了保護相互連接的業(yè)務信息系統(tǒng)的信息，是否開系統(tǒng)發(fā)與實施了相關的方針和程序？A.10.9電子商務服務目標：確保電子商務服務的安全及其安全使用。相關條款電子商務A.10.9.1控制要求與檢查內容電子商務是否有防范欺詐活動、合同爭議和未授實施的方法，或刪減的正當性A.10.9.2在線交易權泄露與修改信息的控制措施？以防止傳輸錯誤、在線交易中的信息是否受保護，33未授權的消息篡改、未授權的泄露、未授權的消息復制？為了維護公共可用系統(tǒng)中的信息的完整性，是否A.10.9.3公共可用信息有防范未授權修改的控制措施？

監(jiān)視A.10.10目標：檢測未授權的信息處理活動。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.10.10.1審計日志審計日志是否記錄用戶活動、異常事件和信息安全事件？為了幫助未來的調查和訪問控制監(jiān)視，審計日志A.10.10.2監(jiān)視系統(tǒng)的使用A.10.10.3日志信是否保持一段已商定的時期？監(jiān)視信息處理設施的使用程序是否建立了？監(jiān)視活動的結果是否定期評審？記錄日志的設施和日志信息是否有防范被篡改和息的保護管理員A.10.10.4未授權訪問的控制措施？系統(tǒng)管理員和系統(tǒng)操作員的活動是否寫入日志和操作員日志中？是否定期檢查操作員日志？A.10.10.5故障日志系統(tǒng)故障是否被報告、記錄、分析和采取適當?shù)拇胧克邢嚓P信息處理系統(tǒng)的時鐘是否都按統(tǒng)一的標時鐘同步A.10.10.6準時間進行同步設置？A.11訪問控制A.11.1訪問控制的業(yè)務要求目標：控制對信息的訪問。34相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.11.1.1訪問控制方針訪問控制方針是否根據(jù)對訪問控制的業(yè)務要求與安全要求，進行定義、形成文件和評審？明確訪問控制方針是否為每個用戶（或用戶組）地規(guī)定了訪問的規(guī)則和權限？用戶訪問管理A.11.2目標：確保授權用戶訪問信息系統(tǒng)，防止未授權用戶訪問信息系統(tǒng)。相關條款控制要求與檢查內容實施的方法，或刪減的正當性用戶注冊A.11.2.1特權管理A.11.2.2是否有正式的用戶注冊與注銷程序，授權和撤銷對所有信息系統(tǒng)和服務的訪問？對于多用戶系統(tǒng)，特權的分配和使用是否受限制和受控制？A.11.2.3用戶口令管理口令的分配是否要用一個正式的管理過程進行控制？用戶訪問A.11.2.4權的評審管理者是否使用一個正式過程，定期地評審用戶的訪問權？用戶職責A.11.3目標：防止未授權用戶對信息和信息處理設施的訪問、危害或竊取。相關條款口令使控制要求與檢查內容是否有指導用戶選擇和使用實施的方法，或刪減的正當性A.11.3.1用口令的指南、方針或

規(guī)定？組織是否要求用戶遵照指南、方針或規(guī)定，選擇和使用口令？無人值守A.11.3.2的用戶設備用戶是否知道保護無人值守的用戶設備的職責和程序？組織是否要求用戶確保無人值守的用戶設備得到35適當?shù)谋Ｗo？清空桌面A.11.3.3和屏幕方針業(yè)務信息受未授權（或關鍵的）為了防止敏感的訪問、丟失或損壞，組織是否實施一個清空桌面和屏幕方針？組織是否要求員工在離開座位時，不要把機密的紙文件和可移動存儲介質留在桌面上，并注銷計算機或鎖住屏幕?A.11.4網絡訪問控制目標：防止對網絡服務的未授權訪問。相關條款控制要求與檢查內容實施的方法，或刪減的正當性網絡服A.11.4.1務的使用方針是否有一個只允許用戶訪問其已被授權使用的網絡服務？A.11.4.2外部連接的用戶鑒別對遠程用戶的訪問控制，是否使用適當?shù)挠脩翳b別方法？A.11.4.3網絡上的設備識別為了鑒別特定位置和設備的連接，是否把自動的設備識別作為一種手段？遠程診斷A.11.4.4端口和配置端口的對診斷端口和配置端口的物理和邏輯訪問，是否受控制？保護網絡隔離A.11.4.5是否在網絡上對信息服務、用戶和信息系統(tǒng)進行隔離控制？如組織的內部網絡域在各個不同的邏輯網絡域（之間，是否通過使用安全邊界和外部網絡域等）A.11.4.6網絡連接控制，進行隔離和保護？如防火墻等（）網站如電子郵件、對于越過組織邊界的共享網絡（，是否有網絡連接控制措）訪問、和文件傳送等36網絡路由A.11.4.7控制施？對共享網絡用戶連接網絡的能力，是否按照業(yè)務應用系統(tǒng)的訪問控制方針和要求加以限制？為了確保計算機連接和信息流不違反業(yè)務應用系統(tǒng)的訪問控制方針，共享網絡是否有路由控制措施？操作系統(tǒng)訪問控制A.11.5目標：防止對操作系統(tǒng)的未授權訪問。相關條款控制要求與檢查內容實施的方法，或刪減的正當性相關條款控制要求與檢查內容實施的方法，或刪減的正當性安全登A.11.5.1錄程序為了最小化對操作系統(tǒng)未授權訪問的機會，是否有一個操作系統(tǒng)安全登錄程序？對操作系統(tǒng)的訪問，是否只能按安全登錄程序進行？A.11.5.2用戶標識和鑒別是否所有用戶都有一個僅供其個人使用的唯一標）？識碼（用戶IDA.11.5.3口令管理所選用的用戶身份鑒別技術是否能證實所宣稱的用戶身份？是否有口令管理系統(tǒng)？系統(tǒng)系統(tǒng)實用A.11.5.4工具的使用口令管理系統(tǒng)是否強迫用戶執(zhí)行各種口令安全控與口令、選用與定期制措施（如使用個人用戶ID?更改優(yōu)質口令和安全地保存口令等））（對于系統(tǒng)實用工具程序的使用，是否有限制和嚴格的控制措施？會話暫停A.11.5.5為了防止未授權者訪問系統(tǒng)，是否有確保計算機終被自動關閉期后，）（端在一個設定的休止或靜止（或鎖住）的控制措施?37連接時A.11.5.6|為了提供額外的安全，對于高風險應用系統(tǒng)的連間的限制接，是否有連接時間限制？A.11.6應用系統(tǒng)和信息訪問控制目標：防止未授權訪問應用系統(tǒng)中的信息。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.11.6.1信息訪問限制A.11.6.2敏感系統(tǒng)隔離用戶對信息和應用系統(tǒng)功能的訪問，是否依照已確定的訪問控制方針進行限制？（或孤立的）計算機環(huán)境？敏感系統(tǒng)是否有專用的移動計算機設施和遠程工作設施A.11.7目標：確保使用可移動計算機設施和遠程工作設施時的信息安全。相關條款A.11.7.1移動計算機設施和通信設施控制要求與檢查題如筆記在防范使用移動計算機設施和通信設施（實施的方法，或刪減的正當性是本電腦、）的風險方面，掌上電腦和移動電話等否有正式方針，和適當?shù)陌踩胧緼.11.7.2遠稈工作設施組織是否開發(fā)和實施有關控制遠程工作活動的方針、操作計劃和程序？為了防范設備被盜、信息被未授權者泄露、組織的遠程工作場地的內部系統(tǒng)被未授權者遠程訪問等，保護是否有恰當?shù)拇胧?？信息系統(tǒng)獲取、開發(fā)和維護A.12

信息系統(tǒng)的安全要求A.12.1目標：確保安全是信息系統(tǒng)的一個組成部分。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.12.1.1安全要求或增強的現(xiàn)有信息系統(tǒng)在新的信息系統(tǒng)（）的業(yè)務38要求說明中，是否規(guī)定了對安全控制措施的要分析和說明求？正確處理應用系統(tǒng)中的數(shù)據(jù)A.12.2目標：防止應用系統(tǒng)中的信息的錯誤、遺失、未授權的修改或誤用。相關條款控制要求與檢查內容實施的方法，或刪減的正當性A.12.2.1輸入數(shù)據(jù)的確認應用系統(tǒng)的輸入數(shù)據(jù)是否進行確認，以確保其正確和適當？A.12.2.2內部處理的控制確認檢查是否被整合到應用系統(tǒng)中，以檢測由于）造成的信息錯誤？或故意行為處理錯誤（為了降低內部處理的風險，是否有適當?shù)目刂拼胧?？應用系統(tǒng)的設計與實施是否能確保：處理失敗導致完整性損壞的風險減至最小？消息完整A.12.2.3性輸出數(shù)據(jù)A.12.2.4的確認為了確定應用系統(tǒng)中消息完整性的需要和確定最適用的控制措施，是否進行安全風險評估？應用系統(tǒng)的輸出數(shù)據(jù)否進行確認，以確保信息處理正確和符合要