信息安全管理體系審核檢查表

信息安全管理體系審核檢查表標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件強(qiáng)制性ISMS文件講明(1)ISMS方針文件，包括ISMS的范疇按照標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2)風(fēng)險(xiǎn)評(píng)估程序按照“4.3.1”d)和e)的要求，要有形成文件的“風(fēng)險(xiǎn)評(píng)估方法的描述”和“風(fēng)險(xiǎn)評(píng)估報(bào)告”。為了減少文件量，可創(chuàng)建一個(gè)《風(fēng)險(xiǎn)評(píng)估程序》該程序文件應(yīng)包括“風(fēng)險(xiǎn)評(píng)估方法的描述”，而其運(yùn)行的結(jié)果應(yīng)產(chǎn)生《風(fēng)險(xiǎn)評(píng)估報(bào)告》(3)風(fēng)險(xiǎn)處理程序按照標(biāo)準(zhǔn)“4.3.1”f)的要求，要有形成文件的“風(fēng)險(xiǎn)處理打算”。因此，可創(chuàng)建一個(gè)《風(fēng)險(xiǎn)處理程序》該程序文件運(yùn)行的結(jié)果應(yīng)產(chǎn)生《風(fēng)險(xiǎn)處理打算》(4)文件操縱程序按照標(biāo)準(zhǔn)的“4.3.2文件操縱”的要求，要有形成文件的“文件操縱程序”。(5)記錄操縱程序按照標(biāo)準(zhǔn)的“4.3.3記錄操縱”的要求，要有形成文件的“記錄操縱程序”。(6)內(nèi)部審核程序按照標(biāo)準(zhǔn)的“6內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7)糾正措施與預(yù)防措施程序按照標(biāo)準(zhǔn)的“8.2糾正措施”的要求，要有形成文件的“糾正措施程序”。按照“8.3預(yù)防措施”的要求，要有形成文件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序”通常能夠合并成一個(gè)文件。(8)操縱措施有效性的測(cè)量程序按照標(biāo)準(zhǔn)的“4.3.1g)”的要求，要有形成文件的“操縱措施有效性的測(cè)量程序”。(9)治理評(píng)審程序“治理評(píng)審”過程不一定要形成文件，但最好形成“治理評(píng)審程序”文件，以方便實(shí)際工作。(9)適用性聲明按照標(biāo)準(zhǔn)的“4.3.1i)”的要求，要有形成文件的適用性聲明。審核重點(diǎn)檢查受審核組織如何評(píng)估信息安全風(fēng)險(xiǎn)和如何設(shè)計(jì)其ISMS,包括如何：定義風(fēng)險(xiǎn)評(píng)估方法（參見4.2.1c）識(shí)不安全風(fēng)險(xiǎn)（參見4.2.1d））分析和評(píng)判安全風(fēng)險(xiǎn)（參見4.2.1e）識(shí)不和評(píng)判風(fēng)險(xiǎn)處理選擇措施（參見的4.2.1f）選擇風(fēng)險(xiǎn)處理所需的操縱目標(biāo)和操縱措施（參見4.2.1g））確保治理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)（參見4.2.1h）確保在ISMS實(shí)施和運(yùn)行之前，獲得治理者授權(quán)（參見的4.2.1i））預(yù)備適用性聲明（參見4.2.1j）檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測(cè)量、報(bào)告和評(píng)審（包括抽樣檢查關(guān)鍵的過程是否到位），至少包括：ISMS監(jiān)視與評(píng)審（按照4.2.3監(jiān)視與評(píng)審ISMS”條款）操縱措施有效性的測(cè)量（按照4.3.1g）內(nèi)部ISMS審核（按照第6章“內(nèi)部ISMS審核”）治理評(píng)審（按照第7章“ISMS的治理評(píng)審”）ISMS改進(jìn)（按照第8章“ISMS改進(jìn)”）。檢查治理者如何執(zhí)行治理評(píng)審（包括抽樣檢查關(guān)鍵的過程是否到位），按照條款包括：監(jiān)視與評(píng)審ISMS第7章“ISMS的治理評(píng)審”。檢查治理者如何履行信息安全的職責(zé)（包括抽樣檢查關(guān)鍵的過程是否到位），按照條款包括：4.2.3監(jiān)視與評(píng)審ISMS治理職責(zé)7ISMS的治理評(píng)審檢查安全方針、風(fēng)險(xiǎn)評(píng)估結(jié)果、操縱目標(biāo)與操縱措施、各種活動(dòng)和職責(zé)，相互之間有如何連帶關(guān)系（也參見本文第8章“過程要求的符合性審核”）。上次審核發(fā)覺的糾正/預(yù)防措施分析與執(zhí)行情形；內(nèi)審與治理評(píng)審的實(shí)施情形；治理體系的變更情形；信息資產(chǎn)的變更與相應(yīng)的風(fēng)險(xiǎn)評(píng)估和處理情形；信息安全事故的處理和記錄等。檢驗(yàn)組織的ISMS是否連續(xù)地全面地符合ISO/IEC27001:2005的要求。評(píng)審在那個(gè)認(rèn)證周期中ISMS的實(shí)施與連續(xù)愛護(hù)的情形，包括：檢查ISMS是否按照ISO/IEC27001:2005的要求加以實(shí)施、愛護(hù)和改進(jìn)；評(píng)審ISMS文件和定期審核（包括內(nèi)部審核和監(jiān)督審核）的結(jié)果；檢查ISMS如何應(yīng)對(duì)組織的業(yè)務(wù)與運(yùn)行的變化；檢驗(yàn)治理者對(duì)愛護(hù)ISMS有效性的承諾情形。4信息安全治理體系4.1總要求建立和治理ISMS建立ISMS標(biāo)準(zhǔn)的要求審核內(nèi)容審核記錄注釋與指南a）組織要定義ISMS的范疇?組織是否有一個(gè)定義ISMS范疇的過程？對(duì)“定義ISMS的范疇”要求的符合性審核，要確保ISMS的定義不僅要包括范疇，也要包括邊界。對(duì)任何范疇的刪減，必須有詳細(xì)講明和正當(dāng)性理由。?是否有對(duì)任何范疇的刪減？b）組織要定義ISMS方針?組織是否有一個(gè)ISMS方針文件？要求明確規(guī)定ISMS方針的5個(gè)差不多點(diǎn)，即ISMS方針要：1） 包括信息安全的目標(biāo)框架、信息安全工作的總方向和原則；2） 考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3） 與組織開發(fā)與愛護(hù)ISMS的戰(zhàn)略性風(fēng)險(xiǎn)治理，結(jié)合起或保扌寸致；4） 建立風(fēng)險(xiǎn)評(píng)判準(zhǔn)則；5） 獲得治理者批準(zhǔn)。在對(duì)那個(gè)要求的符合性審核時(shí)，要確保組織的ISMS方針滿足上述5個(gè)要求。還要注意到ISMS方針與信息安全方針的關(guān)系。?組織的ISMS方針文件是否滿足ISO/IEC27001:2005規(guī)定的5個(gè)差不多點(diǎn)（見注釋與指南欄）？c）組織要定義風(fēng)險(xiǎn)評(píng)估方法?組織是否有一個(gè)定義風(fēng)險(xiǎn)評(píng)估方法的文件？要求明確規(guī)定，“定義組織的風(fēng)險(xiǎn)評(píng)估方法”的工作（活動(dòng)）要包括：1）確定風(fēng)險(xiǎn)評(píng)估方法，而那個(gè)評(píng)估方法要適合組織的ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求；?組織的風(fēng)險(xiǎn)評(píng)估方法是否適合ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全

要求和法律法規(guī)要求？2）制定同意風(fēng)險(xiǎn)的準(zhǔn)則，確定可同意的風(fēng)險(xiǎn)級(jí)不。在對(duì)要求的符合性審核時(shí)，要確保上述2個(gè)要求得到滿足。?同意風(fēng)險(xiǎn)的準(zhǔn)則是否差不多確定？并按照此準(zhǔn)則，確定了可同意的風(fēng)險(xiǎn)級(jí)不？d）組織要識(shí)不安全風(fēng)險(xiǎn)?組織是否有一個(gè)識(shí)不安全風(fēng)險(xiǎn)的過程？“識(shí)不安全風(fēng)險(xiǎn)”是一個(gè)過程（活動(dòng)）。而那個(gè)過程要包括：1） 識(shí)不組織ISMS范疇內(nèi)的資產(chǎn)及其責(zé)任人；2） 識(shí)不資產(chǎn)所面臨的威逼；3） 識(shí)不可能被威逼利用的脆弱點(diǎn)；4） 識(shí)不資產(chǎn)保密性、完整性和可用性的喪失造成的阻礙。在對(duì)要求的符合性審核時(shí)，要確?！白R(shí)不安全風(fēng)險(xiǎn)”要包括上述工作（活動(dòng)）。?識(shí)不安全風(fēng)險(xiǎn)的過程是否符合規(guī)定（參見“注釋與指南”欄）？e）組織要分析和評(píng)判安全風(fēng)險(xiǎn)?組織是否有一個(gè)用于評(píng)估安全風(fēng)險(xiǎn)的過程？要求明確規(guī)定，“分析和評(píng)判安全風(fēng)險(xiǎn)”過程（活動(dòng)）要包括：1） 評(píng)估安全破壞（包括資產(chǎn)的保密性、完整性，或可用性的喪失的后果）可能產(chǎn)生的對(duì)組織的業(yè)務(wù)阻礙；2） 評(píng)估由要緊威逼和脆弱點(diǎn)導(dǎo)致的安全破壞的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的阻礙和當(dāng)前所實(shí)施的操縱措施；3） 估算風(fēng)險(xiǎn)的級(jí)不；4） 確定風(fēng)險(xiǎn)是否可同意，或者是否需要使用本組織的同意風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理。“分析和評(píng)判安全風(fēng)險(xiǎn)”的結(jié)果應(yīng)產(chǎn)生一個(gè)“風(fēng)險(xiǎn)評(píng)估報(bào)告”。在對(duì)要求的符合性審核時(shí)，要確保滿足上述要求。?是否評(píng)估了安全破壞可能產(chǎn)生對(duì)組織的業(yè)務(wù)阻礙？?那個(gè)安全風(fēng)險(xiǎn)評(píng)估過程是否符合規(guī)定（參見“注釋與指南欄”）？f）組織要識(shí)不和評(píng)判風(fēng)險(xiǎn)處理選擇措施?組織是否有一個(gè)用于識(shí)不和評(píng)判風(fēng)險(xiǎn)處理選擇措施的過程？要求明確規(guī)定，可選擇的措施包括：1） 米納適當(dāng)?shù)牟倏v措施；2） 同意風(fēng)險(xiǎn)；

?那個(gè)過程是否慮了4種可能的選擇（參見“注釋與指南欄”）？3） 幸免風(fēng)險(xiǎn)；4） 轉(zhuǎn)移風(fēng)險(xiǎn)。在對(duì)要求的審核時(shí)，要確保組織有一個(gè)“識(shí)不和評(píng)判風(fēng)險(xiǎn)處理選擇措施”的過程，并考慮了上述4種可能的選擇。g）組織要選擇風(fēng)險(xiǎn)處理所需的操縱目標(biāo)和操縱措施?組織是否有一個(gè)用于選擇ISO/IEC27001:2005附錄A的風(fēng)險(xiǎn)處理操縱目標(biāo)和操縱措施的過程？“選擇風(fēng)險(xiǎn)處理所需的操縱目標(biāo)和操縱措施”過程又包含3個(gè)具體要求：1） 操縱目標(biāo)和操縱措施要進(jìn)行選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中所識(shí)不的安全要求；2） 操縱目標(biāo)和操縱措施的選擇要考慮同意風(fēng)險(xiǎn)的準(zhǔn)則，以及法律法規(guī)要求和合同要求；3） 附錄A中的操縱目標(biāo)和操縱措施要加以選擇，作為此“選擇風(fēng)險(xiǎn)處理所需的操縱目標(biāo)和操縱措施”過程的一部分，以滿足已識(shí)不的安全需求。在對(duì)要求的審核時(shí)，要與本書第9章“操縱目標(biāo)和操縱措施的審核”結(jié)合一起進(jìn)行。最重要的是要確保所選擇的操縱目標(biāo)和操縱措施：?符合風(fēng)險(xiǎn)評(píng)估與處理過程中差不多識(shí)不安全要求；?符合同意風(fēng)險(xiǎn)準(zhǔn)則的要求，以及法律法規(guī)的要求和合同的要求；如果附錄A中的操縱目標(biāo)和操縱措施適用于已識(shí)不的安全要求，要加以選擇，不要錯(cuò)漏?？蓞⒁姳緯?章“操縱目標(biāo)和操縱措施的審核”。?那個(gè)過程是否確保所選擇的操縱目標(biāo)和操縱措施滿足有關(guān)要求（參見“注釋與指南”欄）？?附錄A的操縱目標(biāo)和操縱措施是否都被選擇？?如果不選擇，是否有正當(dāng)性理由？?是否選擇了附錄A以外的操縱措施？h）組織要確保治理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)?所有殘余風(fēng)險(xiǎn)是否獲得治理者正式批準(zhǔn)？第一要明白得“殘余風(fēng)險(xiǎn)”的意義。i）組織要確保在ISMS?ISMS實(shí)施和運(yùn)行是否獲要檢查是否有領(lǐng)導(dǎo)的簽字（可參見后面“4.3.2文

實(shí)施和運(yùn)行之前，獲得治理者授權(quán)得治理者授權(quán)？件操縱”的審核）。j）組織要預(yù)備適用性聲明?組織是否有一個(gè)預(yù)備適用性聲明的過程？要求明確規(guī)定，“適用性聲明”必須至少包括以下3項(xiàng)內(nèi)容：1） 所選擇操縱目標(biāo)和操縱措施，及其選擇的理由；2） 當(dāng)前實(shí)施的操縱目標(biāo)和操縱措施；3） 附錄A中任何操縱目標(biāo)和操縱措施的刪減，以及刪減的正當(dāng)性理由。在對(duì)要求審核時(shí)，最重要的是要確保：“適用性聲明”的內(nèi)容至少含有上述3項(xiàng)；不選擇的理由必須是合理的，或證明其是正當(dāng)性的。由于附錄A舉薦的操縱目標(biāo)和操縱措施是最佳實(shí)踐，因此如果沒有正當(dāng)性理由，都要加以選擇，要防止漏選。對(duì)要求的審核，可與后面“4.3.1總則”i）的審核和第9章“操縱目標(biāo)和操縱措施的審核”結(jié)合一起進(jìn)行。?適用性聲明的內(nèi)容是否有含有標(biāo)準(zhǔn)規(guī)定的“3項(xiàng)內(nèi)容”（參見“注釋與指南”欄）？?適用性聲明是否記載附錄A中任何操縱目標(biāo)和操縱措施的刪減，以及刪減的正當(dāng)性理由？實(shí)施與運(yùn)行ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要制定風(fēng)險(xiǎn)處理打算?組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng)險(xiǎn)處理打算文件的過程？要求明確規(guī)定，組織要有一個(gè)產(chǎn)生風(fēng)險(xiǎn)處理打算的過程或程序。而那個(gè)過程要確定信息安全風(fēng)險(xiǎn)的治理措施、資源、職責(zé)和優(yōu)先級(jí)。由于標(biāo)準(zhǔn)的第4章只是“打算”時(shí)期，在標(biāo)準(zhǔn)第5章中將提出更具體的“資源”要求。關(guān)于“風(fēng)險(xiǎn)處理打算”，可與“4.3.1總則”條款的要求一起審核（見“4.3.1總則”f）審核）。?是否有一個(gè)“風(fēng)險(xiǎn)處理打算”文件？b）組織要實(shí)施風(fēng)險(xiǎn)處理打算?組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施風(fēng)要求明確規(guī)定，組織要有一個(gè)“實(shí)施風(fēng)險(xiǎn)處理打算”的過程，或程序。而那個(gè)過程的目的是要達(dá)到

險(xiǎn)處理打算”的過程？已確定的操縱目標(biāo)，包括資金安排、角色和職責(zé)的分配。c）組織要實(shí)施所選擇的操縱措施?組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施所選擇的操縱措施”的過程？要求明確規(guī)定，組織要有一個(gè)“實(shí)施所選擇的操縱措施”的過程，或程序，其目的是要滿足操縱目標(biāo)。d）組織要定義如何測(cè)量所選操縱措施的有效性?組織是否有一個(gè)“測(cè)量所選操縱措施有效性”的過程？即組織要：1） 定義如何測(cè)量所選操縱措施的有效性，即要有一個(gè)“測(cè)量所選操縱措施有效性”的過程；2） 規(guī)定如何使用這些測(cè)量措施，對(duì)操縱措施的有效性進(jìn)行測(cè)量（或評(píng)估）；據(jù)此，治理者和職員就能夠確定所選操縱措施是否實(shí)現(xiàn)原打算的操縱目標(biāo)，或?qū)崿F(xiàn)的程度。在對(duì)那個(gè)要求的審核時(shí)，審核員必須檢查受審核組織：是否有一個(gè)測(cè)量所選擇操縱措施有效性的“測(cè)量措施”；如何使用其測(cè)量措施進(jìn)行測(cè)量；所選操縱措施是否達(dá)到既定的操縱目標(biāo)?？膳c4.2.3c）規(guī)定的要求同時(shí)審核（參見“4.2.3監(jiān)視與評(píng)審ISMS”）?如何使用測(cè)量措施，去測(cè)量操縱措施的有效性？e）組織要實(shí)施培訓(xùn)和意識(shí)教育打算?組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施培訓(xùn)和意識(shí)教育打算”的過程？關(guān)于實(shí)施ISMS的組織來講，專門重要的情況是培訓(xùn)，使其職員了解標(biāo)準(zhǔn)的意圖和信息安全的原理。因此在“實(shí)施與運(yùn)行組織的ISMS”中，第一要有“培訓(xùn)和意識(shí)教育打算”（參見“5.2.2培訓(xùn)、意識(shí)和能力”）。f）組織要治理ISMS的運(yùn)行? 組織是否有“治理ISMS的運(yùn)行”的過程？要求明確規(guī)定，ISMS的運(yùn)行需要治理。g）組織要治理ISMS? 組織是否有對(duì)ISMS實(shí)要求明確規(guī)定，ISMS實(shí)施所需要的資源要加以治

的資源施所需要的資源進(jìn)行治理的過程？理（參見“5.2資源治理”）。h）組織要實(shí)施組織的安全程序和其他操縱措施?組織的ISMS是否有“迅速檢測(cè)安全事件和對(duì)安全事故能做出迅速反應(yīng)”的程序？要求規(guī)定，在“迅速檢測(cè)安全事件和對(duì)安全事故能做出迅速反應(yīng)”方面，要有有關(guān)的程序和操縱措施（參見“4.2.3監(jiān)視與評(píng)審ISMS”a））。監(jiān)視與評(píng)審ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要執(zhí)行監(jiān)視與評(píng)審程序?組織是否有“監(jiān)視與評(píng)審程序”，以：1） 迅速檢測(cè)處理產(chǎn)生的錯(cuò)誤；2） 迅速識(shí)不試圖的和得逞的安全違規(guī)事件和事故；3） 使治理者能確定指定人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否如期執(zhí)行；4） 通過使用指示器，關(guān)心檢測(cè)安全事件并預(yù)防安全事故;5） 確定解決安全違規(guī)事件的措施是否有效？要求明確規(guī)定，求組織要有“監(jiān)視與評(píng)審程序”，以達(dá)到以下5個(gè)目的：1） 迅速檢測(cè)處理產(chǎn)生的錯(cuò)誤；2） 迅速識(shí)不試圖的和得逞的安全違規(guī)事件和事故；3） 使治理者能確定指定人員的安全活動(dòng)（或通過信息技術(shù)實(shí)施的安全活動(dòng)）是否如期執(zhí)行；4） 通過使用指示器，關(guān)心檢測(cè)安全事件并預(yù)防安全事故；5） 確定解決安全違規(guī)事件的措施是否有效。在對(duì)要求的審核時(shí)，必須檢查這些內(nèi)容。b）組織要定期評(píng)審ISMS有效性?是否有符合此要求“ISMS有效性的定期評(píng)審”的過程？要求明確規(guī)定，組織對(duì)ISMS的有效性，進(jìn)行定期評(píng)審（包括ISMS方針和目標(biāo)的符合性評(píng)審、安全操縱措施的有效性評(píng)審）。

而在對(duì)ISMS有效性的定期評(píng)審時(shí)，要聯(lián)系到（或考慮到）安全審核的結(jié)果、事故、有效性測(cè)量的結(jié)果、所有有關(guān)方的建議和反饋。在對(duì)要求的審核時(shí)，要檢查是否有有關(guān)的過程或活動(dòng)。c）組織要測(cè)量操縱措施的有效性?是否有到位的“測(cè)量操縱措施的有效性”的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要測(cè)量操縱措施的有效性以驗(yàn)證安全要求是否得到滿足。在對(duì)要求的審核時(shí)，要檢查是否有“測(cè)量操縱措施的有效性”的過程或程序。d）組織要評(píng)審風(fēng)險(xiǎn)評(píng)估?是否有到位的“評(píng)審風(fēng)險(xiǎn)評(píng)估”的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要按照既定的時(shí)刻間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估、殘余風(fēng)險(xiǎn)和已確定的可冋意的風(fēng)險(xiǎn)級(jí)不，要考慮以下方面的變化：1） 組織；2） 技術(shù)；3） 業(yè)務(wù)目標(biāo)和過程；4） 已識(shí)不的威逼；5） 已實(shí)施的操縱措施的有效性；6） 外部事件，如法律法規(guī)環(huán)境的變化、合同義務(wù)的變化和社會(huì)環(huán)境的變化。在對(duì)要求的審核時(shí)，要檢查是否有有關(guān)的過程或活動(dòng)。?“評(píng)審風(fēng)險(xiǎn)評(píng)估”的過程是否考慮了“6方面的變化”（參見注釋與指南）？e）組織要執(zhí)行定期的ISMS內(nèi)部審核?是否有到位的定期的“ISMS內(nèi)部審核”過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要按既定的時(shí)刻間隔，執(zhí)行ISMS內(nèi)部審核。在對(duì)要求的審核時(shí)，要檢查是否有“定期的ISMS內(nèi)部審核”過程或程序。而對(duì)ISMS內(nèi)部審核的符合性審核要按照標(biāo)準(zhǔn)第6章的要求執(zhí)行。

f）組織要執(zhí)行定期的ISMS治理評(píng)審?是否有到位的定期的“ISMS治理評(píng)審”過程或程序？那個(gè)要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要按既定的時(shí)刻間隔，執(zhí)行ISMS治理評(píng)審。在對(duì)那個(gè)要求的審核時(shí)，要檢查是否有定期的“ISMS治理評(píng)審”過程或程序。而對(duì)ISMS治理評(píng)審的符合性審核要按照標(biāo)準(zhǔn)的第7章的要求執(zhí)行。g）組織要更新信息安全打算?組織是否參考監(jiān)視和評(píng)審活動(dòng)的發(fā)覺，而“更新信息安全打算”？那個(gè)要求明確規(guī)定，組織要參考監(jiān)視和評(píng)審活動(dòng)的發(fā)覺，更新安全打算。h）組織要愛護(hù)ISMS事件和行動(dòng)措施的紀(jì)錄?是否有到位的“愛護(hù)ISMS事件和行動(dòng)措施的紀(jì)錄”的過程？那個(gè)要求明確規(guī)定，組織要記錄可能阻礙ISMS有效性的事件和所采取的措施。對(duì)那個(gè)要求的審核，可與標(biāo)準(zhǔn)的“4.3.3記錄操縱”條款要求的審核一起進(jìn)行。保持與改進(jìn)ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要實(shí)施ISMS改進(jìn)?是否有到位的“實(shí)施ISMS改進(jìn)”的過程？要求明確規(guī)定，組織對(duì)已識(shí)不的ISMS改進(jìn)點(diǎn)，要加以實(shí)施。對(duì)要求的符合性審核時(shí)，要確保有到位的“實(shí)施ISMS改進(jìn)”的過程。b）組織要采取適當(dāng)?shù)募m正措施和預(yù)防措施?是否有到位的“糾正措施和預(yù)防措施”的過程？要求明確規(guī)定，組織有與標(biāo)準(zhǔn)的“8.2糾正措施”條款和“8.3預(yù)防措施”條款保持一致的“糾正措施和預(yù)防措施”的過程，并要求吸取其它組織和本組織的安全體會(huì)教訓(xùn)。對(duì)要求的審核，可與標(biāo)準(zhǔn)的“8.2糾正措施”條款和“8.3預(yù)防措施”條款的要求的審核一起進(jìn)行。?是否有到位的吸取其它組織和本組織的安全體會(huì)教訓(xùn)的過程？c）組織要向所有有關(guān)方交流ISMS的措施?是否有向所有有關(guān)方交流ISMS改進(jìn)的過程？要求明確規(guī)定，組織要向所有有關(guān)方交流ISMS的行動(dòng)措施和改進(jìn)情形，確保有適當(dāng)?shù)脑斍橹v明，

和改進(jìn)狀況并取得一致意見。d）組織要確保ISMS的改進(jìn)達(dá)到預(yù)期目標(biāo)?是否有確保ISMS的改進(jìn)達(dá)到了預(yù)期目標(biāo)的過程？治理者要跟蹤改進(jìn)，直到達(dá)到了預(yù)期目標(biāo)。4.3文件要求總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1）ISMS文件要包括治理決定的記錄?是否ISMS文件包括有治理決定的記錄？在左欄所示的這3）個(gè)要求是在“4.3.1總則”條款開始的一個(gè)引言段中提出的。那個(gè)地點(diǎn)提出ISMS文件：1） 必須包括治理決定的記錄；2） 必須確保所采取的行動(dòng)措施可追蹤到治理決定和方針；3） 必須確保已記錄的結(jié)果是可再生的。那個(gè)地點(diǎn)明確了，展現(xiàn)三者（即所選擇的操縱措施、風(fēng)險(xiǎn)評(píng)估的結(jié)果、ISMS方針與目標(biāo)）之間的關(guān)系的重要性。即從所選擇操縱措施可追溯到風(fēng)險(xiǎn)評(píng)估的結(jié)果，而從風(fēng)險(xiǎn)評(píng)估的結(jié)果又可追溯到ISMS方針與目標(biāo)。2）ISMS文件要確保所采取的措施可追蹤到治理決定和方針?是否ISMS文件確保所采取的措施可追蹤到治理決定和方針？3）ISMS文件要確保記錄的結(jié)果是可再生的?是否ISMS文件確保記錄的結(jié)果是可再生的？a）ISMS文件要包括ISMS方針與目標(biāo)文件?是否有ISMS方針與目標(biāo)文件？標(biāo)準(zhǔn)規(guī)定，ISMS文件要包括9方面的文件（見本表從a）-i）欄）。其中，ISMS方針是最高級(jí)（或頂級(jí)）的文件。b）ISMS文件要包括ISMS的范疇?是否有一個(gè)描述ISMS范疇的文件？?標(biāo)準(zhǔn)要求的ISMS文件內(nèi)容不一定都要形成單一文件；某些有關(guān)的內(nèi)容可合并在一起，而形成一個(gè)文件，也可不能認(rèn)為違反標(biāo)準(zhǔn)的要求。在實(shí)際中，為了減少文件量，“ISMS的范疇”常合并于ISMS方針文件。

?參見表1-1a）。c）ISMS文件要包括支持ISMS的程序和操縱措施?是否有支持ISMS的程序和操縱措施？那個(gè)地點(diǎn)，只是泛泛地提出?！爸С諭SMS的程序和操縱措施”包括的內(nèi)容專門廣。除了標(biāo)準(zhǔn)強(qiáng)制要求的程序文件外，還可有許多組織自主決定的文件。文件的內(nèi)容可隨組織的不同而有所不同。要緊取決于：1） 組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)；2） 安全要求的嚴(yán)格程度；3） 治理體系的范疇和復(fù)雜程度。組織需要哪些ISMS文件、操縱措施及其復(fù)雜程度如何，通?？砂凑诊L(fēng)險(xiǎn)評(píng)估的結(jié)果而決定（參見第6章“6.3.1.1獲得ISMS文件”）。d）ISMS文件要包括風(fēng)險(xiǎn)評(píng)估方法的描述?是否有描述風(fēng)險(xiǎn)評(píng)估方法的文件？?與標(biāo)準(zhǔn)4.2.1c）條款的要求一致。最佳的實(shí)踐表明，“風(fēng)險(xiǎn)評(píng)估方法的描述”可合并于“風(fēng)險(xiǎn)評(píng)估程序”；而“風(fēng)險(xiǎn)評(píng)估程序”的運(yùn)行結(jié)果又產(chǎn)生“風(fēng)險(xiǎn)評(píng)估報(bào)告”。參見的表1-1c）；參見“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。e）ISMS文件要包括風(fēng)險(xiǎn)評(píng)估報(bào)告?是否有可用的風(fēng)險(xiǎn)評(píng)估報(bào)告？f）ISMS文件要包括風(fēng)險(xiǎn)處理打算?是否有可用的風(fēng)險(xiǎn)處理打算？?與標(biāo)準(zhǔn)4.2.2b）的要求一致；參見“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。g）ISMS文件要包括操縱措施有效性的測(cè)量程序?是否有描述如何測(cè)量操縱措施有效性的程序文件？?與標(biāo)準(zhǔn)4.2.3c的要求一致；參見“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。h）ISMS文件要包括本標(biāo)準(zhǔn)所要求的記錄?是否有提供符合要求證據(jù)的記錄？?“記錄”的范疇專門廣。實(shí)際上，每一個(gè)程序文件的運(yùn)行結(jié)果都能夠產(chǎn)生可作為證據(jù)的“記錄”。參見“4.3.3記錄操縱”。i）ISMS文件要包括適用性聲明?是否有符合要求的適用性聲明？參見表ITj）。

4.3.2文件操縱標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1）ISMS所要求的文件要加以愛護(hù)和操縱是否有一個(gè)用于愛護(hù)和操縱ISMS文件的過程？要求是標(biāo)準(zhǔn)的“4.3.2文件操縱”條款開始的一個(gè)引言段中提出的。那個(gè)地點(diǎn)只是泛泛地提出。實(shí)際上，“愛護(hù)和操縱ISMS文件的過程”可用“文件操縱程序文件”進(jìn)行操縱。2）ISMS文件操縱程序要形成文件是否有一個(gè)形成文件的文件操縱程序？“形成文件的文件操縱程序”一樣稱為“文件操縱程序文件”那個(gè)程序文件是標(biāo)準(zhǔn)要求的必須的ISMS文件之一。“4.3.2文件操縱”條款要緊的要求是：建立一個(gè)“文件操縱程序文件”，并對(duì)文件進(jìn)行以下10方面操縱（見下面a-j）。a）“文件操縱程序文件”要定義“文件公布前要得到批準(zhǔn)”?是否文件公布前要得到批準(zhǔn)？在對(duì)那個(gè)“4.3.2文件操縱”條款要求的審核時(shí)，要緊檢查：1） 組織是否有一個(gè)用于操縱ISMS文件的“文件操縱程序文件”；2） 組織的ISMS文件實(shí)際上是否受控；3） 是否從“10方面”（a-j）操縱ISMS文件。b）“文件操縱程序文件”要定義“必要時(shí)評(píng)審與更新文件，并再次獲得批準(zhǔn)”?是否必要時(shí)評(píng)審與更新文件，并再次批準(zhǔn)文件？c）“文件操縱程序文件”要定義“文件的更換和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)”?是否文件的更換和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)？d）“文件操縱程序文件”要定義“在使用處可獲得有關(guān)版本的適?是否在使用處可獲得有關(guān)版本的適用文件？

用文件”e)“文件操縱程序文件”要定義“文件保持清晰、易于識(shí)不”?是否文件保持清晰、易于識(shí)不？f)“文件操縱程序文件”要定義“文件可為需要的人員使用，并按照有關(guān)程序進(jìn)行傳輸、貯存和最終銷毀”?是否文件可為需要的人員使用，并按照有關(guān)程序進(jìn)行傳輸、貯存和最終銷毀？g)“文件操縱程序文件”要定義“外來文件得到標(biāo)識(shí)”?是否外來文件得到標(biāo)識(shí)？h)“文件操縱程序文件”要定義“文件的分發(fā)受操縱”?是否文件的分發(fā)受操縱？i)“文件操縱程序文件”要定義“防止作廢文件非預(yù)期使用”?是否“防止作廢文件非預(yù)期使用”？j)“文件操縱程序文件”要定義“對(duì)需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識(shí)”?是否“對(duì)需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識(shí)”？記錄操縱標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.記錄要加以建立與保持?是否有一個(gè)建立與保持記錄的過程？記錄是提供符合ISMS要求和有效運(yùn)行客觀證據(jù)的一種專門類型的文件。

b.記錄要加以愛護(hù)與操縱?是否有一個(gè)愛護(hù)與操縱記錄的過程？記錄需要建立與保持、愛護(hù)與操縱。c.ISMS要考慮有關(guān)法律法規(guī)要求和合同義務(wù)?ISMS是否考慮了有關(guān)法律法規(guī)要求和合同義務(wù)？組織要提供證據(jù)（記錄），證明其ISMS考慮了有關(guān)法律法規(guī)要求和合同義務(wù)。d.記錄要保持清晰、易于識(shí)不和檢索?記錄是否保持清晰、易于識(shí)不和檢索？作為客觀證據(jù)的記錄，必須易于明白得，不能模糊不清。e.記錄的操縱要形成文件并加以實(shí)施?記錄的操縱是否形成了文件？記錄的操縱包括：記錄的標(biāo)識(shí)、貯存、愛護(hù)、檢索、儲(chǔ)存期限和處置等。這些操縱要形成文件，通常稱為“記錄操縱程序文件”“記錄操縱程序文件”是必須要有的ISMS文件之。f.記錄要保留ISMS過程的執(zhí)行情形，和所有重大安全事故的執(zhí)行情形?記錄是否保留了ISMS過程的執(zhí)行情形？那個(gè)地點(diǎn)，ISMS過程是指ISO/IEC27001:2005的4.2條款所列出的過程，包括ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)。所有這些過程的記錄要加以保留，所有重大安全事故的紀(jì)錄也要保留。?記錄是否保留了所有重大安全事故的執(zhí)行情形？5治理職責(zé)

治理承諾標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南治理者要對(duì)ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)，做出承諾，提供證據(jù)。?是否有一個(gè)確保治理者對(duì)ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)，做出承諾的過程？那個(gè)地點(diǎn)，“治理承諾”應(yīng)明白得為“最高治理者（層）的承諾”。ISO/IEC27001:2005標(biāo)準(zhǔn)認(rèn)為，ISMS的成功運(yùn)行需要治理者參與并做出承諾。因此標(biāo)準(zhǔn)要求最高治理層（包括總經(jīng)理和治理者代表等）展現(xiàn)出其如何支持（或承諾）ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持與改進(jìn)，并提供8方面內(nèi)容的證據(jù)，包括：a） 制定ISMS方針；b） 確保建立ISMS目標(biāo)和打算；c） 建立信息安全的角色和職責(zé)；d） 向該組織傳達(dá)滿足信息安全目標(biāo)與符合信息安全方針的重要性、法律責(zé)任和連續(xù)改進(jìn)的需要；e） 提供足夠的資源；f） 決定同意風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可同意級(jí)不準(zhǔn)則；g） 確保ISMS內(nèi)審的執(zhí)行；h） 進(jìn)行ISMS治理評(píng)審。?治理者提供承諾的證據(jù)是否包括8方面的內(nèi)容（見“注釋與指南”欄）？資源治理資源提供標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要確定和提供所需要的資源?治理者是否提供ISMS活動(dòng)所需要的資源？那個(gè)地點(diǎn)ISMS活動(dòng)包括ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)。

?治理者是否提供確保信息安全程序支持業(yè)務(wù)要求所需要的資源？資源包括人、財(cái)、物（如設(shè)備、工具和資料等）。?治理者是否提供滿足法律法規(guī)要求、合同安全要求所需要的資源？?是否提供通過正確實(shí)施操縱措施愛護(hù)安全所需要的資源？?治理者是否提供必要的評(píng)審與對(duì)評(píng)審結(jié)果做出適當(dāng)反應(yīng)所需要的資源？?治理者是否提供改進(jìn)ISMS有效性所需要的資源？培訓(xùn)、意識(shí)和能力標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要確保分配有ISMS職責(zé)的所有人員都具有執(zhí)行所要求任務(wù)的能力?是否有一個(gè)確保分配有ISMS職責(zé)的所有人員都具有完成所要求任務(wù)的能力的過程？要求明確規(guī)定，確保分配有ISMS職責(zé)的所有人員都具有完成其所要求任務(wù)的能力。那個(gè)過程包括4個(gè)活動(dòng)：a） 確定所有ISMS人員所必要的能力；b） 提供培訓(xùn)，或采取其它措施（例如聘用有能力的人員），以滿足這些需要；c） 評(píng)判培訓(xùn)等措施的有效性；d） 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。在對(duì)要求的符合性審核時(shí)，要檢查培訓(xùn)記錄和有關(guān)證據(jù)。

b.組織要確保所有有關(guān)人員意識(shí)到其信息安全活動(dòng)的重要性?是否有一個(gè)確保所有有關(guān)人員都識(shí)到其信息安全活動(dòng)的重要性的過程？要求明確規(guī)定，組織要確保所有有關(guān)人員意識(shí)到其信息安全活動(dòng)的利害關(guān)系與重要性，并為達(dá)到ISMS目標(biāo)做出奉獻(xiàn)。在對(duì)要求的符合性審核時(shí)，能夠抽查有關(guān)人員的安全意識(shí)。內(nèi)部ISMS審核標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)定期進(jìn)行內(nèi)部ISMS審核? 是否有一個(gè)定期進(jìn)行內(nèi)部ISMS審核的過程？要求明確規(guī)定，“組織要按照既定的時(shí)刻間隔進(jìn)行內(nèi)部ISMS審核”而內(nèi)部審核的目的是確定其ISMS的操縱目標(biāo)、操縱措施、過程和程序是否：符合本標(biāo)準(zhǔn)和有關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實(shí)施和保持；按預(yù)期執(zhí)行。在對(duì)要求符合性審核時(shí)，要確保上述要求得到滿足＜(2)制定審核方案是否有一個(gè)申核方案？該申核方案是否考慮了受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果？要求明確規(guī)定，在進(jìn)行內(nèi)部審核之前，要制定“審核方案”而那個(gè)審核方案要考慮受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果。(3)定義審核的準(zhǔn)則、范疇、頻次和方法?審核的準(zhǔn)則、范疇、頻次和方法是否定義？在實(shí)際中，審核的準(zhǔn)則、范疇、頻次和方法能夠包含于申核方案或申核打算中。(4)審核員的選擇，審核的實(shí)施要確保審核過程的客觀公平?審核員的選擇，審核的實(shí)施是否確保審核過程的客觀公平？在這方面，應(yīng)遵照本書第4章的規(guī)定執(zhí)行。其中包括“審核發(fā)覺、審核結(jié)論和審核報(bào)告要真實(shí)和準(zhǔn)確地反映審核活動(dòng)”(5)審核員不準(zhǔn)審核?是否審核員審核了自己要識(shí)不內(nèi)部審核員除了內(nèi)審以外的其它工作。

自己的工作的工作？(6)形成內(nèi)審程序文件?是否有定義內(nèi)審職責(zé)和要求方面的內(nèi)審程序文件？要求明確規(guī)定，內(nèi)審的職責(zé)和要求(包括審核的打算與實(shí)施、審核結(jié)果的報(bào)告、記錄的保持等)必須以形成文件的程序加以定義。在對(duì)要求的符合性審核時(shí)，要確保上述要求得到滿足,(7)采取糾正措施?是否有一個(gè)確保受審部門的責(zé)任治理者及時(shí)采取措施，排除“已發(fā)覺的不符合事項(xiàng)及其產(chǎn)生的緣故”的過程？要求的意義包括：受審部門的責(zé)任治理者要采取糾正措施；糾正措施要包含緣故分析；糾正措施不能有不適當(dāng)?shù)难舆t。在對(duì)要求的符合性審核時(shí)，要確保上述要求得到滿足(8)跟蹤糾正措施?是否有一個(gè)對(duì)糾正措施的跟蹤活動(dòng)？“跟蹤糾正措施”是受審部門責(zé)任治理者的職責(zé)，包括：要跟蹤和驗(yàn)證糾正措施，直到真正獲得落實(shí)；要報(bào)告跟蹤和驗(yàn)證的結(jié)果。?跟蹤活動(dòng)是否包括驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告？ISMS的治理評(píng)審總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)治理者要每年至少評(píng)審1次ISMS?是否有一個(gè)確保最高治理者每年至少評(píng)審1次ISMS的過程？治理評(píng)審的目的是確保ISMS連續(xù)的適宜性、充分性和有效性。為了確保最冋治理者母年至少訐申1次ISMS，最好的實(shí)踐是通過使用一個(gè)“治理評(píng)審程序文件”進(jìn)行操縱。“治理評(píng)審程序文件”也操縱有關(guān)的治理評(píng)審過程，以滿足標(biāo)準(zhǔn)的要求。然而，標(biāo)準(zhǔn)沒有明確規(guī)定一定要有一個(gè)形成文件的“治理評(píng)審程序”。因此，在審核時(shí)，要緊是要確保有符合要求的評(píng)審過程。?是否檢查了ISMS的實(shí)施情形，以確保ISMS連續(xù)的適宜性、充分性和有效性？

（2）評(píng)審要包括評(píng)估改進(jìn)的機(jī)會(huì)和變更ISMS的需要?在治理評(píng)審時(shí)，是否評(píng)估了ISMS（包括信息安全方針和信息安全目標(biāo)）改進(jìn)的機(jī)會(huì)和變更的需要？在運(yùn)行期間，操作者是不能任意變更ISMS的。ISMS的改進(jìn)和變更，只能通過最高治理者對(duì)ISNS的評(píng)審，做出評(píng)審決定后，才能執(zhí)行。因此治理評(píng)申時(shí)，要有這方面的評(píng)估。（3）評(píng)審的結(jié)果要形成文件?評(píng)審結(jié)果是否形成了文件？審核員在進(jìn)行“ISMS的治理評(píng)審”的審核時(shí)，必須按標(biāo)準(zhǔn)“4.3.3記錄操縱”條款的要求，檢查評(píng)審結(jié)果和有關(guān)的評(píng)審的記錄。（4）評(píng)審的記錄要加以保持?記錄是否按照“記錄操縱”的要求加以保持？評(píng)審輸入標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）治理評(píng)審的輸入要包括審核和評(píng)審結(jié)果?是否有一個(gè)確保治理評(píng)審的輸入包括標(biāo)準(zhǔn)要求的9方面信息的過程？在審核時(shí)，審核員應(yīng)第一檢查組織如何確保滿足標(biāo)準(zhǔn)規(guī)定的9方面治理評(píng)審的輸入信息（見本表的a-i）。?是否治理評(píng)審的輸入包括先前的審核和評(píng)審結(jié)果？審核員應(yīng)檢查治理評(píng)審的輸入是否包括先前的審核（包括內(nèi)審和外審）和治理評(píng)審的結(jié)果。b）治理評(píng)審的輸入要?是否治理評(píng)審的輸入申核員應(yīng)檢查治理評(píng)申的輸入是否包括有關(guān)方（如顧客和有關(guān)人員）的反饋，包括意見、埋怨和評(píng)論等。包括有關(guān)方的反饋包括有關(guān)方的反饋？c）治理評(píng)審的輸入要包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)品或程序?是否治理評(píng)審的輸入包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)品或程序？審核員應(yīng)檢查治理評(píng)審的輸入是否包括可用于改進(jìn)ISMS有效性的技術(shù)、產(chǎn)品或程序。d）治理評(píng)審的輸入要包括預(yù)防和糾正措施的狀況?是否治理評(píng)審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查治理評(píng)審的輸入是否包括先前的預(yù)防措施和糾正措施的情形，包括查有關(guān)記錄。

e）治理評(píng)審的輸入要包括以往風(fēng)險(xiǎn)評(píng)估沒有充分解決的脆弱點(diǎn)或威逼?是否治理評(píng)審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查治理評(píng)審的輸入是否包括在先前的風(fēng)險(xiǎn)評(píng)估期間，沒有充分解決的安全咨詢題。f）治理評(píng)審的輸入要包括有效性測(cè)量的結(jié)果?是否治理評(píng)審的輸入包括ISMS有效性的測(cè)量結(jié)果？審核員應(yīng)檢查治理評(píng)審的輸入是否包括在先前對(duì)ISMS的有效性的測(cè)量結(jié)果。g）治理評(píng)審的輸入要包括以往治理評(píng)審的跟蹤措施?是否治理評(píng)審的輸入包括以往治理評(píng)審的跟蹤措施？審核員應(yīng)檢查治理評(píng)審的輸入是否包括以往治理評(píng)審的跟蹤措施，包括對(duì)以往治理評(píng)審結(jié)果的貫徹、跟蹤和驗(yàn)證的結(jié)果。h）治理評(píng)審的輸入要包括可能阻礙ISMS的任何變更?是否治理評(píng)審的輸入包括可能阻礙ISMS的任何變更？審核員應(yīng)檢查治理評(píng)審的輸入是否包括可能阻礙ISMS的任何變更，包括顯現(xiàn)新的信息資產(chǎn)、技術(shù)的變更、內(nèi)外環(huán)境的變更和組織結(jié)構(gòu)的變更等。i）治理評(píng)審的輸入要包括改進(jìn)的建議?是否治理評(píng)審的輸入包括任改進(jìn)的建議？審核員應(yīng)檢查治理評(píng)審的輸入是否包括改進(jìn)ISMS的任何建議。評(píng)審輸出標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）治理評(píng)審的輸出要包括ISMS有效性的改進(jìn)?是否有一個(gè)確保治理評(píng)審的輸出包括5方面要求的過程？在審核時(shí)，審核員應(yīng)第一檢查組織如何確保治理評(píng)審滿足標(biāo)準(zhǔn)規(guī)定的5方面的輸出（見本表a）-e））。

?是否治理評(píng)審做出了改進(jìn)ISMS有效性的決定？審核員應(yīng)檢查治理評(píng)審的輸出是否有改進(jìn)ISMS有效性的決定。b）治理評(píng)審的輸出要包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理打算的更新?是否治理評(píng)審做出了更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理打算的決定？風(fēng)險(xiǎn)是動(dòng)態(tài)的。風(fēng)險(xiǎn)評(píng)估活動(dòng)要定期執(zhí)行，風(fēng)險(xiǎn)處理打算要及時(shí)更新。治理評(píng)審要做出這方面的決定。申核員應(yīng)檢查治理評(píng)申的輸出是否有這方面的決定。c）治理評(píng)審的輸出要包括必要時(shí)對(duì)阻礙信息安全的程序和操縱措施的修改，以應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事件?是否治理評(píng)審做出了在必要時(shí)對(duì)阻礙信息安全的程序和操縱措施的修改決定，以應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事件？要求的含義是，為了應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事件，包括：1） 業(yè)務(wù)要求發(fā)生變化；2） 安全要求發(fā)生變化；3） 阻礙現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程發(fā)生變化；4） 法律法規(guī)要求發(fā)生變化；5） 合同義務(wù)發(fā)生變化；6） 同意風(fēng)險(xiǎn)的風(fēng)險(xiǎn)級(jí)不和/或準(zhǔn)則發(fā)生變化。要對(duì)阻礙信息安全的程序和操縱措施進(jìn)行修改。治理評(píng)審要做出這方面的決定。在審核時(shí)，要檢查這方面的決定。d）治理評(píng)審的輸出要包括對(duì)資源需求的決定?是否治理評(píng)審做出了對(duì)資源需求的決定？要求是解決資源需求。治理評(píng)審要做出解決ISMS資源需求的決定。在審核時(shí)，要檢查這方面的決定。e）治理評(píng)審的輸出要包括改進(jìn)測(cè)量操縱措施有效性的方法?要求是改進(jìn)如何測(cè)量操縱措施的有效性。治理評(píng)申要做出這方面的決定。在申核時(shí)，要檢查這方面的決定。ISMS改進(jìn)連續(xù)改進(jìn)

標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要連續(xù)改進(jìn)ISMS的有效性?是否有一個(gè)確保組織連續(xù)改進(jìn)ISMS有效性的過程？要求規(guī)定，組織要通過多種途徑，連續(xù)改進(jìn)ISMS的有效性持，包括：1） 使用信息安全方針；2） 使用安全目標(biāo)；3） 使用審核結(jié)果；4） 使用監(jiān)視事件的分析；5） 使用糾正措施與預(yù)防措施；6） 使用治理評(píng)審。因此，審核員在進(jìn)行審核時(shí)，應(yīng)考慮以上方面，并結(jié)合一起進(jìn)行。糾正措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施，排除不符合ISMS要求的緣故?是否有一個(gè)確保米取措施，排除不符合ISMS要求的緣故的過程？要求規(guī)定，組織要采取措施，排除不符合ISMS要求的緣故，目的是防止不符合事項(xiàng)再次發(fā)生。b.糾正措施程序要形成文件?是否有一個(gè)糾正措施程序文件？“形成文件的糾正措施程序”通常也稱“糾正措施程序文件”，是標(biāo)準(zhǔn)強(qiáng)制性要求的ISMS文件之一。標(biāo)準(zhǔn)要求組織要建立和執(zhí)行“糾正措施程序文件”。那個(gè)“糾正措施程序文件”要定義6條要求（見本表“標(biāo)準(zhǔn)的要求”欄c-h）。審核員在文件評(píng)審時(shí)期，就應(yīng)對(duì)比此“8.2糾正措施”的要求，評(píng)審“糾正措施程序文件”的符合C.糾正措施程序文件要定義“識(shí)不不符合項(xiàng)”?是否糾正措施程序文件定義了“識(shí)不不符合項(xiàng)”？d.糾正措施程序文件要定義“確定產(chǎn)生不符合項(xiàng)的緣故”?是否糾正措施程序文件定義了“確定產(chǎn)生不符合項(xiàng)的緣故”？

e.糾正措施程序文件要定義“評(píng)判確保不符合項(xiàng)不再發(fā)生的措施需求”?是否糾正措施程序文件定義了“評(píng)判確保不符合項(xiàng)不再發(fā)生的措施需求”？性。f.糾正措施程序文件要定義“確定和實(shí)施所需要的糾正措施”?是否糾正措施程序文件定義了“確定和實(shí)施所需要的糾正措施”？g.糾正措施程序文件要定義“記錄所采取措施的結(jié)果”?是否糾正措施程序文件定義了“記錄所采取措施的結(jié)果”？h.糾正措施程序文件要定義“評(píng)審所采取的糾正措施”?是否糾正措施程序文件定義了“評(píng)審所采取的糾正措施”？預(yù)防措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施，排除潛在的不符合ISMS要求的緣故?是否有一個(gè)用于確保米取措施，排除潛在的不符合ISMS要求的緣故的過程？要求規(guī)定，組織要米取措施，排除潛在的不符合ISMS要求的緣故，目的是預(yù)先防止以后發(fā)生不符合事項(xiàng)。b.所采取的預(yù)防措施要與潛在咨詢題的阻礙程度相適應(yīng)?所采取的預(yù)防措施是否適于潛在咨詢題的阻礙？所要米取的預(yù)防措施，要按照潛在咨詢題的阻礙大小而決定。C.組織要建立一個(gè)預(yù)防措施程序文件，定義5條有關(guān)要求?是否有一個(gè)定義5條有關(guān)要求的預(yù)防措施程序文件？要求規(guī)定，組織要建立和執(zhí)行一個(gè)預(yù)防措施程序文件。該程序文件要定義5條有關(guān)要求：a） 識(shí)不潛在的不符合事項(xiàng)及其緣故；b） 評(píng)判預(yù)防發(fā)生不符合事項(xiàng)的措施的需要；C）確定和實(shí)施所需要的預(yù)防措施；

d） 記錄所采取措施的結(jié)果；e） 評(píng)審所采取的預(yù)防措施。在審核時(shí)，審核員要檢查確保：一組織要有一個(gè)形成文件的“預(yù)防措施程序”二該文件要定義上術(shù)5條要求。d.組織要識(shí)不差不多發(fā)生了變化的風(fēng)險(xiǎn)?是否有一個(gè)用于識(shí)不差不多發(fā)生了變化的風(fēng)險(xiǎn)的過程？風(fēng)險(xiǎn)是動(dòng)態(tài)的，組織必須有一個(gè)用于識(shí)不差不多發(fā)生了變化的風(fēng)險(xiǎn)的過程，并對(duì)差不多發(fā)生了變化的風(fēng)險(xiǎn)，要識(shí)不其預(yù)防措施的要求。有些組織通過使用一個(gè)“風(fēng)險(xiǎn)評(píng)估程序文件”對(duì)此過程要求進(jìn)行操縱。在審核時(shí)，審核員可結(jié)合標(biāo)準(zhǔn)的“4.2建立和治理ISMS”條款的有關(guān)要求，進(jìn)行審核。e.組織要識(shí)不對(duì)差不多發(fā)生了變化的風(fēng)險(xiǎn)的預(yù)防措施的要求?對(duì)差不多發(fā)生了重大變化的風(fēng)險(xiǎn)，是否識(shí)不其預(yù)防措施要求？f.預(yù)防措施的優(yōu)先級(jí)要按照風(fēng)險(xiǎn)評(píng)估的結(jié)果確定?是否預(yù)防措施的優(yōu)先級(jí)按照風(fēng)險(xiǎn)評(píng)估的結(jié)果而確定？附錄2-操縱要求符合性審核A.5安全方針A.5.1信息安全方針目標(biāo)：依據(jù)業(yè)務(wù)要求和有關(guān)法律法規(guī)，提供信息安全的治理方向和支持有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.5.1.1信息安全方針文件是否有信息安全方針文件？信息安全方針文件是否獲得治理者批準(zhǔn)、公布和傳達(dá)給所有職員和有關(guān)的外方？信息安全方針文件是否符合標(biāo)準(zhǔn)的要求，如是否講明治理承諾，并提出組織治理信息安全的方法？A.5.1.2息安全方針的評(píng)審為了確保信息安全方針連續(xù)的適宜性、充分性和有效性，是否按既定的時(shí)刻間隔（或當(dāng)發(fā)生重大變化時(shí)）對(duì)其進(jìn)行評(píng)審？A.6信息安全的組織A.6.1內(nèi)部的組織目標(biāo)：治理組織內(nèi)的信息安全。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.6.1.1信息安全的治理承諾治理者是否通過清晰的方向、可證實(shí)的承諾、明確的任務(wù)，和信息安全職責(zé)的承認(rèn)，來主動(dòng)支持組織內(nèi)的安全？A.6.1.2信息安全和諧信息安全活動(dòng)是否由不同部門的代表和諧有關(guān)工作？

A.6.1.3信息安全職責(zé)的分配所有的信息安全職責(zé)（包括愛護(hù)各個(gè)資產(chǎn)的職責(zé)和執(zhí)行特定安全過程的職責(zé)）是否有明確的規(guī)定？A.6.1.4信息處理設(shè)施的授權(quán)過程對(duì)新信息處理設(shè)施，是否有治理授權(quán)過程？A.6.1.5保密性協(xié)議是否所有職員都要簽署一個(gè)反映組織信息愛護(hù)需要的保密協(xié)議（或不泄露協(xié)議）？保密協(xié)議（或不泄露協(xié)議）是否得到識(shí)不和定期評(píng)審？A.6.1.6聯(lián)系權(quán)威部門組織是否與有關(guān)權(quán)威部門（例如，執(zhí)法部門、消防部門和監(jiān)管部門）保持適當(dāng)?shù)穆?lián)系？A.6.1.7聯(lián)系專門利益團(tuán)體組織是否與專門利益團(tuán)體、安全專家組和專業(yè)協(xié)會(huì)保持適當(dāng)?shù)穆?lián)系？A.6.1.8信息安全的獨(dú)立評(píng)審組織是否對(duì)其治理信息安全的方法與實(shí)踐（即信息安全操縱目標(biāo)與操縱措施、方針、過程和程序），按既定的時(shí)刻間隔（或當(dāng)安全實(shí)施發(fā)生重大變化時(shí)）進(jìn)行獨(dú)立評(píng)審？A.6.2外方目標(biāo)：保持被外方訪咨詢與處理，與外方通信，或被治理的組織的信息與信息處理設(shè)施的安全有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.6.2.1外方有關(guān)風(fēng)險(xiǎn)的識(shí)不組織的信息和信息處理設(shè)施受外方訪咨詢或治理而產(chǎn)生的風(fēng)險(xiǎn)，是否進(jìn)行識(shí)不？組織的信息和信息處理設(shè)施，在承諾外方訪咨詢前，是否執(zhí)行適當(dāng)?shù)牟倏v措施？A.6.2.2處理與顧客有關(guān)的安全咨詢題在承諾顧客訪咨詢組織信息或資產(chǎn)之前，所有確定的安全要求是否得到解決？A.6.2.3處理第三方涉及訪咨詢、處理、交流（或治理）組織的信息或

協(xié)議中的安全咨詢題信息處理設(shè)施的第二方協(xié)議，是否涵蓋所有有關(guān)的安全要求？A.7資產(chǎn)A.7.1對(duì)資產(chǎn)的職責(zé)目標(biāo)：實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)愛護(hù)有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.7.1.1資產(chǎn)清單是否所有資產(chǎn)度都進(jìn)行了識(shí)不？是否所有重要資產(chǎn)都進(jìn)行了登記、建立了清單文件并加以愛護(hù)？A.7.1.2資產(chǎn)責(zé)任人所有信息和信息處理設(shè)施有關(guān)資產(chǎn)，是否都有責(zé)任人？A.7.1.3資產(chǎn)的可同意使用信息和信息處理設(shè)施有關(guān)資產(chǎn)的可同意使用規(guī)貝y,是否確定、形成了文件并加以實(shí)施？A.7.2信息分類目標(biāo)：確保信息受到適當(dāng)級(jí)不的愛護(hù)。有關(guān)條款操縱要求與檢查題實(shí)施的方法，或刪減的正當(dāng)性A.7.2.1分類指南是否有一個(gè)信息分類指南（或分類法）？信息是否按照其對(duì)組織的價(jià)值、法律要求、敏銳性和關(guān)鍵性進(jìn)行分類？A.7.2.2信息的標(biāo)記和處理信息標(biāo)記與處理程序是否按照組織采納的分類法，加以開發(fā)和實(shí)施？A.8人力資源安全A.8.1雇用之前

目標(biāo)：確保雇員、承包人和第三方用戶明白得其職責(zé)，適合其考慮的角色，以降低行竊、欺詐和誤用設(shè)施的風(fēng)險(xiǎn)。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.8.1.1角色和職責(zé)雇員、承包人和第三方用戶的安全角色和職責(zé)是否按照組織的信息安全方針加以定義并形成了文件？A.8.1.2選擇對(duì)所有雇用的候選者、承包人和第三方用戶，是否按照有關(guān)法律法規(guī)、道德規(guī)范、相應(yīng)的業(yè)務(wù)要求、要被訪咨詢信息的類不、和已察覺的風(fēng)險(xiǎn)，進(jìn)行背景驗(yàn)證檢杳？A.8.1.3雇用的條款和條件雇員、承包人和第三方用戶是否簽署了雇用合同的條款和條件，作為他們合同義務(wù)的一部分？“雇用合同的條款和條件”是否聲明雇員、承包人和第三方用戶的信息安全職責(zé)？A.8.2雇用期間目標(biāo)：確保所有雇員、承包人和第三方用戶意識(shí)到信息安全威逼與利害關(guān)系、他們的職責(zé)與義務(wù)，并在其正常工作中支持組織的安全方針和減少人為過失的風(fēng)險(xiǎn)。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.8.2.1治理職責(zé)治理者是否要求雇員、承包人和第三方用戶，按照該組織已建立的方針和程序負(fù)起安全責(zé)任？A.8.2.2信息安全意識(shí)、教育和培訓(xùn)組織的所有雇員、有關(guān)的承包人和第三方用戶，是否都同意過適當(dāng)?shù)囊庾R(shí)培訓(xùn)和定期更新與其工作有關(guān)的組織的方針與程序方面的知識(shí)？A.8.2.3紀(jì)律處理過程關(guān)于安全違規(guī)的雇員，是否有一個(gè)正式的紀(jì)律處理過程？

A.8.3雇用終止或雇用變更目標(biāo)：確保雇員、承包人和第三方用戶以一個(gè)適宜的方式離職或變更雇用。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.8.3.1終止職責(zé)履行雇用終止或雇用變更的職責(zé)是否清晰地做出了規(guī)定和分配？A.8.3.2歸還資產(chǎn)所有雇員、承包人和第二方用戶在雇用、合同或協(xié)議終止時(shí)，是否歸還其使用的該組織的所有資產(chǎn)？A.8.3.3刪除訪咨詢權(quán)所有雇員、承包人和第三方用戶對(duì)信息和信息處理設(shè)施的訪咨詢權(quán)，在其雇用、合同或協(xié)議終止時(shí)，是否刪除，或進(jìn)行變更調(diào)整？A.9物理和環(huán)境安全A.9.1安全區(qū)域目標(biāo)：防止對(duì)組織場(chǎng)所和信息，進(jìn)行未授權(quán)的物理訪咨詢、損壞和干擾。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.9.1.1物理的安全邊界是否有用于愛護(hù)包含信息和信息處理設(shè)施的區(qū)域的安全邊界（諸如墻、入口操縱卡或受治理的接待臺(tái)等屏障）？A.9.1.2物理入口操縱為了確保只有已被授權(quán)人員才承諾訪咨詢，安全區(qū)域是否通過適用的入口操縱措施加以愛護(hù)？A.9.1.3愛護(hù)辦公室、房間和設(shè)施的安全辦公室、房間和設(shè)施的物理安全措施是否進(jìn)行了設(shè)計(jì)并加以應(yīng)用？

A.9.1.4防范外部威逼和環(huán)境威逼對(duì)由火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然災(zāi)難或人為災(zāi)難引起的損害，是否設(shè)計(jì)與應(yīng)用了物理愛護(hù)措施？A.9.1.5在安全區(qū)域工作在安全區(qū)域工作的物理愛護(hù)措施和指南是否進(jìn)行了設(shè)計(jì)并加以應(yīng)用？對(duì)在安全區(qū)域工作的人員，是否有任何安全操縱措施？A.9.1.6公共訪咨詢區(qū)和交接區(qū)為了幸免未授權(quán)訪咨詢，訪咨詢點(diǎn)（如交接區(qū)和未授權(quán)人員能夠進(jìn)入的其它地點(diǎn)）是否進(jìn)行操縱？交接區(qū)是否與信息處理設(shè)施隔開？A.9.2設(shè)備安全目標(biāo)：防止資產(chǎn)丟失、損壞、被盜或被破壞，和中斷組織的活動(dòng)。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.9.2.1設(shè)備安置和愛護(hù)設(shè)備是否安置在可減少未授權(quán)訪咨詢的適當(dāng)?shù)攸c(diǎn)？關(guān)于處理敏銳數(shù)據(jù)的信息處理設(shè)施，是否安置在可限制觀測(cè)的位置？關(guān)于需要專門愛護(hù)的設(shè)備，是否進(jìn)行隔離？對(duì)信息處理設(shè)施的運(yùn)行有負(fù)面阻礙的環(huán)境條件（例如溫度和濕度），是否進(jìn)行監(jiān)視？A.9.2.2支持性設(shè)施在由支持性設(shè)施的失效而引起的電源故障和其他中斷方面，設(shè)備是否有所防范？A.9.2.3布纜安全電源和傳輸數(shù)據(jù)的（或支持信息服務(wù)的）通信電纜是否防范攔截或損壞？A.9.2.4設(shè)備愛護(hù)設(shè)備是否按照供應(yīng)商舉薦的服務(wù)時(shí)刻間隔和講明書，進(jìn)行正確愛護(hù)？

設(shè)備愛護(hù)是否只由已授權(quán)人員執(zhí)行？設(shè)備的愛護(hù)記錄是否儲(chǔ)存？A.9.2.5組織場(chǎng)所外的設(shè)備安全關(guān)于組織場(chǎng)所的設(shè)備，是否考慮了不同風(fēng)險(xiǎn)，而采取安全措施？A.9.2.6設(shè)備的安全銷毀或安全再利用關(guān)于含有任何敏銳信息和許可軟件的儲(chǔ)存介質(zhì)，是否進(jìn)行安全銷毀或安全覆蓋后再利用？A.9.2.7財(cái)產(chǎn)的移動(dòng)是否設(shè)備、信息或軟件要帶出組織場(chǎng)所外，必須獲得治理者授權(quán)？A.10通信和運(yùn)行治理A.10.1運(yùn)行程序和職責(zé)目標(biāo)：確保信息處理設(shè)施的正確運(yùn)行和安全運(yùn)行。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.1.1形成運(yùn)行程序文件運(yùn)行程序是否形成了文件、加以保持并可為所有需要的用戶使用？A.10.1.2變更治理對(duì)信息處理設(shè)施和系統(tǒng)的變更是否受控？A.10.1.3責(zé)任的劃分為了減少對(duì)組織資產(chǎn)未授權(quán)（或無意識(shí)）的修改（或誤用）的機(jī)會(huì)，是否劃分了職責(zé)的責(zé)任與職責(zé)的范疇？A.10.1.4開發(fā)設(shè)施、測(cè)試設(shè)施和運(yùn)行設(shè)施的分離為了減少未授權(quán)訪咨詢（或更換）運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)，開發(fā)設(shè)施、測(cè)試設(shè)施和運(yùn)行設(shè)施是否彼此分離開？A.10.2第三方服務(wù)交付治理目標(biāo)：按照第三方服務(wù)交付協(xié)議，實(shí)施和保持適當(dāng)水準(zhǔn)的信息安全和服務(wù)交付

有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.2.1服務(wù)交付第三方服務(wù)交付協(xié)議中所規(guī)定的安全操縱措施、服務(wù)定義和父付水準(zhǔn)，由第三方實(shí)施、運(yùn)行和保持，是否獲得保證？A.10.2.2第三方服務(wù)的監(jiān)視和評(píng)審對(duì)第三方提供的服務(wù)、報(bào)告和記錄，是否定期地進(jìn)行監(jiān)視、評(píng)審和審核？A.10.2.3第三方服務(wù)的變更治理對(duì)服務(wù)提供的變更（包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和操縱措施），是否考慮所涉及的業(yè)務(wù)系統(tǒng)與過程的關(guān)鍵程度和風(fēng)險(xiǎn)的再評(píng)估，進(jìn)行治理？A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)：將系統(tǒng)故障的風(fēng)險(xiǎn)降至最小。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.3.1容量治理為了確保所需的系統(tǒng)性能，是否對(duì)資源的使用進(jìn)行監(jiān)視和調(diào)整，并對(duì)以后的容量需求做出規(guī)劃？A.10.3.2系統(tǒng)驗(yàn)收新信息系統(tǒng)、升級(jí)和新版本的驗(yàn)收準(zhǔn)則，是否建立了，并在系統(tǒng)驗(yàn)收前和開發(fā)中進(jìn)行適當(dāng)?shù)南到y(tǒng)測(cè)試？A.10.4防范惡意代碼和移動(dòng)代碼目標(biāo)：愛護(hù)軟件和信息的完整性。以下是對(duì)在那個(gè)目標(biāo)下的2個(gè)操縱措施的審核有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.4.1對(duì)惡意代碼的操縱措施是否有對(duì)惡意代碼的操縱措施（包括對(duì)惡意代碼的監(jiān)測(cè)、預(yù)防和復(fù)原）？是否有禁止使用未授權(quán)軟件的正式方針？是否安裝并定期更新惡意代碼檢測(cè)與修復(fù)軟件？

是否有提升用戶對(duì)惡意代碼防范意識(shí)的程序？A.10.4.2對(duì)移動(dòng)代碼的操縱措施當(dāng)移動(dòng)代碼獲得授權(quán)使用時(shí)，是否配置確保該授權(quán)的移動(dòng)代碼，按照清晰定義的安全方針的規(guī)定運(yùn)行？當(dāng)移動(dòng)代碼未獲得授權(quán)時(shí)，是否阻止其運(yùn)行？A.10.5備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.5.1信息備份是否有備份方針？重要的信息和軟件是否按照備份方針的規(guī)定定期備份和測(cè)試？備份的儲(chǔ)備地是否安全，并與實(shí)際的使用場(chǎng)所保持足夠的距離？A.10.6網(wǎng)絡(luò)安全治理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持基礎(chǔ)設(shè)施的安全。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.6.1網(wǎng)絡(luò)操縱為了防止使用網(wǎng)絡(luò)時(shí)發(fā)生的威逼和愛護(hù)系統(tǒng)與應(yīng)用程序的安全，網(wǎng)絡(luò)是否充分受控？網(wǎng)絡(luò)的運(yùn)行職責(zé)與運(yùn)算機(jī)系統(tǒng)的運(yùn)行職責(zé)是否分開？信息在公用網(wǎng)絡(luò)上傳輸時(shí)，是否有操縱措施？A.10.6.2網(wǎng)絡(luò)服務(wù)的安全是否有網(wǎng)絡(luò)服務(wù)（不管是內(nèi)部的，依舊外部的）？是否有確定所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)級(jí)不和治理要求的網(wǎng)絡(luò)服務(wù)協(xié)議？

A.10.7介質(zhì)處理目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀，和中斷業(yè)務(wù)活動(dòng)。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.7.1可移動(dòng)介質(zhì)的治理是否有可移動(dòng)介質(zhì)的治理程序？A.10.7.2介質(zhì)的處置關(guān)于不再需要的介質(zhì)，是否使用正式的程序進(jìn)行安全地處置？為了保持審計(jì)蹤跡，是否保留敏銳信息的處置記錄？A.10.7.3信息處理程序是否有信息的處理與貯存程序？該程序是否要防范信息被未授權(quán)者泄漏或誤用？A.10.7.4系統(tǒng)文件的安全是否要防范系統(tǒng)文件被未授權(quán)訪咨詢？系統(tǒng)文件的訪咨詢名單是否保持在最小范疇，并獲得責(zé)任人授權(quán)？A.10.8信息的交換目標(biāo)：保持與內(nèi)部組織和與任何外部實(shí)體間信息和軟件交換時(shí)的安全。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.8.1信息交換方針和程序?yàn)榱藧圩o(hù)通過使用各種類型的通信設(shè)施進(jìn)行信息父換，是否有正式的信息父換方針、程序和操縱措施？A.10.8.2交換協(xié)議在組織和外方之間進(jìn)行信息/軟件交換時(shí)，是否有交換協(xié)議？該交換協(xié)議是否指向所涉及的敏銳業(yè)務(wù)信息的安全咨詢題？A.10.8.3運(yùn)輸中的當(dāng)含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，

物理介質(zhì)是否有防范未授權(quán)訪咨詢、誤用或毀壞的措施？A.10.8.4電子消息發(fā)送當(dāng)用電子方法發(fā)送信息時(shí)，是否有適當(dāng)?shù)男畔圩o(hù)措施？A.10.8.5業(yè)務(wù)信息系統(tǒng)為了愛護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息，是否開發(fā)與實(shí)施了有關(guān)的方針和程序？A.10.9電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)服務(wù)的安全及其安全使用。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.9.1電子商務(wù)電子商務(wù)是否有防范欺詐活動(dòng)、合同爭(zhēng)議和未授權(quán)泄露與修改信息的操縱措施？A.10.9.2在線交易在線交易中的信息是否受愛護(hù)，以防止傳輸錯(cuò)誤、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制？A.10.9.3公共可用信息為了愛護(hù)公共可用系統(tǒng)中的信息的完整性，是否有防范未授權(quán)修改的操縱措施？A.10.10監(jiān)視目標(biāo)：檢測(cè)未授權(quán)的信息處理活動(dòng)。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.10.1審計(jì)日志審計(jì)日志是否記錄用戶活動(dòng)、專門事件和信息安全事件？為了關(guān)心以后的調(diào)查和訪咨詢操縱監(jiān)視，審計(jì)日志是否保持一段已商定的時(shí)期？A.10.10.2監(jiān)視系統(tǒng)的使用監(jiān)視信息處理設(shè)施的使用程序是否建立了？監(jiān)視活動(dòng)的結(jié)果是否定期評(píng)審？A.10.10.3日志信記錄日志的設(shè)施和日志信息是否有防范被篡改和

息的愛護(hù)未授權(quán)訪咨詢的操縱措施？A.10.10.4治理員和操作員日志系統(tǒng)治理員和系統(tǒng)操作員的活動(dòng)是否寫入日志中？是否定期檢查操作員日志？A.10.10.5故障日志系統(tǒng)故障是否被報(bào)告、記錄、分析和采取適當(dāng)?shù)拇胧緼.10.10.6時(shí)鐘同步所有有關(guān)信息處理系統(tǒng)的時(shí)鐘是否都按統(tǒng)一的標(biāo)準(zhǔn)時(shí)刻進(jìn)行同步設(shè)置？A.11訪咨詢操縱A.11.1訪咨詢操縱的業(yè)務(wù)要求目標(biāo)：操縱對(duì)信息的訪咨詢。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.1.1訪咨詢操縱方針訪咨詢操縱方針是否按照對(duì)訪咨詢操縱的業(yè)務(wù)要求與安全要求，進(jìn)行定義、形成文件和評(píng)審？訪咨詢操縱方針是否為每個(gè)用戶（或用戶組）明確地規(guī)定了訪咨詢的規(guī)則和權(quán)限？A.11.2用戶訪咨詢治理目標(biāo)：確保授權(quán)用戶訪咨詢信息系統(tǒng)，防止未授權(quán)用戶訪咨詢信息系統(tǒng)。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.2.1用戶注冊(cè)是否有正式的用戶注冊(cè)與注銷程序，授權(quán)和撤銷對(duì)所有信息系統(tǒng)和服務(wù)的訪咨詢？A.11.2.2特權(quán)治理關(guān)于多用戶系統(tǒng)，特權(quán)的分配和使用是否受限制和受操縱？

A.11.2.3用戶口令治理口令的分配是否要用一個(gè)正式的治理過程進(jìn)行操縱？A.11.2.4用戶訪咨詢權(quán)的評(píng)審治理者是否使用一個(gè)正式過程，定期地評(píng)審用戶的訪咨詢權(quán)？A.11.3用戶職責(zé)目標(biāo)：防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪咨詢、危害或竊取。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.3.1口令使用是否有指導(dǎo)用戶選擇和使用口令的指南、方針或規(guī)定？組織是否要求用戶遵照指南、方針或規(guī)定，選擇和使用口令？A.11.3.2無人值守的用戶設(shè)備用戶是否明白愛護(hù)無人值守的用戶設(shè)備的職責(zé)和程序？組織是否要求用戶確保無人值守的用戶設(shè)備得到適當(dāng)?shù)膼圩o(hù)？A.11.3.3清空桌面和屏幕方針為了防止敏銳的（或關(guān)鍵的）業(yè)務(wù)信息受未授權(quán)訪咨詢、丟失或損壞，組織是否實(shí)施一個(gè)清空桌面和屏幕方針？A.11.4網(wǎng)絡(luò)訪咨詢操縱目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪咨詢。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.4.1網(wǎng)絡(luò)服務(wù)的使用方針是否有一個(gè)只承諾用戶訪咨詢其已被授權(quán)使用的網(wǎng)絡(luò)服務(wù)？A.11.4.2外部連接的用戶鑒不對(duì)遠(yuǎn)程用戶的訪咨詢操縱，是否使用適當(dāng)?shù)挠脩翳b不方法？

A.11.4.3網(wǎng)絡(luò)上的設(shè)備識(shí)不為了鑒不特定位置和設(shè)備的連接，是否把自動(dòng)的設(shè)備識(shí)不作為一種手段？A.11.4.4遠(yuǎn)程診斷端口和配置端口的愛護(hù)對(duì)診斷端口和配置端口的物理和邏輯訪咨詢，是否受操縱？A.11.4.5網(wǎng)絡(luò)隔離是否在網(wǎng)絡(luò)上對(duì)信息服務(wù)、用戶和信息系統(tǒng)進(jìn)行隔離操縱？在各個(gè)不同的邏輯網(wǎng)絡(luò)域（如組織的內(nèi)部網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域等）之間，是否通過使用安全邊界（如防火墻等），進(jìn)行隔離和愛護(hù)？A.11.4.6網(wǎng)絡(luò)連接操縱關(guān)于越過組織邊界的共享網(wǎng)絡(luò)（如電子郵件、網(wǎng)站訪咨詢、和文件傳送等），是否有網(wǎng)絡(luò)連接操縱措施？對(duì)共享網(wǎng)絡(luò)用戶連接網(wǎng)絡(luò)的能力，是否按照業(yè)務(wù)應(yīng)用系統(tǒng)的訪咨詢操縱方針和要求加以限制？A.11.4.7網(wǎng)絡(luò)路由操縱為了確保運(yùn)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪咨詢操縱方針，共享網(wǎng)絡(luò)是否有路由操縱措施？A.11.5操作系統(tǒng)訪咨詢操縱目標(biāo)：防止對(duì)操作系統(tǒng)的未授權(quán)訪咨詢。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.5.1安全登錄程序?yàn)榱俗钚』瘜?duì)操作系統(tǒng)未授權(quán)訪咨詢的機(jī)會(huì)，是否有一個(gè)操作系統(tǒng)安全登錄程序？對(duì)操作系統(tǒng)的訪咨詢，是否只能按安全登錄程序進(jìn)行？A.11.5.2用戶標(biāo)識(shí)和鑒不是否所有用戶都有一個(gè)僅供其個(gè)人使用的唯獨(dú)標(biāo)識(shí)碼（用戶ID）？

所選用的用戶身份鑒不技術(shù)是否能證實(shí)所宣稱的用戶身份？A.11.5.3口令治理系統(tǒng)是否有口令治理系統(tǒng)？口令治理系統(tǒng)是否強(qiáng)迫用戶執(zhí)行各種口令安全操縱措施（如使用個(gè)人用戶ID與口令、選用與定期更換優(yōu)質(zhì)口令和安全地儲(chǔ)存口令等）？A.11.5.4系統(tǒng)有用工具的使用關(guān)于系統(tǒng)有用工具（程序）的使用，是否有限制和嚴(yán)格的操縱措施？A.11.5.5會(huì)話暫停為了防止未授權(quán)者訪咨詢系統(tǒng)，是否有確保運(yùn)算機(jī)終端在一個(gè)設(shè)定的休止（或靜止）期后，被自動(dòng)關(guān)閉（或鎖?。┑牟倏v措施？A.11.5.6連接時(shí)刻的限制為了提供額外的安全，關(guān)于高風(fēng)險(xiǎn)應(yīng)用系統(tǒng)的連接，是否有連接時(shí)刻限制？A.11.6應(yīng)用系統(tǒng)和信息訪咨詢操縱目標(biāo)：防止未授權(quán)訪咨詢應(yīng)用系統(tǒng)中的信息有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.6.1信息訪咨詢限制用戶對(duì)信息和應(yīng)用系統(tǒng)功能的訪咨詢，是否按照已確定的訪咨詢操縱方針進(jìn)行限制？A.11.6.2敏銳系統(tǒng)隔離敏銳系統(tǒng)是否有專用的（或孤立的）運(yùn)算機(jī)環(huán)境？A.11.7移動(dòng)運(yùn)算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施目標(biāo)：確保使用可移動(dòng)運(yùn)算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施時(shí)的信息安全。有關(guān)條款操縱要求與檢查題實(shí)施的方法，或刪減的正當(dāng)性A.11.7.1移動(dòng)運(yùn)算機(jī)設(shè)施和通信設(shè)施在防范使用移動(dòng)運(yùn)算機(jī)設(shè)施和通信設(shè)施（如筆記本電腦、掌上電腦和移動(dòng)電話等）的風(fēng)險(xiǎn)方面，是否有正式方針，和適當(dāng)?shù)陌踩胧?/p>

A.11.7.2遠(yuǎn)程工作設(shè)施組織是否開發(fā)和實(shí)施有關(guān)操縱遠(yuǎn)程工作活動(dòng)的方針、操作打算和程序？為了防范設(shè)備被盜、信息被未授權(quán)者泄露、組織的內(nèi)部系統(tǒng)被未授權(quán)者遠(yuǎn)程訪咨詢等，遠(yuǎn)程工作場(chǎng)地的愛護(hù)是否有恰當(dāng)?shù)拇胧緼.12信息系統(tǒng)獵取、開發(fā)和愛護(hù)A.12.1信息系統(tǒng)的安全要求目標(biāo)：確保安全是信息系統(tǒng)的一個(gè)組成部分。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.1.1安全要求分析和講明在新的信息系統(tǒng)（或增強(qiáng)的現(xiàn)有信息系統(tǒng)）的業(yè)務(wù)要求講明中，是否規(guī)定了對(duì)安全操縱措施的要求？A.12.2正確處理應(yīng)用系統(tǒng)中的數(shù)據(jù)目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改或誤用有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.2.1輸入數(shù)據(jù)的確認(rèn)應(yīng)用系統(tǒng)的輸入數(shù)據(jù)是否進(jìn)行確認(rèn)，以確保其正確和適當(dāng)？A.12.2.2內(nèi)部處理的操縱確認(rèn)檢查是否被整合到應(yīng)用系統(tǒng)中，以檢測(cè)由于處理錯(cuò)誤（或有意行為）造成的信息錯(cuò)誤？為了降低內(nèi)部處理的風(fēng)險(xiǎn)，是否有適當(dāng)?shù)牟倏v措施？應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)施是否能確保：處理失敗導(dǎo)致完整性損壞的風(fēng)險(xiǎn)減至最??？A.12.2.3消息完整為了確定應(yīng)用系統(tǒng)中消息完整性的需要和確定最

性適用的操縱措施，是否進(jìn)行安全風(fēng)險(xiǎn)評(píng)估？A.12.2.4輸出數(shù)據(jù)的確認(rèn)應(yīng)用系統(tǒng)的輸出數(shù)據(jù)否進(jìn)行確認(rèn)，以確保信息處理正確和符合要求？A.12.3密碼操縱目標(biāo)：通過密碼方法愛護(hù)信息的保密性、真實(shí)性或完整性。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.3.1密碼操縱的使用方針是否有“密碼操縱的使用方針”？A.12.3.2密鑰治理為了支持組織使用密碼技術(shù)，是否有密鑰治理系統(tǒng)？密鑰治理系統(tǒng)是否基于一組已商定的標(biāo)準(zhǔn)、程序和安全方法？A.12.4系統(tǒng)文件的安全目標(biāo)：確保系統(tǒng)文件的安全。有關(guān)條款操縱要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.4.1運(yùn)行軟件的操縱為了減小損壞運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)，在運(yùn)行系統(tǒng)上安裝軟件方面，是否有程序