信息安全內(nèi)部審核檢查表

上海聯(lián)眾網(wǎng)絡(luò)信息有限公司IS027001：2005信息安全目標(biāo)與控制檢查表編制審核批準(zhǔn)二O—三年三月十二日

A.5安全方針標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.5.1信息安全方針目標(biāo)依據(jù)業(yè)務(wù)要求以及相關(guān)的法律法規(guī)為信息安全提供管理指導(dǎo)和支持。A.5.1.1信息安全方針文件控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果?？偨?jīng)理是否確保制定與公司目標(biāo)一致的清晰的信息安全方針，并且通過在組織內(nèi)發(fā)布和維護(hù)信息安全方針來表明對(duì)信息安全的支持和承諾。信息安全方針在《信息安全管理手冊(cè)》中描述，《信息安全管理手冊(cè)》由總經(jīng)理批準(zhǔn)發(fā)布？管理手冊(cè)中有信息安全方針A.5.1.2信息安全方針評(píng)審控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。每年管理評(píng)審或發(fā)生重大變化時(shí)是否對(duì)信息安全方針的持續(xù)適宜性、充分性和有效性進(jìn)行評(píng)價(jià)，必要時(shí)進(jìn)行修訂？管理評(píng)審報(bào)告A.6信息安全組織

標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.6.1信息安全組織目標(biāo)管理組織內(nèi)部信息安全。A.6.1.1信息安全管理承諾控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果?？偨?jīng)理是否承諾建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS，并通過一系列的活動(dòng)，提供證實(shí)。該承諾《信息安全管理手冊(cè)》中進(jìn)行相是否描述？A.6.1.2信息安全的協(xié)作控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否成立以信息安全管理者代表、各部門信息安全負(fù)責(zé)人組成的跨部門的聯(lián)席會(huì)議，協(xié)調(diào)信息安全管理工作，對(duì)體系運(yùn)行中存在的問題進(jìn)行解決。會(huì)議由人事行政部負(fù)責(zé)組織安排并做好會(huì)議記錄？A.6.1.3信息安全職責(zé)分配控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否清楚的確定所有的信息安全職責(zé)。最髙管理者授權(quán)信息安全管理者代表，全面負(fù)責(zé)信息安全管理體系的建立、實(shí)施與保持工作？對(duì)每一項(xiàng)重要資產(chǎn)指定信息安全責(zé)任人。

A.6.1.4信息處理設(shè)備的授權(quán)過程控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否根據(jù)使用部門需求提出新的信息處理設(shè)施（包括軟件）的配置要求，并組織驗(yàn)收與實(shí)施，確保與原有系統(tǒng)的兼容？A.6.1.5保密協(xié)議控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否與正式錄用員工在勞動(dòng)合同中附加有關(guān)保密方面的內(nèi)容條款或簽訂《保密協(xié)議》員工聘用期滿離開公司之前，是否提醒其對(duì)保密所作的承諾？A.6.1.6與權(quán)威機(jī)構(gòu)的聯(lián)系控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。人事行政部是否制定規(guī)定，詳細(xì)說明由誰何時(shí)與權(quán)威機(jī)構(gòu)聯(lián)系，以及怎樣識(shí)別是否該及時(shí)報(bào)告的可能會(huì)違背法律的信息安全事件？A.6.1.7與專業(yè)小組的聯(lián)系控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否就計(jì)算機(jī)信息及通信網(wǎng)絡(luò)安全問題與服務(wù)提供部門保持聯(lián)系，以確保和在出現(xiàn)安全事故時(shí)盡快采取適當(dāng)?shù)男袆?dòng)和取得建議？

A.6.1.8信息安全的獨(dú)立評(píng)審控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。人事行政部是否負(fù)責(zé)組織、策劃內(nèi)部審核，根據(jù)策劃的時(shí)間間隔，或者當(dāng)安全設(shè)施發(fā)生重大變化時(shí)，對(duì)組織管理信息安全的方法及其實(shí)施情況進(jìn)行獨(dú)立評(píng)審？A.6.2外部相關(guān)方目標(biāo)識(shí)別外部相關(guān)方訪問的風(fēng)險(xiǎn)，明確對(duì)外部相關(guān)方訪問控制的要求，并控制外部相關(guān)方帶來的風(fēng)險(xiǎn)，保持被外部相關(guān)方訪問、處理、共享、管理的組織信息及信息處理設(shè)施的安全。A.6.2.1與外部相關(guān)方有關(guān)的風(fēng)險(xiǎn)識(shí)別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否識(shí)別外部相關(guān)方對(duì)信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險(xiǎn)，并在批準(zhǔn)外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前實(shí)施適當(dāng)?shù)目刂疲⒑炇鹨?guī)定訪問和工作安排條款和條件的《保密協(xié)議》？A.6.2.2處理與顧客相關(guān)的安全問題控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。外包責(zé)任部門是否是否識(shí)別外包活動(dòng)的風(fēng)險(xiǎn)，明確外包活動(dòng)的信息安全要求，在外包合同中明確規(guī)定信息安全要求。在批準(zhǔn)顧客訪問組織信息或資產(chǎn)前，是否該處理所有已識(shí)別的安全要求？

A.7資產(chǎn)管理標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.7.1資產(chǎn)責(zé)任目標(biāo)對(duì)本公司資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進(jìn)行有效保護(hù)。A.7.1.1資產(chǎn)清單控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否組織各部門識(shí)別資產(chǎn)，并根據(jù)重要資產(chǎn)判斷準(zhǔn)則確定公司的重要資產(chǎn)，通過風(fēng)險(xiǎn)管理軟件，建立《重要資產(chǎn)清單》？A.7.1.2資產(chǎn)所有權(quán)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否組織相關(guān)部門識(shí)別資產(chǎn)并指定資產(chǎn)負(fù)責(zé)人？A.7.1.3資產(chǎn)的合理使用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否制定相是否的業(yè)務(wù)系統(tǒng)是否用管理制度，重要設(shè)備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則？使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶是否了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對(duì)信息資源的使用，以及發(fā)生在其責(zé)任下的使用負(fù)責(zé)？

A.7.2信息分類目標(biāo)本公司根據(jù)信息的敏感性對(duì)信息進(jìn)行分類，明確保護(hù)要求、優(yōu)先權(quán)和等級(jí)，以確保對(duì)資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)。A.7.2.1分類指南控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否有信息密級(jí)規(guī)定劃分秘級(jí)？A.7.2.2信息的標(biāo)識(shí)和處理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。對(duì)于屬于企業(yè)秘密、企業(yè)機(jī)密與國家秘密的文件，密級(jí)確定部門是否按要求進(jìn)行適當(dāng)?shù)臉?biāo)注？

A.8人力資源安全標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.8.1聘用前目標(biāo)對(duì)聘用過程進(jìn)行管理，確保員工、合同方和第三方用戶理解其責(zé)任，并且能勝任其任務(wù)，以降低設(shè)施被盜竊、欺詐或誤用的風(fēng)險(xiǎn)。A.8.1.1角色和職責(zé)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。與信息安全有關(guān)的部門的安全職責(zé)是否明確規(guī)定？A.8.1.2篩選控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。人力資源部是否負(fù)責(zé)對(duì)初始錄用員工進(jìn)行能力、信用考察，每年對(duì)關(guān)鍵信息安全崗位進(jìn)行年度考察，對(duì)于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整？A.8.1.3雇傭條款和條件控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否規(guī)定了員工、合同方以及第三方的聘用條款和條件？

A.8.2聘用期間目標(biāo)確保所有的員工、合同方和第三方用戶知道信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，并且減少人為錯(cuò)誤的風(fēng)險(xiǎn)。審核發(fā)現(xiàn)A.8.2.1管理職責(zé)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司管理者是否要求員工、合作方以及第三方用戶，加強(qiáng)信息安全意識(shí)，依據(jù)建立的方針和程序來應(yīng)用安全？A.8.2.2信息安全教育和培訓(xùn)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。與ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，是否接受安全意識(shí)、方針、程序的培訓(xùn)。方針、程序變更后是否及時(shí)傳達(dá)到全體員工。人力資源部通過組織實(shí)施培訓(xùn)，確保員工安全意識(shí)的提髙與有能力勝任所承擔(dān)的信息安全工作？A.8.2.3懲戒過程控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。違背組織安全方針和程序的員工公司是否將根據(jù)違反程度及造成的影響進(jìn)行處罰，處罰在安全破壞經(jīng)過證實(shí)地情況下進(jìn)行？A.8.3聘用中止或變化目標(biāo)確保員工、合作方以及第三方用戶以一種有序的方式離開公司或變更聘用關(guān)系。A.8.3.1終止責(zé)任控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。在員工離職前和第三方用戶完成合同時(shí)，是否進(jìn)行明確終止責(zé)任的溝通？A.8.3.2資產(chǎn)歸還控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。員工離職或工作變動(dòng)前，是否辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)？A.8.3.3解除訪問權(quán)限控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。員工離職或工作變動(dòng)前，是否解除對(duì)信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相是否的調(diào)整？A.9物理與環(huán)境安全標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.9.1安全區(qū)域目標(biāo)防止對(duì)組織辦公場(chǎng)所和信息的未授權(quán)訪問、損壞和干擾。是A.9.1.1實(shí)物安全周界控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司安全區(qū)域是否分為一般安全區(qū)域與特別安全區(qū)域，特別安全區(qū)域包括機(jī)房和監(jiān)控機(jī)房、機(jī)要室？O是A.9.1.2物理進(jìn)入控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。進(jìn)出公司大院是否有門衛(wèi)保安控制？員工是否憑工作牌進(jìn)入辦公區(qū)。是否經(jīng)過授權(quán)的長期訪問第三方《出入證》進(jìn)入被授權(quán)的工作區(qū)域？是A.9.1.3辦公室、房間和設(shè)施的安全控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。特別安全區(qū)域內(nèi)的辦公室、房間和設(shè)施是否進(jìn)行必要的控制，以防止火災(zāi)、盜竊或其它形式的危害？是

A.9.1.4防范外部和環(huán)境威脅控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。機(jī)房設(shè)備是否安裝在距墻、門窗有一定距離的地方。并具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施？是A.9.1.5在安全區(qū)域工作控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否建立相關(guān)制度，明確規(guī)定員工、第三方人員在有關(guān)安全區(qū)域工作的基本安全要求，并要求員工、第三方人員嚴(yán)格遵守？是A.9.1.6公共訪問、交付和裝載區(qū)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否設(shè)立設(shè)置前臺(tái)接待處接待外來人員，前臺(tái)與特別安全區(qū)域予以隔離？是A.9.2設(shè)備安全目標(biāo)防止資產(chǎn)的損失、損壞或丟失及業(yè)務(wù)活動(dòng)的中斷。A.9.2.1設(shè)備的定位和保護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。設(shè)備使用部門是否負(fù)責(zé)對(duì)設(shè)備進(jìn)行定置管理或保護(hù)好，采取措施以降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)訪問的機(jī)會(huì)？是A.9.2.3電纜的安全控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否按照相關(guān)標(biāo)準(zhǔn)對(duì)傳輸線路進(jìn)行敷設(shè)、調(diào)配、維護(hù)，防止線路故障？是

A.9.2.4設(shè)備維護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。信息系統(tǒng)設(shè)備及用戶計(jì)算機(jī)終端是否由軟件部進(jìn)行維護(hù)？是A.9.2.5場(chǎng)所外設(shè)備的安全控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。擁有筆記本的部門在其離開規(guī)定的區(qū)域時(shí)，是否經(jīng)過部門領(lǐng)導(dǎo)授權(quán)并對(duì)其進(jìn)行嚴(yán)格控制，防止其丟失和未經(jīng)授權(quán)的訪問？是A.9.2.6設(shè)備的安全處置及再利用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。含有敏感信息的設(shè)備在報(bào)廢或改做他用時(shí)，是否由使用部門是否利用安全的處置方法將設(shè)備中存儲(chǔ)的敏感信息清除并保存清除記錄？是A.9.2.7資產(chǎn)轉(zhuǎn)移控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。未經(jīng)授權(quán)之前，是否不將設(shè)備、信息或軟件帶到工作場(chǎng)所外？重要信息設(shè)備的遷移是否被授權(quán)，遷移活動(dòng)是否被記錄？是

A.10通信和操作管理標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.10.1操作程序和職責(zé)目標(biāo)確保信息處理設(shè)備的正確和安全使用。A.10.1.1作業(yè)程序文件化控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否按照信息安全方針的要求，建立并實(shí)施文件化的作業(yè)程序？。是A.10.1.2變更管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。對(duì)信息處理設(shè)施的變更是否按相關(guān)規(guī)定進(jìn)行。是否用系統(tǒng)和軟件等方面的更改實(shí)施嚴(yán)格控制，在更改前評(píng)估更改所帶來的潛在影響，正式更改前履行更改審批手續(xù)，并采取必要的措施確保不成功更改的恢復(fù)？是

A.10.1.3職責(zé)分離控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為防止非授權(quán)的更改或誤用信息或服務(wù)的機(jī)會(huì)，是否按要求進(jìn)行職責(zé)分配？是A.10.1.4開發(fā)和運(yùn)作設(shè)備的分離控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。開發(fā)部門在進(jìn)行軟件和測(cè)試程序的開發(fā)時(shí)，是否有一個(gè)獨(dú)立開發(fā)與測(cè)試環(huán)境，與作業(yè)設(shè)施分離？是A.10.2第三方服務(wù)交付管理目標(biāo)執(zhí)行并保持與第三方服務(wù)交付協(xié)議相一致的信息安全和服務(wù)交付等級(jí)。檢查協(xié)議的執(zhí)行情況，監(jiān)控其符合性并控制相是否的變化，以確保交付的服務(wù)滿足第三方協(xié)議中的所有要求。A.10.2.1服務(wù)交付控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否對(duì)第三方的服務(wù)的交付，包括協(xié)議規(guī)定的安全安排、服務(wù)定義以及服務(wù)管理等方面進(jìn)行管理和驗(yàn)收。是否確保第三方保持充分的服務(wù)能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)交付的連貫性？是

A.10.2.2第三方服務(wù)的監(jiān)控和評(píng)審控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。第三方關(guān)系的管理是否有專門的人員，確保第三方分配職責(zé)符合協(xié)議要求。是否對(duì)協(xié)議要求，特別是安全要求的符合性進(jìn)行監(jiān)控是否該有充分可用的技術(shù)技能和資源。是否當(dāng)發(fā)現(xiàn)服務(wù)交付不足時(shí)是否該采取適當(dāng)?shù)拇胧渴茿.10.2.3管理第三方服務(wù)的更改控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。對(duì)第三方服務(wù)更改的管理過程是否考慮：a） 組織的更改，包括加強(qiáng)當(dāng)前提供的服務(wù)，開發(fā)新是否用程序和系統(tǒng)，修改和更新方針及程序，解決信息安全事件，提髙安全性的新控制？b） 第三方服務(wù)的更改，包括更改和加強(qiáng)網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供是否商？是A.10.3系統(tǒng)策劃與驗(yàn)收目標(biāo)使系統(tǒng)故障風(fēng)險(xiǎn)最小化。

A.10.3.1容量管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否對(duì)信息網(wǎng)絡(luò)系統(tǒng)的容量需求進(jìn)行監(jiān)控，并對(duì)將來容量需求進(jìn)行策劃，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充？是A.10.3.2系統(tǒng)驗(yàn)收控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。新系統(tǒng)、系統(tǒng)升級(jí)接收前，系統(tǒng)驗(yàn)收部門是否制定接收準(zhǔn)則，經(jīng)測(cè)試合格后方可正式運(yùn)行，測(cè)試記錄及驗(yàn)收?qǐng)?bào)告是否予以保存/是A.10.4防范惡意軟件目標(biāo)保護(hù)軟件和信息的完整性。A.10.4.1防范惡意代碼控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否為控制惡意軟件的主管部門，負(fù)責(zé)提供防范惡意軟件的技術(shù)工具并對(duì)技術(shù)工具進(jìn)行實(shí)時(shí)升級(jí)，各部門是否具體負(fù)責(zé)本部門的惡意軟件預(yù)防控制工作？是

A.10.4.2防范可移動(dòng)代碼控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。授權(quán)使用移動(dòng)代碼時(shí)，配置是否該確保已授權(quán)移動(dòng)代碼的運(yùn)行符合明確定義的安全方針，未經(jīng)授權(quán)的移動(dòng)代碼是否該被阻止執(zhí)行。是A.10.5備份目標(biāo)保持信息處理和通信服務(wù)的完整性和可用性。A.10.5.1信息備份控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公是否司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)重要數(shù)據(jù)庫、軟件等進(jìn)行備份軟件部為全公司信息備份提供技術(shù)支持，各業(yè)務(wù)主管部門是否協(xié)同軟件部制定備份策略？是A.10.6網(wǎng)絡(luò)安全管理目標(biāo)為保持對(duì)網(wǎng)絡(luò)中的信息及支持性設(shè)施進(jìn)行有效保護(hù)

A.10.6.1網(wǎng)絡(luò)控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否充分管理和控制網(wǎng)絡(luò)，以防范威脅，維持系統(tǒng)和使用網(wǎng)絡(luò)的是否用程序的安全，包括傳輸中的信息。實(shí)施網(wǎng)絡(luò)安全控制以確保網(wǎng)絡(luò)上信息的安全，并對(duì)接入服務(wù)進(jìn)行保護(hù)，防止未經(jīng)授權(quán)訪問？是A.10.6.2網(wǎng)絡(luò)服務(wù)的安全控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否根據(jù)組織的安全策略，識(shí)別現(xiàn)有的網(wǎng)絡(luò)服務(wù)，明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性值，由授權(quán)的網(wǎng)絡(luò)系統(tǒng)安全管理員進(jìn)行參數(shù)配置與維護(hù)管理？是A.10.7介質(zhì)的處理目標(biāo)為防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，根據(jù)介質(zhì)所儲(chǔ)存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因介質(zhì)不當(dāng)造成信息泄露事故發(fā)生。A.10.7.1可移動(dòng)介質(zhì)的管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。對(duì)可移動(dòng)介質(zhì)包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報(bào)告，各部門是否按其管理權(quán)限并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)其實(shí)施有效的控制？是A.10.7.2介質(zhì)的處置控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。對(duì)于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，處置部門是否按照要求采取安全可靠處置的方法將其信息清除？是

A.10.7.3信息處置程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為保護(hù)敏感信息不會(huì)因未經(jīng)授權(quán)處理而造成泄漏或?yàn)E用，本公司是否建立并實(shí)施管理制度？是A.10.7.4系統(tǒng)文件的安全控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否采取措施，保護(hù)系統(tǒng)文件，防止未經(jīng)授權(quán)的訪問。各部門對(duì)所屬的系統(tǒng)文件，無論以何種媒體形式存在，是否按要求予以控制？A.10.8信息和軟件交換目標(biāo)明確信息和軟件交換的控制目標(biāo)，確保在內(nèi)部及任何外部機(jī)構(gòu)之間所交換的信息和軟件的安全。A.10.8.1信息交換方針和程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。在與顧客進(jìn)行數(shù)據(jù)與軟件交換的過程中是否采用以下的安全控制措施：a） 簽訂安全保密協(xié)議，明確雙方的安全責(zé)任與安全交接方式？b） 如果有要求，采用加密方式傳輸數(shù)據(jù)？c） 由授權(quán)人員接受并登記？是

A.10.8.2交換協(xié)議控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否建立并保持相應(yīng)的方針，以保護(hù)被傳輸?shù)男畔⒑臀锢斫橘|(zhì)，并作為制定交換協(xié)議的參考？是A.10.8.3物理介質(zhì)的傳送控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整或不可用，負(fù)責(zé)介質(zhì)傳送的部門是否采用以下方法進(jìn)行控制：a） 選擇適宜的安全傳送方式；b） 保持傳送活動(dòng)記錄？是A.10.8.5業(yè)務(wù)信息系統(tǒng)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司通過是否用系統(tǒng)進(jìn)行日常辦公、生產(chǎn)經(jīng)營管理，本公司建立并實(shí)施相是否系統(tǒng)的安全使用策略和是否用管理，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息，減少系統(tǒng)造成的信息泄露？是A.10.9電子商務(wù)服務(wù)目標(biāo)確保電子商務(wù)服務(wù)的安全，及其安全使用。A.10.9.1電子商務(wù)控制本公司無該項(xiàng)業(yè)務(wù)

A.10.9.2在線交易控制本公司無該項(xiàng)業(yè)務(wù)A.10.9.3公共信息控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司通過公共可用網(wǎng)站使用電子方式公布的信息，是否按規(guī)定進(jìn)行控制？是A.10.10監(jiān)控目標(biāo)探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。A.10.10.1審核日志控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否建立并保存例外事件或其它安全相關(guān)事件的審核日志，以便對(duì)將來的調(diào)查和訪問控制監(jiān)測(cè)提供幫助。審核日志一般通過使用系統(tǒng)檢測(cè)工具按照事先的設(shè)置自動(dòng)生成？是A.10.10.2監(jiān)控系統(tǒng)的使用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。監(jiān)控部門是否按照規(guī)定周期對(duì)對(duì)監(jiān)控結(jié)果進(jìn)行評(píng)審，確保用戶只執(zhí)行被明確授權(quán)的活動(dòng)。發(fā)現(xiàn)異常事件是否采取必要的措施并實(shí)施？是A.10.10.3日志信息的保護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否實(shí)施控制，防止對(duì)日志記錄設(shè)施的未經(jīng)授權(quán)的更改和出現(xiàn)操作問題？是

A.10.10.4管理員和操作員日志控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。管理員和操作員的日志是否該包括：a） 事情（成功或失敗）發(fā)生的時(shí)間；b） 事情的有關(guān)信息（如：操作的文件）或故障信息；C）涉及哪一個(gè)賬號(hào)以及哪一個(gè)管理員或操作員；d）涉及哪一個(gè)過程？是A.10.10.5故障日志控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否規(guī)定了用戶或系統(tǒng)程序報(bào)告的有關(guān)信息處理系統(tǒng)的問題如何記錄，以及清楚的規(guī)定了如何處理報(bào)告的故障？是A.10.10.6時(shí)鐘同步控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司中心路由器是否設(shè)置為時(shí)鐘同步服務(wù)器，在網(wǎng)絡(luò)系統(tǒng)的域控制器與時(shí)鐘同步服務(wù)器進(jìn)行對(duì)時(shí)，所有的計(jì)算機(jī)設(shè)備是否必須登陸域？A.11訪問控制標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.11.1訪問控制的業(yè)務(wù)要求目標(biāo)確保信息處理設(shè)備的正確和安全使用。A.11.1.1訪問控制策略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否基于訪問控制策略，明確規(guī)定訪問控制的業(yè)務(wù)要求，規(guī)定訪問控制規(guī)則和每個(gè)用戶或用戶組的訪問權(quán)力？是

A.11.2用戶訪問管理目標(biāo)確保授權(quán)用戶能夠訪問信息系統(tǒng)，防止對(duì)信息系統(tǒng)未經(jīng)授權(quán)的訪問。A.ll.2.1用戶注冊(cè)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否根據(jù)規(guī)定的訪問控制策略及確定的訪問規(guī)則，訪問權(quán)限管理部門對(duì)用戶進(jìn)行書面訪問授權(quán)？是A.11.2.2特權(quán)管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。特權(quán)分配是否以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后是否被收回，確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在富裕的特權(quán)？是A.11.2.3用戶口令管理控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。各系統(tǒng)管理員是否對(duì)被授權(quán)訪問該系統(tǒng)的用戶口令予以分配？是A.11.3用戶責(zé)任目標(biāo)明確用戶責(zé)任，防止對(duì)信息和信息處理設(shè)施非授權(quán)用戶的訪問、破壞或盜竊。A.11.3.1口令的使用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否在相應(yīng)的是否用管理中明確規(guī)定了口令安全選擇與使用要求，所有用戶是否嚴(yán)格遵守？是

A.ll.3.2無人值守的用戶設(shè)備控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否在和相應(yīng)的應(yīng)用管理中規(guī)定所有用戶保護(hù)無人值守設(shè)備的安全要求和程序，以及他們?cè)趯?shí)施此類保護(hù)方面的責(zé)任？是A.ll.3.3清潔桌面和清除屏幕策略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否制定清除桌面、清除屏幕的策略并實(shí)施，各部門負(fù)責(zé)人是否負(fù)責(zé)監(jiān)督本部門員工該策略的日常實(shí)施情況？是A.11.4網(wǎng)絡(luò)訪問控制目標(biāo)保護(hù)網(wǎng)絡(luò)服務(wù)，防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。A.ll.4.1網(wǎng)絡(luò)服務(wù)使用策略控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否建立并網(wǎng)絡(luò)服務(wù)安全策略，以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量？是A.11.4.2外部聯(lián)接用戶的驗(yàn)證控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。外部連接的用戶對(duì)本公司內(nèi)部網(wǎng)絡(luò)訪問，是否用戶的訪問授權(quán)按規(guī)定實(shí)施授權(quán);是否只有經(jīng)過授權(quán)的用戶才可以實(shí)施外部連接？是A.11.4.3網(wǎng)絡(luò)中設(shè)備的鑒別控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。如果通訊僅能從特定的位置和設(shè)備發(fā)起是重要的，是否可以采用設(shè)備鑒別？設(shè)備中的標(biāo)識(shí)符或附加的標(biāo)識(shí)符是否可以用來顯示該設(shè)備是否被允許連接到網(wǎng)絡(luò)？如果存在多個(gè)網(wǎng)絡(luò)，尤其是這些網(wǎng)絡(luò)有不同的敏感程度，那么標(biāo)識(shí)符是否該明確顯示設(shè)備被允許接入的網(wǎng)絡(luò)？是否需要考慮設(shè)備的物理保護(hù)，以保持設(shè)備標(biāo)識(shí)符的安全？是

A.ll.4.4遠(yuǎn)程診斷和配置端口的保護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否與設(shè)備供是否商簽訂安全協(xié)議，口令等安全措施對(duì)遠(yuǎn)程診斷斷口的保護(hù)，防止被非法使用？是A.ll.4.5網(wǎng)絡(luò)分離控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否為確保本公司網(wǎng)絡(luò)安全，采用物理和邏輯兩種方式進(jìn)行網(wǎng)絡(luò)隔離？是A.11.4.6網(wǎng)絡(luò)連接控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否根據(jù)訪問控制策略的要求，來限制用戶的連接能力。例如通過網(wǎng)絡(luò)網(wǎng)關(guān)來控制，網(wǎng)關(guān)的安全設(shè)置是否與組織的訪問控制策略保持一致？是A.11.4.7網(wǎng)絡(luò)路由控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否根據(jù)訪問控制方針和網(wǎng)絡(luò)安全要求，采用硬件或軟件的手段，基于源地址和目的地址的檢查機(jī)制，對(duì)路由實(shí)施控制？是A.11.5操作系統(tǒng)的訪問控制目標(biāo)防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問。A.11.5.1安全登錄程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否通過技術(shù)手段提供安全的操作系統(tǒng)系統(tǒng)安全登錄程序？為減少非授權(quán)訪問的機(jī)會(huì)，是否對(duì)信息服務(wù)系統(tǒng)訪問采用安全登錄過程實(shí)現(xiàn)？是A.11.5.2用戶標(biāo)識(shí)與驗(yàn)證控制根 據(jù)Info-Riskmanager風(fēng)用戶是否有唯一的識(shí)別符，以便他們個(gè)人單獨(dú)使用時(shí)，能查出活動(dòng)的個(gè)人責(zé)任，用戶是

險(xiǎn)評(píng)估的結(jié)果。ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置；如果多個(gè)用戶共用一個(gè)識(shí)別符（USERID）是否由訪問授權(quán)主管部門授權(quán)？A.ll.5.3口令管理系統(tǒng)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部是否加強(qiáng)口令管理，通過技術(shù)手段提供有效的、互動(dòng)的設(shè)施以確保口令質(zhì)量。除非一次口令系統(tǒng)，通過操作系統(tǒng)的強(qiáng)制措施要求用戶定期變更口令？是A.ll.5.4系統(tǒng)實(shí)用程序的使用控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。軟件部門是否對(duì)系統(tǒng)是否用程序的使用進(jìn)行限制和嚴(yán)格控制，并規(guī)定授權(quán)的使用者。是A.11.5.5會(huì)話超時(shí)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。各系統(tǒng)管理員在其管理的終端處于不活動(dòng)時(shí)，是否利用鎖屏、清除屏幕以防止非授權(quán)的訪問，但不關(guān)閉是否用或網(wǎng)絡(luò)話路。對(duì)于外部訪問系統(tǒng)服務(wù)器的連接是否有時(shí)限控制？是是A.11.5.6聯(lián)接時(shí)間的限制控制根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，本條款不適用NAA.11.6是否用程序及信息訪問控制目標(biāo)防止未經(jīng)授權(quán)訪問信息系統(tǒng)內(nèi)的信息。

A.11.6.1信息訪問限制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果?；诒竟旧a(chǎn)經(jīng)營管理是否用要求并遵從訪問策略，向應(yīng)用用戶提供訪問信息和是否用系統(tǒng)功能？是A.11.6.2敏感系統(tǒng)隔離控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，是否采取措施對(duì)敏感系統(tǒng)予以隔離？是A.11.7移動(dòng)式計(jì)算和遠(yuǎn)程工作目標(biāo)明確控制目標(biāo)，確保移動(dòng)式計(jì)算和遠(yuǎn)程工作設(shè)施的信息安全。A.11.7.1移動(dòng)計(jì)算和通信控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否建立實(shí)施使用規(guī)定，對(duì)筆記本電腦的移動(dòng)辦公實(shí)施有效安全管理？是A.11.7.2遠(yuǎn)程工作控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否建立遠(yuǎn)程工作安全策略，并對(duì)遠(yuǎn)程工作用戶實(shí)施授權(quán)管理，采取必要的安全措施防止遠(yuǎn)程工作帶來的安全風(fēng)險(xiǎn)？是A.12系統(tǒng)獲取、開發(fā)和維護(hù)標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.12.1信息系統(tǒng)的安全要求目標(biāo)確保安全性已構(gòu)成信息系統(tǒng)的一部分。

A.12.1.1安全需求分析和規(guī)范控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。信息系統(tǒng)建設(shè)部門在進(jìn)行新系統(tǒng)建設(shè)或系統(tǒng)更新時(shí)，是否對(duì)系統(tǒng)進(jìn)行分析，根據(jù)業(yè)務(wù)功能要求及信息安全要求，明確規(guī)定控制要求？系統(tǒng)（軟件）本身的功能及安全特性是否在設(shè)計(jì)開發(fā)輸入時(shí)是否明確提出，并進(jìn)行評(píng)審？是否用系統(tǒng)建設(shè)按照規(guī)定執(zhí)行？是是是A.12.2是否用程序的正確處理目標(biāo)防止是否用程序中錯(cuò)誤的、用戶數(shù)據(jù)丟失、未經(jīng)授權(quán)的修改或?yàn)E用。A.12.2.1輸入數(shù)據(jù)的驗(yàn)證控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。系統(tǒng)建設(shè)是否明確是否用系統(tǒng)輸入數(shù)據(jù)驗(yàn)證的要求，以確保輸入數(shù)據(jù)正確和恰當(dāng)？各部門是否用系統(tǒng)的操作人員是否對(duì)輸入到系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行認(rèn)真核對(duì)，對(duì)于關(guān)鍵或重要輸入數(shù)據(jù)的輸入是否由相是否的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)？是是A.12.2.2內(nèi)部處理控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。系統(tǒng)建設(shè)是否考慮系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求，以查處數(shù)據(jù)處理過程的錯(cuò)誤？是

A.12.2.3消息的完整性控制根Info-Riskmanager險(xiǎn)評(píng)估的結(jié)果。據(jù)風(fēng)系統(tǒng)建設(shè)時(shí)是否識(shí)別消息的真實(shí)性和完整性需求，并識(shí)別和實(shí)施適當(dāng)?shù)目刂?？是A.12.2.4輸出數(shù)據(jù)的驗(yàn)證控制根Info-Riskmanager險(xiǎn)評(píng)估的結(jié)果。據(jù)風(fēng)系統(tǒng)建設(shè)是否考慮應(yīng)用系統(tǒng)輸出數(shù)據(jù)確認(rèn)的要求，以確保對(duì)貯存的信息處理的正確和環(huán)境相適是否？是各部門是否用系統(tǒng)的操作人員是否對(duì)是否用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行認(rèn)真核對(duì)，對(duì)于關(guān)鍵或重要的輸出數(shù)據(jù)是否由相是否的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)？是A.12.3加密控制目標(biāo)通過加密方法確保信息的機(jī)密性、完整性和有效性。A.12.3.1使用密碼控制策略控制根Info-Riskmanager險(xiǎn)評(píng)估的結(jié)果。據(jù)風(fēng)本公司是否根據(jù)及保護(hù)本公司機(jī)密數(shù)據(jù)的要求,制定數(shù)據(jù)加密策略并實(shí)施？是否正確應(yīng)用加密技術(shù)，確保是否用利益最大化，危險(xiǎn)最小化，須避免不恰當(dāng)或不正確的使用？是A.12.3.2密鑰管理控制根Info-Riskmanager險(xiǎn)評(píng)估的結(jié)果。據(jù)風(fēng)本公司是否根據(jù)所采用的加密技術(shù)對(duì)密鑰產(chǎn)生、安全分發(fā)、儲(chǔ)存、安全使用等方面進(jìn)行管理，以支持密碼技術(shù)的是否用？是否防止密鑰的任何損壞或喪失（包括泄密）都可以導(dǎo)致信息機(jī)密、真實(shí)性和/或完整性的損害？是

A.12.4系統(tǒng)文件的安全目標(biāo)控制對(duì)系統(tǒng)文件和程序源代碼的訪問，并確保系統(tǒng)文件的安全。A.12.4.1操作軟件的控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。規(guī)定軟件部和系統(tǒng)應(yīng)用主管部門是否對(duì)操作系統(tǒng)軟件的版本管理、安裝、使用和備份進(jìn)行嚴(yán)格控制。規(guī)定在新軟件安裝或軟件升級(jí)之前，是否經(jīng)測(cè)試和審批后方可按規(guī)定程序進(jìn)行？是A.12.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司是否規(guī)定不得使用包含個(gè)人信息和敏感信息以及運(yùn)行數(shù)據(jù)庫用于測(cè)試？是A.12.4.3對(duì)程序源代碼的訪問控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為降低計(jì)算機(jī)程序被破壞的可能性，系統(tǒng)建設(shè)部門是否按規(guī)定的要求對(duì)程序源代碼實(shí)施管理/是A.12.5開發(fā)和支持過程的安全目標(biāo)確保是否用系統(tǒng)軟件和信息的安全。A.12.5.1變更控制程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為使對(duì)信息系統(tǒng)的損害降至最小，系統(tǒng)的變更，在更改前是否進(jìn)行適當(dāng)?shù)臏y(cè)試與評(píng)審，經(jīng)開發(fā)軟件負(fù)責(zé)人批準(zhǔn)后予以實(shí)施？是

操作系統(tǒng)及是否用系統(tǒng)的升級(jí)是否經(jīng)過系統(tǒng)主管部門測(cè)試、評(píng)審與批準(zhǔn)后方可進(jìn)行？是A.12.5.2操作系統(tǒng)變更后對(duì)是否用程序的技術(shù)復(fù)查控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。當(dāng)操作系統(tǒng)發(fā)生更改時(shí)，操作系統(tǒng)更改對(duì)應(yīng)用系統(tǒng)的影響是否由系統(tǒng)主管部門進(jìn)行評(píng)審，確保對(duì)作業(yè)或安全措施無不利影響？是A.12.5.3軟件包的變更的限制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。本公司不鼓勵(lì)修改軟件包，如果有必要確需進(jìn)行更改，更改提出部門是否在實(shí)施前進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定必須的控制措施，保留原始軟件，并在完全一樣的復(fù)制軟件上進(jìn)行更改，更改實(shí)施前是否得到軟件部領(lǐng)導(dǎo)和系統(tǒng)是否用主管部門的授權(quán)？是A.12.5.4信息泄漏控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。是否對(duì)軟件的采購、使用、變更及開發(fā)過程進(jìn)行控制和檢查以防止可能的隱藏通道和特洛伊碼？是A.12.5.5外包軟件開發(fā)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。開發(fā)軟件正式外包前，設(shè)計(jì)開發(fā)部門是否明確軟件開發(fā)的安全技術(shù)要求，并與軟件開發(fā)方簽訂技術(shù)協(xié)議在協(xié)議中明確規(guī)定安全技術(shù)要求（包括開發(fā)過程）；軟件安裝使用前，是否進(jìn)行測(cè)試，以防止隱藏通道及特洛伊碼的存在？是

A.12.6技術(shù)薄弱點(diǎn)管理目標(biāo)降低由已經(jīng)公布的薄弱點(diǎn)所帶來破壞的風(fēng)險(xiǎn)。A.12.6.1技術(shù)薄弱點(diǎn)的控制控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。歸口管理部門是否對(duì)技術(shù)薄弱點(diǎn)是否進(jìn)行風(fēng)險(xiǎn)評(píng)估，進(jìn)行專項(xiàng)分析，制訂風(fēng)險(xiǎn)處理計(jì)戈根據(jù)風(fēng)險(xiǎn)處理計(jì)劃采取對(duì)是否的技術(shù)和管理措施。是A.13信息安全事件管理標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)控制理由控制要求審核發(fā)現(xiàn)/控制

A.13.1報(bào)告信息安全事情和弱點(diǎn)目標(biāo)保證與信息系統(tǒng)相關(guān)聯(lián)的信息安全事情和弱點(diǎn)的溝通，溝通的方式是否允許采取及時(shí)糾正措施。A.13.1.1報(bào)告信息安全事情控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、事情、事故責(zé)任者是否立即向主管部門報(bào)告，主管部門和責(zé)任部門是否及時(shí)對(duì)事情、事故進(jìn)行反是否處理。所有員工有報(bào)告安全事情、事故的義務(wù)？是A.13.1.2報(bào)告安全弱點(diǎn)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。各部門及全體員工是否按照要求及時(shí)識(shí)別安全薄弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)是否及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或安全管理負(fù)責(zé)人是否采取有效的預(yù)防措施，防止威脅的發(fā)生？是A.13.2信息安全事件和改進(jìn)的管理目標(biāo)保證是否用于信息安全事件管理的方法的一致和有效。A.13.2.1責(zé)任和程序控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。事故主管部門接到報(bào)告以后，是否立即進(jìn)行迅速、有效和有序的反應(yīng)？是A.13.2.2從事故中吸取教訓(xùn)控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。事故發(fā)生后，主管部門是否對(duì)事故發(fā)生的原因、類型、損失進(jìn)行鑒定，并提出防止此類事故再次發(fā)生的措施或建議，形成事故調(diào)查分析及處理報(bào)告，責(zé)成責(zé)任部門實(shí)施糾正措是

施？A.13.2.3證據(jù)的收集控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。人事行政部是否負(fù)責(zé)發(fā)生法律糾紛與訴訟的證據(jù)收集，并確保證據(jù)收集是否符合以下要求：a） 所呈證據(jù)是否符合國家有關(guān)的證據(jù)法規(guī)；b） 符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)；c） 對(duì)已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞；d） 收集到的證據(jù)符合法庭所要求的形式。

A.14業(yè)務(wù)持續(xù)性管理標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制控制理由控制要求審核發(fā)現(xiàn)A.14.1業(yè)務(wù)持續(xù)性管理的內(nèi)容目標(biāo)抵消業(yè)務(wù)活動(dòng)受到干擾的影響，并防止關(guān)鍵業(yè)務(wù)處理受大的信息系統(tǒng)故障或者災(zāi)難的影響，確保能夠及時(shí)恢復(fù)基本運(yùn)行。A.14.1.1業(yè)務(wù)持續(xù)性管理過程中包含的信息安全控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。公司是否建立并實(shí)施管理程序，在發(fā)生災(zāi)難或安全故障時(shí)，實(shí)施持續(xù)性管理計(jì)劃，確保關(guān)鍵業(yè)務(wù)及時(shí)得到恢復(fù)？是A.14.1.2業(yè)務(wù)持續(xù)性和風(fēng)險(xiǎn)分析控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。為達(dá)到公司業(yè)務(wù)的持續(xù)性目標(biāo)，軟件部是否組織有關(guān)部門在適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，進(jìn)行災(zāi)難及系統(tǒng)中斷影響分析，識(shí)別出造成關(guān)鍵業(yè)務(wù)中斷的主要事件及其影響？是A.14.1.3編制并實(shí)施包含信息安全在內(nèi)的持續(xù)性業(yè)務(wù)計(jì)劃控制根據(jù)Info-Riskmanager風(fēng)險(xiǎn)評(píng)估的結(jié)果。有關(guān)部門是否編制《業(yè)務(wù)持續(xù)性管理計(jì)劃》，由信息安全