5?????安全政策

5.1???信息安全政策制定、發(fā)布和分發(fā)的程度如何？

???????（參考 ISO 27002：控制 5.1.1 和 5.1.2）

6?????信息安全組織

6.1???公司內(nèi)部如何組織信息安全？

???????（參考 ISO 27002：控制 6.1.3）

6.2???在與外部公司簽約之前，是否對人員和組織風(fēng)險進行了風(fēng)險分析？

???????（參考 ISO 27002：控制 6.2.1）

6.3???與外部公司合作如何確保保密協(xié)議？

???????（參考 ISO 27002：控制 6.2.3）

7?????資產(chǎn)管理

7.1????“公司的（實物和數(shù)字）資產(chǎn)如何盤點？

“

???????（參考 ISO 27002：控制 7.1.1）

7.2????《公司信息如何分類？

“

???????（參考 ISO 27002：控制 7.2.1）

8?????人力資源安全

8.1???員工在多大程度上有義務(wù)遵守信息安全要求？

???????（參考 ISO 27002：控制 8.1.3）

8.2???如何對員工進行培訓(xùn)并使其了解處理有關(guān)信息及其處理的威脅？

???????（參考 ISO 27002：控制 8.2.1 和 8.2.2）

8.3???在就業(yè)變化的情況下，訪問權(quán)限或授權(quán)在多大程度上被調(diào)整（授予/撤銷權(quán)利）以及這些變化是如何記錄的？

???????（參考 ISO 27002：控制 8.3.1 和 8.3.3）

9?????物理和環(huán)境安全

9.1???如何定義安全區(qū)域以及如何保護它們？

???????（參考 ISO 27002：控制 9.1.1）

9.2???公司對物理威脅（例如火災(zāi)、地震等）的準(zhǔn)備程度如何？

???????（參考 ISO 27002：控制 9.1.4）

9.3???公司內(nèi)部的門禁管理是如何組織的？

???????（參考 ISO 27002：控制 9.1.6）

9.4???為保護已交付或已發(fā)貨的貨物采取了哪些預(yù)防措施？

???????（參考 ISO 27002：控制 9.1.6）

9.5???如何定義資源使用（包括清除、處置和回收）的過程？

???????（參考 ISO 27002：控制 9.2.5、9.2.6 和 9.2.7）

10???通信和運營管理

10.1?公司內(nèi)部系統(tǒng)在多大程度上建立了變更管理，這些系統(tǒng)是最新的嗎？

???????（參考 ISO 27002：控制 10.1.2）

10.2?開發(fā)和測試設(shè)施/系統(tǒng)與運營設(shè)施/系統(tǒng)的分離程度如何？

???????（參考 ISO 27002：控制 10.1.4）

10.3?外部公司提供的服務(wù)、報告和記錄如何對信息安全進行監(jiān)控和審計/檢查？

???????（參考 ISO 27002：控制 10.2.2）

10.4?公司內(nèi)部針對惡意軟件（病毒、蠕蟲等）的防護已開發(fā)到何種程度？

???????（參考 ISO 27002：控制 10.4.1）

10.5?本地防火墻和/或 HIDS/HIPS 軟件在多大程度上安裝在所有系統(tǒng)上？

???????（參考 ISO 27002：控制 10.4.1）

10.6?對活動內(nèi)容（例如 ActiveX-Controls、Java-Applets）采取了何種程度的安全措施？

???????（參考 ISO 27002：控制 10.4.2）

10.7?如何創(chuàng)建和控制數(shù)據(jù)備份，定期測試恢復(fù)到什么程度？

???????（參考 ISO 27002：控制 10.5.1）

10.8?如何管理和控制網(wǎng)絡(luò)以保護它們免受威脅？

???????（參考 ISO 27002：控制 10.6.1）

10.9?公司內(nèi)部對調(diào)制解調(diào)器設(shè)備（如模擬、ISDN、DSL、UMTS、GPRS 等）的使用如何監(jiān)管？

???????（參考 ISO 27002：控制 10.6.1）

10.10??????網(wǎng)絡(luò)服務(wù)（例如DNS、DHCP、VPN、MPLS、ERP、電子郵件、DMS……）的安全要求在多大程度上被定義和實施？

???????（參考 ISO 27002：控制 10.6.2）

10.11??????網(wǎng)絡(luò)服務(wù)（例如DNS、DHCP、VPN、MPLS、ERP、電子郵件、DMS……）的服務(wù)水平協(xié)議（SLA）在多大程度上完成？

???????（參考 ISO 27002：控制 10.6.2）

10.12??????關(guān)于移動存儲介質(zhì)（例如磁帶、USB 記憶棒、USB 硬盤驅(qū)動器、CD、DVD 等）處理的政策在多大程度上存在？

???????（參考 ISO 27002：控制 10.7.1）

10.13??????安全處置不再需要的計算機媒體的流程在多大程度上存在？

???????（參考 ISO 27002：控制 10.7.2）

10.14??????在物理運輸包含機密信息的媒體（例如 CD、DVD、紙質(zhì)文件）（例如 DHL、UPS）時，采取了何種程度的預(yù)防措施？

???????（參考 ISO 27002：控制 10.8.3）

10.15以電子方式交換機密信息時采取了??????哪些預(yù)防措施？

???????（參考 ISO 27002：控制 10.8.4）

10.16??????系統(tǒng)管理員和操作員的活動如何登錄關(guān)鍵系統(tǒng)？

???????（參考 ISO 27002：控制 10.10.4）

10.17??????流程的定義和實施在多大程度上滿足了有關(guān)監(jiān)控和記錄信息系統(tǒng)使用情況的法律要求？

???????（參考 ISO 27002：控制 10.10.1、10.10.2、10.10.3 和 10.10.5）

11???訪問控制

11.1?在多大程度上存在用戶注冊、更改和刪除流程以確保對所有信息系統(tǒng)和服務(wù)的適當(dāng)訪問？

???????（參考 ISO 27002：控制 11.2.1）

11.2?如何授予和檢查各種用例的用戶和管理員權(quán)限？

???????（參考 ISO 27002：控制 11.2.2 和 11.2.4）

11.3?關(guān)于創(chuàng)建和處理個人密碼的政策在多大程度上被定義？

???????（參考 ISO 27002：控制 11.3.1）

11.4?已在何種程度上定義了概述密碼結(jié)構(gòu)和復(fù)雜程度的政策，以及為使用和向用戶提供密碼的規(guī)則？

???????（參考 ISO 27002：控制 11.2.3）

11.5?離開工作區(qū)時對處理設(shè)備和文件有什么要求？

???????（參考 ISO 27002：控制 11.3.3）

11.6?對遠程訪問公司網(wǎng)絡(luò)的政策和措施制定和實施到什么程度？

???????（參考 ISO 27002：控制 11.4.2）

11.7?對系統(tǒng)和基礎(chǔ)設(shè)施組件診斷和配置端口的訪問對技術(shù)網(wǎng)絡(luò)訪問進行了何種程度的監(jiān)控？

???????（參考 ISO 27002：控制 11.4.4）

11.8?通過分段/分離，網(wǎng)絡(luò)安全性提高到什么程度？

???????（參考 ISO 27002：控制 11.4.5）

11.9?IT系統(tǒng)的訪問按照數(shù)據(jù)和信息的分類實施了多少用戶認證？

???????（參考 ISO 27002：控制 11.5.2）

11.10??????該政策在多大程度上參考了與移動計算機相關(guān)的風(fēng)險？

???????（參考 ISO 27002：控制 11.7.1）

12???信息系統(tǒng)獲取、開發(fā)和管理

12.1?使用加密（密碼學(xué)）對信息進行適當(dāng)保護的程度如何？

???????（參考 ISO 27002：控制 12.3.1）

12.2?在購買或開發(fā)軟件時，對信息安全要求的考慮程度如何？

???????（參考 ISO 27002：控制 12.5.4）

12.3?對信息系統(tǒng)技術(shù)漏洞的信息進行及時評估的程度如何，對安全實施（補丁管理）采取了何種程度的適當(dāng)措施？

???????（參考 ISO 27002：控制 12.6.1）

13???信息安全事件管理

13.1?公司內(nèi)部信息安全事件是如何以及在哪里報告的？

???????（參考 ISO 27002：控制 13.1.1 和 13.1.2）

13.2?信息安全事件和漏洞的評估和處理程度如何？

???????（參考 ISO 27002：控制 13.2.1）

14???業(yè)務(wù)連續(xù)性管理

14.1?公司內(nèi)部為發(fā)展和維護業(yè)務(wù)連續(xù)性（穩(wěn)定業(yè)務(wù)的連續(xù)性）采取了何種措施？

???????（參考 ISO 27002：控制 14.1.1）

15???合規(guī)性

15.1?在何種程度上確保了有關(guān)知識產(chǎn)權(quán)（例如專利、軟件開發(fā)和代碼等）的法律要求？

???????（參考 ISO 27002：控制 15.1.2）

15.2?實施了哪些法規(guī)和措施以保護個人信息符合法律/合同法規(guī)（例如數(shù)據(jù)隱私法）？

???????（參考 ISO 27002：控制 15.1.4）

15.3?在多大程度上檢查了組織部門是否符合公司安全政策和標(biāo)準(zhǔn)？

???????（參考 ISO 27002：控制 15.2.1）

15.4?對運營信息系統(tǒng)的安全審計（滲透和漏洞測試）進行了何種程度的精心策劃、協(xié)調(diào)和執(zhí)行？

???????（參考 ISO 27002：控制 15.2.2）