ISO27001调查问卷模版

1、ISO27001调查问卷填写目的：在于帮助建立适合自身需要的信息安全管理体系。答题需知： 被调查者针对ISO27001确定的11个领域所覆盖控制措施，回答在这些控制方面所达到的程度，分为四个等级：2控制已经建立，并能正常起作用，1控制部分起作用，0控制没有建立，-1此内容不适用。请把分值填写在缺省为“0”的表格内。被调查人：部门：职务：联系方式：编号标准编号部分问题分值A.5安全政策(Security Policy)A.5.1信息安全政策控制目标：依照营运要求及相关法律与法规，提供管理阶层对信息安全之指引与支持。01A.5.1.1信息安全政策文件控制措施信息安全政策文件应由管理阶层核准，并公布

2、与传达给所有聘雇人员与相关外部团体。编号标准编号部分问题A.6 信息安全的组织 (Organization of information security)A.6.1 内部组织控制目标：在组织内管理信息安全。3A.6.1.1管理阶层对信息安全的承诺控制措施管理者应通过清晰的方向、可见的承诺、明确的任务分配、信息安全职责沟通在组织内积极支持安全4A.6.1.2信息安全协调合作控制措施信息安全活动应由组织的各个部门及各种相关角色和职能的代表进行协作5A.6.1.3信息安全职责的分派控制措施应明确界定所有信息安全职责。6A.6.1.4信息处理设施的授权过程控制措施应确定并实施新的信息处理设施的管理授

3、权过程7A.6.1.5保密协议控制措施应识别并定期评审组织的保密或非扩散协议。该协议应反应组织对于信息保护的要求。A.6.2 外部团体控制目标：维持由外部团体存取、处理、通讯或管理之组织信息与信息处理设施的安全11A.6.2.1鉴别与外部团体有关的风险控制措施应识别来自外部组织的业务过程的信息和信息处理设施的风险，并在允许访问前实施适当的控制12A.6.2.2当与顾客接触时强调安全控制措施应在允许顾客访问组织的信息或资产前强调所有的安全要求13A.6.2.3在第三方协议中强调安全控制措施凡涉及存取、处理、通讯或管理组织的信息或信息处理设施，或在信息处理设施上附加产品或服务者，应在与第三方签署的

4、协议中涵盖所有相关的安全要求。编号标准编号部分问题A.7 资产管理A.7.1 资产职责控制目标：达成并维持组织资产的适当保护。14A.7.1.1资产列表控制措施应清楚识别所有的资产，编制并保持所有重要资产列表15A.7.1.2资产的所有权控制措施所有与信息及信息处理设施有关的资产应指定组织的部门负责，确定所有权关系。16A.7.1.3资产可接受的使用方式控制措施应识别信息及与信息处理设施有关的资产的可接受的使用准则，形成正式文件并予以实施A.7.2 信息分类控制目标：确保信息受到适当等级的保护A.6.1.4信息处理设施的授权过程17A.7.2.1分类指南控制措施应按照信息的价值、法律要求及对组

5、织的敏感程度和关键程度进行分类18A.7.2.2信息标示与处理控制措施应依照组织所采用的分类方案，发展与实施一套适当的信息标示与处理程序。3 解释：“所有者”系指负有经过核准之管理职责的个人或实体，控制资产的生产、发展、维护、使用及安全。所有者一词并非该人员真正对资产有任何财产权。编号标准编号部分问题A.8 人力资源安全A.8.1聘用之前控制目标：确保聘雇人员、承包商及第三方使用者了解其职责，并适合其所考虑的角色与降低设施的窃盗、诈欺或误用的风险19A.8.1.1角色与职责控制措施聘用人员、承包商及第三方使用者的安全角色与职责，应依照组织的信息安全政策加以界定与文件化20A.8.1.2筛选控制

6、措施应根据相关的法律、法规和道德，对所有的求职者、合同方和第三方用户进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适宜21A.8.1.3聘用条款控制措施作为合同责任的一部分，员工、合同方和第三方用户应同意并签署他们的雇佣合同的条款。这些条款应规定其与组织对于信息安全的职责A.8.2 聘用期间控制目标：确保所有聘雇人员、承包商及第三方使用者认知信息安全的威胁与关切议题、其职责及责任，并有能力在日常工作中支持组织安全政策与降低人为错误的风险22A.8.2.1管理职责控制措施管理者应要求所有的员工、合同方和第三方用户应用符合组织已建立的方针和程序的安全23A.8.2.2信息安全意识

7、、教育和培训控制措施组织应对组织的所有员工进行适当的意识培训，及定期更新的、与他们工作相关的组织方针和程序培训。在适当时候，还要对合同方和第三方用户进行教育与培训。24A.8.2.3惩戒过程控制措施对违反安全的聘用人员，应有正式的惩戒过程。0A.8.3 聘雇的终止或变更控制目标：确保聘雇人员、承包商及第三方使用者能以有序的方式脱离组织或变更聘雇。25A.8.3.1终止职责控制措施应清晰规定和分配进行雇佣变更或终止的责任026A.8.3.2资产的归还控制措施当结束聘用关系、合同或协议时，员工、合同方和第三方用户应归还所使用的组织资产127A.8.3.3移除访问权限控制措施当聘用关系、合同或协议中

8、止时，应移除所有员工、合同方和第三方用户对信息和信息处理设施的访问权限，或根据变化加以调整14 解释：“聘用”一字在此处系指包括下列所有不同的情况：人员之聘用（临时或长期）、指派工作角色、变更工作角色、合约之任务以及此等安排的终止编号标准编号部分问题A.9 实体与环境安全A.9.1 安全区域控制目标：防止组织的作业场所与信息被未经授权的实体存取、损害及干扰28A.9.1.1实体安全边界控制措施应使用安全边界（例如墙、卡片控制的进入信道或人工驻守的柜台等屏障），以保护含有信息与信息处理设施的区域。029A.9.1.2实体进入控制措施控制措施安全区域应藉由适当的进入控制措施加以保护，以确保只有授权

9、人员方可允许进入。030A.9.1.3安全的办公处所及设施控制措施办公室、房间及设施的实体安全应加以设计与运用。031A.9.1.4对外部与环境威胁的保护控制措施应设计与运用实体保护，以避免遭受火灾、洪水、地震、爆炸、民众暴动及其它天然或人为灾难的损害032A.9.1.5安全区域内之工作控制措施在安全区域内工作之实体保护与指引应加以设计与运用。033A.9.1.6公共存取、递送及装卸区控制措施诸如递送与装卸区以及其它未经授权人员可能进入作业场所之进入点应加以管制；并且，若可能，应将信息处理设施隔离，以避免未经授权的存取。0A.9.2 设备安全控制目标：防止资产的遗失、损害、偷窃或受损，并防止组

10、织活动的中断34A.9.2.1设备安置与保护控制措施应安置或保护设备，以降低来自环境之威胁与危害，以及未经授权存取之机会。035A.9.2.2支持的公用设施控制措施应保护设备不受电力失效与其它支持设施失效所导致的中断。036A.9.2.3缆线的安全控制措施应保护传送数据或支持信息服务的电力与电信缆线，以防止窃听或损毁。037A.9.2.4设备维护控制措施应正确地维护设备，以确保其持续的可用性与完整性。038A.9.2.5场外设备之安全控制措施A.9.1.2实体进入控制措施安全应运用于场外设备，并考虑其在组织作业场所外工作的各种风险039A.9.2.6设备的安全报废或再使用控制措施含有储存媒介物

11、的设备其所有项目在报废前应加以核对，以确保任何敏感性的数据与授权的软件已被移除或安全地覆写。040A.9.2.7财产的移动控制措施设备、信息或软件未经事前授权不应带出厂（场）区。0编号标准编号部分问题A.10通讯与操作管理A.10.3 系统规划与验收控制目标：使系统失效的风险最小化48A.10.3.1容量管理控制措施应监督、调整各项资源的使用，并预估未来容量需求，以确保所要求的系统绩效。049A.10.3.2系统验收控制措施对新的信息系统、系统升级及新版本的验收准则应加以建立，并且在开发期间与验收前应完成适当之系统测试。0A.10.4 防范恶意码与行动码控制目标：保护软件与信息的完整性50A.

12、10.4.1对抗恶意码的控制措施控制措施应实施防范恶意码的侦测、预防及复原控制措施，以及适当的使用者认知程序051A.10.4.2防范移动代码控制措施当使用移动代码获得授权时，配置管理应确保授权的移动代码按照明确定义的安全方针运行，并防止未经授权移动代码的执行。0A.10.5 备份控制目标：维持信息与信息处理设施的完整性与可用性A.9.2.5场外设备之安全52A.10.5.1信息备份控制措施应根据既定的备份策略对信息和软件进行备份并定期测试0A.10.6 网络安全管理控制目标：确保网络内信息与支持性基础设施的保护53A.10.6.1网络控制措施控制措施应对网络进行充分的管理和控制，以防范威胁、

13、保持使用网络的系统和应用程序的安全，包括信息传输。054A.10.6.2网络服务的安全控制措施应鉴别所有网络服务的安全特性、服务等级及管理要求，并应纳入网络服务协议，不论此等服务是由内部或委外所提供。0A.10.7 媒介物处理控制目标：防止资产被未授权的揭露、修改、移除或破坏，以及营运活动的中断55A.10.7.1可移动存储介质的管理控制措施应建立适当的程序，以管理可移动存储介质。056A.10.7.2存储介质的处置控制措施当存储介质不再需要时，应按照正式的程序进行安全可靠的销毁。057A.10.7.3信息处理程序控制措施应建立信息处置和存储程序，以防范该信息的未授权泄漏或误用。058A.10

14、.7.4系统文件的安全控制措施应保护系统文件，防止未授权的访问。0A.10.8 信息交换控制目标：维护组织内及与任何外部实体交换信息与软件的安全59A.10.8.1信息交换的政策与程序控制措施应建立正式的信息交换策略、程序和控制，以保护通过所有类型的通讯设施交换信息的安全。060A.10.8.2交换协议控制措施组织与外部团体间的信息与软件交换应建立协议。061A.10.8.3物理介质传输控制措施在组织的物理边界之外进行传输的过程中，应保护包含信息的介质免受未授权的访问、误用或破坏062A.10.8.4电子消息控制措施涉及电子消息的信息应适当的加以保护。063A.10.8.5业务信息系统控制措施

15、应开发并实施策略和程序，以保护与业务信息系统互联的信息0A.10.10 监督控制目标：侦测未经授权的信息处理活动67A.10.10.1审计日志控制措施审计日志系纪录使用者活动、例外及信息安全事件，应加以产生与保留一段同意的期间，以协助未来的调查与存取控制监督。068A.10.10.2监督系统的使用控制措施应建立信息处理设施使用的监控程序，并定期审查监视活动的结果。069A.10.10.3日志信息的保护控制措施应保护纪录日志的设施与日志信息，不受窜改与未授权存取。070A.10.10.4管理者与操作员日志控制措施系统管理者与系统操作员的活动应记录日志。071A.10.10.5错误日志控制措施应记

16、录并分析错误日志，并采取适当的措施。072A.10.10.6时钟同步控制措施组织或安全领域内所有相关信息处理系统的时钟，应与公认的准确时间来源同步。0编号标准编号部分问题编号A.11 访问控制A.10.8.2交换协议A.11.2 用户访问管理控制目标：确保授权使用者对信息系统的存取与防止未经授权的存取。74A.11.2.1用户注册控制措施应建立正式的用户注册和解除注册程序，以允许和撤销对于所有信息系统和服务的访问075A.11.2.2特权管理控制措施应限制与控制特权的分配与使用。076A.11.2.3用户口令管理控制措施应以正式的管理过程控制口令的分配。077A.11.2.4对用户访问权限的审

17、查控制措施管理阶层应定期使用正式过程审查使用者的存取权限。0A.11.3 使用者责任控制目标：防止未经授权的使用者存取及信息与信息处理设施的泄露或窃盗。78A.11.3.1口令的使用控制措施应要求使用者遵守良好安全规范去选择及使用通行码。079A.11.3.2无人看管的使用者设备控制措施使用者应确保无人看管的设备有适当的保护。080A.11.3.3桌面整理与屏幕清空策略控制措施应采用针对文件、可移动储存介质的桌面整理策略和针对信息处理设施的屏幕清空策略。0A.11.4 网络存取控制控制目标：防止网络服务被未授权的存取。81A.11.4.1网络服务使用策略控制措施用户应只能访问经过明确授权使用的

18、服务。082A.11.4.2外部连接用户鉴别控制措施应使用适当的鉴别方法控制远程用户的访问083A.11.4.3网络设备鉴别控制措施应考虑自动设备的鉴别，将其作为鉴别特定位置和设备连接的方法。084A.11.4.4远程诊断和配置端口保护控制措施应控制对诊断和配置端口的物理和逻辑访问085A.11.4.5网络隔离控制措施应隔离信息系统内的信息服务组、用户和信息系统086A.11.4.6网络连接控制控制措施在公共网络中，尤其是那些延展到组织边界之外的网络，应限制用户联接的能力，并与业务应用系统的访问控制策略和要求一。087A.11.4.7网络路由控制控制措施应对网络进行路由控制，以确保信息联接和信

19、息流不违反业务应用系统的访问控制策略0A.11.5 操作系统访问控制控制目标：防止操作系统被未授权存取。88A.11.5.1安全登入程序控制措施应通过安全登陆程序对操作系统的访问进行控制。089A.11.5.2用户标识与身份鉴别控制措施所有的用户应有一个唯一的识别码（用户ID）且仅供本人使用，应使用适当的鉴别技术来证实用户所声称的身份090A.11.5.3口令管理系统控制措施应是使用交互式口令管理系统，并确保口令质量091A.11.5.4系统实用工具的使用控制措施应限制并严格控制系统实用工具的使用和应用系统控制的使用0A.11.4.2外部连接用户鉴别92A.11.5.5会话超时控制措施不活动的

20、会话应在一个设定的不活动周期后关闭。093A.11.5.6连接时间限制控制措施应使用连接时间限制以提供高风险应用程序的额外安全保障0A.11.6 应用与信息访问控制控制目标：防止应用系统中的信息被未经授权的存取。94A.11.6.1信息访问控制控制措施应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问095A.11.6.2敏感系统的隔离控制措施敏感性系统应有专用的（隔离的）计算机作业环境。0A.11.7 移动计算和远程工作控制目标：确保在使用移动计算和远程工作设施时信息的安全96A.11.7.1移动计算及通讯控制措施应建立正式的策略并实施适当的控制，以防范使用移动计算和通讯

21、设施的风险097A.11.7.2远程工作控制措施应开发并实施远程工作的策略、操作计划和程序0编号标准编号部分问题A.12 信息系统获取、开发及维护A.12.3 加密控制制措施控制目标：通过加密手段来保护细腻的保密性、真实性或完整性应该制定使用密码的策略。密钥管理应该支持使用密码技术。103A.12.3.1使用加密控制的策略控制措施为保护信息，应开发并实施加密控制的使用策略0104A.12.3.2密钥管理应进行密钥管理，以支持组织对密码技术的使用0A.12.4 系统文件安全控制目标：确保系统文件的安全。105A.12.4.1作业软件的控制控制措施应有适当的程序，以控制操作系统上软件的安装。010

22、6A.12.4.2系统测试数据的保护控制措施应谨慎选择测试数据，并加以保护和控制。0107A.12.4.3对程序源代码的访问控制控制措施应限制对程序源代码的访问0编号标准编号部分问题A.13 信息安全事故管理A.13.1 报告信息安全事故和弱点控制目标：确保能够采取及时矫正措施的方式，传达与信息系统有关的信息安全事件与弱点114A.13.1.1报告信息安全事故控制措施应通过适当的管理途径尽快报告信息安全事件。0115A.13.1.2通报安全弱点控制措施应要求所有的员工、合同方和第三方用户注意并报告系统或服务中已发现或疑似的安全弱点0A.13.2 信息安全事故与改进的管理控制目标：确保应用一致与

23、有效的方案于信息安全事故的管理。116A.13.2.1职责与程序控制措施应建立管理职责和程序，以快速、有效和有序的响应信息安全事故0117A.13.2.2从信息安全事故中学习控制措施应建立能够量化和监控信息安全事故的类型、数量、成本的机制。0118A.13.2.3证据的收集控制措施事故发生后，应根据相关法律的规定（无论是民法还是刑法）跟踪个人或组织的行动，应收集、保留证据，并以符合法律规定的形式提交0编号标准编号部分问题A.14 业务连续性管理A.14.1 业务连续性管理的信息安全考虑控制目标：防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复119A.14.1.1在业务连续性管理过程中包含信息安全控制措施应在组织内开发并保持业务连续性管理过程，该过程阐明了组织的业务连续性对信息安全的要求0120A.14.1.2业务连续性和风险评估控制措施应识别可能导致业务过程中断的事故，以及这类中断发射给您的可能性和影响、中断的信息安全后果0121A.14.1.3开发并实施包括信息安全的连续性计划控制措施应开发并实施计划，以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确