下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、审查内容审查要点检查时间是否开展了信息安全的检查活动?有安全检查记录或者报告,和改善记录1, 是否制定了资产清单,包含了所有的客户信息资产,包括 服务器,个人电脑,网络设备,支持设备,人员,数据?2, 对这些资产清单是否有定期的更新?1. 确认资产清单正确2. 确认更新记录3. 客户的资产的保护上面的资产清单上是否标识了所有人和保管人?(要点:确认资产的所有人和保管人被清楚的标识, 并且和实际情况相符)是否按客户文档的密级规则进行了适当的保护确认对于机密信息(电子文档,打印文档),限定范围 的信息(电子文档,打印文档)是否有明确标识。 根据需要,确认限定范围,附带标识,制定日期,制定者。是否使
2、所有员工和信息安全相关人员签署了保密协议/合同?是否有信息安全意识、教育和培训计划?确认培训计划是否执行了信息安全意识、教育和培训?培训记录(实施日期,培训内容 /教材,参加人员)是否制定了信息安全惩戒规程?是否执行了信息安全惩戒?邮件用户是否清除了?抽查是否有离职人员的用户权限没有被清除门禁权限是否清除了?内部0A权限是否清除了?抽查是否有离职人员的用户权限没有被清除SVN/CC/VSS权限是否清除了?部门服务器的权限是否清除了?(要点:实地检查是否有离职员工 /转岀员工的访问权限没有被清除)是否制订规则划分了安全区域?确认风险评估时是否划分了安全区域等级是否执行了安全区域划分规则?对不同等
3、级的区域是否有相应措施,措施是否被执 行是否制订安全区域岀入规则?1. 在公司内部,员工是否佩带可以识别身份的门 卡。2. 机房,实验室是否有岀入管制规则是否执行了安全区域岀入规则(前台接待,机房,实验室访 问控制)?安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进岀是否有管理记录是否定期执行门/窗等入口安全检查?检查记录是否定义了公共访问/交接区域?确认定义文件是否监控了公共访问和交接区域 ?实地查看是否有监控措施服务器是否得到了妥善的安置和防护?1. 重要的服务器放在安全的区域(如机房)2. 是否有UPS3. 温度和湿度合适个人电脑是否得到了安置和防护?1.
4、笔记本安装PoinSec,配有物理锁2. 所有电脑使用密码屏幕保护3. 不用的笔记本是否放入带锁的柜中。是否制订服务器维护计划?确认计划内容SecurelD是否被管理确认是否掌握远距离访问用户及SecureID的信息。设备处置是否经过了申请?(设备维修,销毁等)确认修理及报废时的 HDD的对应方法。审查内容审查要点检查时间设备处置是否经过了管理审批记录服务器,网络和应用系统的变更是否经过了管理?变更申请记录是否进行了防病毒软件的部署确认部门系统和个人 PC的手都已经部署并且状态正 常。是否有及时的防病毒软件的升级对防病毒软件的是否进行了检查 ?(执行一次检查)备份策略制订是否有备份策略的制订?
5、部门中的重要系统期备份的流程及记备份实施是否有备份的实施?备份验证是否有备份的验证备份保护是否有备份保护是否实施了网络控制是否有网络访问方面的限制是否对网络服务的安全进行了控制1. Web访问服务的安全2. Mail服务的安全是否有移动介质清单的管理1. 是否有管理清单2. 记录重要信息的外部存贮介质 (例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用 的备份设备等),是否被保管在带锁的文件柜中?是否有移动介质报废管理1.报废的申请和审批记录1. 确认文本文件的废弃方法。2. 确认是否将含有重要信息的文本文件就此扔在 垃圾箱中或扔在可回收资源的箱子中。3. 确认是否将
6、垃圾箱和可回收资源的箱子放在安 全的场所。4. 打印机上是否留有文件没有被取走系统文件是否得到了保护1. 检查其访问权限设定。2. 是否有备份是否有信息交换策略制订确认项目或其他敏感信息是否在发送前经过授权者 确认,是否经过信息所有人(如PM的授权?和信息交换方是否签订了协议和交换涉及方签订NDA物理介质传输是否得到了保护1. 检查包装合理性2. 搬运方法合理性是否按照公司规程实施了电子信息交换确认是否有电子邮件使用规则,和实施情况(如发 送重要文件时是否有文件加密等)是否按照公司规程实施业务信息互联1. 互联网使用的检查。2. 户(FX/XC)之间的互联是否有访问控制,权限分 配规则是否有访
7、问控制方针制订如果有文件共享请确认:1. 确认是否设置了全员都可以访问的权限。2. 确认对于长时间不使用的人员是否暂停其帐号。3. 确认共享文件的访问权限范围。3.所有对PC的访问都有密码保护审查内容审查要点检查时间是否对访问控制方针进行了评审是否有定期的 Review是否有用户注册的管理1.确认用户账号是否有申请书。确认用户ID及主要访问的清单,要求删除的用户或 访问权限是否及时修改。确认处理申请的记录。是否有特权管理的管理如果访问控制清单等是以纸张形式打印出来的,确 认是否保管在上锁的地方。电子文档是否保管在只有管理者才能打开的场所。是否有口令的管理有没有将口令写在便条上,或者告知他人是否定期对权限进行了审核定期审核记录是否制定了口令策略管理人员的密码设定。是否有员工号等容易推断的密码。1个帐号是否有多个用户。密码是否记录在便条上。密码为6位英文数字以上。是否执行了口令策略是否实施了网络隔离(不同功能和密级网络的隔离,物理或 逻辑)?1. 是否有隔离区2. 从隔离区外是否可以访问区内网络资源是否对网络连接实施了控制接入网络前是否经过IM或者ISM的安全检查是否实施了网络路由控制是否制订了信息访问限制策略访问策略定义文件是否执行了信息访问限制策略对照文件实
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 投资意向合同范本
- 园林绿化泥付工施工承包合同
- 出租车租赁服务通知协议
- 企业信用管理政策制定流程
- 科研创新基地租赁住房管理
- 政府部门会议费审批流程
- 挖掘土方协议范本
- 旅游度假设施监理协议
- 民用爆炸物品事故赔偿
- 客户服务热线编号指南
- 小学三年级上册音乐-《放牛山歌》人音版(17张)ppt课件
- 18慢性肾功能不全临床路径
- 断水层施工方案
- 《西部放歌》歌词串词朗诵词
- “7_16”大连保税区油库特大爆炸事故原因调查
- 硕士研究生入学登记表
- PCBA常见的一般性不良现象
- 六年级数学下册 圆锥的体积教案 西师大版 教案
- 董公选择日要览[整理版]
- 师德的五项修炼(修心、修口、修眼、修耳、修身)
- 各科室廉政风险点排查表
评论
0/150
提交评论