供应商信息安全基准检查表

1、供应商信息安全基准检查表（Verl.9）以下回答的内容，作为总公司秘信息管理。不合适的情况下，通过另行采取管理对策而排7除了风险的情况下，请将详细内容填入备注栏。确信明信、密2121222建立信息安全管理相关组织体制吗制定信息安全相关规则的书面文件吗对于组织内的信息安全实施项目，要明确责任人及相关任务和责任吗制作本公司制定的机密信息以及利用该信息创造出的机密信息信息资产清单的管理列表，使机密信息明确化吗对于管理列表中的机密信息进行适当的安全管理吗由责任者对信息资产清单和情報以及管理的实际状况进行重审吗制作与供应商共享机密信息的委托对象等的管理列表吗与委托对象等签订包括如下规定的条款在内的保密合

2、同（或包括了保密条款的合守秘义务成为保密对象的信息的范围保密义务期限（也包括无限期）使用目的的限制访问者应限定为在业务上须了解该信息的人员对指定重要机密信息的管理方法限制对指定重要机密信息进行复制规定在保密期限期满后返还或废弃由本公司进行保密相关确认（提问和监查等）措施的规程违反合同时的措施（除了损害赔偿以外，还要加入可使停止在市场销售等优先次序先次序先次序回答是是是备注同)a.)b.).)的条款）禁止擅自进行再委托D禁止使用私人电脑处理业务得点T1223与本公司和供应商一样，在供应商和委托对象等之间也要制定机密信息的交换相关规则吗）由本公司交给供应商的信息，原则上，均作为内部信息处理（禁止对

3、第三方公开）吗）须交换和公开机密信息时，要事先取得本公司的认可后再实施吗）以电子文件的形式发送和接收机密信息时，要实施加密吗对于供应商和委托对象等，要定期地实施信息安全的实际状况调查吗要记录供应商与委托对象等之间交接机密信息的情况吗）发生了信息资产的交接时，要决定与对方交接的规则，制作协议书吗）已进行了实际的通信（交接）记录并实施管理吗制定了信息的返还和回收的规则吗a.）明确业务结束时的返还和回收的方法、期限及责任人了吗要基于规则和本社间实施交换、返还和回收了吗通过电子商务交易系统、图纸的交接系统等进行固定的信息交换时，双方之间应就步骤和运用方法等的保密对策达成协议并加以实施了吗）进行发信/接

4、收，发送/收领及其通知的步骤）信息的记录/读取、包装以及传送相关方法）数据丢失后的责任以及保证为了能够限制无关人员进入公司区域、建筑物以及房间内而进行了区域区分了吗完善限制进入的物理结构了吗只许可须了解信息的人员进入吗）仅限责任人判断为在业务上必要的人员/情况下，才允许入室吗）取得出/入室两者或其中之一的日志吗必要时，须设置围墙、ID卡认证、监视摄像机、传感器等吗例子业务区域：入室管理通过ID卡认证取得日志。重要区域：利用监视摄像机监视入口处，出入室管理则通过ID卡认证取得期地对进出记录（包含摄象机图象）进行监查吗有区别员工和外来人员的方法吗a.）员工和外来人员用名牌和ID卡进行区别。建立了仅

5、限需要了解信息的人员访问机密信息的体制吗）机密信息要上锁保管于文件柜中吗）对试制品要进行数量管理，并将访问限制为最低限度吗禁止在业务目的以外将电脑、带摄象头的手提电话、Da音乐播放器、记忆媒体（SD卡、U盘等）带入处理机密信息的场所。a.）要带入时，须得到责任人的许可吗在工作中不得使用私人电脑。也禁止将私人电脑带入吗对于工作中需要使用的电子媒体和电脑，要制作管理表吗对于工作中需要使用的电子媒体和电脑，制作带出规则，并加以实施吗a.）原则上，禁止带出电脑，对于带出的电脑要实施加密、设置多重密码、信息加密等载有重要机密信息的纸张（文件）的废弃步骤。a.）对于机密资料，要用碎纸机进行裁切、溶解或烧毁

6、。决定了机密信息以及机密信息载体（试作品）的废弃步骤吗）对于设计信息等的技术载体，要进行破坏以无法读取信息吗）要与处理工业废品的企业签订保密合同吗访问电子化信息时，每个人要使用自己单独的ID和密码，并取得谁访问了与本公司共享的机密信息的记录。用理使管制定了ID的发行规则吗）用户不与其他的用户共用ID吗）规定ID的发行步骤和许可责任人吗制定了密码的管理规则吗）密码同时包含有英文和数字，在6个字符以上吗）密码须定期地变更，至少要每30天变更一次吗）不得将密码借给其他人吗要定期地实施ID重审吗a.）对是否存在离职者的ID、临时使用的ID等、未被使用的ID以及不正当的ID要进行检查吗1合计11规回答备

7、注得点26在与因特网之间设置合适的防火墙，将业务上必要的信息设备和电脑连接于安全的公司内部系统内吗定1是126已决定了设置IT系统时的手续吗108989078.xls1是126已决定了IT系统的管理/使用规则吗2a.）信息要保管在服务器上，实行服务器的安全管理，而并非个人电脑里。保管业务用个人电脑情报的场合请根据下面的b厂g.）进行对应。b.）人员离开座位时，要将笔记本电脑上锁保管于办公桌的抽屉里、柜子等中。C.）台式电脑等的固定式电脑，要用电脑锁固定在办公桌等的上面。是2d.）带出的电脑内的数据要实施加密，在万一被盗时，可避免数据被读取。e.）带出电脑期间，应随时带在身边。f.）对BIOS、

8、OS、屏幕保护程序设定密码。g.）离开座位时，可锁屏，可把屏幕设置为在5分钟内无输入的状态下，可通过带密码的屏幕保护程序锁定屏幕。离开座位时，要锁定屏幕或退出系统。26决定了IT系统的废弃和再使用规则吗（包含故障交换的场合）2是2a.）制定了将硬盘内的信息完全删除或进行物理破坏的规则吗脑电26服务器设置在了可确保安全的合适场所吗1是126对于服务器管理场所的出入进行限制吗6a.）保管机密信息的服务器设置在实施了安全管理的区域，上锁管理于带门的架子上。此外，还进行与此同等的管理吗1是127针对电脑病毒和非法程序，制定了相应的对策和规则吗由系统管理员（或提供单位）指定防病毒软件（杀毒软件）的种类和

9、版本等，并加以引进吗是27实施了病毒和非法程序的对策和规则吗2a.）使防病毒软件常驻于规定的各设备中，始终确保完全受保护的环境吗是2b.）设置为至少每天更新次（推荐每隔定时间进行自动更新）病毒定义吗27C.）对于被保存的所有文件，进行每周扫描次以上的设定吗制定有病毒对策实施状况的自我检查表和体制吗1是127制定相应规则，以使受病毒的危害被控制在最小限度吗1是1、7a.）包括感染病毒时的物理处理和报告、通知方法等吗27禁止安装和使用PeertoPeer软件（Winny、Share等的文件交换软件）了吗2是227定期确认是否安装了禁止软件吗2是2a.）由信息安全责任人检杳，或使用检测工具等吗份备施

10、实28制定了备份的规则吗2a.）对于重要系统，研究了备份的必要性和频度吗是2b.）确保了事业的可持续性吗28按照规则定期地实施了备份吗1是1、28制定备份数据的保管规则，并按照规则实施管理吗1是18a.）要能够确认处理机密信息的信息系统的所有备份媒体均得以正确的管理吗1制定信息安全的教育计划吗1a.）关于信息安全，制定有进行员工教育的体制（录像、指导手册、研修等），且制定了教育计划吗是11对组织责任人或项目主管等的管理者定期实施安全教育，并整理好听讲记录吗1是11对所有公司员工和派遣员工实施信息安全教育，此外，委托对象也应对委托进行业务的员工实施同样的信息安全教育，并制作听讲记录吗1是1a.）

11、在入社、调入和升职等时，均实施信息安全教育以及定期教育吗b.）在接收员工时以及接收后，均应适当实施吗1制作对规则进行自我检查的检查表，由全员实施吗2是21建立可对自我检查结果的不合格点进行改善的体制吗1a.）组织责任人定期地确认自我检查结果，当出现不符合规定的事项时，要指导改善并记录吗是1、11自我检杳表中加入了清理桌面（应注意整理整顿，禁止将机密文件放在桌上）、清理屏幕（离开座位时，应设定为不显示屏幕或启用带密码的屏幕保护程序）的规则P是12就业规则中有关于保密的条款，取得员工签署的保密誓约书吗1是12派遣员工在上岗前应取得保密誓约书吗1是1a.）进行与公司员工等同等的保密管理，并对誓约书进

12、行管理吗2委托业务时，委托对象要取得员工签署的保密誓约书吗2是22签a.）委托对象要进行保密管理，并对誓约书进行管理吗1设置了事故发生时的联络/处理的责任人，建立事故报告体制吗a.）要建立相应的体制，以在发现信息安全上的问题或感觉到发生的危险时，或目击了事件事故或发现了事件事故的痕迹时，能够迅速向贵公司的信息管理责任1是12对于与吗公司共享的机密信息，在发现了上述的问题以及事件事故或感觉到发生的危险时，要迅速向本公司通报吗2是2a.）规定了报告渠道、从事故发生到通报为止的时间等，并加以贯彻吗完备发生了信息安全事故时的处理手册，明确步骤了吗1a.）把握受害状况和使受害影响最小化的紧急处理了吗b.）查明原因和暂定措施了吗是1C.）应米取相应措施，以在信息泄露时可向该第一方报告等，可实现相关者能够进行自卫和相关处理了吗d.）必要时，应进行宣传处理，向相关政府机关报告了吗记录事故的经过和处理的过程了吗1是15要迅速实施防止事故再次发生的对策，