信息安全内部审核检查表

1、.：.； 上海联众网络信息 ISO27001:2005信息平安目的与控制检查表 二一三年三月十二日 A.5平安方针 规范条款号标 题目的/控制控制 理 由控 制 要 求审核发现A.5.1信息平安方针目的根据业务要求以及相关的法律法规为信息平安提供管理指点和支持。A.5.1.1信息平安方针文件控制根据Info-Riskmanager风险评价的结果。总经理能否确保制定与公司目的一致的明晰的信息平安方针，并且经过在组织内发布和维护信息平安方针来阐明对信息平安的支持和承诺。信息平安方针在中描画，由总经理同意发布？管理手册中有信息平安方针A.5.1.2信息平安方针评审控制根据Info-Riskmanag

2、er风险评价的结果。每年管理评审或发生艰苦变化时能否对信息平安方针的继续适宜性、充分性和有效性进展评价，必要时进展修订？管理评审报告 A.6信息平安组织规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.6.1信息平安组织目的管理组织内部信息平安。A.6.1.1信息平安管理承诺控制根据Info-Riskmanager风险评价的结果。总经理能否承诺建立、实施、运作、监视、评审、坚持和改良ISMS，并经过一系列的活动，提供证明。该承诺中进展相能否描画？A.6.1.2信息平安的协作控制根据Info-Riskmanager风险评价的结果。公司能否成立以信息平安管理者代表、各部门信息平安担

3、任人组成的跨部门的联席会议，协调信息平安管理任务，对体系运转中存在的问题进展处理。会议由人事行政部担任组织安排并做好会议记录？A.6.1.3信息平安职责分配控制根据Info-Riskmanager风险评价的结果。公司能否清楚确实定一切的信息平安职责。最高管理者授权信息平安管理者代表，全面担任信息平安管理体系的建立、实施与坚持任务？对每一项重要资产指定信息平安责任人。A.6.1.4信息处置设备的授权过程控制根据Info-Riskmanager风险评价的结果。软件部能否根据运用部门需求提出新的信息处置设备包括软件的配置要求，并组织验收与实施，确保与原有系统的兼容？A.6.1.5严密协议控制根据In

4、fo-Riskmanager风险评价的结果。本公司能否与正式录用员工在劳动合同中附加有关严密方面的内容条款或签署。员工聘用期满分开公司之前，能否提示其对严密所作的承诺？A.6.1.6与权威机构的联络控制根据Info-Riskmanager风险评价的结果。人事行政部能否制定规定，详细阐明由谁何时与权威机构联络，以及怎样识别能否该及时报告的能够会违背法律的信息平安事件？A.6.1.7与专业小组的联络控制根据Info-Riskmanager风险评价的结果。软件部能否就计算机信息及通讯网络平安问题与效力提供部门坚持联络，以确保和在出现平安事故时尽快采取适当的行动和获得建议？A.6.1.8信息平安的独立

5、评审控制根据Info-Riskmanager风险评价的结果。人事行政部能否担任组织、谋划内部审核，根据谋划的时间间隔，或者当平安设备发生艰苦变化时，对组织管理信息平安的方法及其实施情况进展独立评审？A.6.2外部相关方目的识别外部相关方访问的风险，明确对外部相关方访问控制的要求，并控制外部相关方带来的风险，坚持被外部相关方访问、处置、共享、管理的组织信息及信息处置设备的平安。A.6.2.1与外部相关方有关的风险识别控制根据Info-Riskmanager风险评价的结果。公司能否识别外部相关方对信息资产和信息处置设备呵斥的风险，并在同意外部相关方访问信息资产和信息处置设备前实施适当的控制，并签署

6、规定访问和任务安排条款和条件的？A.6.2.2处置与顾客相关的平安问题控制根据Info-Riskmanager风险评价的结果。外包责任部门能否能否识别外包活动的风险，明确外包活动的信息平安要求，在外包合同中明确规定信息平安要求。在同意顾客访问组织信息或资产前，能否该处置一切已识别的平安要求？A.7资产管理规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.7.1资产责任目的对本公司资产包括顾客要求严密的数据、软件及产品进展有效维护。A.7.1.1资产清单控制根据Info-Riskmanager风险评价的结果。软件部能否组织各部门识别资产，并根据重要资产判别准那么确定公司的重要资产

7、，经过风险管理软件，建立？A.7.1.2资产一切权控制根据Info-Riskmanager风险评价的结果。软件部能否组织相关部门识别资产并指定资产担任人？A.7.1.3资产的合理运用控制根据Info-Riskmanager风险评价的结果。能否制定相能否的业务系统能否用管理制度，重要设备有运用阐明书，规定了资产的合理运用规那么？运用或访问组织资产的员工、协作方以及第三方用户能否了解与信息处置设备和资源相关的信息和资产方面的限制。并对信息资源的运用，以及发生在其责任下的运用担任？A.7.2信息分类目的本公司根据信息的敏感性对信息进展分类，明确维护要求、优先权和等级，以确保对资产采取适当的维护。A.

8、7.2.1分类指南控制根据Info-Riskmanager风险评价的结果。本公司能否有信息密级规定划分秘级？A.7.2.2信息的标识和处置控制根据Info-Riskmanager风险评价的结果。对于属于企业、企业与国家的文件，密级确定部门能否按要求进展适当的标注？A.8人力资源平安规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.8.1聘用前目的对聘用过程进展管理，确保员工、合同方和第三方用户了解其责任，并且能胜任其义务，以降低设备被盗窃、欺诈或误用的风险。A.8.1.1角色和职责控制根据Info-Riskmanager风险评价的结果。与信息平安有关的部门的平安职责能否明确规定

9、？A.8.1.2挑选控制根据Info-Riskmanager风险评价的结果。人力资源部能否担任对初始录用员工进展才干、信誉调查，每年对关键信息平安岗位进展年度调查，对于不符合平安要求的不得录用或进展岗位调整？A.8.1.3雇佣条款和条件控制根据Info-Riskmanager风险评价的结果。公司能否规定了员工、合同方以及第三方的聘用条款和条件？A.8.2聘用期间目的确保一切的员工、合同方和第三方用户知道信息平安要挟和利害关系、他们的职责和义务、并预备好在其正常任务过程中支持组织的平安方针，并且减少人为错误的风险。审核发现A.8.2.1管理职责控制根据Info-Riskmanager风险评价的结

10、果。公司管理者能否要求员工、协作方以及第三方用户，加强信息平安认识，根据建立的方针和程序来运用平安？A.8.2.2信息平安教育和培训控制根据Info-Riskmanager风险评价的结果。与ISMS有关的一切员工，有关的第三方访问者，能否接受平安认识、方针、程序的培训。方针、程序变卦后能否及时传到达全体员工。人力资源部经过组织实施培训，确保员工平安认识的提高与有才干胜任所承当的信息平安任务？A.8.2.3惩戒过程控制根据Info-Riskmanager风险评价的结果。违背组织平安方针和程序的员工公司能否将根据违反程度及呵斥的影响进展处分，处分在平安破坏经过证明地情况下进展？A.8.3聘用中止或

11、变化目的确保员工、协作方以及第三方用户以一种有序的方式分开公司或变卦聘用关系。A.8.3.1终止责任控制根据Info-Riskmanager风险评价的结果。在员工离任前和第三方用户完成合同时，能否进展明确终止责任的沟通？A.8.3.2资产归还控制根据Info-Riskmanager风险评价的结果。员工离任或任务变动前，能否办理资产归还手续，然后方能办理移交手续？A.8.3.3解除访问权限控制根据Info-Riskmanager风险评价的结果。员工离任或任务变动前，能否解除对信息和信息处置设备访问权限，或根据变化作相能否的调整？A.9物理与环境平安规范条款号标 题目的/控制控 制 理 由控 制

12、要 求审核发现A.9.1平安区域目的防止对组织办公场所和信息的未授权访问、损坏和干扰。是A.9.1.1实物平安周界控制根据Info-Riskmanager风险评价的结果。本公司平安区域能否分为普通平安区域与特别平安区域，特别平安区域包括机房和监控机房、机要室？。是A.9.1.2物理进入控制控制根据Info-Riskmanager风险评价的结果。进出公司大院能否有门卫保安控制？员工能否凭任务牌进入办公区。能否经过授权的长期访问第三方进入被授权的任务区域？是A.9.1.3办公室、房间和设备的平安控制根据Info-Riskmanager风险评价的结果。特别平安区域内的办公室、房间和设备能否进展必要的

13、控制，以防止火灾、盗窃或其它方式的危害？是A.9.1.4防备外部和环境要挟 控制根据Info-Riskmanager风险评价的结果。机房设备能否安装在距墙、门窗有一定间隔 的地方。并具有防备火灾、水灾、雷击等自然、人为灾祸的平安控制措施？是A.9.1.5在平安区域任务控制根据Info-Riskmanager风险评价的结果。公司能否建立相关制度，明确规定员工、第三方人员在有关平安区域任务的根本平安要求，并要求员工、第三方人员严厉遵守？是A.9.1.6公共访问、交付和装载区控制根据Info-Riskmanager风险评价的结果。公司能否设立设置前台接待处接待外来人员，前台与特别平安区域予以隔离？

14、是A.9.2设备平安目的防止资产的损失、损坏或丧失及业务活动的中断。A.9.2.1设备的定位和维护控制根据Info-Riskmanager风险评价的结果。设备运用部门能否担任对设备进展定置管理或维护好，采取措施以降低环境要挟和危害的风险以及未经授权访问的时机？是A.9.2.3电缆的平安控制根据Info-Riskmanager风险评价的结果。软件部能否按照相关规范对传输线路进展敷设、调配、维护，防止线路缺点？是A.9.2.4设备维护控制根据Info-Riskmanager风险评价的结果。信息系统设备及用户计算机终端能否由软件部进展维护？是A.9.2.5场所外设备的平安控制根据Info-Riskm

15、anager风险评价的结果。拥有笔记本的部门在其分开规定的区域时，能否经过部门指点授权并对其进展严厉控制，防止其丧失和未经授权的访问？是A.9.2.6设备的平安处置及再利用控制根据Info-Riskmanager风险评价的结果。含有敏感信息的设备在报废或改做他用时，能否由运用部门能否利用平安的处置方法将设备中存储的敏感信息去除并保管去除记录？是A.9.2.7资产转移控制根据Info-Riskmanager风险评价的结果。未经授权之前，能否不将设备、信息或软件带到任务场所外？重要信息设备的迁移能否被授权，迁移活动能否被记录？是A.10通讯和操作管理规范条款号标 题目的/控制控 制 理 由控 制

16、要 求审核发现A.10.1操作程序和职责目的确保信息处置设备的正确和平安运用。A.10.1.1作业程序文件化控制根据Info-Riskmanager风险评价的结果。本公司能否按照信息平安方针的要求，建立并实施文件化的作业程序？。是A.10.1.2变卦管理控制根据Info-Riskmanager风险评价的结果。对信息处置设备的变卦能否按相关规定进展。能否用系统和软件等方面的更改实施严厉控制，在更改前评价更改所带来的潜在影响，正式更改前履行更改审批手续，并采取必要的措施确保不胜利更改的恢复？是A.10.1.3职责分别控制根据Info-Riskmanager风险评价的结果。为防止非授权的更改或误用信

17、息或效力的时机，能否按要求进展职责分配？是A.10.1.4开发和运作设备的分别控制根据Info-Riskmanager风险评价的结果。开发部门在进展软件和测试程序的开发时，能否有一个独立开发与测试环境，与作业设备分别？是A.10.2第三方效力交付管理目的执行并坚持与第三方效力交付协议相一致的信息平安和效力交付等级。 检查协议的执行情况，监控其符合性并控制相能否的变化，以确保交付的效力满足第三方协议中的一切要求。A.10.2.1效力交付控制根据Info-Riskmanager风险评价的结果。能否对第三方的效力的交付，包括协议规定的平安安排、效力定义以及效力管理等方面进展管理和验收。能否确保第三方

18、坚持充分的效力才干，并且具备有效的任务方案，即使发生艰苦的效力缺点或灾难也能坚持效力交付的衔接性？是A.10.2.2第三方效力的监控和评审控制根据Info-Riskmanager风险评价的结果。第三方关系的管理能否有专门的人员，确保第三方分配职责符合协议要求。能否对协议要求，特别是平安要求的符合性进展监控能否该有充分可用的技术技艺和资源。能否当发现效力交付缺乏时能否该采取适当的措施？是A.10.2.3管理第三方效力的更改控制根据Info-Riskmanager风险评价的结果。对第三方效力更改的管理过程能否思索：a) 组织的更改，包括加强当前提供的效力，开发新能否用程序和系统，修正和更新方针及程

19、序，处理信息平安事件，提高平安性的新控制？b) 第三方效力的更改，包括更改和加强网络，运用新技术，更改效力设备的物理位置，更改供能否商？是A.10.3系统谋划与验收目的使系统缺点风险最小化。A.10.3.1容量管理控制根据Info-Riskmanager风险评价的结果。软件部能否对信息网络系统的容量需求进展监控，并对未来容量需求进展谋划，适当时机进展容量扩展？是A.10.3.2系统验收控制根据Info-Riskmanager风险评价的结果。新系统、系统晋级接纳前，系统验收部门能否制定接纳准那么，经测试合格后方可正式运转，测试记录及验收报告能否予以保管/是A.10.4防备恶意软件目的维护软件和信

20、息的完好性。A.10.4.1防备恶意代码控制根据Info-Riskmanager风险评价的结果。软件部能否为控制恶意软件的主管部门，担任提供防备恶意软件的技术工具并对技术工具进展实时晋级，各部门能否详细担任本部门的恶意软件预防控制任务？是A.10.4.2防备可挪动代码控制根据Info-Riskmanager风险评价的结果。授权运用挪动代码时，配置能否该确保已授权挪动代码的运转符合明确定义的平安方针，未经授权的挪动代码能否该被阻止执行。是A.10.5备份目的坚持信息处置和通讯效力的完好性和可用性。A.10.5.1信息备份控制根据Info-Riskmanager风险评价的结果。本公能否司根据风险评

21、价的结果对重要数据库、软件等进展备份软件部为全公司信息备份提供技术支持，各业务主管部门能否协同软件部制定备份战略？是A.10.6网络平安管理目的为坚持对网络中的信息及支持性设备进展有效维护A.10.6.1网络控制控制根据Info-Riskmanager风险评价的结果。本公司能否充分管理和控制网络，以防备要挟，维持系统和运用网络的能否用程序的平安，包括传输中的信息。实施网络平安控制以确保网络上信息的平安，并对接入效力进展维护，防止未经授权访问？是A.10.6.2网络效力的平安控制根据Info-Riskmanager风险评价的结果。软件部能否根据组织的平安战略，识别现有的网络效力，明确规定网络效力

22、平安属性值，由授权的网络系统平安管理员进展参数配置与维护管理？是A.10.7介质的处置目的为防止资产损坏和业务活动中断，根据介质所储存的信息的敏感性或重要性进展适当的维护，平安处置，确保因介质不当呵斥信息泄露事故发生。A.10.7.1可挪动介质的管理控制根据Info-Riskmanager风险评价的结果。对可挪动介质包括光盘、磁带、磁盘、盒式磁带和曾经印刷好的报告，各部门能否按其管理权限并根据风险评价的结果对其实施有效的控制？是A.10.7.2介质的处置控制根据Info-Riskmanager风险评价的结果。对于含有敏感信息或重要信息的介质在不需求或再运用时，处置部门能否按照要求采取平安可靠处

23、置的方法将其信息去除？是A.10.7.3信息处置程序控制根据Info-Riskmanager风险评价的结果。为维护敏感信息不会因未经授权处置而呵斥走漏或滥用，本公司能否建立并实施管理制度？是A.10.7.4系统文件的平安控制根据Info-Riskmanager风险评价的结果。本公司能否采取措施，维护系统文件，防止未经授权的访问。各部门对所属的系统文件，无论以何种媒体方式存在，能否按要求予以控制？A.10.8信息和软件交换目的明确信息和软件交换的控制目的，确保在内部及任何外部机构之间所交换的信息和软件的平安。A.10.8.1信息交换方针和程序控制根据Info-Riskmanager风险评价的结果

24、。在与顾客进展数据与软件交换的过程中能否采用以下的平安控制措施：a)签署平安严密协议，明确双方的平安责任与平安交接方式？b)假设有要求，采用加密方式传输数据？c)由授权人员接受并登记？是A.10.8.2交换协议控制根据Info-Riskmanager风险评价的结果。能否建立并坚持相应的方针，以维护被传输的信息和物理介质，并作为制定交换协议的参考？是A.10.8.3物理介质的传送控制根据Info-Riskmanager风险评价的结果。根据Info-Riskmanager风险评价的结果。为防止被传送的介质在传送运输过程中发生丧失、未经授权的访问或毁坏，呵斥信息的泄露、不完好或不可用，担任介质传送的

25、部门能否采用以下方法进展控制：a) 选择适宜的平安传送方式；b) 坚持传送活动记录？是A.10.8.5业务信息系统控制根据Info-Riskmanager风险评价的结果。本公司经过能否用系统进展日常办公、消费运营管理，本公司建立并实施相能否系统的平安运用战略和能否用管理，以维护与业务信息系统互联相关的信息，减少系统呵斥的信息泄露？是A.10.9电子商务效力目的确保电子商务效力的平安，及其平安运用。A.10.9.1电子商务控制本公司无该项业务A.10.9.2在线买卖控制本公司无该项业务A.10.9.3公共信息控制根据Info-Riskmanager风险评价的结果。本公司经过公共可用网站运用电子方

26、式公布的信息，能否按规定进展控制？ 是A.10.10监控目的探测未经授权的信息处置活动。A.10.10.1审核日志控制根据Info-Riskmanager风险评价的结果。软件部能否建立并保管例外事件或其它平安相关事件的审核日志，以便对未来的调查和访问控制监测提供协助 。审核日志普统统过运用系统检测工具按照事先的设置自动生成？是A.10.10.2监控系统的运用控制根据Info-Riskmanager风险评价的结果。监控部门能否按照规定周期对对监控结果进展评审，确保用户只执行被明确授权的活动。发现异常事件能否采取必要的措施并实施？是A.10.10.3日志信息的维护控制根据Info-Riskmana

27、ger风险评价的结果。能否实施控制，防止对日志记录设备的未经授权的更改和出现操作问题？是A.10.10.4管理员和操作员日志控制根据Info-Riskmanager风险评价的结果。管理员和操作员的日志能否该包括：a) 事情胜利或失败发生的时间； b) 事情的有关信息如：操作的文件或缺点信息；c) 涉及哪一个账号以及哪一个管理员或操作员；d) 涉及哪一个过程？是A.10.10.5缺点日志控制根据Info-Riskmanager风险评价的结果。能否规定了用户或系统程序报告的有关信息处置系统的问题如何记录，以及清楚的规定了如何处置报告的缺点？是A.10.10.6时钟同步控制根据Info-Riskma

28、nager风险评价的结果。公司中心路由器能否设置为时钟同步效力器，在网络系统的域控制器与时钟同步效力器进展对时，一切的计算机设备能否必需登陆域？A.11访问控制规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.11.1访问控制的业务要求目的确保信息处置设备的正确和平安运用。A.11.1.1访问控制战略控制根据Info-Riskmanager风险评价的结果。本公司能否基于访问控制战略，明确规定访问控制的业务要求，规定访问控制规那么和每个用户或用户组的访问权益？是A.11.2用户访问管理目的确保授权用户可以访问信息系统，防止对信息系统未经授权的访问。A.11.2.1用户注册控制根据

29、Info-Riskmanager风险评价的结果。能否根据规定的访问控制战略及确定的访问规那么，访问权限管理部门对用户进展书面访问授权？是A.11.2.2特权管理控制根据Info-Riskmanager风险评价的结果。特权分配能否以它们的功能角色的最低要求为据，有些特权在完成特定的义务后能否被收回，确保特权拥有者的特权是任务所需求的且不存在富有的特权？是A.11.2.3用户口令管理控制根据Info-Riskmanager风险评价的结果。各系统管理员能否对被授权访问该系统的用户口令予以分配？是A.11.3用户责任目的明确用户责任,防止对信息和信息处置设备非授权用户的访问、破坏或盗窃。A.11.3.

30、1口令的运用控制根据Info-Riskmanager风险评价的结果。本公司能否在相应的能否用管理中明确规定了口令平安选择与运用要求，一切用户能否严厉遵守？是A.11.3.2无人值守的用户设备控制根据Info-Riskmanager风险评价的结果。本公司能否在和相应的运用管理中规定一切用户维护无人值守设备的平安要求和程序，以及他们在实施此类维护方面的责任？是A.11.3.3清洁桌面和去除屏幕战略控制根据Info-Riskmanager风险评价的结果。本公司能否制定去除桌面、去除屏幕的战略并实施，各部门担任人能否担任监视本部门员工该战略的日常实施情况？是A.11.4网络访问控制目的维护网络效力，防

31、止对网络效力的未授权访问。A.11.4.1网络效力运用战略控制根据Info-Riskmanager风险评价的结果。本公司能否建立并网络效力平安战略，以确保网络效力平安与效力质量？是A.11.4.2外部联接用户的验证控制根据Info-Riskmanager风险评价的结果。外部衔接的用户对本公司内部网络访问，能否用户的访问授权按规定实施授权；能否只需经过授权的用户才可以实施外部衔接？是A.11.4.3网络中设备的鉴别控制根据Info-Riskmanager风险评价的结果。假设通讯仅能从特定的位置和设备发起是重要的，能否可以采用设备鉴别？设备中的标识符或附加的标识符能否可以用来显示该设备能否被允许衔

32、接到网络？假设存在多个网络，尤其是这些网络有不同的敏感程度，那么标识符能否该明确显示设备被允许接入的网络？能否需求思索设备的物理维护，以坚持设备标识符的平安？是A.11.4.4远程诊断和配置端口的维护控制根据Info-Riskmanager风险评价的结果。软件部能否与设备供能否商签署平安协议，口令等平安措施对远程诊断断口的维护，防止被非法运用？是A.11.4.5网络分别控制根据Info-Riskmanager风险评价的结果。能否为确保本公司网络平安，采用物理和逻辑两种方式进展网络隔离？是A.11.4.6网络衔接控制控制根据Info-Riskmanager风险评价的结果。软件部能否根据访问控制战

33、略的要求，来限制用户的衔接才干。例如经过网络网关来控制，网关的平安设置能否与组织的访问控制战略坚持一致？是A.11.4.7网络路由控制控制根据Info-Riskmanager风险评价的结果。软件部能否根据访问控制方针和网络平安要求，采用硬件或软件的手段，基于源地址和目的地址的检查机制，对路由实施控制？是A.11.5操作系统的访问控制目的防止未经授权的计算机访问。A.11.5.1平安登录程序控制根据Info-Riskmanager风险评价的结果。本公司能否经过技术手段提供平安的操作系统系统平安登录程序？为减少非授权访问的时机，能否对信息效力系统访问采用平安登录过程实现？是A.11.5.2用户标识

34、与验证控制根据Info-Riskmanager风险评价的结果。用户能否有独一的识别符，以便他们个人单独运用时，能查出活动的个人责任，用户ID由系统管理员根据授权的规定予以设置；假设多个用户共用一个识别符USER ID能否由访问授权主管部门授权？是A.11.5.3口令管理系统控制根据Info-Riskmanager风险评价的结果。软件部能否加强口令管理，经过技术手段提供有效的、互动的设备以确保口令质量。除非一次口令系统，经过操作系统的强迫措施要求用户定期变卦口令？是A.11.5.4系统适用程序的运用控制根据Info-Riskmanager风险评价的结果。软件部门能否对系统能否用程序的运用进展限制

35、和严厉控制，并规定授权的运用者。是A.11.5.5会话超时控制根据Info-Riskmanager风险评价的结果。各系统管理员在其管理的终端处于不活动时，能否利用锁屏、去除屏幕以防止非授权的访问，但不封锁能否用或网络话路。对于外部访问系统效力器的衔接能否有时限控制？是是A.11.5.6联接时间的限制控制根据风险评价的结果，本条款不适用NAA.11.6能否用程序及信息访问控制目的防止未经授权访问信息系统内的信息。A.11.6.1信息访问限制控制根据Info-Riskmanager风险评价的结果。基于本公司消费运营管理能否用要求并服从访问战略，向运用用户提供访问信息和能否用系统功能?是A.11.6

36、.2敏感系统隔离控制根据Info-Riskmanager风险评价的结果。为确保含有敏感信息的系统不发生泄密事故，能否采取措施对敏感系统予以隔离？是A.11.7挪动式计算和远程任务目的明确控制目的，确保挪动式计算和远程任务设备的信息平安。A.11.7.1挪动计算和通讯控制根据Info-Riskmanager风险评价的结果。本公司能否建立实施运用规定，对笔记本电脑的挪动办公实施有效平安管理？是A.11.7.2远程任务控制根据Info-Riskmanager风险评价的结果。本公司能否建立远程任务平安战略，并对远程任务用户实施授权管理，采取必要的平安措施防止远程任务带来的平安风险？是A.12系统获取、

37、开发和维护规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.12.1信息系统的平安要求目的确保平安性已构成信息系统的一部分。A.12.1.1平安需求分析和规范控制根据Info-Riskmanager风险评价的结果。信息系统建立部门在进展新系统建立或系统更新时，能否对系统进展分析，根据业务功能要求及信息平安要求，明确规定控制要求？系统软件本身的功能及平安特性能否在设计开发输入时能否明确提出，并进展评审？能否用系统建立按照规定执行？是是是A.12.2能否用程序的正确处置目的防止能否用程序中错误的、用户数据丧失、未经授权的修正或滥用。A.12.2.1输入数据的验证控制根据Info-R

38、iskmanager风险评价的结果。系统建立能否明确能否用系统输入数据验证的要求，以确保输入数据正确和恰当？各部门能否用系统的操作人员能否对输入到系统内的数据进展仔细核对，对于关键或重要输入数据的输入能否由相能否的作业流程所规定的人员进展确认？是是A.12.2.2内部处置控制控制根据Info-Riskmanager风险评价的结果。系统建立能否思索系统内部数据确认检查的要求，以查处数据处置过程的错误？是A.12.2.3音讯的完好性控制根据Info-Riskmanager风险评价的结果。系统建立时能否识别音讯的真实性和完好性需求，并识别和实施适当的控制？是A.12.2.4输出数据的验证控制根据In

39、fo-Riskmanager风险评价的结果。系统建立能否思索运用系统输出数据确认的要求，以确保对储存的信息处置的正确和环境相适能否？各部门能否用系统的操作人员能否对能否用系统输出的数据进展仔细核对，对于关键或重要的输出数据能否由相能否的作业流程所规定的人员进展确认？是是A.12.3加密控制目的经过加密方法确保信息的性、完好性和有效性。A.12.3.1运用密码控制战略控制根据Info-Riskmanager风险评价的结果。本公司能否根据及维护本公司数据的要求，制定数据加密战略并实施？能否正确运用加密技术，确保能否用利益最大化，危险最小化，须防止不恰当或不正确的运用？是A.12.3.2密钥管理控制

40、根据Info-Riskmanager风险评价的结果。本公司能否根据所采用的加密技术对密钥产生、平安分发、储存、平安运用等方面进展管理，以支持密码技术的能否用？能否防止密钥的任何损坏或丧失包括泄密都可以导致信息、真实性和/或完好性的损害？是A.12.4系统文件的平安目的控制对系统文件和程序源代码的访问，并确保系统文件的平安。A.12.4.1操作软件的控制控制根据Info-Riskmanager风险评价的结果。规定软件部和系统运用主管部门能否对操作系统软件的版本管理、安装、运用和备份进展严厉控制。规定在新软件安装或软件晋级之前，能否经测试和审批后方可按规定程序进展？是A.12.4.2系统测试数据的

41、维护控制根据Info-Riskmanager风险评价的结果。本公司能否规定不得运用包含个人信息和敏感信息以及运转数据库用于测试？是A.12.4.3对程序源代码的访问控制控制根据Info-Riskmanager风险评价的结果。为降低计算机程序被破坏的能够性，系统建立部门能否按规定的要求对程序源代码实施管理/是A.12.5开发和支持过程的平安目的确保能否用系统软件和信息的平安。A.12.5.1变卦控制程序控制根据Info-Riskmanager风险评价的结果。为使对信息系统的损害降至最小，系统的变卦，在更改前能否进展适当的测试与评审，经开发软件担任人同意后予以实施？操作系统及能否用系统的晋级能否经

42、过系统主管部门测试、评审与同意后方可进展？是是A.12.5.2操作系统变卦后对能否用程序的技术复查控制根据Info-Riskmanager风险评价的结果。当操作系统发生更改时，操作系统更改对运用系统的影响能否由系统主管部门进展评审，确保对作业或平安措施无不利影响？是A.12.5.3软件包的变卦的限制控制根据Info-Riskmanager风险评价的结果。本公司不鼓励修正软件包，假设有必要确需进展更改，更改提出部门能否在实施前进展风险评价，确定必需的控制措施，保管原始软件，并在完全一样的复制软件上进展更改，更改实施前能否得到软件部指点和系统能否用主管部门的授权？是A.12.5.4信息走漏控制根据

43、Info-Riskmanager风险评价的结果。能否对软件的采购、运用、变卦及开发过程进展控制和检查以防止能够的隐藏通道和特洛伊码？是A.12.5.5外包软件开发控制根据Info-Riskmanager风险评价的结果。开发软件正式外包前，设计开发部门能否明确软件开发的平安技术要求，并与软件开发方签署技术协议在协议中明确规定平安技术要求包括开发过程；软件安装运用前，能否进展测试，以防止隐藏通道及特洛伊码的存在？是A.12.6技术薄弱点管理目的降低由曾经公布的薄弱点所带来破坏的风险。A.12.6.1技术薄弱点的控制控制根据Info-Riskmanager风险评价的结果。归口管理部门能否对技术薄弱点

44、能否进展风险评价，进展专项分析，制定风险处置方案，根据风险处置方案采取对能否的技术和管理措施。是A.13信息平安事件管理规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.13.1报告信息平安事情和弱点目的保证与信息系统相关联的信息平安事情和弱点的沟通，沟通的方式能否允许采取及时纠正措施。A.13.1.1报告信息平安事情控制根据Info-Riskmanager风险评价的结果。平安事情、事故一经发生，事情、事故发现者、事情、事故责任者能否立刻向主管部门报告，主管部门和责任部门能否及时对事情、事故进展反能否处置。一切员工有报告平安事情、事故的义务？是A.13.1.2报告平安弱点控制根

45、据Info-Riskmanager风险评价的结果。各部门及全体员工能否按照要求及时识别平安薄弱点及能够的平安要挟，一旦发现能否及时向有关人员或部门报告并记录，主管部门或平安管理担任人能否采取有效的预防措施，防止要挟的发生?是A.13.2信息平安事件和改良的管理目的保证能否用于信息平安事件管理的方法的一致和有效。A.13.2.1责任和程序控制根据Info-Riskmanager风险评价的结果。事故主管部门接到报告以后，能否立刻进展迅速、有效和有序的反响?是A.13.2.2从事故中汲取教训控制根据Info-Riskmanager风险评价的结果。事故发生后，主管部门能否对事故发生的缘由、类型、损失进

46、展鉴定，并提出防止此类事故再次发生的措施或建议，构成事故调查分析及处置报告，责成责任部门实施纠正措施？是A.13.2.3证据的搜集控制根据Info-Riskmanager风险评价的结果。人事行政部能否担任发生法律纠纷与诉讼的证据搜集，并确保证据搜集能否符合以下要求：a) 所呈证据能否符合国家有关的证据法规；b) 符合用于提供可接受证据的任何已发布的规范或法规；c) 对已搜集到的证据进展平安的保管，防止未经授权的更改或破坏；d) 搜集到的证据符合法庭所要求的方式。A.14业务继续性管理规范条款号标 题目的/控制控 制 理 由控 制 要 求审核发现A.14.1业务继续性管理的内容目的抵消业务活动遭

47、到干扰的影响，并防止关键业务处置受大的信息系统缺点或者灾难的影响，确保可以及时恢复根本运转。A.14.1.1业务继续性管理过程中包含的信息平安控制根据Info-Riskmanager风险评价的结果。公司能否建立并实施管理程序，在发生灾难或平安缺点时，实施继续性管理方案，确保关键业务及时得到恢复？是A.14.1.2业务继续性和风险分析控制根据Info-Riskmanager风险评价的结果。为到达公司业务的继续性目的，软件部能否组织有关部门在适当的风险评价的根底上，进展灾难及系统中断影响分析，识别出呵斥关键业务中断的主要事件及其影响？是A.14.1.3编制并实施包含信息平安在内的继续性业务方案控制根据Info-Riskmanage