2-ISO270012022版内审检查表

审核条款,,,各部门审核情况一览,,,,,,,,

编号,ISO27001章节,审核指南,管理层,管理运营部,智慧城市事业部,财务资产部,人力资源部,采购保障部,安全质量部,审核详情,备注

4,组织的背景,,,,,,,,,,

4,组织的背景,,,,,,,,,符合,

4.1,了解组织现状及背景,1、体系文件中对公司的概况是否有介绍。,YES,NA,NA,NA,NA,NA,NA,符合,

4.2,理解相关方的需求和期望,2、有没有明确的体系范围和边界?,YES,NA,NA,NA,NA,NA,NA,符合,

4.3,确定信息安全管理体系的范围,3、手册中对客户的要求是否有识别?,YES,NA,NA,NA,NA,NA,NA,符合,

4.4,ISMS,4、完整的体系文件?,YES,NA,NA,NA,NA,NA,NA,符合,

5,领导力,,,,,,,,,,

5.1,领导力和承诺,1、管理者对ISMS做出哪些承诺?,YES,NA,NA,NA,NA,NA,NA,符合,

,,2、管理者为ISMS提供哪些资源?,,,,,,,,,

5.2,方针,3、管理者对ISMS的重要性是否给予传达。,YES,NA,NA,NA,NA,NA,NA,符合,

5.3,组织角色、职责和承诺,4、颁布令和授权令,YES,NA,NA,NA,NA,NA,NA,符合,

6,规划,,,,,,,,,,

6.1,应对风险和机会的措施,,,,,,,,,,

6.1.1,总则,1、ISMS建立时间?,YES,NA,NA,NA,NA,NA,NA,符合,

,,2、方针目标?,,,,,,,,,

,,3、风险评估?,,,,,,,,,

6.1.2,信息安全风险评估,4、适用性条款?,YES,NA,NA,NA,NA,NA,NA,符合,

,,5、风险处置计划?,,,,,,,,,

,信息安全风险处置,,,,,,,,,符合,

6.1.3,,,YES,NA,NA,NA,NA,NA,NA,,

6.2,信息安全目标和规划实现,1、信息安全方针包含信息安全目标或设置信息安全目标提供框架?,YES,NA,NA,NA,NA,NA,NA,符合,

6.3,变更的策划,,YES,NA,NA,NA,NA,NA,NA,符合,

7,支持,,,,,,,,,,

7.1,资源,提供了体系建立需要的资源,YES,NA,NA,NA,NA,NA,NA,符合,

7.2,能力,对体系内的工作者有能力的评价,NA,NA,NA,NA,YES,NA,NA,符合,

7.3,意识,对体系内的工作者有安全意识的培训,NA,NA,NA,NA,YES,NA,NA,符合,

7.4,沟通,是否有相应的沟通管理程序,NA,NA,NA,NA,YES,NA,NA,符合,

7.5,文件记录信息,,,,,,,,,,

7.5.1,总则,体系所需要的文件和记录完整,NA,YES,NA,NA,NA,NA,NA,符合,

7.5.2,创建和更新,1、组织是否编制了文件控制规程?,NA,YES,NA,NA,NA,NA,NA,符合,

7.5.3,文件记录信息的控制,2、组织是否遵循文件控制规程?,NA,YES,NA,NA,NA,NA,NA,符合,

8,运行,,,,,,,,,,

8.1,运行的规划和控制,管理者是否确保在其职责范围内的所有安全程序都能得到正确执行?,NA,YES,YES,YES,YES,YES,NA,符合,

8.2,信息安全风险评估,1、体系文件有运行中风险评估的触发条件及固,NA,YES,YES,YES,YES,YES,NA,符合,

8.3,信息安全风险处置,定周期,NA,YES,YES,YES,YES,YES,NA,符合,

9,绩效评价,2、实施风险处置计划?,,,,,,,,,

9.1,监视、测量、分析和评价,1、通过哪些方式监控体系运行，持续改进ISMS有效性?,NA,YES,NA,NA,NA,NA,NA,符合,

9.2,内部审核,1、体系中对内审有明确要求,NA,YES,NA,NA,NA,NA,NA,符合,

9.3,管理评审,1、体系中对管理评审有明确要求,YES,NA,NA,NA,NA,NA,NA,符合,

10,改进,,,,,,,,,,

10.1,不符合和纠正措施,1、是否有纠正措施控制程序?,NA,YES,NA,NA,NA,NA,NA,符合,

10.2,持续改进,1、是否有对持续改进的时间及跟踪要求?,NA,YES,YES,YES,YES,YES,YES,符合,

A.5,组织控制,,,,,,,,,,

A.5.1,信息安全的策略集,信息安全方针文件是否由管理者批准、发布?,YES,NA,NA,NA,NA,NA,NA,符合,

A.5.2,信息安全角色和职责,信息安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调?,YES,NA,NA,NA,NA,NA,NA,符合,

A.5.3,职责分离,所有信息安全职责是否有清晰的定义,YES,NA,NA,NA,NA,NA,NA,符合,

,,管理者是否要求雇员、承包方人员和第三方人员，按照该组织已建立的方针和程序负起安全责任?,,,,,,,,,

A.5.4,管理者职责,,YES,NA,NA,NA,NA,NA,NA,符合,

A.5.5,与职能机构的联系,组织是否保持与政府相关部门的适当的联系?,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.6,与特定相关方的联系,组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系?,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.7,威胁情报,,NA,NA,YES,NA,NA,NA,NA,符合,

,,"组织是否对其管理信息安全的方法与实践(及信息安全控制目标与控制措施、方针、过程和程序),按既定的时间间隔(或当安全实施发",,,,,,,,,

,,生重大变化时)进行独立评审?,,,,,,,,,

A.5.8,项目管理中的信息安全,,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否所有重要资产都进行了登记，建立了清单文件并加以维护?,,,,,,,,,

,,与信息处理设施有关的所有信息和资产，是否由指定的部门或者人员承担责任?,,,,,,,,,

A.5.9,信息和其它相关资产清单,,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.10,信息和其他相关资产的可接受使用,与信息处理设施有关的信息和资产的可接受使用规则，是否确定形成了文件并加以实施?,NA,YES,NA,NA,NA,NA,NA,符合,

,,所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，是否归还他们使用的所有组织资产?,,,,,,,,,

A.5.11,资产归还,,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.12,信息的分级,信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类?,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.13,信息的标记,是否按照所采纳的分类机制建立和实施一组合适的信息标记规程?,,YES,,,,,NA,符合,

,,,NA,,NA,NA,NA,NA,,,

,,为了保护通过使用各种类型的通信设施的信息交换，是否有正式的交换策略、规程和控制措施?,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

A.5.14,,在组织和外部之间进行信息/软件交换时，是否有交换协议?,NA,NA,YES,NA,NA,NA,NA,符合,

,信息传输,包含在电子消息发送中的信息是否给予适当的保护?,,,YES,,,,,符合,

,,,NA,NA,,NA,NA,NA,NA,,

,,访问控制策略是否建立并形成文件?,NA,NA,YES,NA,NA,NA,NA,符合,

,访问控制,是否基于业务和访问的安全要求进行评审?,,,,,,,,,

A.5.15,,是否对网络进行分区域管理?或用户是否仅能访问已获专门授权使用的服务?,,,YES,,,,,符合,

,,,NA,NA,,NA,NA,NA,NA,,

,,是否有正式的用户注册与注销程序，授权和撤销对所有信息系统和服务的访问?(对系统有访问权限的员工或签约员工进行抽样检查),,,,,,,,,

A.5.16,身份管理,,NA,NA,YES,NA,NA,NA,NA,符合,

,,安全鉴别信息，如口令的分配是否有一个正式的管理过程进行控制?,NA,NA,YES,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

,,是否要求用户在选择和使用安全鉴别信息时，如口令，遵循良好的安全习惯?,,,,,,,,符合,

A.5.17,身份验证信息,,NA,NA,YES,NA,NA,NA,NA,,

,,口令管理系统是否交互式的并能够确保优质的口令?(推荐系统测试用户的口令管理),NA,NA,YES,NA,NA,NA,NA,符合,

,,无论什么类型的用户，在对其分配或撤销所有系统和服务的权限时，是否有一个正式的用户访问开通流程?,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

,,资产所有者应定期对用户的访问权进行复查?,NA,NA,YES,NA,NA,NA,NA,符合,

A.5.18,访问权限,所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权，是否在任用、合同或协议终止时，删除，或在变化时调整?,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

A.5.19,供应商关系中的信息安全,是否与供应商协商并记录信息安全的要求，以减少供应商访问信息资产带来的风险?,NA,NA,NA,YES,NA,NA,NA,符合,

A.5.20,在供应商协议中的强调信息安全,是否与供应商建立并协商所有信息安全相关要求，并实施?,,,,YES,,,,符合,

,,,NA,NA,NA,,NA,NA,NA,,

A.5.21,ICT供应链的信息安全管理,供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险?,NA,NA,NA,YES,NA,NA,NA,符合,

,,对供应商提供的服务、报告和记录，是否定期的进行监视、评审和审核?,NA,NA,NA,YES,NA,NA,NA,符合,

,,,,,,,,,,,,

,,,,,,,,,,,,

A.5.22,供应商服务的监控、审查和变更管理,是否管理服务提供的变更(包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的再评估)?,,,,,,,,,

,,,,,,,,,,,,

,,,NA,NA,NA,YES,NA,NA,NA,符合,

A.5.23,使用云服务的信息安全,公司是否使用云服务?是否与服务商签订有服务协议,,YES,,,,NA,,符合,

,,,NA,,NA,NA,NA,,NA,,

A.5.24,信息安全事件管理策划和准备,是否建立了对安全事件做出快速、有效和有序反应的职责和程序?,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.25,信息安全事态的评估与决策,是否对信息安全事态进行评估，以决定他们是否被归类为信息安全事件?,,YES,,,,,,符合,

,,,NA,,NA,NA,NA,NA,NA,,

,信息安全事件响应,对于信息安全事件是否按照已建立的职责和规程，快速、有效、有序的响应?,NA,YES,,,,,,符合,

A.5.26,,,,,NA,NA,NA,NA,NA,,

,从信息安全事件中学习,是否有一套能够量化和监视信息安全事件的类型、数量和代价的机制?,,YES,,,NA,NA,,符合,

A.5.27,,,NA,,NA,NA,,,NA,,

,,"当信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或者组织进行起诉时，",,,,,,,,,

,证据收集,是否收集、保留和呈递证据，这些证据要符合相关管辖区域对证据的要求?,,,,,,,,符合,

A.5.28,,,NA,YES,NA,NA,NA,NA,NA,,

,,为了解决组织的业务持续性所需的信息安全要求，组织是否开发和维持一个用于整个组织的业务持续性管理过程?和计划?,,,,,,,,,

A.5.29,中断期间的信息安全,,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否按照程序和控制的要求，实施了信息安全连续性管理过程和计划?,,,YES,,,,,符合,

,,,NA,NA,,NA,NA,NA,NA,,

,ICT为业务连续性做好准备,,,,,,,,,,

A.5.30,,连续性计划是否进行定期验证、评审和更新，以确保其有效性?(可查看是否有演练和测试,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

,,对每一个信息系统和组织，适用的所有相关法律法规和合同要求，以及为满足这些要求组织所采用的方法，都明确地进行了定义，形成了文件并保持更新?,,,,,,,,,

,,,,,,,,,,,,

,,,NA,YES,NA,NA,NA,NA,NA,符合,

A.5.31,法律、法规、监管和合同要求,使用密码控制措施时，是否遵从相关的协议和法律法规?,,YES,,,,,,符合,

,,,NA,,NA,NA,NA,NA,NA,,

,,在使用具有知识产权的材料和具有所有权的软件产品时，为了符合法律、法规和合同要求，组织是否实施了适当的规程?,,,,,,,,,

A.5.32,知识产权,,NA,YES,NA,NA,NA,NA,NA,符合,

,记录的保护,为了满足法律、法规、合同和业务要求，是否防止重要的记录遗失、毁坏和伪造?,,,,,,,,符合,

A.5.33,,,NA,YES,NA,NA,NA,NA,NA,,

A.5.34,隐私和个人可识别信息保护,是否有依照相关的法律法规要求和合同要求，确保数据保护和隐私?,,YES,,,,,,符合,

,,,NA,,NA,NA,NA,NA,NA,,

A.5.35,信息安全独立审核,是否有独立评审的规程并实施?,NA,YES,NA,NA,NA,NA,NA,符合,

,信息安全策略、规程和标准合规,管理者是否确保在其职责范围内的所有安全程序都能得到正确执行?,,,,,,,,符合,

A.5.36,,,YES,NA,NA,NA,NA,NA,NA,,

,文件化的操作规程,操作程序是否形成了文件、加以保持并可为所有需要的用户使用?,,,,,,,,符合,

A.5.37,,,NA,YES,NA,NA,NA,NA,NA,,

,,对所有任用的候选者、承包方人员和第三方人员，是否按照相关法律法规、道德规范、业务要求、被访问的信息类别和已察觉的风险，进行背景调查和验证?,,,,,,,,,

A.6.1,审查,,,,,,,,,符合,

,,,NA,NA,NA,NA,YES,NA,NA,,

,,雇员、承包方人员和第三方人员是否签署了任用合同的条款和条件(这些条款和条件应声明他们和组织的信息安全职责),,,,,,,,,

A.6.2,任用条款及条件,,NA,NA,NA,NA,YES,NA,NA,符合,

,,"组织的所有雇员，(适当时，也要包括承包方人员和第三方人员),是否受到与其工作职能",,,,,,,,,

,,相关的适当的意识培训和方针策略以及规程的定期更新培训,,,,,,,,,

A.6.3,信息安全意识、教育和培训,,NA,NA,NA,NA,YES,NA,NA,符合,

A.6.4,违规处理过程,对于安全违规的雇员，是否有一个正式的纪律处理过程?,NA,NA,NA,NA,YES,NA,NA,符合,

A.6.5,任用终止或变更的责任,任用终止或任用变更的职责是否清晰地做出了定义和分配?,NA,NA,NA,NA,YES,NA,NA,符合,

A.6.6,保密或不泄露协议,保密协议是否得到识别和定期评审?(查看保密协议),NA,,,,YES,,NA,符合,

,,,,NA,NA,NA,,NA,,,

A.6.7,远程工作,组织是否开发和实施有关控制远程工作活动的策略、操作计划和规程?,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否有适当的途径报告信息安全事态?,NA,YES,NA,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

A.6.8,报告信息安全事态,是否要求信息系统和服务的所有员工、合同方和第三方用户都需要报告他们观察到的或怀疑的系统或服务中的任何安全弱点?,,,,,,,,,

,,,NA,YES,NA,NA,NA,NA,NA,符合,

A.7,物理控制,,,,,,,,,,

,,是否有用于保护包含信息和信息处理设施的区域的安全周边(如墙、门禁卡或受管理的接待台等屏障)?,,,,,,,,,

A.7.1,物理安全边界,,NA,YES,NA,NA,NA,NA,NA,符合,

,,为了确保只有已被授权人员才允许访问，安全区域是否通过合适的入口控制措施加以保护?(现场检查访问记录，并可能测试用户进入安全区域的符合性。),,,,,,,,,

,,,,,,,,,,,,

A.7.2,物理入口,,NA,YES,NA,NA,NA,NA,NA,符合,

,,是否为办公室、房间和设施设计并采取物理安全措施?(现场检查办公室、房间和设施的保,,,,,,,,,

A.7.3,办公室、房间和设施的安全,护情况),NA,YES,NA,NA,NA,NA,NA,符合,

,物理安全监控,公司入口和重要区域是否安装有监控系统?监控信息的获取是否设置管理权限,,,,,,,,符合,

A.7.4,,,NA,YES,NA,NA,NA,NA,NA,,

,,对由火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的损害，是否设计与采取了物理保护措施?(现场检查针对外部威胁和环境威胁的安全防护情况),,,,,,,,,

A.7.5,,,,,,,,,,,

,外部和环境威胁的安全防护,,NA,YES,NA,NA,NA,NA,NA,符合,

A.7.6,在安全区域工作,是否设计和应用了用于安全区域工作的物理保护和指南?(现场检查安全区域的保护状况),NA,YES,NA,NA,NA,NA,NA,符合,

,,是否采取清空桌面文件，可移动存储介质的策略和清空信息处理设施屏幕的策略?(现场检,,,,,,,,,

A.7.7,清理桌面和屏幕,查用户的清空桌面和屏幕设置),NA,YES,NA,NA,NA,NA,NA,符合,

,,设备的安置或保护，是否在可减少由环境威胁和危险所造成的各种风险以及未授权访问的机会?(现场检查设备的安置和保护情况，并可,,,,,,,,,

,,能需要系统测试保护措施是否适当),,,,,,,,,

A.7.8,设备选址和保护,,NA,NA,YES,NA,NA,NA,NA,符合,

,,对于组织场所的设备，是否考虑了工作在组织场所以外的不同风险，而采取安全措施?(可,,,,,,,,,

,,能测试组织场所外的设备安全状况，如移动设备的加密),,,,,,,,,

A.7.9,组织场所外的资产安全,,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否有适当的可移动介质的管理程序?,NA,YES,NA,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

,,,,,,,,,,,,

,存储介质,对于不再需要的介质，是否使用正式的程序可靠并安全地处置?,NA,YES,NA,,,,,符合,

A.7.10,,,,,,NA,NA,NA,NA,,

,,当包含信息的介质在组织的物理边界以外运送时，是否有防范未授权的访问、不当使用或毁坏的措施?,,,,,,,,,

,,,NA,YES,NA,NA,NA,NA,NA,符合,

,,对于支持性设施的失效而引起的电源故障和其它中断，设备是否能够免于受到影响?(现场,,,,,,,,,

A.7.11,支持性设施,检查并可能需要测试支持性设施的保护措施),NA,NA,YES,NA,NA,NA,NA,符合,

,,是否可以保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或者损坏?(现场检,,,,,,,,,

A.7.12,布缆安全,查供电和通信电缆的布线状况),NA,NA,YES,NA,NA,NA,NA,符合,

,设备维护,为了确保设备持续的可用性和完整性，对设备是否予以正确的维护?,,,YES,,,,,符合,

A.7.13,,,NA,NA,,NA,NA,NA,NA,,

,,为了确保在处置之前，任何敏感信息和注册软件已经被删除或安全地写覆盖，是否对包含储存介质的设备的所有项目进行核查?(现场检,,,,,,,,,

,,查并可能测试设备处置或重用情况),,,,,,,,,

A.7.14,设备的安全处置或再利用,,NA,NA,YES,NA,NA,NA,NA,符合,

A.8,技术控制,,,,,,,,,,

,,是否有正式的策略并且采用适当的安全措施，以防止使用移动计算和通信设施时所造成的风险?,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.1,用户终端设备,,,,,,,,,,

,,用户是否确保无人值守的用户设备由适当的保护?,,,YES,,,,,符合,

,,,NA,NA,,NA,NA,NA,NA,,

A.8.2,特许访问权,是否限制和控制特殊权限的分配及使用?,NA,NA,YES,NA,NA,NA,NA,符合,

,信息访问限制,用户对信息和应用系统功能的访问，是否依照已确定的访问控制策略进行限制?,,,YES,,,,,符合,

A.8.3,,,NA,NA,,NA,NA,NA,NA,,

A.8.4,源代码的访问,是否限制访问程序源代码?,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.5,安全的身份验证,访问操作系统是否通过安全登录规程加以控制,NA,NA,YES,NA,NA,NA,NA,符合,

,,为了确保所需要的系统性能，是否对资源的使用进行监视和调整，并对未来的容量需求做出规划?(可能需要测试系统性能和资源容量),,,,,,,,,

A.8.6,容量管理,,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否有对恶意代码的控制措施(包括恶意代码的监测、预防和恢复)?是否有适当的提高用户安全意识的规程?,,,,,,,,,

A.8.7,恶意软件防范,,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否及时了解和获得有关现有信息系统的技术脆弱性信息?对信息系统的技术脆弱性是否进行评价，并采取处理相关的风险的适当措施?,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

A.8.8,技术脆弱性管理,是否进行技术符合性评审，以确保信息系统是符合信息安全政策和标准的?(可检查是否有渗透测试、脆弱性评估),,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.9,配置管理,公司是否建立配置数据库?是否定期对配置项进行检查?,,,YES,,,,,符合,

,,,NA,NA,,NA,NA,NA,NA,,

A.8.10,信息删除,公司是否制定有数据删除手段?对不需要的敏感数据删除时是否有删除记录?,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.11,数据屏蔽,公司使用那些数据屏蔽的技术?,NA,NA,YES,NA,NA,NA,NA,符合,

,数据泄露防护,公司制定有什么策略防止数据处理、存储或传输敏感信息?公司的防泄漏工具有哪些?,,,YES,,,,,符合,

A.8.12,,,NA,NA,,NA,NA,NA,NA,,

,,是否按照已设的备份策略，定期备份和测试信息和软件?(推荐测试信息备份和恢复过程，,,,,,,,,,

A.8.13,信息备份,如尝试一次恢复操作),NA,NA,YES,NA,NA,NA,NA,符合,

A.8.14,信息处理设施的冗余,信息处理设施是否有足够的冗余，以确保可用性的要求?,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否对用户活动、异常情况、故障和信息安全事态的审计日志进行记录?并定期对事件日志进行评审?,,,,,,,,,

,,,NA,NA,YES,NA,NA,NA,NA,符合,

,,,,,,,,,,,,

,,为了防止篡改和未授权的访问，记录日志的设施和日志信息是否加以保护?,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.15,记录日志,系统管理员和系统操作员的活动是否写入日志中?,NA,NA,,NA,NA,NA,NA,符合,

,,,,,YES,,,,,,

,,公司是否对网络、系统和应用程序等异常行为进行监控?是否定期监控记录进行评审?监控,,,,,,,,,

A.8.16,监控活动,工具清单?资源的使用情况?是否建立了系统正常行为的基线?,,,,,,,,符合,

,,,NA,NA,YES,NA,NA,NA,NA,,

,时钟同步,公司或安全域内的所有相关信息处理设施的时钟，是否使用已设的精确时间源进行同步?,NA,,YES,NA,NA,,,符合,

A.8.17,,,,NA,,,,NA,NA,,

A.8.18,特权实用程序的使用,对于可能超越系统和应用程序控制措施的实用工具的使用，是否加以限制并严格控制?,NA,NA,YES,NA,NA,NA,NA,符合,

,,在运行系统上安装软件方面，是否有程序或控制措施?,,,YES,,NA,NA,,符合,

A.8.19,在操作系统上安装软件,,NA,NA,,NA,,,NA,,

,,用户安装软件是否有规程进行控制?,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.20,网络安全,为了防止威胁的发生，维护使用网络的系统和应用程序的安全?,NA,NA,YES,NA,NA,NA,NA,符合,

,,是否有网络服务协议，网络服务协议是否包括安全特性、服务级别以及所有网络服务的管理要求?,,,,,,,,,

A.8.21,网络服务的安全,,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.22,网络隔离,是否在网络上对信息服务、用户和信息系统进行隔离控制?,NA,NA,YES,NA,NA,NA,NA,符合,

,网页过滤,是否设置有网页过滤策略?是否进行了黑白名单设置?,,,YES,,,,,符合,

A.8.23,,,NA,NA,,NA,NA,NA,NA,,

,,是否开发和实施使用密码控制措施来保护信息的策略?,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.24,加密技术的使用,是否有密钥管理以支持组织使用密码技术?,NA,NA,YES,NA,NA,NA,NA,符合,

A.8.25,安全开发生命周期,是否有建立软件或系统的开发规则?,NA,NA,YES,NA,NA,NA,NA,符合,

,,为了防止欺诈活动、合同争议以及未授权的泄漏和修改，包含在公共网络的应用服务信息，是否受到保护?,,,,,,,,,

,,,NA,NA,YES,NA,NA