信息安全管理體系審核檢查表

信息安全管理體系審核指南標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件強(qiáng)制性ISMS文件說明(1)ISMS方針文件，包括ISMS的范圍根據(jù)標(biāo)準(zhǔn)“4.3.1”(2)風(fēng)險(xiǎn)評估程序根據(jù)“4.3.1”d)和e)的要求,要有形成文件的“風(fēng)險(xiǎn)評估方法的描述”和“風(fēng)險(xiǎn)評估報(bào)告”。為了減少文件量，可創(chuàng)建一個(gè)《風(fēng)險(xiǎn)評估程序》。該程序文件應(yīng)包括“(3)風(fēng)險(xiǎn)處理程序根據(jù)標(biāo)準(zhǔn)“4.3.1”f)的要求,要有形成文件的“風(fēng)險(xiǎn)處理計(jì)劃”。因此，可創(chuàng)建一個(gè)《風(fēng)險(xiǎn)處理程序》。(4)文件控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。(5)記錄控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.3記錄控制”的要求，要有形成文件的“記錄控制程序”(6)內(nèi)部審核程序根據(jù)標(biāo)準(zhǔn)的“6內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7)糾正措施與預(yù)防措施程序根據(jù)標(biāo)準(zhǔn)的“8.2糾正措施”的要求，要有形成文件的“糾正措施程序”。根據(jù)“8.3預(yù)防措施”的要求，要有形成文件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序”通?？梢院喜⒊梢粋€(gè)文件。(8)控制措施有效性的測量程序根據(jù)標(biāo)準(zhǔn)的“4.3.1g)”的要求，要有形成文件的“(9)管理評審程序“管理評審”過程不一定要形成文件，但最好形成“管理評審程序”文件，以方便實(shí)際工作。(9)適用性聲明根據(jù)標(biāo)準(zhǔn)的“4.3.1i)”的要求,要有形成文件的審核重點(diǎn)第二階段審核：檢查受審核組織如何評估信息安全風(fēng)險(xiǎn)和如何設(shè)計(jì)其ISMS，包括如何：定義風(fēng)險(xiǎn)評估方法(參見4.2.1識別安全風(fēng)險(xiǎn)(參見4.2.1d))分析和評價(jià)安全風(fēng)險(xiǎn)(參見4.2.1e)識別和評價(jià)風(fēng)險(xiǎn)處理選擇措施(參見的4.2.1選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施(參見4.2.1確保管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)(參見4.2.1h)確保在ISMS實(shí)施和運(yùn)行之前，獲得管理者授權(quán)(參見的4.2.1i))準(zhǔn)備適用性聲明(參見4.2.1j)檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測量、報(bào)告和評審(包括抽樣檢查關(guān)鍵的過程是否到位)，至少包括：ISMS監(jiān)視與評審(依照4.2.3監(jiān)視與評審ISMS”控制措施有效性的測量(依照4.3內(nèi)部ISMS審核(依照第6章“內(nèi)部ISMS審核”)管理評審(依照第7章“ISMS的管理評審”)ISMS改進(jìn)(依照第8章“ISMS改進(jìn)”)。檢查管理者如何執(zhí)行管理評審(包括抽樣檢查關(guān)鍵的過程是否到位)，依照條款包括：4.2.3監(jiān)視與第7章“ISMS的管理評審”。檢查管理者如何履行信息安全的職責(zé)(包括抽樣檢查關(guān)鍵的過程是否到位)，依照條款包括：4.2.3監(jiān)視與5管理職責(zé)7ISMS的管理評審檢查安全方針、風(fēng)險(xiǎn)評估結(jié)果、控制目標(biāo)與控制措施、各種活動和職責(zé)，相互之間有如何連帶關(guān)系(也參見本文第8章“過程要求的符合性審核”)。監(jiān)督審核：上次審核發(fā)現(xiàn)的糾正/預(yù)防措施分析與執(zhí)行情況；內(nèi)審與管理評審的實(shí)施情況；管理體系的變更情況；信息資產(chǎn)的變更與相應(yīng)的風(fēng)險(xiǎn)評估和處理情況；信息安全事故的處理和記錄等。再認(rèn)證審核：檢驗(yàn)組織的ISMS是否持續(xù)地全面地符合ISO/IEC27001:2005的要求。評審在這個(gè)認(rèn)證周期中ISMS的實(shí)施與繼續(xù)維護(hù)的情況，包括：檢查ISMS是否按照ISO/IEC27001:2005的要求加以實(shí)施、維護(hù)和改進(jìn)；評審ISMS文件和定期審核(包括內(nèi)部審核和監(jiān)督審核)的結(jié)果；檢查ISMS如何應(yīng)對組織的業(yè)務(wù)與運(yùn)行的變化；檢驗(yàn)管理者對維護(hù)ISMS有效性的承諾情況。4信息安全管理體系4.1總要求4.2建立和管理ISMS4.2.1建立ISMS 標(biāo)準(zhǔn)的要求審核內(nèi)容審核記錄注釋與指南a)組織要定義ISMS的范圍組織是否有一個(gè)定義ISMS范圍的過程？對“定義ISMS的范圍”要求的符合性審核，要確保ISMS的定義不僅要包括范圍，也要包括邊界。對任何范圍的刪減，必須有詳細(xì)說明和正當(dāng)性理由。是否有對任何范圍的刪減？b)組織要定義ISMS方針組織是否有一個(gè)ISMS方針文件？要求明確規(guī)定ISMS方針的5個(gè)基本點(diǎn)，即ISMS方針要：1)包括信息安全的目標(biāo)框架、信息安全工作的總方向和原則；2)考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3)與組織開發(fā)與維護(hù)ISMS的戰(zhàn)略性風(fēng)險(xiǎn)管理，結(jié)合一起或保持一致；4)建立風(fēng)險(xiǎn)評價(jià)準(zhǔn)則；5)獲得管理者批準(zhǔn)。在對這個(gè)要求的符合性審核時(shí)，要確保組織的ISMS方針滿足上述5個(gè)要求。還要注意到ISMS方針與信息安全方針的關(guān)系。組織的ISMS方針文件是否滿足ISO/IEC27001:2005規(guī)定的5個(gè)基本點(diǎn)(見注釋與指南欄)？c)組織要定義風(fēng)險(xiǎn)評估方法組織是否有一個(gè)定義風(fēng)險(xiǎn)評估方法的文件？要求明確規(guī)定，“定義組織的風(fēng)險(xiǎn)評估方法”的工作(活動)要包括：1)確定風(fēng)險(xiǎn)評估方法，而這個(gè)評估方法要適合組織的ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求；2)制定接受風(fēng)險(xiǎn)的準(zhǔn)則，確定可接受的風(fēng)險(xiǎn)級別。在對要求的符合性審核時(shí)，要確保上述2個(gè)要求得到滿足。組織的風(fēng)險(xiǎn)評估方法是否適合ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求？接受風(fēng)險(xiǎn)的準(zhǔn)則是否已經(jīng)確定？并根據(jù)此準(zhǔn)則，確定了可接受的風(fēng)險(xiǎn)級別？d)組織要識別安全風(fēng)險(xiǎn)組織是否有一個(gè)識別安全風(fēng)險(xiǎn)的過程？“識別安全風(fēng)險(xiǎn)”是一個(gè)過程(活動)。而這個(gè)過程要包括：1)識別組織ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；2)識別資產(chǎn)所面臨的威脅；3)識別可能被威脅利用的脆弱點(diǎn)；4)識別資產(chǎn)保密性、完整性和可用性的喪失造成的影響。在對要求的符合性審核時(shí)，要確?！白R別安全風(fēng)險(xiǎn)”要包括上述工作(活動)。識別安全風(fēng)險(xiǎn)的過程是否符合規(guī)定(參見“注釋與指南”欄)？e)組織要分析和評價(jià)安全風(fēng)險(xiǎn)組織是否有一個(gè)用于評估安全風(fēng)險(xiǎn)的過程？要求明確規(guī)定，“分析和評價(jià)安全風(fēng)險(xiǎn)”過程(活動)要包括：評估安全破壞(包括資產(chǎn)的保密性、完整性，或可用性的喪失的后果)可能產(chǎn)生的對組織的業(yè)務(wù)影響；評估由主要威脅和脆弱點(diǎn)導(dǎo)致的安全破壞的現(xiàn)實(shí)可能性、對資產(chǎn)的影響和當(dāng)前所實(shí)施的控制措施；估算風(fēng)險(xiǎn)的級別；確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用本組織的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理?！胺治龊驮u價(jià)安全風(fēng)險(xiǎn)”的結(jié)果應(yīng)產(chǎn)生一個(gè)“風(fēng)險(xiǎn)評估報(bào)告”。在對要求的符合性審核時(shí)，要確保滿足上述要求。是否評估了安全破壞可能產(chǎn)生對組織的業(yè)務(wù)影響？這個(gè)安全風(fēng)險(xiǎn)評估過程是否符合規(guī)定(參見“注釋與指南欄”)？f)組織要識別和評價(jià)風(fēng)險(xiǎn)處理選擇措施組織是否有一個(gè)用于識別和評價(jià)風(fēng)險(xiǎn)處理選擇措施的過程？要求明確規(guī)定，可選擇的措施包括：采用適當(dāng)?shù)目刂拼胧?；接受風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)；轉(zhuǎn)移風(fēng)險(xiǎn)。在對要求的審核時(shí)，要確保組織有一個(gè)“識別和評價(jià)風(fēng)險(xiǎn)處理選擇措施”的過程，并考慮了上述4種可能的選擇。這個(gè)過程是否慮了4種可能的選擇(參見“注釋與指南欄”)？g)組織要選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施組織是否有一個(gè)用于選擇ISO/IEC27001:2005附錄A的風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施的過程？“選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施”過程又包含3個(gè)具體要求：控制目標(biāo)和控制措施要進(jìn)行選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程中所識別的安全要求；控制目標(biāo)和控制措施的選擇要考慮接受風(fēng)險(xiǎn)的準(zhǔn)則，以及法律法規(guī)要求和合同要求；附錄A中的控制目標(biāo)和控制措施要加以選擇，作為此“選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施”過程的一部分，以滿足已識別的安全需求。在對要求的審核時(shí)，要與本書第9章“控制目標(biāo)和控制措施的審核”結(jié)合一起進(jìn)行。最重要的是要確保所選擇的控制目標(biāo)和控制措施：符合風(fēng)險(xiǎn)評估與處理過程中已經(jīng)識別安全要求；符合接受風(fēng)險(xiǎn)準(zhǔn)則的要求，以及法律法規(guī)的要求和合同的要求；如果附錄A中的控制目標(biāo)和控制措施適用于已識別的安全要求，要加以選擇，不要錯(cuò)漏?？蓞⒁姳緯?章“控制目標(biāo)和控制措施的審核”。這個(gè)過程是否確保所選擇的控制目標(biāo)和控制措施滿足相關(guān)要求(參見“注釋與指南”欄)？附錄A的控制目標(biāo)和控制措施是否都被選擇？如果不選擇，是否有正當(dāng)性理由？是否選擇了附錄A以外的控制措施？h)組織要確保管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)所有殘余風(fēng)險(xiǎn)是否獲得管理者正式批準(zhǔn)？首先要理解“殘余風(fēng)險(xiǎn)”的意義。i)組織要確保在ISMS實(shí)施和運(yùn)行之前，獲得管理者授權(quán)ISMS實(shí)施和運(yùn)行是否獲得管理者授權(quán)？要檢查是否有領(lǐng)導(dǎo)的簽字(可參見后面“4.3.2j)組織要準(zhǔn)備適用性聲明組織是否有一個(gè)準(zhǔn)備適用性聲明的過程？要求明確規(guī)定,“適用性聲明”必須至少包括以下3項(xiàng)內(nèi)容：所選擇控制目標(biāo)和控制措施，及其選擇的理由；當(dāng)前實(shí)施的控制目標(biāo)和控制措施；附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正當(dāng)性理由。在對要求審核時(shí)，最重要的是要確保：“適用性聲明”的內(nèi)容至少含有上述3項(xiàng)；不選擇的理由必須是合理的，或證明其是正當(dāng)性的。由于附錄A推薦的控制目標(biāo)和控制措施是最佳實(shí)踐，所以如果沒有正當(dāng)性理由，都要加以選擇，要防止漏選。對要求的審核，可與后面“4.3.1總則”i)的審核和第9章“控制目標(biāo)和控制措施的審核適用性聲明的內(nèi)容是否有含有標(biāo)準(zhǔn)規(guī)定的“3項(xiàng)內(nèi)容”(參見“注釋與指南”欄)？適用性聲明是否記載附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正當(dāng)性理由？4.2.2實(shí)施與標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)組織要制定風(fēng)險(xiǎn)處理計(jì)劃組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃文件的過程？要求明確規(guī)定，組織要有一個(gè)產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃的過程或程序。而這個(gè)過程要確定信息安全風(fēng)險(xiǎn)的管理措施、資源、職責(zé)和優(yōu)先級。由于標(biāo)準(zhǔn)的第4章只是“計(jì)劃”階段，在標(biāo)準(zhǔn)第5章中將提出更具體的“資源”要求。對于“風(fēng)險(xiǎn)處理計(jì)劃”，可與“4.3.1總則”條款的要求一起審核(見“4.3.1總則”是否有一個(gè)“風(fēng)險(xiǎn)處理計(jì)劃”文件？b)組織要實(shí)施風(fēng)險(xiǎn)處理計(jì)劃組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施風(fēng)險(xiǎn)處理計(jì)劃”的過程？要求明確規(guī)定，組織要有一個(gè)“實(shí)施風(fēng)險(xiǎn)處理計(jì)劃”的過程，或程序。而這個(gè)過程的目的是要達(dá)到已確定的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。c)組織要實(shí)施所選擇的控制措施組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施所選擇的控制措施”的過程？要求明確規(guī)定，組織要有一個(gè)“實(shí)施所選擇的控制措施”的過程，或程序，其目的是要滿足控制目標(biāo)。d)組織要定義如何測量所選控制措施的有效性組織是否有一個(gè)“測量所選控制措施有效性”的過程？即組織要：定義如何測量所選控制措施的有效性，即要有一個(gè)“測量所選控制措施有效性”的過程；規(guī)定如何使用這些測量措施，對控制措施的有效性進(jìn)行測量(或評估)；據(jù)此，管理者和員工就可以確定所選控制措施是否實(shí)現(xiàn)原計(jì)劃的控制目標(biāo)，或?qū)崿F(xiàn)的程度。在對這個(gè)要求的審核時(shí)，審核員必須檢查受審核組織：是否有一個(gè)測量所選擇控制措施有效性的“測量措施”；如何使用其測量措施進(jìn)行測量；所選控制措施是否達(dá)到既定的控制目標(biāo)?？膳c4.2.3c)規(guī)定的要求同時(shí)審核(參見“4.2.3監(jiān)視與評審ISMS”)如何使用測量措施，去測量控制措施的有效性？e)組織要實(shí)施培訓(xùn)和意識教育計(jì)劃組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施培訓(xùn)和意識教育計(jì)劃”的過程？對于實(shí)施ISMS的組織來說，很重要的事情是培訓(xùn)，使其員工了解標(biāo)準(zhǔn)的意圖和信息安全的原理。因此在“實(shí)施與運(yùn)行組織的ISMS”中，首先要有“培訓(xùn)和意識教育計(jì)劃”(參見“5.2.2培訓(xùn)、意識和能力”f)組織要管理ISMS的運(yùn)行組織是否有“管理ISMS的運(yùn)行”的過程？要求明確規(guī)定,ISMS的運(yùn)行需要管理。g)組織要管理ISMS的資源組織是否有對ISMS實(shí)施所需要的資源進(jìn)行管理的過程？要求明確規(guī)定,ISMS實(shí)施所需要的資源要加以管理(參見“5.2資源管理”)。h)組織要實(shí)施組織的安全程序和其他控制措施組織的ISMS是否有“迅速檢測安全事件和對安全事故能做出迅速反應(yīng)”的程序？要求規(guī)定，在“迅速檢測安全事件和對安全事故能做出迅速反應(yīng)”方面，要有相關(guān)的程序和控制措施(參見“4.2.3監(jiān)視與評審ISMS”a))。4.2.3監(jiān)視與標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)組織要執(zhí)行監(jiān)視與評審程序組織是否有“監(jiān)視與評審程序”，以：迅速檢測處理產(chǎn)生的錯(cuò)誤；迅速識別試圖的和得逞的安全違規(guī)事件和事故；使管理者能確定指定人員的安全活動或通過信息技術(shù)實(shí)施的安全活動是否如期執(zhí)行；通過使用指示器，幫助檢測安全事件并預(yù)防安全事故；確定解決安全違規(guī)事件的措施是否有效？要求明確規(guī)定，求組織要有“監(jiān)視與評審程序”，以達(dá)到以下5個(gè)目的：迅速檢測處理產(chǎn)生的錯(cuò)誤；迅速識別試圖的和得逞的安全違規(guī)事件和事故；使管理者能確定指定人員的安全活動(或通過信息技術(shù)實(shí)施的安全活動)是否如期執(zhí)行；通過使用指示器，幫助檢測安全事件并預(yù)防安全事故；確定解決安全違規(guī)事件的措施是否有效。在對要求的審核時(shí)，必須檢查這些內(nèi)容。b)組織要定期評審ISMS有效性是否有符合此要求“ISMS有效性的定期評審”的過程？要求明確規(guī)定，組織對ISMS的有效性，進(jìn)行定期評審(包括ISMS方針和目標(biāo)的符合性評審、安全控制措施的有效性評審)。而在對ISMS有效性的定期評審時(shí)，要聯(lián)系到(或考慮到)安全審核的結(jié)果、事故、有效性測量的結(jié)果、所有相關(guān)方的建議和反饋。在對要求的審核時(shí)，要檢查是否有相關(guān)的過程或活動。c)組織要測量控制措施的有效性是否有到位的“測量控制措施的有效性”的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要測量控制措施的有效性以驗(yàn)證安全要求是否得到滿足。在對要求的審核時(shí)，要檢查是否有“測量控制措施的有效性”的過程或程序。d)組織要評審風(fēng)險(xiǎn)評估是否有到位的“評審風(fēng)險(xiǎn)評估”的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按照既定的時(shí)間間隔，評審風(fēng)險(xiǎn)評估、殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級別，要考慮以下方面的變化：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過程；已識別的威脅；已實(shí)施的控制措施的有效性；外部事件，如法律法規(guī)環(huán)境的變化、合同義務(wù)的變化和社會環(huán)境的變化。在對要求的審核時(shí)，要檢查是否有相關(guān)的過程或活動。“評審風(fēng)險(xiǎn)評估”的過程是否考慮了“6方面的變化”(參見注釋與指南)？e)組織要執(zhí)行定期的ISMS內(nèi)部審核是否有到位的定期的“ISMS內(nèi)部審核”過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按既定的時(shí)間間隔，執(zhí)行ISMS內(nèi)部審核。在對要求的審核時(shí)，要檢查是否有“定期的ISMS內(nèi)部審核”過程或程序。而對ISMS內(nèi)部審核的符合性審核要按照標(biāo)準(zhǔn)第6章的要求執(zhí)行。f)組織要執(zhí)行定期的ISMS管理評審是否有到位的定期的“ISMS管理評審”過程或程序？這個(gè)要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按既定的時(shí)間間隔，執(zhí)行ISMS管理評審。在對這個(gè)要求的審核時(shí)，要檢查是否有定期的“ISMS管理評審”過程或程序。而對ISMS管理評審的符合性審核要按照標(biāo)準(zhǔn)的第7章的要求執(zhí)行。g)組織要更新信息安全計(jì)劃組織是否參考監(jiān)視和評審活動的發(fā)現(xiàn)，而“更新信息安全計(jì)劃”？這個(gè)要求明確規(guī)定，組織要參考監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計(jì)劃。h)組織要維護(hù)ISMS事件和行動措施的紀(jì)錄是否有到位的“維護(hù)ISMS事件和行動措施的紀(jì)錄”的過程？這個(gè)要求明確規(guī)定，組織要記錄可能影響ISMS有效性的事件和所采取的措施。對這個(gè)要求的審核，可與標(biāo)準(zhǔn)的“4.3.3記錄控制”條款要求的審核一起進(jìn)行。4.2.4保持與改進(jìn)標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)組織要實(shí)施ISMS改進(jìn)是否有到位的“實(shí)施ISMS改進(jìn)”的過程？要求明確規(guī)定，組織對已識別的ISMS改進(jìn)點(diǎn)，要加以實(shí)施。對要求的符合性審核時(shí)，要確保有到位的“實(shí)施ISMS改進(jìn)”的過程。b)組織要采取適當(dāng)?shù)募m正措施和預(yù)防措施是否有到位的“糾正措施和預(yù)防措施”的過程？要求明確規(guī)定，組織有與標(biāo)準(zhǔn)的“8.2糾正措施”條款和“8.3預(yù)防措施”條款保持一致的“糾正措施和預(yù)防措施”的過程，并要求吸取其它組織和本組織的安全經(jīng)驗(yàn)教訓(xùn)。對要求的審核，可與標(biāo)準(zhǔn)的“8.2糾正措施”條款和“8.3預(yù)防措施”條款的要求的審核一起進(jìn)行。是否有到位的吸取其它組織和本組織的安全經(jīng)驗(yàn)教訓(xùn)的過程？c)組織要向所有相關(guān)方交流ISMS的措施和改進(jìn)狀況是否有向所有相關(guān)方交流ISMS改進(jìn)的過程？要求明確規(guī)定，組織要向所有相關(guān)方交流ISMS的行動措施和改進(jìn)情況，確保有適當(dāng)?shù)脑斍檎f明，并取得一致意見。d)組織要確保ISMS的改進(jìn)達(dá)到預(yù)期目標(biāo)是否有確保ISMS的改進(jìn)達(dá)到了預(yù)期目標(biāo)的過程？管理者要跟蹤改進(jìn)，直到達(dá)到了預(yù)期目標(biāo)。4.3文件要求4.3.1標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1)ISMS文件要包括管理決定的記錄是否ISMS文件包括有管理決定的記錄？在左欄所示的這3）個(gè)要求是在“4.3.1總則”條款必須包括管理決定的記錄；必須確保所采取的行動措施可追蹤到管理決定和方針；必須確保已記錄的結(jié)果是可再生的。這里明確了，展示三者(即所選擇的控制措施、風(fēng)險(xiǎn)評估的結(jié)果、ISMS方針與目標(biāo))之間的關(guān)系的重要性。即從所選擇控制措施可追溯到風(fēng)險(xiǎn)評估的結(jié)果，而從風(fēng)險(xiǎn)評估的結(jié)果又可追溯到ISMS方針與目標(biāo)。2)ISMS文件要確保所采取的措施可追蹤到管理決定和方針是否ISMS文件確保所采取的措施可追蹤到管理決定和方針？3)ISMS文件要確保記錄的結(jié)果是可再生的是否ISMS文件確保記錄的結(jié)果是可再生的？a)ISMS文件要包括ISMS方針與目標(biāo)文件是否有ISMS方針與目標(biāo)文件？標(biāo)準(zhǔn)規(guī)定，ISMS文件要包括9方面的文件(見本表從a)-i)欄)。其中，ISMS方針是最高級(或頂級)的文件。b)ISMS文件要包括ISMS的范圍是否有一個(gè)描述ISMS范圍的文件？標(biāo)準(zhǔn)要求的ISMS文件內(nèi)容不一定都要形成單一文件；某些相關(guān)的內(nèi)容可合并在一起，而形成一個(gè)文件，也不會認(rèn)為違反標(biāo)準(zhǔn)的要求。在實(shí)際中，為了減少文件量，“ISMS的范圍”常合并于ISMS方針文件。參見表1-1a)。c)ISMS文件要包括支持ISMS的程序和控制措施是否有支持ISMS的程序和控制措施？這里，只是泛泛地提出?！爸С諭SMS的程序和控制措施”包括的內(nèi)容很廣。除了標(biāo)準(zhǔn)強(qiáng)制要求的程序文件外，還可有許多組織自主決定的文件。文件的內(nèi)容可隨組織的不同而有所不同。主要取決于:組織的業(yè)務(wù)活動及風(fēng)險(xiǎn)；安全要求的嚴(yán)格程度；管理體系的范圍和復(fù)雜程度。組織需要哪些ISMS文件、控制措施及其復(fù)雜程度如何，通?？筛鶕?jù)風(fēng)險(xiǎn)評估的結(jié)果而決定(參見第6章“6.3.1.1獲得ISMS文件”)。d)ISMS文件要包括風(fēng)險(xiǎn)評估方法的描述是否有描述風(fēng)險(xiǎn)評估方法的文件？與標(biāo)準(zhǔn)4.2.1c)最佳的實(shí)踐表明，“風(fēng)險(xiǎn)評估方法的描述”可合并于“風(fēng)險(xiǎn)評估程序”；而“風(fēng)險(xiǎn)評估程序”的運(yùn)行結(jié)果又產(chǎn)生“風(fēng)險(xiǎn)評估報(bào)告”。參見的表1-1c)；參見“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。e)ISMS文件要包括風(fēng)險(xiǎn)評估報(bào)告是否有可用的風(fēng)險(xiǎn)評估報(bào)告？f)ISMS文件要包括風(fēng)險(xiǎn)處理計(jì)劃是否有可用的風(fēng)險(xiǎn)處理計(jì)劃？與標(biāo)準(zhǔn)4.2.2b)的要求一致；參見“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。g)ISMS文件要包括控制措施有效性的測量程序是否有描述如何測量控制措施有效性的程序文件？與標(biāo)準(zhǔn)4.2.3參見“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。h)ISMS文件要包括本標(biāo)準(zhǔn)所要求的記錄是否有提供符合要求證據(jù)的記錄？“記錄”的范圍很廣。實(shí)際上，每一個(gè)程序文件的運(yùn)行結(jié)果都可以產(chǎn)生可作為證據(jù)的“記錄”。參見“4.3.3記錄i)ISMS文件要包括適用性聲明是否有符合要求的適用性聲明？參見表1-1j)。4.3標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1)ISMS所要求的文件要加以保護(hù)和控制是否有一個(gè)用于保護(hù)和控制ISMS文件的過程？要求是標(biāo)準(zhǔn)的“4.3.2文件控制”條款開始的一個(gè)引言段中提出的。這里只是泛泛地提出。實(shí)際上，“保護(hù)和控制ISMS文件的過程”可用“文件控制2)ISMS文件控制程序要形成文件是否有一個(gè)形成文件的文件控制程序？“形成文件的文件控制程序”一般稱為“文件控制程序文件”。這個(gè)程序文件是標(biāo)準(zhǔn)要求的必須的ISMS文件之一?！?.3.2文件控制”條款主要的要求是：建立一個(gè)“文件控制程序文件”，并對文件進(jìn)行以下10方面控制(見下面aa)“文件控制程序文件”要定義“文件發(fā)布前要得到批準(zhǔn)”是否文件發(fā)布前要得到批準(zhǔn)？在對這個(gè)“4.3.2組織是否有一個(gè)用于控制ISMS文件的“文件控制程序文件”；組織的ISMS文件實(shí)際上是否受控；是否從“10方面”(a-j)控制ISMS文件。b)“文件控制程序文件”要定義“必要時(shí)評審與更新文件，并再次獲得批準(zhǔn)”是否必要時(shí)評審與更新文件，并再次批準(zhǔn)文件？c)“文件控制程序文件”要定義“文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識”是否文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識？d)“文件控制程序文件”要定義“在使用處可獲得有關(guān)版本的適用文件”是否在使用處可獲得有關(guān)版本的適用文件？e)“文件控制程序文件”要定義“文件保持清晰、易于識別”是否文件保持清晰、易于識別？f)“文件控制程序文件”要定義“文件可為需要的人員使用，并依照相關(guān)程序進(jìn)行傳輸、貯存和最終銷毀”是否文件可為需要的人員使用，并依照相關(guān)程序進(jìn)行傳輸、貯存和最終銷毀？g)“文件控制程序文件”要定義“外來文件得到標(biāo)識”是否外來文件得到標(biāo)識？h)“文件控制程序文件”要定義“文件的分發(fā)受控制”是否文件的分發(fā)受控制？i)“文件控制程序文件”要定義“防止作廢文件非預(yù)期使用”是否“防止作廢文件非預(yù)期使用”？j)“文件控制程序文件”要定義“對需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識”是否“對需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識”？4.3.標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.記錄要加以建立與保持是否有一個(gè)建立與保持記錄的過程？記錄是提供符合ISMS要求和有效運(yùn)行客觀證據(jù)的一種特殊類型的文件。記錄需要建立與保持、保護(hù)與控制。b.記錄要加以保護(hù)與控制是否有一個(gè)保護(hù)與控制記錄的過程？c.ISMS要考慮相關(guān)法律法規(guī)要求和合同義務(wù)ISMS是否考慮了相關(guān)法律法規(guī)要求和合同義務(wù)？組織要提供證據(jù)(記錄)，證明其ISMS考慮了相關(guān)法律法規(guī)要求和合同義務(wù)。d.記錄要保持清晰、易于識別和檢索記錄是否保持清晰、易于識別和檢索？作為客觀證據(jù)的記錄，必須易于理解，不能含糊不清。e.記錄的控制要形成文件,并加以實(shí)施記錄的控制是否形成了文件？記錄的控制包括：記錄的標(biāo)識、貯存、保護(hù)、檢索、保存期限和處置等。這些控制要形成文件，通常稱為“記錄控制程序文件”?！坝涗浛刂瞥绦蛭募笔潜仨氁械腎SMS文件之一。f.記錄要保留ISMS過程的執(zhí)行情況，和所有重大安全事故的執(zhí)行情況記錄是否保留了ISMS過程的執(zhí)行情況？這里，ISMS過程是指ISO/IEC27001:2005的4.2條款所列出的過程，包括ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評審、保持和改進(jìn)。所有這些過程的記錄要加以保留，所有重大安全事故的紀(jì)錄也要保留。記錄是否保留了所有重大安全事故的執(zhí)行情況？5管理職責(zé)5.1管理承諾標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南管理者要對ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評審、保持和改進(jìn)，做出承諾,提供證據(jù)。是否有一個(gè)確保管理者對ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評審、保持和改進(jìn)，做出承諾的過程？這里，“管理承諾”應(yīng)理解為“最高管理者(層)的承諾”。ISO/IEC27001:2005標(biāo)準(zhǔn)認(rèn)為，ISMS的成功運(yùn)行需要管理者參與并做出承諾。因此標(biāo)準(zhǔn)要求最高管理層(包括總經(jīng)理和管理者代表等)展示出其如何支持(或承諾)ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評審、保持與改進(jìn)，并提供8方面內(nèi)容的證據(jù)，包括：制定ISMS方針；確保建立ISMS目標(biāo)和計(jì)劃；建立信息安全的角色和職責(zé)；向該組織傳達(dá)滿足信息安全目標(biāo)與符合信息安全方針的重要性、法律責(zé)任和持續(xù)改進(jìn)的需要；提供足夠的資源；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級別準(zhǔn)則；確保ISMS內(nèi)審的執(zhí)行；進(jìn)行ISMS管理評審。管理者提供承諾的證據(jù)是否包括8方面的內(nèi)容(見“注釋與指南”欄)？5.2資源管理5.2.1資源提供 標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要確定和提供所需要的資源管理者是否提供ISMS活動所需要的資源？這里ISMS活動包括ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評審、保持和改進(jìn)。管理者是否提供確保信息安全程序支持業(yè)務(wù)要求所需要的資源？資源包括人、財(cái)、物(如設(shè)備、工具和資料等)。管理者是否提供滿足法律法規(guī)要求、合同安全要求所需要的資源？是否提供通過正確實(shí)施控制措施維護(hù)安全所需要的資源？管理者是否提供必要的評審與對評審結(jié)果做出適當(dāng)反應(yīng)所需要的資源？管理者是否提供改進(jìn)ISMS有效性所需要的資源？5.2.2標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要確保分配有ISMS職責(zé)的所有人員都具有執(zhí)行所要求任務(wù)的能力是否有一個(gè)確保分配有ISMS職責(zé)的所有人員都具有完成所要求任務(wù)的能力的過程？要求明確規(guī)定，確保分配有ISMS職責(zé)的所有人員都具有完成其所要求任務(wù)的能力。這個(gè)過程包括4個(gè)活動：確定所有ISMS人員所必要的能力；提供培訓(xùn)，或采取其它措施(例如聘用有能力的人員)，以滿足這些需要；評價(jià)培訓(xùn)等措施的有效性；保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。在對要求的符合性審核時(shí)，要檢查培訓(xùn)記錄和相關(guān)證據(jù)。b.組織要確保所有相關(guān)人員意識到其信息安全活動的重要性是否有一個(gè)確保所有相關(guān)人員都識到其信息安全活動的重要性的過程？要求明確規(guī)定，組織要確保所有相關(guān)人員意識到其信息安全活動的利害關(guān)系與重要性，并為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。在對要求的符合性審核時(shí)，可以抽查相關(guān)人員的安全意識。6內(nèi)部ISMS審核標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南定期進(jìn)行內(nèi)部ISMS審核是否有一個(gè)定期進(jìn)行內(nèi)部ISMS審核的過程？要求明確規(guī)定，“組織要按照既定的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核”。而內(nèi)部審核的目的是確定其ISMS的控制目標(biāo)、控制措施、過程和程序是否：a)符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b)符合已確定的信息安全要求；c)得到有效地實(shí)施和保持；d)按預(yù)期執(zhí)行。在對要求符合性審核時(shí)，要確保上述要求得到滿足。制定審核方案是否有一個(gè)審核方案？該審核方案是否考慮了受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果？要求明確規(guī)定，在進(jìn)行內(nèi)部審核之前，要制定“審核方案”。而這個(gè)審核方案要考慮受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果。定義審核的準(zhǔn)則、范圍、頻次和方法審核的準(zhǔn)則、范圍、頻次和方法是否定義?在實(shí)際中，審核的準(zhǔn)則、范圍、頻次和方法可以包含于審核方案或?qū)徍擞?jì)劃中。審核員的選擇，審核的實(shí)施要確保審核過程的客觀公正審核員的選擇，審核的實(shí)施是否確保審核過程的客觀公正？在這方面，應(yīng)遵照本書第4章的規(guī)定執(zhí)行。其中包括“審核發(fā)現(xiàn)、審核結(jié)論和審核報(bào)告要真實(shí)和準(zhǔn)確地反映審核活動”。審核員不準(zhǔn)審核自己的工作是否審核員審核了自己的工作？要識別內(nèi)部審核員除了內(nèi)審以外的其它工作。形成內(nèi)審程序文件是否有定義內(nèi)審職責(zé)和要求方面的內(nèi)審程序文件？要求明確規(guī)定，內(nèi)審的職責(zé)和要求(包括審核的計(jì)劃與實(shí)施、審核結(jié)果的報(bào)告、記錄的保持等)必須以形成文件的程序加以定義。在對要求的符合性審核時(shí)，要確保上述要求得到滿足。。采取糾正措施是否有一個(gè)確保受審部門的責(zé)任管理者及時(shí)采取措施，消除“已發(fā)現(xiàn)的不符合事項(xiàng)及其產(chǎn)生的原因”的過程？要求的意義包括：1)受審部門的責(zé)任管理者要采取糾正措施；2)糾正措施要包含原因分析；3)糾正措施不能有不適當(dāng)?shù)难舆t。在對要求的符合性審核時(shí)，要確保上述要求得到滿足。跟蹤糾正措施是否有一個(gè)對糾正措施的跟蹤活動？“跟蹤糾正措施”是受審部門責(zé)任管理者的職責(zé)，包括：要跟蹤和驗(yàn)證糾正措施，直到真正獲得落實(shí)；要報(bào)告跟蹤和驗(yàn)證的結(jié)果。跟蹤活動是否包括驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告？7ISMS的管理評審7.1總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)管理者要每年至少評審1次ISMS是否有一個(gè)確保最高管理者每年至少評審1次ISMS的過程？管理評審的目的是確保ISMS持續(xù)的適宜性、充分性和有效性。為了確保最高管理者每年至少評審1次ISMS，最好的實(shí)踐是通過使用一個(gè)“管理評審程序文件”進(jìn)行控制。“管理評審程序文件”也控制相關(guān)的管理評審過程，以滿足標(biāo)準(zhǔn)的要求。但是，標(biāo)準(zhǔn)沒有明確規(guī)定一定要有一個(gè)形成文件的“管理評審程序”。因此，在審核時(shí)，主要是要確保有符合要求的評審過程。是否檢查了ISMS的實(shí)施情況，以確保ISMS持續(xù)的適宜性、充分性和有效性？(2)評審要包括評估改進(jìn)的機(jī)會和變更ISMS的需要在管理評審時(shí)，是否評估了ISMS（包括信息安全方針和信息安全目標(biāo)）改進(jìn)的機(jī)會和變更的需要？在運(yùn)行期間，操作者是不能任意變更ISMS的。ISMS的改進(jìn)和變更，只能經(jīng)過最高管理者對ISNS的評審，做出評審決定后，才能執(zhí)行。因此管理評審時(shí)，要有這方面的評估。(3)評審的結(jié)果要形成文件評審結(jié)果是否形成了文件？審核員在進(jìn)行“ISMS的管理評審”的審核時(shí)，必須按標(biāo)準(zhǔn)“4.3.3記錄控制”條款的要求，檢查評審結(jié)果和相關(guān)的評審的記錄。(4)評審的記錄要加以保持記錄是否按照“記錄控制”的要求加以保持？7.2評審輸入標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)管理評審的輸入要包括審核和評審結(jié)果是否有一個(gè)確保管理評審的輸入包括標(biāo)準(zhǔn)要求的9方面信息的過程？在審核時(shí)，審核員應(yīng)首先檢查組織如何確保滿足標(biāo)準(zhǔn)規(guī)定的9方面管理評審的輸入信息(見本表的a-i)。是否管理評審的輸入包括先前的審核和評審結(jié)果？審核員應(yīng)檢查管理評審的輸入是否包括先前的審核(包括內(nèi)審和外審)和管理評審的結(jié)果。b)管理評審的輸入要包括相關(guān)方的反饋是否管理評審的輸入包括相關(guān)方的反饋？審核員應(yīng)檢查管理評審的輸入是否包括相關(guān)方(如顧客和相關(guān)人員)的反饋，包括意見、抱怨和評論等。c)管理評審的輸入要包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)品或程序是否管理評審的輸入包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)品或程序？審核員應(yīng)檢查管理評審的輸入是否包括可用于改進(jìn)ISMS有效性的技術(shù)、產(chǎn)品或程序。d)管理評審的輸入要包括預(yù)防和糾正措施的狀況是否管理評審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評審的輸入是否包括先前的預(yù)防措施和糾正措施的情況，包括查相關(guān)記錄。e)管理評審的輸入要包括以往風(fēng)險(xiǎn)評估沒有充分解決的脆弱點(diǎn)或威脅是否管理評審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評審的輸入是否包括在先前的風(fēng)險(xiǎn)評估期間，沒有充分解決的安全問題。f)管理評審的輸入要包括有效性測量的結(jié)果是否管理評審的輸入包括ISMS有效性的測量結(jié)果？審核員應(yīng)檢查管理評審的輸入是否包括在先前對ISMS的有效性的測量結(jié)果。g)管理評審的輸入要包括以往管理評審的跟蹤措施是否管理評審的輸入包括以往管理評審的跟蹤措施？審核員應(yīng)檢查管理評審的輸入是否包括以往管理評審的跟蹤措施，包括對以往管理評審結(jié)果的貫徹、跟蹤和驗(yàn)證的結(jié)果。h)管理評審的輸入要包括可能影響ISMS的任何變更是否管理評審的輸入包括可能影響ISMS的任何變更？審核員應(yīng)檢查管理評審的輸入是否包括可能影響ISMS的任何變更，包括出現(xiàn)新的信息資產(chǎn)、技術(shù)的變更、內(nèi)外環(huán)境的變更和組織結(jié)構(gòu)的變更等。i)管理評審的輸入要包括改進(jìn)的建議是否管理評審的輸入包括任改進(jìn)的建議？審核員應(yīng)檢查管理評審的輸入是否包括改進(jìn)ISMS的任何建議。7.3評審輸出標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)管理評審的輸出要包括ISMS有效性的改進(jìn)是否有一個(gè)確保管理評審的輸出包括5方面要求的過程？在審核時(shí)，審核員應(yīng)首先檢查組織如何確保管理評審滿足標(biāo)準(zhǔn)規(guī)定的5方面的輸出(見本表a)-e))。是否管理評審做出了改進(jìn)ISMS有效性的決定？審核員應(yīng)檢查管理評審的輸出是否有改進(jìn)ISMS有效性的決定。b)管理評審的輸出要包括風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃的更新是否管理評審做出了更新風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃的決定？風(fēng)險(xiǎn)是動態(tài)的。風(fēng)險(xiǎn)評估活動要定期執(zhí)行，風(fēng)險(xiǎn)處理計(jì)劃要及時(shí)更新。管理評審要做出這方面的決定。審核員應(yīng)檢查管理評審的輸出是否有這方面的決定。c)管理評審的輸出要包括必要時(shí)對影響信息安全的程序和控制措施的修改，以應(yīng)對可能沖擊ISMS的內(nèi)外事件是否管理評審做出了在必要時(shí)對影響信息安全的程序和控制措施的修改決定，以應(yīng)對可能沖擊ISMS的內(nèi)外事件？要求的含義是，為了應(yīng)對可能沖擊ISMS的內(nèi)外事件，包括：1)業(yè)務(wù)要求發(fā)生變化；2)安全要求發(fā)生變化；3)影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程發(fā)生變化；4)法律法規(guī)要求發(fā)生變化；5)合同義務(wù)發(fā)生變化；6)接受風(fēng)險(xiǎn)的風(fēng)險(xiǎn)級別和/或準(zhǔn)則發(fā)生變化。要對影響信息安全的程序和控制措施進(jìn)行修改。管理評審要做出這方面的決定。在審核時(shí)，要檢查這方面的決定。d)管理評審的輸出要包括對資源需求的決定是否管理評審做出了對資源需求的決定？要求是解決資源需求。管理評審要做出解決ISMS資源需求的決定。在審核時(shí)，要檢查這方面的決定。e)管理評審的輸出要包括改進(jìn)測量控制措施有效性的方法要求是改進(jìn)如何測量控制措施的有效性。管理評審要做出這方面的決定。在審核時(shí)，要檢查這方面的決定。8ISMS改進(jìn)8.1持續(xù)改進(jìn)標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要持續(xù)改進(jìn)ISMS的有效性是否有一個(gè)確保組織持續(xù)改進(jìn)ISMS有效性的過程？要求規(guī)定，組織要通過多種途徑，持續(xù)改進(jìn)ISMS的有效性持，包括：使用信息安全方針；使用安全目標(biāo)；使用審核結(jié)果；使用監(jiān)視事件的分析；使用糾正措施與預(yù)防措施；使用管理評審。因此，審核員在進(jìn)行審核時(shí)，應(yīng)考慮以上方面，并結(jié)合一起進(jìn)行。8.2糾正措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施，消除不符合ISMS要求的原因是否有一個(gè)確保采取措施，消除不符合ISMS要求的原因的過程？要求規(guī)定，組織要采取措施，消除不符合ISMS要求的原因，目的是防止不符合事項(xiàng)再次發(fā)生。b.糾正措施程序要形成文件是否有一個(gè)糾正措施程序文件？“形成文件的糾正措施程序”通常也稱“糾正措施程序文件”，是標(biāo)準(zhǔn)強(qiáng)制性要求的ISMS文件之一。標(biāo)準(zhǔn)要求組織要建立和執(zhí)行“糾正措施程序文件”。這個(gè)“糾正措施程序文件”要定義6條要求(見本表“標(biāo)準(zhǔn)的要求”欄c-h)。審核員在文件評審階段，就應(yīng)對照此“8.2糾正措施”的要求，評審“糾正措施程序文件”的符合性。c.糾正措施程序文件要定義“識別不符合項(xiàng)”是否糾正措施程序文件定義了“識別不符合項(xiàng)”？d.糾正措施程序文件要定義“確定產(chǎn)生不符合項(xiàng)的原因”是否糾正措施程序文件定義了“確定產(chǎn)生不符合項(xiàng)的原因”？e.糾正措施程序文件要定義“評價(jià)確保不符合項(xiàng)不再發(fā)生的措施需求”是否糾正措施程序文件定義了“評價(jià)確保不符合項(xiàng)不再發(fā)生的措施需求”？f.糾正措施程序文件要定義“確定和實(shí)施所需要的糾正措施”是否糾正措施程序文件定義了“確定和實(shí)施所需要的糾正措施”？g.糾正措施程序文件要定義“記錄所采取措施的結(jié)果”是否糾正措施程序文件定義了“記錄所采取措施的結(jié)果”？h.糾正措施程序文件要定義“評審所采取的糾正措施”是否糾正措施程序文件定義了“評審所采取的糾正措施”？8.3預(yù)防措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施，消除潛在的不符合ISMS要求的原因是否有一個(gè)用于確保采取措施，消除潛在的不符合ISMS要求的原因的過程？要求規(guī)定，組織要采取措施，消除潛在的不符合ISMS要求的原因，目的是預(yù)先防止未來發(fā)生不符合事項(xiàng)。b.所采取的預(yù)防措施要與潛在問題的影響程度相適應(yīng)所采取的預(yù)防措施是否適于潛在問題的影響？所要采取的預(yù)防措施，要根據(jù)潛在問題的影響大小而決定。c.組織要建立一個(gè)預(yù)防措施程序文件，定義5條相關(guān)要求是否有一個(gè)定義5條相關(guān)要求的預(yù)防措施程序文件？要求規(guī)定，組織要建立和執(zhí)行一個(gè)預(yù)防措施程序文件。該程序文件要定義5條相關(guān)要求：識別潛在的不符合事項(xiàng)及其原因；評價(jià)預(yù)防發(fā)生不符合事項(xiàng)的措施的需要；確定和實(shí)施所需要的預(yù)防措施；記錄所采取措施的結(jié)果；評審所采取的預(yù)防措施。在審核時(shí)，審核員要檢查確保：一組織要有一個(gè)形成文件的“預(yù)防措施程序”；二該文件要定義上術(shù)5條要求。d.組織要識別已經(jīng)發(fā)生了變化的風(fēng)險(xiǎn)是否有一個(gè)用于識別已經(jīng)發(fā)生了變化的風(fēng)險(xiǎn)的過程？風(fēng)險(xiǎn)是動態(tài)的，組織必須有一個(gè)用于識別已經(jīng)發(fā)生了變化的風(fēng)險(xiǎn)的過程，并對已經(jīng)發(fā)生了變化的風(fēng)險(xiǎn)，要識別其預(yù)防措施的要求。有些組織通過使用一個(gè)“風(fēng)險(xiǎn)評估程序文件”對此過程要求進(jìn)行控制。在審核時(shí)，審核員可結(jié)合標(biāo)準(zhǔn)的“4.2建立和管理ISMS”條款的相關(guān)要求，進(jìn)行審核。e.組織要識別對已經(jīng)發(fā)生了變化的風(fēng)險(xiǎn)的預(yù)防措施的要求對已經(jīng)發(fā)生了重大變化的風(fēng)險(xiǎn)，是否識別其預(yù)防措施要求？f.預(yù)防措施的優(yōu)先級要根據(jù)風(fēng)險(xiǎn)評估的結(jié)果確定是否預(yù)防措施的優(yōu)先級根據(jù)風(fēng)險(xiǎn)評估的結(jié)果而確定？

附錄2-控制要求符合性審核A.5安全方針A.5.1信息安全方針目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)，提供信息安全的管理方向和支持。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.5.1.1信息安全方針文件是否有信息安全方針文件？信息安全方針文件是否獲得管理者批準(zhǔn)、發(fā)布和傳達(dá)給所有員工和相關(guān)的外方？信息安全方針文件是否符合標(biāo)準(zhǔn)的要求，如是否說明管理承諾，并提出組織管理信息安全的方法？A.5.1.2為了確保信息安全方針持續(xù)的適宜性、充分性和有效性，是否按既定的時(shí)間間隔(或當(dāng)發(fā)生重大變化時(shí))對其進(jìn)行評審？A.6信息安全的組織A.6.1內(nèi)部的組織目標(biāo)：管理組織內(nèi)的信息安全。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.6管理者是否通過清晰的方向、可證實(shí)的承諾、明確的任務(wù)，和信息安全職責(zé)的承認(rèn)，來積極支持組織內(nèi)的安全？A.6信息安全活動是否由不同部門的代表協(xié)調(diào)相關(guān)工作？A.6所有的信息安全職責(zé)（包括保護(hù)各個(gè)資產(chǎn)的職責(zé)和執(zhí)行特定安全過程的職責(zé)）是否有明確的規(guī)定？A.6對新信息處理設(shè)施，是否有管理授權(quán)過程？A.6是否所有員工都要簽署一個(gè)反映組織信息保護(hù)需要的保密協(xié)議(或不泄露協(xié)議)？保密協(xié)議(或不泄露協(xié)議)是否得到識別和定期評審？A.6.1.6組織是否與相關(guān)權(quán)威部門(例如，執(zhí)法部門、消防部門和監(jiān)管部門)保持適當(dāng)?shù)穆?lián)系？A.6.1.組織是否與特殊利益團(tuán)體、安全專家組和專業(yè)協(xié)會保持適當(dāng)?shù)穆?lián)系？A.6組織是否對其管理信息安全的方法與實(shí)踐(即信息安全控制目標(biāo)與控制措施、方針、過程和程序)，按既定的時(shí)間間隔(或當(dāng)安全實(shí)施發(fā)生重大變化時(shí))進(jìn)行獨(dú)立評審？A.6.2外方目標(biāo)：保持被外方訪問與處理，與外方通信，或被管理的組織的信息與信息處理設(shè)施的安全。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.6.組織的信息和信息處理設(shè)施受外方訪問或管理而產(chǎn)生的風(fēng)險(xiǎn)，是否進(jìn)行識別？組織的信息和信息處理設(shè)施，在允許外方訪問前，是否執(zhí)行適當(dāng)?shù)目刂拼胧?？A.6在允許顧客訪問組織信息或資產(chǎn)之前，所有確定的安全要求是否得到解決？A.6涉及訪問、處理、交流(或管理)組織的信息或信息處理設(shè)施的第三方協(xié)議，是否涵蓋所有相關(guān)的安全要求？A.7資產(chǎn)A.7.1對資產(chǎn)的職責(zé)目標(biāo)：實(shí)現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.7是否所有資產(chǎn)度都進(jìn)行了識別？是否所有重要資產(chǎn)都進(jìn)行了登記、建立了清單文件并加以維護(hù)？A.7所有信息和信息處理設(shè)施相關(guān)資產(chǎn)，是否都有責(zé)任人？A.7.1信息和信息處理設(shè)施相關(guān)資產(chǎn)的可接受使用規(guī)則，是否確定、形成了文件并加以實(shí)施？A.7.2信息分類目標(biāo)：確保信息受到適當(dāng)級別的保護(hù)。相關(guān)條款控制要求與檢查題實(shí)施的方法，或刪減的正當(dāng)性A.7是否有一個(gè)信息分類指南(或分類法)？信息是否按照其對組織的價(jià)值、法律要求、敏感性和關(guān)鍵性進(jìn)行分類？A.7信息標(biāo)記與處理程序是否按照組織采用的分類法，加以開發(fā)和實(shí)施？A.8人力資源安全A.8.1雇用之前目標(biāo)：確保雇員、承包人和第三方用戶理解其職責(zé)，適合其考慮的角色，以降低行竊、欺詐和誤用設(shè)施的風(fēng)險(xiǎn)。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.8雇員、承包人和第三方用戶的安全角色和職責(zé)是否按照組織的信息安全方針加以定義并形成了文件？ A.8.對所有雇用的候選者、承包人和第三方用戶，是否按照相關(guān)法律法規(guī)、道德規(guī)范、相應(yīng)的業(yè)務(wù)要求、要被訪問信息的類別、和已察覺的風(fēng)險(xiǎn)，進(jìn)行背景驗(yàn)證檢查？A.8.1雇員、承包人和第三方用戶是否簽署了雇用合同的條款和條件，作為他們合同義務(wù)的一部分？“雇用合同的條款和條件”是否聲明雇員、承包人和第三方用戶的信息安全職責(zé)？A.8.2雇用期間目標(biāo)：確保所有雇員、承包人和第三方用戶意識到信息安全威脅與利害關(guān)系、他們的職責(zé)與義務(wù)，并在其正常工作中支持組織的安全方針和減少人為過失的風(fēng)險(xiǎn)。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.8管理者是否要求雇員、承包人和第三方用戶，按照該組織已建立的方針和程序負(fù)起安全責(zé)任？ A.8組織的所有雇員、相關(guān)的承包人和第三方用戶，是否都接受過適當(dāng)?shù)囊庾R培訓(xùn)和定期更新與其工作有關(guān)的組織的方針與程序方面的知識？A.8對于安全違規(guī)的雇員，是否有一個(gè)正式的紀(jì)律處理過程？A.8.3雇用終止或雇用變更目標(biāo)：確保雇員、承包人和第三方用戶以一個(gè)適宜的方式離職或變更雇用。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.8履行雇用終止或雇用變更的職責(zé)是否清晰地做出了規(guī)定和分配？ A.8所有雇員、承包人和第三方用戶在雇用、合同或協(xié)議終止時(shí)，是否歸還其使用的該組織的所有資產(chǎn)？A.8所有雇員、承包人和第三方用戶對信息和信息處理設(shè)施的訪問權(quán)，在其雇用、合同或協(xié)議終止時(shí)，是否刪除，或進(jìn)行變更調(diào)整？A.9物理和環(huán)境安全A.9.1安全區(qū)域目標(biāo)：防止對組織場所和信息，進(jìn)行未授權(quán)的物理訪問、損壞和干擾。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.9.1是否有用于保護(hù)包含信息和信息處理設(shè)施的區(qū)域的安全邊界（諸如墻、入口控制卡或受管理的接待臺等屏障）？ A.9為了確保只有已被授權(quán)人員才允許訪問，安全區(qū)域是否通過適用的入口控制措施加以保護(hù)？A.9辦公室、房間和設(shè)施的物理安全措施是否進(jìn)行了設(shè)計(jì)并加以應(yīng)用？A.9.對由火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然災(zāi)難或人為災(zāi)難引起的損害，是否設(shè)計(jì)與應(yīng)用了物理保護(hù)措施？A.9在安全區(qū)域工作的物理保護(hù)措施和指南是否進(jìn)行了設(shè)計(jì)并加以應(yīng)用？對在安全區(qū)域工作的人員，是否有任何安全控制措施？A.9.1.為了避免未授權(quán)訪問，訪問點(diǎn)（如交接區(qū)和未授權(quán)人員可以進(jìn)入的其它地點(diǎn)）是否進(jìn)行控制？交接區(qū)是否與信息處理設(shè)施隔開？A.9.2設(shè)備安全目標(biāo)：防止資產(chǎn)丟失、損壞、被盜或被破壞，和中斷組織的活動。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.9.2設(shè)備是否安置在可減少未授權(quán)訪問的適當(dāng)?shù)攸c(diǎn)？對于處理敏感數(shù)據(jù)的信息處理設(shè)施，是否安置在可限制觀測的位置？對于需要特殊保護(hù)的設(shè)備，是否進(jìn)行隔離？對信息處理設(shè)施的運(yùn)行有負(fù)面影響的環(huán)境條件（例如溫度和濕度），是否進(jìn)行監(jiān)視？A.9在由支持性設(shè)施的失效而引起的電源故障和其他中斷方面，設(shè)備是否有所防范？ A.9電源和傳輸數(shù)據(jù)的(或支持信息服務(wù)的)通信電纜是否防范攔截或損壞？A.9設(shè)備是否按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和說明書，進(jìn)行正確維護(hù)？設(shè)備維護(hù)是否只由已授權(quán)人員執(zhí)行？設(shè)備的維護(hù)記錄是否保存？A.9.對于組織場所的設(shè)備，是否考慮了不同風(fēng)險(xiǎn)，而采取安全措施？A.9.2對于含有任何敏感信息和許可軟件的儲存介質(zhì)，是否進(jìn)行安全銷毀或安全覆蓋后再利用？A.9.是否設(shè)備、信息或軟件要帶出組織場所外，必須獲得管理者授權(quán)？A.10通信和運(yùn)行管理A.10.1運(yùn)行程序和職責(zé)目標(biāo)：確保信息處理設(shè)施的正確運(yùn)行和安全運(yùn)行。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.1.1運(yùn)行程序是否形成了文件、加以保持并可為所有需要的用戶使用？A.10對信息處理設(shè)施和系統(tǒng)的變更是否受控？A.10.為了減少對組織資產(chǎn)未授權(quán)(或無意識)的修改(或誤用)的機(jī)會,是否劃分了職責(zé)的責(zé)任與職責(zé)的范圍？A.10.1為了減少未授權(quán)訪問(或更改)運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)，開發(fā)設(shè)施、測試設(shè)施和運(yùn)行設(shè)施是否彼此分離開？A.10.2第三方服務(wù)交付管理目標(biāo)：依照第三方服務(wù)交付協(xié)議，實(shí)施和保持適當(dāng)水準(zhǔn)的信息安全和服務(wù)交付。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10第三方服務(wù)交付協(xié)議中所規(guī)定的安全控制措施、服務(wù)定義和交付水準(zhǔn)，由第三方實(shí)施、運(yùn)行和保持，是否獲得保障？A.10對第三方提供的服務(wù)、報(bào)告和記錄，是否定期地進(jìn)行監(jiān)視、評審和審核？A.10對服務(wù)提供的變更(包括保持和改進(jìn)現(xiàn)有的信息安全方針、程序和控制措施)，是否考慮所涉及的業(yè)務(wù)系統(tǒng)與過程的關(guān)鍵程度和風(fēng)險(xiǎn)的再評估，進(jìn)行管理？A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)：將系統(tǒng)故障的風(fēng)險(xiǎn)降至最小。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10為了確保所需的系統(tǒng)性能，是否對資源的使用進(jìn)行監(jiān)視和調(diào)整，并對未來的容量需求做出規(guī)劃？A.10新信息系統(tǒng)、升級和新版本的驗(yàn)收準(zhǔn)則，是否建立了，并在系統(tǒng)驗(yàn)收前和開發(fā)中進(jìn)行適當(dāng)?shù)南到y(tǒng)測試？A.10.4防范惡意代碼和移動代碼目標(biāo)：保護(hù)軟件和信息的完整性。以下是對在這個(gè)目標(biāo)下的2個(gè)控制措施的審核。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.4.1對是否有對惡意代碼的控制措施(包括對惡意代碼的監(jiān)測、預(yù)防和恢復(fù))？是否有禁止使用未授權(quán)軟件的正式方針？ 是否安裝并定期更新惡意代碼檢測與修復(fù)軟件？是否有提高用戶對惡意代碼防范意識的程序？A.10.4.2對當(dāng)移動代碼獲得授權(quán)使用時(shí)，是否配置確保該授權(quán)的移動代碼，按照清晰定義的安全方針的規(guī)定運(yùn)行？ 當(dāng)移動代碼未獲得授權(quán)時(shí)，是否阻止其運(yùn)行？A.10.5備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.是否有備份方針？重要的信息和軟件是否按照備份方針的規(guī)定定期備份和測試？ 備份的存儲地是否安全，并與實(shí)際的使用場所保持足夠的距離？ A.10.6網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持基礎(chǔ)設(shè)施的安全。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10為了防止使用網(wǎng)絡(luò)時(shí)發(fā)生的威脅和維護(hù)系統(tǒng)與應(yīng)用程序的安全，網(wǎng)絡(luò)是否充分受控？網(wǎng)絡(luò)的運(yùn)行職責(zé)與計(jì)算機(jī)系統(tǒng)的運(yùn)行職責(zé)是否分開？信息在公用網(wǎng)絡(luò)上傳輸時(shí)，是否有控制措施？A.10是否有網(wǎng)絡(luò)服務(wù)(不管是內(nèi)部的，還是外部的)？是否有確定所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)級別和管理要求的網(wǎng)絡(luò)服務(wù)協(xié)議？A.10.7介質(zhì)處理目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動或銷毀，和中斷業(yè)務(wù)活動。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10是否有可移動介質(zhì)的管理程序？A.10.對于不再需要的介質(zhì)，是否使用正式的程序進(jìn)行安全地處置？為了保持審計(jì)蹤跡，是否保留敏感信息的處置記錄？A.10是否有信息的處理與貯存程序？該程序是否要防范信息被未授權(quán)者泄漏或誤用？A.10.7是否要防范系統(tǒng)文件被未授權(quán)訪問？系統(tǒng)文件的訪問名單是否保持在最小范圍，并獲得責(zé)任人授權(quán)？A.10.8信息的交換目標(biāo)：保持與內(nèi)部組織和與任何外部實(shí)體間信息和軟件交換時(shí)的安全。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10.8為了保護(hù)通過使用各種類型的通信設(shè)施進(jìn)行信息交換，是否有正式的信息交換方針、程序和控制措施？A.10在組織和外方之間進(jìn)行信息/軟件交換時(shí)，是否有交換協(xié)議？該交換協(xié)議是否指向所涉及的敏感業(yè)務(wù)信息的安全問題？A.10當(dāng)含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，是否有防范未授權(quán)訪問、誤用或毀壞的措施？A.10當(dāng)用電子方法發(fā)送信息時(shí)，是否有適當(dāng)?shù)男畔⒈Ｗo(hù)措施？ A.10為了保護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息，是否開發(fā)與實(shí)施了相關(guān)的方針和程序？A.10.9電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)服務(wù)的安全及其安全使用。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10電子商務(wù)是否有防范欺詐活動、合同爭議和未授權(quán)泄露與修改信息的控制措施？A.10在線交易中的信息是否受保護(hù)，以防止傳輸錯(cuò)誤、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制？A.10為了維護(hù)公共可用系統(tǒng)中的信息的完整性，是否有防范未授權(quán)修改的控制措施？A.10.10監(jiān)視目標(biāo)：檢測未授權(quán)的信息處理活動。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.10審計(jì)日志是否記錄用戶活動、異常事件和信息安全事件？為了幫助未來的調(diào)查和訪問控制監(jiān)視，審計(jì)日志是否保持一段已商定的時(shí)期？ A.10監(jiān)視信息處理設(shè)施的使用程序是否建立了？監(jiān)視活動的結(jié)果是否定期評審？A.10記錄日志的設(shè)施和日志信息是否有防范被篡改和未授權(quán)訪問的控制措施？A.10系統(tǒng)管理員和系統(tǒng)操作員的活動是否寫入日志中？是否定期檢查操作員日志？A.10系統(tǒng)故障是否被報(bào)告、記錄、分析和采取適當(dāng)?shù)拇胧?？A.10所有相關(guān)信息處理系統(tǒng)的時(shí)鐘是否都按統(tǒng)一的標(biāo)準(zhǔn)時(shí)間進(jìn)行同步設(shè)置？A.11訪問控制A.11.1訪問控制的業(yè)務(wù)要求目標(biāo)：控制對信息的訪問。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.1訪問控制方針是否根據(jù)對訪問控制的業(yè)務(wù)要求與安全要求，進(jìn)行定義、形成文件和評審？訪問控制方針是否為每個(gè)用戶(或用戶組)明確地規(guī)定了訪問的規(guī)則和權(quán)限？A.11.2用戶訪問管理目標(biāo)：確保授權(quán)用戶訪問信息系統(tǒng)，防止未授權(quán)用戶訪問信息系統(tǒng)。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11是否有正式的用戶注冊與注銷程序，授權(quán)和撤銷對所有信息系統(tǒng)和服務(wù)的訪問？A.11對于多用戶系統(tǒng)，特權(quán)的分配和使用是否受限制和受控制？A.11口令的分配是否要用一個(gè)正式的管理過程進(jìn)行控制？A.11.管理者是否使用一個(gè)正式過程，定期地評審用戶的訪問權(quán)？A.11.3用戶職責(zé)目標(biāo)：防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.是否有指導(dǎo)用戶選擇和使用口令的指南、方針或規(guī)定？組織是否要求用戶遵照指南、方針或規(guī)定，選擇和使用口令？ A.11用戶是否知道保護(hù)無人值守的用戶設(shè)備的職責(zé)和程序？組織是否要求用戶確保無人值守的用戶設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)？A.11.為了防止敏感的(或關(guān)鍵的)業(yè)務(wù)信息受未授權(quán)訪問、丟失或損壞，組織是否實(shí)施一個(gè)清空桌面和屏幕方針？組織是否要求員工在離開座位時(shí)，不要把機(jī)密的紙文件和可移動存儲介質(zhì)留在桌面上，并注銷計(jì)算機(jī)或鎖住屏幕？A.11.4網(wǎng)絡(luò)訪問控制目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.4是否有一個(gè)只允許用戶訪問其已被授權(quán)使用的網(wǎng)絡(luò)服務(wù)？ A.11對遠(yuǎn)程用戶的訪問控制，是否使用適當(dāng)?shù)挠脩翳b別方法？A.11.為了鑒別特定位置和設(shè)備的連接，是否把自動的設(shè)備識別作為一種手段？A.11對診斷端口和配置端口的物理和邏輯訪問，是否受控制？A.11是否在網(wǎng)絡(luò)上對信息服務(wù)、用戶和信息系統(tǒng)進(jìn)行隔離控制？在各個(gè)不同的邏輯網(wǎng)絡(luò)域(如組織的內(nèi)部網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域等)之間，是否通過使用安全邊界(如防火墻等)，進(jìn)行隔離和保護(hù)？A.11對于越過組織邊界的共享網(wǎng)絡(luò)(如電子郵件、網(wǎng)站訪問、和文件傳送等)，是否有網(wǎng)絡(luò)連接控制措施？對共享網(wǎng)絡(luò)用戶連接網(wǎng)絡(luò)的能力，是否按照業(yè)務(wù)應(yīng)用系統(tǒng)的訪問控制方針和要求加以限制？A.11為了確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪問控制方針，共享網(wǎng)絡(luò)是否有路由控制措施？A.11.5操作系統(tǒng)訪問控制目標(biāo)：防止對操作系統(tǒng)的未授權(quán)訪問。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.為了最小化對操作系統(tǒng)未授權(quán)訪問的機(jī)會，是否有一個(gè)操作系統(tǒng)安全登錄程序？ 對操作系統(tǒng)的訪問，是否只能按安全登錄程序進(jìn)行？A.11.5是否所有用戶都有一個(gè)僅供其個(gè)人使用的唯一標(biāo)識碼（用戶ID）？所選用的用戶身份鑒別技術(shù)是否能證實(shí)所宣稱的用戶身份？A.11是否有口令管理系統(tǒng)？口令管理系統(tǒng)是否強(qiáng)迫用戶執(zhí)行各種口令安全控制措施(如使用個(gè)人用戶ID與口令、選用與定期更改優(yōu)質(zhì)口令和安全地保存口令等)？A.11.5對于系統(tǒng)實(shí)用工具(程序)的使用，是否有限制和嚴(yán)格的控制措施？A.11.為了防止未授權(quán)者訪問系統(tǒng)，是否有確保計(jì)算機(jī)終端在一個(gè)設(shè)定的休止(或靜止)期后，被自動關(guān)閉（或鎖住）的控制措施？A.11.5為了提供額外的安全，對于高風(fēng)險(xiǎn)應(yīng)用系統(tǒng)的連接，是否有連接時(shí)間限制？A.11.6應(yīng)用系統(tǒng)和信息訪問控制目標(biāo)：防止未授權(quán)訪問應(yīng)用系統(tǒng)中的信息。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.11.用戶對信息和應(yīng)用系統(tǒng)功能的訪問，是否依照已確定的訪問控制方針進(jìn)行限制？ A.11敏感系統(tǒng)是否有專用的（或孤立的）計(jì)算機(jī)環(huán)境？A.11.7移動計(jì)算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施目標(biāo)：確保使用可移動計(jì)算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施時(shí)的信息安全。相關(guān)條款控制要求與檢查題實(shí)施的方法，或刪減的正當(dāng)性A.11.7.1在防范使用移動計(jì)算機(jī)設(shè)施和通信設(shè)施(如筆記本電腦、掌上電腦和移動電話等)的風(fēng)險(xiǎn)方面，是否有正式方針，和適當(dāng)?shù)陌踩胧? A.11.組織是否開發(fā)和實(shí)施有關(guān)控制遠(yuǎn)程工作活動的方針、操作計(jì)劃和程序？為了防范設(shè)備被盜、信息被未授權(quán)者泄露、組織的內(nèi)部系統(tǒng)被未授權(quán)者遠(yuǎn)程訪問等，遠(yuǎn)程工作場地的保護(hù)是否有恰當(dāng)?shù)拇胧?？A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)A.12.1信息系統(tǒng)的安全要求目標(biāo)：確保安全是信息系統(tǒng)的一個(gè)組成部分。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.在新的信息系統(tǒng)(或增強(qiáng)的現(xiàn)有信息系統(tǒng))的業(yè)務(wù)要求說明中，是否規(guī)定了對安全控制措施的要求？A.12.2正確處理應(yīng)用系統(tǒng)中的數(shù)據(jù)目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改或誤用。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.應(yīng)用系統(tǒng)的輸入數(shù)據(jù)是否進(jìn)行確認(rèn)，以確保其正確和適當(dāng)？A.12.確認(rèn)檢查是否被整合到應(yīng)用系統(tǒng)中，以檢測由于處理錯(cuò)誤(或故意行為)造成的信息錯(cuò)誤？為了降低內(nèi)部處理的風(fēng)險(xiǎn)，是否有適當(dāng)?shù)目刂拼胧?？?yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)施是否能確保：處理失敗導(dǎo)致完整性損壞的風(fēng)險(xiǎn)減至最??？A.12為了確定應(yīng)用系統(tǒng)中消息完整性的需要和確定最適用的控制措施，是否進(jìn)行安全風(fēng)險(xiǎn)評估？A.12.應(yīng)用系統(tǒng)的輸出數(shù)據(jù)否進(jìn)行確認(rèn)，以確保信息處理正確和符合要求？A.12.3密碼控制目標(biāo)：通過密碼方法保護(hù)信息的保密性、真實(shí)性或完整性。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.是否有“密碼控制的使用方針”？A.12為了支持組織使用密碼技術(shù)，是否有密鑰管理系統(tǒng)？密鑰管理系統(tǒng)是否基于一組已商定的標(biāo)準(zhǔn)、程序和安全方法？A.12.4系統(tǒng)文件的安全目標(biāo)：確保系統(tǒng)文件的安全。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12.為了減小損壞運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)，在運(yùn)行系統(tǒng)上安裝軟件方面，是否有程序或控制措施？A.12系統(tǒng)測試數(shù)據(jù)是否經(jīng)過小心地選擇，并加以保護(hù)和控制(例如避免使用含有個(gè)人信息和其它敏感信息的運(yùn)行數(shù)據(jù)庫，進(jìn)行測試)？A.12.是否嚴(yán)格限制對程序源代碼和相關(guān)事項(xiàng)（例如設(shè)計(jì)、說明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃）的訪問？A.12.5開發(fā)過程和支持過程中的安全目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12在對信息系統(tǒng)的變更控制方面，是否有形成文件的變更控制程序？A.12.5.2在操作系統(tǒng)變更后，為了確保對組織的運(yùn)行和安全沒有負(fù)面影響，是否對關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行評審和測試？是否有評審和測試過程(或程序)，確保應(yīng)用系統(tǒng)在操作系統(tǒng)變更后獲得評審和測試？A.12對軟件包的修改，是否有限制和嚴(yán)格的控制措施？A.12是否有防止信息泄露的控制措施？A.12為了確保外包軟件的質(zhì)量和安全，組織是否對外包軟件開發(fā)過程進(jìn)行管理和監(jiān)視？A.12.6技術(shù)脆弱性管理目標(biāo)：降低利用已公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.12是否及時(shí)了解和獲得有關(guān)現(xiàn)有信息系統(tǒng)的技術(shù)脆弱性信息？對信息系統(tǒng)的技術(shù)脆弱性，是否進(jìn)行評價(jià)，并采取處理相關(guān)的風(fēng)險(xiǎn)的適當(dāng)措施？A.13信息安全事故管理A.13.1報(bào)告信息安全事件和弱點(diǎn)目標(biāo)：確保與信息系統(tǒng)有關(guān)的信息安全事件和弱點(diǎn)能夠以一種便于及時(shí)采取糾正措施的方式進(jìn)行溝通。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.13是否有正式的(或形成文件的)信息安全事件報(bào)告程序？是否所有的員工、合同方和第三方用戶都知道其要盡可能快地報(bào)告信息安全事件的責(zé)任？在實(shí)際中，信息安全事件是否能盡快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告？A.13.為了防止信息安全事故的發(fā)生，是否信息系統(tǒng)和服務(wù)的所有員工、合同方和第三方用戶都要關(guān)注、報(bào)告他們觀察到的或懷疑的系統(tǒng)或服務(wù)中的任何安全弱點(diǎn)？A.13.2信息安全事故和改進(jìn)的管理目標(biāo)：確保采用一致和有效的方法對信息安全事故進(jìn)行管理。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.13是否建立了對安全事故做出快速、有效和有序反應(yīng)的職責(zé)和程序？一旦信息安全事件和弱點(diǎn)被報(bào)告后，相關(guān)責(zé)任人是否能立即按照程序進(jìn)行有效處理？A.13.2.2吸收信息安全事故的教訓(xùn)是否有一套能夠量化和監(jiān)視信息安全事故的類型、數(shù)量和代價(jià)的機(jī)制？A.13.2.3證據(jù)的收集當(dāng)信息安全事故涉及到訴訟（民事的或刑事的）時(shí)，是否能按照相關(guān)司法的規(guī)章，收集、保留和呈遞證據(jù)？組織內(nèi)部是否有為處理違紀(jì)員工，而收集和呈遞證據(jù)的內(nèi)部程序？A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理的信息安全問題目標(biāo)：防止業(yè)務(wù)活動中斷，防范關(guān)鍵業(yè)務(wù)過程受信息系統(tǒng)重大失誤(或?yàn)?zāi)難)的影響，確保及時(shí)恢復(fù)。相關(guān)條款控制要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.14.1為了解決組織的業(yè)務(wù)連續(xù)性所需的信息安全要求，組織是否開發(fā)和維持一個(gè)用于整個(gè)組織的業(yè)務(wù)連續(xù)性管理過程？A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評估是否對可能引起業(yè)務(wù)過程中斷的事件(例如，設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為等)，進(jìn)行過識別？是否進(jìn)行了有業(yè)務(wù)資源與過程責(zé)任人參與的業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評估？是否根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，制定確定業(yè)務(wù)連續(xù)性總體方法的業(yè)務(wù)連續(xù)性戰(zhàn)略計(jì)劃？A.14.1.3制定和實(shí)施包括信息安全的連續(xù)性計(jì)劃是否有業(yè)務(wù)運(yùn)行恢復(fù)計(jì)劃，以使關(guān)鍵業(yè)務(wù)過程在中斷或發(fā)生故障后，能在規(guī)定的水準(zhǔn)與規(guī)定的時(shí)間范圍恢復(fù)運(yùn)行？A.14.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架是否有一個(gè)業(yè)務(wù)連續(xù)性計(jì)劃框架？是否這個(gè)業(yè)務(wù)連續(xù)性計(jì)劃框架得到維護(hù)，以確保所有計(jì)劃能協(xié)調(diào)一致地執(zhí)行、協(xié)調(diào)解決信息安全要求，并識別測試與維護(hù)的優(yōu)先級？A.14.1.5測試、維護(hù)和再評估業(yè)務(wù)連續(xù)性計(jì)劃為了確保業(yè)務(wù)連續(xù)性計(jì)劃及時(shí)更新和有效，是否定期地對其進(jìn)行測試，并通過定期評審加以維護(hù)？A.15符合性A.15.1法律要求的符合性目標(biāo)：避免違反任何法律、法令、規(guī)章或合同義務(wù)，和任何安全要求。相關(guān)條款控制措施要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.15.1是否對每一個(gè)信息系統(tǒng)，所適用的所有相關(guān)法律法規(guī)和合同要求，都明確地進(jìn)行了定義、形成了文件并保持更新？是否對滿足這些要求的特殊控制措施和個(gè)人職責(zé)都進(jìn)行了定義，并形成了文件？A.15.1.2知識產(chǎn)權(quán)（IPR）在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品方面，是否有確保符合法律法規(guī)要求和合同要求的任何程序？這些程序是否獲得很好的執(zhí)行？A.15.1.3組織記錄的保護(hù)組織的重要記錄是否要依照法律法規(guī)要求、合同要求和業(yè)務(wù)的要求，防止遺失、毀壞和偽造？A.15.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的隱私是否有依照相關(guān)的法律法規(guī)要求和合同要求，制定與執(zhí)行保護(hù)個(gè)人信息秘密的方針或控制措施？A.15.1.5防止信息處理設(shè)施的誤用對于信息處理設(shè)施，是否有未授權(quán)使用或非業(yè)務(wù)目的的使用情況？ 在防止信息處理設(shè)施誤用方面，是否有控制措施？A.15.1.6密碼控制措施的規(guī)則密碼控制措施是否依據(jù)相關(guān)的協(xié)議和法律法規(guī)進(jìn)行使用？A.15.2安全方針與安全標(biāo)準(zhǔn)的符合性，和技術(shù)的符合性目標(biāo)：確保系統(tǒng)符合組織的安全方針和標(biāo)準(zhǔn)。相關(guān)條款控制措施要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.15.2.1安全管理者是否采取措施，確保在其職責(zé)范圍內(nèi)的所有安全程序都能得到正確執(zhí)行？管理者是否對其職責(zé)范圍內(nèi)的信息處理，定期地進(jìn)行評審，以確保符合相關(guān)安全方針、標(biāo)準(zhǔn)和其它安全要求？A.15.2.2技術(shù)符合性檢查是否定期地對信息系統(tǒng)進(jìn)行安全實(shí)施標(biāo)準(zhǔn)符合檢查？ 技術(shù)符合性檢查，是否由具有勝任能力的已授權(quán)的人員執(zhí)行，或在他們的監(jiān)督下執(zhí)行？A.15.3信息系統(tǒng)審計(jì)考慮目標(biāo)：將信息系統(tǒng)審計(jì)過程的有效性最大化，干擾最小化。相關(guān)條款控制措施要求與檢查內(nèi)容實(shí)施的方法，或刪減的正當(dāng)性A.15.為了最小化中斷業(yè)務(wù)過程的風(fēng)險(xiǎn)，對運(yùn)行系統(tǒng)檢查時(shí)所涉及的審計(jì)要求和活動，是否進(jìn)行了謹(jǐn)慎地計(jì)劃并獲得批準(zhǔn)？ A.15.3.2信息系統(tǒng)審計(jì)工具的保護(hù)對于信息系統(tǒng)審計(jì)工具(例如軟件和數(shù)據(jù)文件)訪問，是否受控制，以防止任何可能的誤用或破壞？

企業(yè)自我評估表一、貴公司為整合進(jìn)行的準(zhǔn)備程度如何？在本練習(xí)中，您將從八個(gè)方面對貴公司進(jìn)行自我評估。評估表中所列項(xiàng)目是您有效地制訂整合營銷傳播計(jì)劃的核心所在。根據(jù)貴公司目前的實(shí)際情況，對下列各項(xiàng)描述分別指出你同意或不同意的程度。請運(yùn)用“1到5”這樣一個(gè)等級指標(biāo)來評分，其中得分“5”代表該項(xiàng)描友誼述非常符合貴公司的情況：相反，得分“1”表示相當(dāng)不符合。在每條陳述后的空白處填寫您的評分，然后將所有分?jǐn)?shù)累加，從而可以知道貴公司為開展整合營銷傳播準(zhǔn)備的程度。⒈顧客信息及理解a)我們的市場研究能為公司提供可靠的顧客需求信息。b)我們利用數(shù)據(jù)庫技術(shù)來有效地跟蹤顧客行為及顧客消費(fèi)