信息安全内部审核检查表.docx

《信息安全内部审核检查表.docx》由会员分享，可在线阅读，更多相关《信息安全内部审核检查表.docx（40页珍藏版）》请在课桌文档上搜索。

1、上海联众网络值息有限公司IS0271:2005信息平安目标与展制检查表ttM审核:批准，二。一三年三月十二日A5平安方针标准条款号标题目标/限制限制理由控制要求审核发觉信息平安方针目标依蠢业务要求以及相关的法律法那为信息平安供应管理指导和支持.信息平安方舒文件限制依据Info-Riskmanager风险评估的结果.总经理是杳确保制定与公司目标一样的消淅的信恩平安方针，并且通过在祖织内发布和维护信息平安方针来表明对信息平安的支持和承诺。信息平安方针在E信息平安管理手册中描述,信息平安管理手册由总羟埋批准发布？管理手册中有信息平安方针信息平安方叶评审限制依照Info-Riskmanager风险评怙

2、的结果，每年管理评审或发生重大改变时是否对伯息平安方针的持续相宜性、充分性和有效性进行泮价，必要时进行修订？管理评审报告a.6信总平安Ia次标准条歆号标题目标/限制控制理由控制要求审核发觉信息平安蛆策目标管理。内部信息平安.信总平安管理承诺限制依据InfoRiskmanager风险评估的结果.总羟理是否承诺建立、实施、运作、监视、许审、保持和改进ISMS,并通过一系列的活动.供应证明。该承诺信息平安管理手册中进行相是否描述？信息平安的协作限制依据InfO-Riskmanager风险评估的结果，公司毡否成立以伯息平安管理者代表、各部门信息平安负成人祖成的跨部门的联席会议,协调信息平安管理工作，对

3、体系运行中存在的问题进行解决.会议由人事行政部负击组织支配并做好会议记录？信息平安职员安排限制依据InfoRiskmanager风险评估的结果.公司是否清晰的确定全部的信息平安职贡,最高管理者授权信息平安管理者代表，全面负成信息平安管理体系的建立、实施与保持工作？对年一项重饕资产指定信息平安说任人。信息处理设备的投权过程限制依据InfO-Riskmanager风隆评估的结果，软件部是否依据运用部门需求提出新的信息处理设施（包括软件）的配词要求，并组枳验收与实施，确保与原有系统的兼容？保密协议限制依据InfoRiskmanager风险评估的结果.本公司是否与正式录用员工在劳动合同中附加有关保密方

4、面的内容条款或塞订S保密协议.员工聘用期满离开公司之前江】提示其对保密所作的承诺？与权威机构的联系限制依据Info-Riskmanager风险评估的结果.人事行政部是否制定规定，具体说明由谁何时与权威机构联系,以及怎样识别是告该刚好报告的可能会违反法律的信恩平安事务？与专业小组的联系限制依据InfoRiskmanager风险评估的结果.软件部是否就计算机信息及通信网络平安问题与眼务供应部门保持联系，以确保和在出现平安事故时尽快实行适当的行动和取得建议？信息平安的独立评审限制依据InfO-Riskmanager风隆评估的结果，人事行政部是否负出组织、策划内部审核依据策划的时间间隔，或者当平安设施

5、发生重大改变时，对组织管理信息平安的方法及其实检状况进行独立评审？外部相关方目标识别外部相关方访问的风险，明确对外部相关方访问展制的要求，并限制外部相关方带来的风险，保持被外部相关方访问、处理、共本、管理的烟蛔信息及信息处理设的平安.与外部相关方有关的风险识别限制依据InfORiSkmanager风险评估的结果.公司是否识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问估恩资产和信息处理设施前实施适的限制,并签署规定访问和工作支归条款和条件的才保密协议？处理与顾客相关的平安问题限制依据Info-Riskmanager风险评估的结果.外包费任部门是否是否识别外包活动的风险.

6、明确外包活动的信息平安要求，在外包合同中明确规定信息平安要求,在批准顾客访问组税信息或资产前，是否该处理全部己识别的平安要求？标准条歆号标题目标/限制控制理由控制要求审核发觉资产责任目标对本公司资产（包括餐客襄求保密的数据、软件及产品）进行有效爱护.资产清单限制依甥Info-Riskmanager风a评估的结果，软件部毡否组织各部门识别资产，并依掘里要资产推断准则确定公司的爪要资产,通过风险管理软件，建立重要资产清单B7资产全部权限制依据Info-Riskmanager风险评估的结果.软件部是否组织相关部门识别资产并指定资产负贲人？资产的合理运用限制依据InfoRiskmanager风险评估的

7、结果.是否制定相是否的业务系统是否用笆理制度，用要设得有运用说明书，规定了资产的合理运用规则？运用或访问组织资产的员工、合作方以及第三方用户是否了解与信息处理设施和资源相关的信息和资产方面的限制.并对信息资源的运用,以及发生在其近任下的运用负资？信息分类目标本公司依据信息的敏感性对他患进行分类，明确受拧要求、优先权和等Ab以确保对资产实行适当的爱护.分类指南限制依据InfoRiskmanager风险评估的结果.本公司是否有信息密级规定划分秘级？信息的标识和处理限制依据InfO-Riskmanager风险评估的结果，对于届于企业隐私、企业机密与国家阳私的文件，密级确定部门是否按要求进行适当的标注

8、？A8人力资源平安标准条歆号标题目标/限制控制理由控制要求审核发觉19用前目标对聘用过程进行管理，确保员工、合同方和第三方用户建解其责任,并且能胜任其任务，以降低设被盗窃、欺诈或螟用的风险.角色和职责限制依据Info-Riskmanager风险评估的结果.与信息平安有关的部门的平安职责是否明确现定？崎选限制依据InfoRiskmanager风险评估的结果.人力资源都是否负责时初始录用员工进行实力、信用考察，母年时关键信息平安岗位进行年度考察,对于不符合平安要求的不得录用或进行岗位调掖？雇佣条款和条件限制依据InfORiSkmanag(K风隆评估的结果.公司是否规定了员工、合同方以及第三方的聘用

9、条款和条件?19用期间目标H保全器的员工、合同方和第三方用户知道信息平安或遇和利害关系、他们的职责和义务、并打算好在其正常工作过程中支持忸阳的平安方针，并且前求人为恰谈的风险.审核发觉管理职员限制依据Info-Riskmanager风验评估的结果.公司管理者是否要求员工、合作方以及第三方用户.加强信息平安意识，依据建立的方针和程序来应用平安？信息平安教化和培训限制依甥Info-Riskmanager风a评估的结果，与ISMS有关的全部员工，有关的第三方访问者，是否接受平安道识、方针、程序的培训。方针、程序变更后是否刚好传达到全体员工。人力资源部通过组织实施培训,确保员工平安意识的提高与有实力胜

10、任所担当的信息平安工作？惩戒过程限制依据Info-Riskmanager风险评估的结果.违反组织平安方针和理序的员工公司是否将依据违反程度及造成的影响进行恁罚.您罚在平安破坏经过证明地状况下进行？I1.用中止或改变目标确保员工、合作方以及第三方用户以一种有序的方式离开公司或交更聘用关系.终止责任限制依据InfoRiskmanager风险评估的结果，在员工离职前和第三方用户完成合IfiJ时，是否进行明确终止责任的沟通？资产归还限制依据Info-Riskmanager风险评估的结果.员工离职曳工作变动前,是否办理资产归还手续,然后方能少理移交于续？解除访问权限限制依据Info-Riskmanage

11、r风险评估的结果.员工离职或工作变动阀,是否解除对信息和信息处理设施访问权限,或依据改变作相是否的网整？A9物31与环境平安标准条歆号标题目标/限制控制理由控制要求审核发觉平安区域目标防止对IaiR办公场所和信息的未授权访问、损坏和干扰.是实物平安周界限制依据InfORiSkmanager风险评估的结果.本公司平安区域是否分为一般平安区域与特殊平安区域,特殊平安区域包括机房和监控机房、机要室？O是沏理进入限制限制依据Info-Riskmanager风险评估的结果.进出公司大院是否有门卫保安限制？员工是否凭工作牌进入办公区.是否经过授权的长期访问第三方出入证进入戢授权的工作区域？是办公室、房间和

12、设施的平安限制依据InfoRiskmanager风险评估的结果.特殊平安区域内的办公空、房间和设施是否进行必要的限制，以防止火灾、盗窃或其它形式的危害？是防范外部和环境成位限制依据InfO-Riskmanager风隆评估的结果，机房设备是否安装在距崎、门窗有肯定距离的地方。并具有防莅火灾、水灾、雷击等自然、人为灾难的平安限制措施？是在平安区域工作限制依据InfoRiskmanager风险评估的结果.公司是否建立和关制度，明确规定员工、第三方人员在有关平安区域工作的基本平安要求并要求员工、第三方人员严格遵守？是公共访问、交付和装载区限制依据InfORiSkmanag(K风隆评估的结果.公司是否设

13、立设置前有接待处接恃外来人员前台与特殊平安区域予以隔禹？是设备平安目标防止资产的损失、损坏或丢失及业务活动的中断.设务的定位和爱护限制依据InfoRiskmanager风险评估的结果.设需运用部门是否负货对设需进行定置管理或爱护好,实行措施以降低来自环境戒逼和危害的风险以及未经授权访问的机会？是电缆的平安限制依据Info-Riskmanager风险评估的结果.软件部否依据相关标准对传检线路进行敷设、诩E、维护，防止线路故内？是设备维护限制依据InfO-Riskmanager风隆评估的结果，信息系统设得及用户计算机终端是否由软件部进行维护？是场所外设备的平安限制依据Info-Riskmanage

14、r风险评估的结果.拥有笔记本的部门在其再开规定的区域时，是否经过部门领导授权并对其进行严格限制，防止其丢失和未经授权的访问？是设得的平安处置及再利用限制依期Info-Riskmanager风险评估的结果，含有敏感信息的设备在报废或改做他用时,是否由运用部门是否利用平安的处置方法将设备中存储的敏感信息消除井保存消除记录？是资产转移限制依据InfO-Riskmanager风险评怙的结果，未经授权之前,是否不将设备、信息或物件带到工作场所外？重要信息设备的迁移是否被授权,迁移活动是否被记录？是A.10通信和掾作管理标准条歆号标题目标/限制控制理由控制要求审核发觉掾作程序和职贵目标现保信息处理设备的正

15、一和平安运用作业程序文件化限制依据Info-Riskmanager风险评估的结果.本公诩是否依据信息平安方针的婴求.建立并实值文件化的作业程序？O是变更管理限制依据Info-Riskmanager风险评估的结果.对信息处理设施的变更是否按相关规定进行。是否用系统和软件等方面的更改实播严格限制，在更改前评估更改所带来的潜在极响，正式更改前履行更改审批手续,并实行必要的措施确保不胜利更改的复原？是职员分别限制依据InfoRiskmanager风险评估的结果.为防止非授权的更改或误用信息或服务的机会,是否按要求进行职员安排？是开发和运作设备的分别限制依据InfO-Riskmanager风隆评估的结果

16、，开发部门在进行软件和测试程序的开发时，是否有一个独立开发与测试环境，与作业设施分别?是第三方服务交付管理目标执行并保持与第三方J1.务交付协议相一样的信息平安和JR务交付答ft.检查悔议的执行状况，其符合性并限制相是否的改交，以保交付的服务清意第三方伸议中的全部要求.服务交付限制依据Info-Riskmanager风险评估的结果.是否对第三方的服务的交付.包括协议规定的平安支配、服务定义以及服务管理等方面进行管理和蕤收，是否确保第三方保持充分的眼务实力，并且具备有效的工作支配，即使发生空大的服务故障蜕灾难也能保持服务交付的连战性？是第三方服务的监控和评审限制依据InfORiSkmanager

17、风隆评估的结果.第三方关系的管理是否有特地的人员，确保第三方安排职费符合协议要求.是否对协议要求,特殊是平安要求的符合性进行监控地否该有充分可用的技术技能和资源。是否当发觉服务交付不足时是否该实行适当的措施？是管理第三方服务的更改限制依期Info-Riskmanager风a评估的结果，对第三方服务更改的管理过程是否考虑：a）组织的更改，包括加强当前供应的服务，开发新是否用程序和系统,修改和更新方针及程序.好决信息平安事务，提而平安性的新限制？b）第三方眼芬的更改,包括更改和加强网络,运用新技术,更改服务设脩的物理位置.更改供是否商？是系统策划与蕤收目标使系统故障风险最小化。容地管理限制依据In

18、foRiskmanager风险评估的结果.软件部是否时信息网络系线的容量需求进行监控.并对构来容成需求进行策划,适当时机进行容限扩充？是系统验收限制依据InfO-Riskmanager风隆评估的结果，新系统、系统升级接收的，系统验收部门是否制定接收准则，珞测试合格后方可正式运行,测试记录及验收报告是否予以保存/是防范寒意软件目标型护软件和侑息的完胫.防的恶立代码限制依据Info-Riskmanager风险评怙的结果，软件部是否为限制恶意软件的主管部门负员供应防他芯感软件的技术工具并对技术工具进行实时升级，各部门是否具体负成本那门的怨意软件族防限制工作？是防范可移动代码限制依据Info-Risk

19、manager风险评估的结果.授权运用移动代码时,配置是否该确保已投权移动代码的运行符合明确定义的平安方针，未经授权的移动代码是否该被阻挡执行。是4H目标保持信息处理和通佶服4r的完整性和可用性.信息备份限制依据InfORiskmanager风险注估的结果.本公是否司依据风降评估的站果对电要数据库、软件等进行的份软件部为全公司信息备份供应技术支持,各业务主管部门是否协同软件部制定备份策略？是网络平安管理目标为保持对网络中的佶息及支持性设行有效爱护网络限制限制依据InfO-RiskmanagerW1.险评估的结果本公诃是否充分管理和限制网络,以防他威逼，维特系统和运用网络的是否用程序的平安,包括

20、传输中的信息。实施网络平安限制以确保网络上信息的平安，并对接入服务进行爱护.防止未经授权访问？是网络服芬的平安限制依据IMaRRkmanager风隆评怙的结果软件涉是方依据组织的平安策略，识别现有的网络服务，明确规定网络服务平安属性值，由授权的网络系统平安管理员进行参数配笈与维护管理？是介质的处理目标为防止资产损坏和业务活成要性进行适当的爱广“故发生.动中断，依据介朋所储存的信息的敏感性,平安处置，确保因介质不当造成信息漫可移动介质的管理限制依据InfO-Riskmanager!4险评估的结果.对可移动介矮包括光盘、磁带、磁盘、盆式破带和已经印刷好的报告,各部I1.是否按其管理权取并依据风限评

21、估的结果对其实施有效的限制？是介质的处置限制依据Info-RiskmanagerJA险评估的结果.甘于含有敏感信息或重要信息的介质在不须要或再运用时.处置部门是否依据要求实行平安牢靠处说的方法将其息消除？是信息处汽程序限制依据Info-RiSkmanager风险评估的结果.为双护敏感信息不会因未经授权处理而造成泄漏或滥用，本公司是否建立并实施管理制度？是系统文件的平安限制依据IMaRRkmanager风隆评怙的结果本公司是否实行措施.爱护系统文件，防止未经授权的访问,各部门对所属的系统文件,无论以何种媒体形式存在，是否按要求予以限制？信息和软件交换目标明确信息和软件交换的限制目检，保在内部及任

22、何外部机构之闾所交换的佶息和软件的平安.信息交换方针和程序限制依掘InfO-RiSkmanager风隆评估的结果在与顾客进行数据与软件交换的过程中是否采纳以下的平安限刎措施：a）塞订平安保密饼议，明确双方的平安贡任与平安交接方式？b）假如有要求,采纳!川密方式传输数刖？C）由授权人员接受并曾记？交换协议限制依据Info-RISitmanager风险评估的结果.是否建立并保持相应的方舒，以爱护被传输的信息和物理介侦.并作为制定交换协议的参考？是物理介质的传送限制依据Info-Riskmanager风险评怙的结果依据Info-Riskmanager风险评估的结果。为避开祓传送的介顺在传送（运输）过

23、程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、不完整或不行用.负责介质传送的部门是否采纳以下方法进行限制：a）选择相宜的平安传送方式；是b）保持传送活动记录？业务信息系统限制依据Info-RiskmanagerM险评估的结果.本公司通过是否用系统进行日常办公生产经营管理.本公H建立并实施相是否系统的平安运用策略和是否用管理,以爱护与业务信息系统互联相关的信息，削减系统造成的信息泄正？是电子商务康务目标确保电子商务服务的平安，及其平安运用。电子商务限制本公司无该项业芬在线交易限制本公司无诬项业务公共信息限制依据InfORiSkmanager风验评估的结果.本公司通过公共可用网站运用电子方式

24、公布的信息,是否按现定进行限制？是目标探S1.未经授权的信息处理活动.审核日志限制依据Info-RiskmanagerM险评估的结果.软件部是否建立并保存例外事务或其它平安相关事务的审核日志,以便对将来的调查和访问限制监测供应帮助.审核日志一般通过运用系统检测工具依据M光的设置自动生成?是源控系统的运用限制依据InfORiSkmanager风验评估的结果.监控部门是否依据规定周期对对监控结果进行评审,确保用户只执行械明确授权的活动。发觉异样事务姑否实行必要的措施并实施？是F1.忐信息的爱护限制1RiInfo-R1.sitmanager风险评估的结果.是否实施限制，防止时口忐记录设施的未经授权的

25、更改和出现操作问题？是管理员和操作员日志限制依据Info-Riskmanager风险评估的结果.管理员和操作员的日志是否该包括：a）事情（胜利或失败）发生的时间:b）Ui情的有关信息（U;操作的文件）或故障信息:C）涉及哪一个账号以及哪一个管理员或操作员:d涉及哪一个过程？是故障日志限制依据Info-RiskmanagerM险评估的结果.是否规定了用户或系统程序报告的有关信息处理系统的问遨如何记录,以及消嘶的规定了如何处理报告的故障？是时仲同步限制1RJRInfo-Riskmanager风险评怙的结果公司中心路由器是否设置为时钟同步服务器,在网络系统的域限制器与时钟同步服务器进行对时,全部的计

26、算机设备是否必需登陆域？A1.1.访向限制标准条款号标甥目标/限制控制理由控制要求审核发觉访付限制的业务聂求目标保信息处理设备的正确和平安运用.访问限制策略限制依据Info-Riskmanager风险评估的结果.本公M是否基于访问限制策略,明确规定访问限制的业务要求,规定访问限制规则和每个用户或用户坦的访问权力?是用户访问管理目标现保授权用户能够访问信息系歧，防止对信息票或未能授权的访问.用户注册限制依据Info-Riskmanager风险评估的结果.是否依据规定的访问限制策略及确定的访问规则，访问权限管理部门对用户进行书面访问授权？是特权管理限制依据Info-Riskmanager风险评估的

27、结果.特权安排是否以它们的功能角色的最低要求为掘，有些特权在完成特定的任务后是否被收回，确保特权拥有者的特权是工作所须要的且不存在富有的特权？是用户口令管理限制依据Info-Riskmanager风险评估的结果.各系统管理员是否对被授权访问系统的用户口令予以安排？是用户贵任目标明府用户贵任,防止对信息和信息处理设It非授权用户的访问、破坏或盗窃.口令的运用限制依据Info-Riskmanager风险评估的结果.本公司是否在相应的是否用管理中明确规定了H令平安选择与运用要求，全部用户是否ffi格遵守？是无人值守的用户设-限制依据Info-R1.skmanager风险评估的结果.本公司是否在和相应

28、的应用管理中规定全部用户爱护无人值守设备的平安要求和程序.以及他们在实施此类爱护方面的贲住？是清洁桌面和清除屏幕策略限制依据InfO-Riskmanager风隆评估的结果，本公司是否制定清除案面、消除圻整的策略并实施，各部门负资人是否负货S1.i督本部门员工该策略的日常实施状况？是网络访问限制目标爱护网络摩务，防止对可络服务的未授权访向.网络眼务运用策略限制依据InfORiSkmanager风险评估的结果.本公司是否建立并网络服务平安策略，以确保惮络服务平安与服务质收？是外部联接用户的验限制依据Info-Riskmanager风险评估的结果.外部连接的用户对本公司内部网络访问是否用户的访问授权

29、按规定实施授权:是否只有羟过授权的用户才可以实施外部连接？是网络中设备的鉴别限制IiSciKInfo-Riskmanager风险评怙的结果，忸如通讯仅能从特定的位式和设备发起是重要的，是否可以采纳设符鉴别？设品中的标识符或附加的标识符是否可以用来显示该设备是否被允许连接到网络？假如存在多个网络，尤其是这些网络有不同的敏感程度,那么标识符是否该明确显示设备被允许接入的网络？是否须要考虑设缶的勃理爱护以保持设备标识符的平安？是远程诊断和配置端口的爱护限制依据InfO-Riskmanager风隆评估的结果，软件都是否与设备供是否商签订平安协议,口令等平安措族对远程诊断断口的爱护，防止被非法运用？是网

30、络分别限制依据InfO-Riskmanager风隆评估的结果，是否为确保本公司网络平安，采纳物理和逻耕两种方式进行网络隔唱？是网络连接限制限制依据InfoRiskmanager风险评估的结果，软件部是否依据访问限制策珞的要求，来限制用户的连接实力,例如通过网络网关来限制.网关的平安设置是否与组织的访问限制策略保持一样？是网络路由限制限制依甥Info-Riskmanager风a评估的结果，找件部是否依据访问限制方针和网络平安要求，采纳硬件或软件的手段，基于源地址和目的地址的检查机制，对路由实施限制？掾作系线的访问限IM目标防止未短授权的计算机i方向.平安登录程序限制依照Info-Riskmana

31、ger风a评估的结果，本公司是否通过技术手段供应平安的悚作系统系统平安登录程序?为削减非授权访问的机公，是否对信息服务系统访问采纳平安登录过程实现？是用户标识与验证限制依据Info-Riskmanager风险评估的结果.用户是否有唯一的识别符,以使他们个人单独运用时，能查出活动的个人说任，用户2由系统管理员依据授权的规定予以设徨：假如多个用户共用一个识别符(USERID)是否H1.访问授权主管部门授权？是口令管理系统限制依据InfO-Riskmanager风隆评估的结果，软件部是否加强11令管理,通过技术手段供应有效的、互动的设施以确保口令质收，除非一次口令系统,通过操作系统的强制指施要求用户

32、定期变更口令？是系统好用程序的运用限制依据Info-Riskmanager风险评估的结果.软件部门是否对系统是否用程序的运用进行限制和严格限制,并规定授权的运用者.是会话超时限制依甥Info-Riskmanager风a评估的结果，各系统管理员在其管理的终端处于不活动时，是否利用锁屏、清除屏窑以防止非授权的访问,但不关闭是否用或网络话路。对于外部访I-J系统服务器的连接是否有时限限制？是联接时间的限制限制依据风险评估的结果，本条款不适用NA是否用程序及信息访问犀IM目标防止未授权访问信息系线内的佶息.信息访问限制限制依据InfO-Riskmanager风隆评估的结果，疑于本公司生产经营管理是否用

33、要求并道从访问策略，向应用用户供应访问信息和是否用系统功能？是敏感系统隔离限制依据InfO-Riskmanager风隆评估的结果，为确保含有械学信息的系统不发生泄密事故，是否实行措施.对敏超系统予以隔离？是移动式计算和远程工作目标明A限制目标，确保移i勃式计算和远程工作设茂的信息平安.移动计算和通信限制依据InfORiSkmanager风险评估的结果.本公司是否建立实施运用规定，对第记本电脑的移动办公实施有效平安管理？是远程工作限制依据Info-Riskmanager风险评估的结果.本公司是否建立远程1：作平安策略.并对远程工作用户实施授权管理,实行必要的平安措施防止远程工作带来的平安风险？是

34、A.12系统获得、开发和It护标准条款号标SS目标/限制控制理由控制要求审核发觉信总系统的平安襄求目标现保平安性已构成信息系统的一部分.平安需求分析和规范限制依据InfORiSkmanag(K风隆评估的结果.信息系统建设部门在进行新系统建设或系统更新时,是否对系统进行分析,依据业务功能要求及伯息平安要求，明确规定限制要求？是系统（软件）本身的功能及平安特性是否在设计开发输入时是否明确提出，并进行评审？是否用系统建设依据规定执行？是是是否用程序的正确目标防止是否用程序中幡谀的、用户数据丢失、未经授权的修改啕K用.输入数据的验证限制依据InfORiSkmanager风险评估的结果.系统隹设是否明确

35、是否用系统输入数据脸证的要求,以确保钻入数据iE确和恰当？各部门是否用系统的操作人员是否对输入到系统内的数据进行仔细核对,对于关键或重要输入数据的输入是否由相是否的作业漉程所现定的人员进行确认？是是内部处理限制限制依照Info-Riskmanager风a评估的结果，系统建i殳是否考虑系统内部数据确认检查的要求，以ft处数据处理过程的错误？是消息的完整性限制依据InfoRiskmanager风险评估的结果.系统建设时是否识别消息的真实性和完整性需求.并识别和实施适当的限制？是输出数据的5金证限制依据Info-Riskmanager风险评估的结果.系统建设是否考虑陶用系统给出数据确认的要求，以确保

36、对贮存的信息处理的正确和是环境相适是否？各部门是否用系统的操作人员是否对是否用系统输出的数据进行仔细核对.对于关位或重要的输出数掘是否由相是否的作业流程所规定的人员进行确认？是加密限制目标通过加密方法-保信息的机击性、完整性和有效性.运用密码限制策略限制依据InfORiSkmanager风险评估的结果.本公司是否依据及看护本公司机密数据的要求制定数据加密策略并实施？是否正确应用加密技术,确保是否用利益被大化,危急地小化，须避开不恰当或不正确的运用？是密钥管理限制依据Info-R1.skmanager风险评估的结果.本公司是否依据所采纳的加密技术对密初产生、平安分发、储存、平安运用等方面进行管理

37、以支持密码技术的是否用？是否防止密包的任何损坏或丢失（包括泄密）椰可以导致信息机密、出实性和/或完整性的损咨？是系统文件的平安目标限制对系统文件和程序代码的访向，并确保系俄文件的平安.操作软件的限制限制依据InfO-Riskmanager风隆评估的结果，现定软件部和系统应用主管部门是否时操作系统软件的版本管理、安装、运用和备份进行严格限制。规定在新软件安装或软件开级之前.是否经测试和审批后方可按规定程序进行？是系统刈试数据的爱护限制依如；Info-Riskmanager风险评估的结果，本公司是否规定不得运用包含个人信息和畋感信息以及运行数据库用于测试？对程序源代码的访何限制限制依据Info-R

38、1.skmanager风险评估的结果.为降低计算机程序被破坏的可能性，系统建设部门是否按规定的要求对程序派代码实施管理/是开发和支持过程的平安目标确保是否用系统软件和信息的平安。变更限制程序限制依据InfORiSkmanag(K风险评估的结果，为使对信息系统的损击降至最小,系统的变更在更改前是否进行适当的测试与评审.经开发软件负费人批准后予以实施？操作系统及是否用系统的升皴是否经过系统主管部门测试、评审与批准后方可进行？是是操作系统变更后对是否用程序的技术限制依据Info-Riskmanager风险评估的结果.当操作系统发生更改时操作系统更改对应用系统的影响是否由系统主管部门进行评是史查审，确

39、保对作业或平安措施无不利影响？软件包的变更的限制限制依据Info-Riskmanager风险评估的结果.本公司不激励修改软件包,假如有必要确需进行更改，更改提出部门是否在实施前进行风隆评估，确定必需的限制措族，保留原始软件，并在完全一样的发制软件上迸行更改.更改实施前是否得到软件部领导和系统是否用主管部门的授权？是信息泄漏限制依据InfoRiskmanager风险评估的结果.是否对软件的选烟、运用、变更及开发过程进行限制和检查以防止可能的阻藏通道和特洛伊码？是外包软件开发限制依据Info-Riskmanager风验评估的结果.开发软件正式外包商,设计开发部门是否明确软件开发的平安技术要求,并与

40、软件开发方签订技术办议在协设中明确规定平安技术要求（包括开发过程）：软件安装运用前，是否进行测试,以防止隐微通道及特潘伊码的存在？是技术薄I1.点管理目标降低由已期公布的薄旧点所带来破坏的风险.技术薄弱点的限制限制依据Info-R1.skmanager风险评估的结果.归口管理制门是否时技术薄弱点是否进行风险泮彷，进行专项分析，制订风险处理支配.依据风险处理支配实行对是否的技术和是管理措能.A.13信息平安*务管理标准条款号标题目标/限制控制理由控制要求审核发觉报告信息平安事情和弱点目标保证与信息系统相关联的信息平安事情和界点的沟通，沟通的方式是否允许实行刚好订正措黛.报告估恩平安事情限制依据I

41、nfO-Riskmanager风隆评估的结果，平安事情、事故一经发生，事情、中故发觉苕、”情、任故设任者是否马上向主管部门报告，主管部门和责任部门是否刚好对事情、事故进行反是否处理.全部员工有报告平安事情、事故的义务？是报告平安弱点限制依如；Info-Riskmanager风险评估的结果，各部门及全体员工是否依据要求刚好识别平安薄弱点及可能的平安或遢，一旦发觉是否刚好向有关人员或部门报缶并记录,主管部门或平安管理负责人是否实行有效的模防措施，防止威遇的发生？信息平安事务和改进的管理目标保证是否用于信息平安务管理的方法的一律和有效.责任和程序限制KfiSInfo-Riskmanager风险评估的

42、结果，事故主管部门接到报告以后,必否马上进行快速、有效和有序的反应？是从事故中吸取教训限制依照Info-Riskmanager风a评估的结果，事故发生后，主管部门是否时事故发生的缘由、类型、损失进行格定，并提出防止此类事故再次发生的措施或建议,形成事故调变分析及处理报告，责成责任部门实施订正措施?是证抠的收集限制依据InfO-Riskmanager风隆评估的结果，人事行政部是否负说发生法律纠纷与诉讼的证据收集，并确保证据收集是否符合以下要求：a）所呈证据是否符合国室有关的证据法b）符合用于供应可接受证据的任何已发布的标准或法规：C）对已收集到的证据进行平安的保管，防止未经授权的更改或破坏：d）收集到的证据符合法庭所要求的形式，A14业务持续性管理标准条款号标SS目标/限制控制理由控制要求审核发觉业务持软性管理的内容目标抵消业务活动受到干扰的影嘀，并防止关