《ISMS内审检查表.xls》由会员分享,可在线阅读,更多相关《ISMS内审检查表.xls(26页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、序序号号ISO/IEC27001信信息息安安全全管管理理体体系系要要求求核核查查结结果果核核 查查 问问 题题条条款款号号符符合合性性 检检查查结结果果4 信息安全管理体系1有无在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系?4.12是否有文件明确描述ISMS范围和边界?4.2.1a)3删减的项目是否明确说明?并说明细节和理由?4.2.1a)4是否定义了ISMS方针?4.2.1b)5ISMS方针是否为其目标建立一个框架并为信息安全活动建立整体的方向和原则?4.2.1b)6ISMS方针是否考虑业务及法律或法规的要求,及合同的安全义务?4.2.1
2、b)7ISMS方针是否与建立和维持ISMS的组织战略和风险管理相一致?4.2.1b)8能否根据ISMS方针建立风险评价的准则?4.2.1b)9ISMS方针是否获得管理者批准?4.2.1b)10是否定义了组织风险评估方法?4.2.1c)11是否建立了接受风险的准则并识别风险的可接受等级?4.2.1c)12选择的风险评估方法是否确保风险评估能产生可比较的和可重复的结果?4.2.1c)13是否识别了ISMS控制范围内的资产以及这些资产的所有者?4.2.1d)14是否识别了对这些资产的威胁;?4.2.1d)15是否识别了可能被威胁利用的脆弱性?4.2.1d)16是否识别了保密性、完整性和可用性损失可能
3、对资产造成的影响?4.2.1d)17是否分析并评价了风险?4.2.1e)18是否评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的后果?4.2.1e)19是否根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性?4.2.1e)20是否评价了风险的等级?4.2.1e)21是否根据已建立的准则,判断风险是否可接受或需要处理?4.2.1e)22是否识别并评价风险处理的选择的程序?4.2.1f)23风险处理是否考虑:4.2.1f)a)采用适当的控制?b)如果能证明风险满足方针和风险接受准则,有意的、客观的接受风险?c)采取措施避免风
4、险?d)将有关的业务风险转移到其他方,例如保险公司、供方。24是否有选择并实施控制目标和控制措施的程序,是否实施该程序以满足风险评估和风险处理过程所识别的要求?4.2.1g)25选择时,是否考虑接受风险的准则以及法律法规和合同要求?4.2.1g)26是否获得管理者对建议的剩余风险的批准?4.2.1h)27是否获得管理者对实施和运行ISMS的授权?4.2.1i)28是否有适用性声明?4.2.1j)29适用性声明是否描述所选择的控制目标和控制措施,以及选择的原因?4.2.1j)30适用性声明是否描述当前实施的控制目标和控制措施?4.2.1j)31适用性声明是否有对附录A中控制目标和控制措施的删减,
5、以及删减的理由?4.2.1j)32是否制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权?4.2.2a)33是否为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配?4.2.2b)34是否实施了所选的控制,以满足控制目标?4.2.2c)35是否确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果?4.2.2d)36是否实施培训和意识计划?4.2.2e)37是否有管理ISMS实施的运作程序?4.2.2f)38是否实施ISMS的资源管理?4.2.2g)39是否实施能够快速检测安全事情、响是否安全
6、事件的程序和其它控制?4.2.2h)40是否执行监视程序和其他控制以:4.2.3a)1)快速检测处理结果中的错误;2)快速识别失败的和成功的安全破坏和事件;3)能使管理者确认人工或自动执行的安全活动达到预期的结果;4)帮助检测安全事情,并利用指标预防安全事件;5)确定解决安全破坏所采取的措施是否有效。41是否定期评审ISMS的有效性(包括安全方针和目标的符合性,对安全控制措施的评审),考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈?4.2.3b)42是否测量控制措施的有效性,以证实安全要求已得到满足?4.2.3c)43是否按照计划的时间间隔,评审风险评估,评审剩余风险以及可接
7、受风险的等级,考虑到下列变化:4.2.3d)1)组织;2)技术;3)业务目标和过程;4)已识别的威胁;5)实施控制的有效性;6)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。44是否按照计划的时间间隔进行内部审核?4.2.3e)45是否定期对进行管理评审,以确保范围的充分性,并识别ISMS过程的改进?4.2.3f)46是否考虑监视和评审活动的发现,更新安全计划?4.2.3g)47是否记录可能对ISMS有效性或业绩有影响的活动和事情?4.2.3h)48是否定期实施已识别的ISMS改进措施?4.2.4a)49是否定期采取适当的纠正和预防措施。吸取从其他组织的安全经验以及组织
8、自身安全实践中得到的教训?4.2.4b)50是否定期与所有相关方沟通措施和改进。沟通的详细程度是否与环境相适宜,必要时,是否约定如何进行?4.2.4c)51是否定期确保改进达到其预期的目标?4.2.4d)52文件是否包括管理决策的记录,确保措施可以追溯到管理决策和方针。记录的结果是否是可重现的?4.3.153能否展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最终回溯到ISMS 方针和目标?4.3.154ISMS文件是否包括文件化的安全方针和控制目标?4.3.1a)55ISMS文件是否包括信息安全管理体系的范围?4.3.1b)56ISMS文件是否包括支持ISMS的程序和控制?4.3
9、.1c)57ISMS文件是否包括风险评估方法的描述?4.3.1d)58ISMS文件是否包括风险评估报告?4.3.1e)59ISMS文件是否包括风险处理计划?4.3.1f)60ISMS文件是否包括组织为确保其信息安全过程有效策划、运作和控制及如何测量控制措施有效性所需的文件化的程序?4.3.1g)61ISMS文件是否包括本标准所要求的记录?4.3.1h)62ISMS文件是否包括适用性声明?4.3.1i)63ISMS所要求的文件是否被保护并予以控制?4.3.264是否建立了文件控制程序?4.3.265文件发布前是否得到批准,以确保文件是充分的?4.3.2a)66必要时是否对文件进行评审、更新并再次
10、批准?4.3.2d)67是否确保文件的更改和现行修订状态得到识别?4.3.2c)68是否确保在使用时,可获得相关文件的最新版本?4.3.2d)434.2.3d)69是否确保文件保持清晰、易于识别?4.3.2e)70是否确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁?4.3.2f)71确保外来文件得到识别?4.3.2 g)72确保文件的分发得到控制?4.3.2h)73防止作废文件的非预期使用?4.3.2i)74若因任何目的需保留作废文件时,是否对其进行适当的标识?4.3.2j)75是否建立并保持记录,以提供信息安全管理体系符合要求并有效运作的证据?4.3.376
11、记录是否被保护并控制?4.3.377ISMS是否考虑任何相关的法律和法规要求以及合同责任?4.3.378记录是否保持清晰、易于识别和检索?4.3.379记录的标识、储存、保护、检索、保存期限以及处置所需的控制是否被文件化并实施?4.3.380记录中是否包含4.2中所列出的所有过程的业绩,以及发生的、与ISMS相关的重大安全事件?4.3.35 管理职责81管理者是否建立信息安全方针?5.1a)82管理者是否确保信息安全目标和计划得以制定?5.1b)83管理者是否建立信息安全的角色和职责?5.1c)84管理者是否向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性?5.1d
12、)85管理者是否提供充分的资源,以建立、实施、运作、监视、评审、保持并改进ISMS?5.1e)86管理者是否决定接受风险的准则和风险的可接受等级?5.1f)87管理者是否确保内部ISMS审核得以实施?5.1g)88管理者是否实施ISMS管理评审?5.1h)89组织是否确定并提供所需的资源,以:5.2.1a)建立、实施、运作、监视、评审、保持和改进ISMS;b)确保信息安全程序支持业务要求;c)识别并指出法律法规要求和合同安全责任;d)通过正确是否用所实施的所有控制来保持充分的安全;e)必要时进行评审,并对评审的结果采取适当措施;f)需要时,改进信息安全管理体系的有效性。90是否能够确保被分配I
13、SMS规定职责的所有人员,都必须有能力执行所要求的任务?5.2.291组织是否通过以下措施保证人员能力:5.2.2a)确定从事影响ISMS工作的人员所必要的能力;b)提供培训或采取其他的措施来满足这些需求;c)评价所采取措施的有效性;d)保留教育、培训、技能、经验和资历的记录92是否确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现ISMS目标做出贡献?5.2.26 内部信息安全管理体系审核93组织是否按照策划的时间间隔进行内部审核?694组织是否考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行了策划?695是否规定审核的准则、范围、频次和方法?
14、696审核员的选择和审核的实施是否能确保审核过程的客观性和公正性?审核员是否审核自己的工作?697是否制定了内部审核程序?698内部审核程序是否规定了策划和实施审核以及报告结果和保持记录的职责和要求?699负责受审区域的管理者是否确保及时采取纠正措施?6100改进的活动是否包括对所采取措施的验证和验证结果的报告?67 信息安全管理体系管理评审101管理者是否按计划的时间间隔进行ISMS管理评审?7.1102评审是否包括评价ISMS改进的机会和变更的需要,包括安全方针和安全目标?7.1103评审的结果是否清晰地形成文件?7.1104评审记录是否加以保持?7.1105管理评审的输入是否完整,符合要
15、求。7.2106管理评审的输出是否包括与下列内容相关的任何决定和措施:7.3a)ISMS有效性的改进;b)更新风险评估和风险处理计划;c)必要时,修订影响信息安全的程序和控制措施。8 信息安全管理体系改进107是否通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审,持续改进ISMS的有效性?8.1108是否采取措施,消除不符合的原因,以防止再发生?8.2109是否有纠正措施控制程序?8.2110纠正措施控制程序是否符合要求。8.2915.2.2111是否确定措施,以消除潜在不符合的原因,防止其发生?8.3112所采取的预防措施是否与潜在问题的影响程度是否相
16、适应?8.3113是否有预防措施控制程序?8.3114预防措施控制程序是否符合要求?8.3115是否识别变化的风险,并通过关注变化显著的风险来识别预防措施要求?8.3116预防措施的优先级是否基于风险评估结果来确定?8.3备备注注核核 查查 说说 明明核核查查结结果果4 信息安全管理体系5 管理职责6 内部信息安全管理体系审核7 信息安全管理体系管理评审8 信息安全管理体系改进序序号号ISO/IEC27001信信息息安安全全管管理理体体系系要要求求核核查查结结果果核核 查查 问问 题题条条款款号号符符合合性性 检检查查结结果果1信息安全方针文件是否由管理者批准、发布并传递给所有员工和外部相关方
17、?A.5.1.12信息安全方针是否按照计划的时间间隔或者发生重大变化时进行评审,以确保其持续适宜性、充分性和有效性?A.5.1.23管理者是否通过明确导向、可证实的承诺、信息安全职责的分配来积极支持组织内的信息安全?A.6.1.14信息安全活动是否由来自组织不同部门并具备相关任务和工作职责的代表进行协调?A.6.1.25所有信息安全职责都是否被清楚的定义?A.6.1.36是否对新的信息处理设施规定并实施管理授权过程?A.6.1.47反映组织信息保护需求的保密或不泄密协议的要求是否被识别并定期对其进行评审?A.6.1.58与相关的权威机构的适当联系是否被保持?A.6.1.69与专业的相关团体或其
18、他安全专家论坛或专业协会的适当联系是否被保持?A.6.1.710组织管理信息安全的方法及其实施情况(如控制目标和控制措施、策略、过程和信息安全的程序)是否根据策划的时间间隔,或者是当安全实施发生重大变化时进行了独立评审?A.6.1.811是否识别由外部相关方参与商业过程而对组织信息资产和信息处理设施造成的风险?并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制?A.6.2.112在批准顾客访问组织信息或资产前,是否处理所有已识别的安全要求?A.6.2.213与第三方签订的涉及组织信息或信息处理设施或信息处理设施附加部件和服务的访问、处理、沟通或管理的协议,是否包含或涉及所有已识别的安
19、全要求?A.6.2.314是否明确识别所有资产,并建立和保持重要资产清单?A.7.1.115组织是否对所有的与信息处理设施有关的信息和资产指定“所有者”?A.7.1.216是否识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施?A.7.1.317是否根据其价值、法律要求、敏感度以及对组织的关键程度,对信息进行分类?A.7.2.118是否依据组织采纳的分类方案制定并实施一系列适当的信息标识和处理程序?A.7.2.219是否依据组织的信息安全方针规定员工、合作方以及第三方用户的安全任务和责任,并将其文件化?A.8.1.120关于所有员工、合作方和第三方用户候选者的背景验证检查是
20、否按照相关法律法规、道德规范和对应的业务需求、被访问信息的分类和感知的风险来执行?A.8.1.221作为契约义务的一部分,员工、合同方以及第三方用户是否同意并签署其聘用合同中的条款和条件,陈述他们及组织的信息安全职责?A.8.1.322管理者是否要求员工、合作方以及第三方用户依据建立的方针和程序来应用安全?A.8.2.123组织的所有员工,适当时还包括合作方和第三方用户,是否接受适当的意识培训并定期向它们传达组织更新的方针和程序,以及工作任务方面的新情况?A.8.2.224对造成安全破坏的员工是否有一个正式的惩戒过程?A.8.2.325执行工作终止或工作变化的职责是否清晰的定义和分配?A.8.
21、3.126所有员工、合作方以及第三方用户是否在他们的聘用期限、合同或协议终止时归还他们负责的所有组织资产?A.8.3.227所有员工、合作方以及第三方用户对信息和信息处理设施的访问权是否在其聘用期限、合同或协议终止时删除,或根据变化作相是否的调整?A.8.3.328是否使用安全周界(墙、刷卡出入的大门或者人工接待前台)保护包含信息及信息处理设施的区域?A.9.1.129是否通过适当进入管理措施保护安全区域,确保只有得到授权的用户才能访问?A.9.1.230办公室、房间和设施的物理安全措施是否被设计并应用?A.9.1.331防范火灾、水灾、地震、爆炸、社会动荡,以及其它形式的自然或人为灾害的物理
22、安全控制是否被设计并应用?A.9.1.432安全区的物理保护和原则是否被设计并应用?A.9.1.533是否对交付和存储设施的访问地点以及其它未经授权的人员可能访问到的地点进行控制,可能的话,是否与信息处理设施隔离,以避免未经授权的访问?A.9.1.634设备是否被定位或保护,以降低来自环境威胁和危害的风险,以及未经授权的访问机会?A.9.2.135是否对设备加以保护使其免于电力中断或者其它电力异常的影响?A.9.2.236是否保护传输数据和辅助信息服务的电缆和通讯线路,使其免于截取或者破坏?A.9.2.337设备是否得到正确的维护,以确保其持续有效性和完整性?A.9.2.438考虑到在组织场所
23、外工作的风险,安全是否应用到场所外设备?A.9.2.539包含储存媒体的设备的所有项目是否进行检查,以确保在处置之前将所有敏感数据和许可软件都被清除或者覆盖掉?A.9.2.640在未经授权的情况下,设备、信息或软件是否带到场所外?A.9.2.741操作程序是否被文件化、保持,并且在用户需要时可用?A.10.1.142是否控制对信息处理设备和系统的变更?A.10.1.243责任及负责范围是否加以隔离,以降低未经授权或无意识的修改或者不当使用组织资产的机会?A.10.1.344开发、测试和运作设施是否隔离,以降低对操作系统未经授权的访问和更改的风险?A.10.1.445是否确保在第三方协议中规定的
24、安全控制、服务的交付等级被第三方实施、运作和保持?A.10.2.146第三方提供的服务、报告以及记录是否定期监控和评审,并定期进行审核?A.10.2.247对服务提供的更改是否进行管理,包括保持和改进现有的信息安全方针、程序和控制,要考虑业务系统的关键程度、所涉及的过程以及风险的再评估?A.10.2.348是否监控、协调资源的使用,并规划未来的容量要求,以确保所要求的系统性能?A.10.3.149是否建立新信息系统、系统升级和新版本的接收标准,并在接收之前做适当的系统测试?A.10.3.250是否实施恶意代码的监测、预防和恢复控制,以及适当的用户意识培训的程序?A.10.4.151移动代码的应
25、用被授权时,配置是否确保授权的移动代码依照被清晰定义的安全方针来操作,未经授权的移动代码是否被阻止执行?A.10.4.252是否按照已设定的备份方针,定期备份和测试信息和软件?A.10.5.153是否充分管理和控制网络,以防范威胁,维持系统和使用网络的应用程序的安全,包括传输中的信息?A.10.6.154是否识别所有网络服务的安全特性、服务等级以及管理要求,并将其包括在网络服务协议中,无论这些服务是内部提供还是外包?A.10.6.255是否有可移动介质的管理程序?A.10.7.156当不再需要时,介质是否按照正式的程序可靠、安全的处置?A.10.7.257是否建立处理和储存信息的程序来保护这些
26、信息免于未经授权的泄露或误用?A.10.7.358是否保护系统文件,防止未经授权的访问?A.10.7.459是否建立正式的交换方针、程序和控制,以保护通过所有类型的通信设施进行的信息交换?A.10.8.160是否建立组织与外部团体交换信息和软件的协议?A.10.8.261运输超出组织的物理界限时,是否对包含信息的介质进行保护,防止未经授权的访问、误用或破坏?A.10.8.362电子讯息中包含的信息是否被适当的保护?A.10.8.463是否建立并实施相是否的方针和程序,以保护与业务信息系统的互联相关的信息?A.10.8.564是否保护通过公共网络传输的包含在电子商务中的信息,防止欺诈行为、合同争
27、议,以及未经授权的泄漏和修改?A.10.9.165是否保护在线交易涉及的信息,防止传输不完全、路由错误、未经授权的信息更改以及未经授权的信息复制?A.10.9.266是否保护公共系统中信息的完整性,防止未经授权的修改?A.10.9.367是否产生记录用户活动、例外和信息安全事情的审核日志?是否保持一个已设的周期以支持将来的调查和访问控制监视活动?A.10.10.168是否建立程序检测信息处理设备的使用?是否定期对监控结果进行评审?A.10.10.269日志记录设施以及日志信息是否被保护,防止被篡改和未经授权的访问?A.10.10.370系统管理员和系统操作员的活动是否被记录?A.10.10.4
28、71故障是否被记录、分析并采取适当的措施?A.10.10.572织或安全域内的所有关于信息处理设施的时钟是否使用已设的精确时间源进行同步?A.10.10.673访问控制方针是否建立并文件化,是否基于业务和访问的安全要求进行评审?A.11.1.174是否有一个正式的用户注册和注销程序,适当地批准和撤回对所有信息系统和服务的访问?A.11.2.175是否严格限制并控制特权的分配和使用?A.11.2.276是否通过正式的管理程序来控制口令的分配?A.11.2.377管理层是否实施一个正式的程序来定期复查用户的访问权限?A.11.2.478用户是否按照良好的安全操作规程来选择和使用口令?A.11.3.
29、179用户是否确保无人值守设备得到足够的保护?A.11.3.280对于文件和可移动存储媒体的清洁桌面方针和对信息处理设施的清除屏幕方针是否被采用?A.11.3.381是否只向用户提供对那些特别授权他们使用的服务进行直接访问?A.11.4.182是否对远程用户的控制访问进行适当的验证?A.11.4.283自动设备鉴别是否考虑作为一种从特定位置和设备进行自动连接时的认证手段?A.11.4.384是否控制对诊断端口的物理和逻辑的访问?A.11.4.485是否在网络中以群组方式分离信息服务、用户及信息系统?A.11.4.586共享网络,特别是那些跨越组织界线的网络,是否根据业务应用的要求和访问控制方针
30、来限制用户对网络连接的能力?A.11.4.687是否对网络实施路由控制以确保计算机连接和信息流不会违背业务应用的访问控制方针?A.11.4.788对操作系统的访问是否有一个安全登录程序控制?A.11.5.189所有的用户是否有唯一的标识(用户ID)仅供他们个人使用,采用适当的认证技术来证实用户声明的身份?A.11.5.290口令管理系统是否是交互式的,并能确保高质量的口令?A.11.5.391是否对可能会在系统和应用程序控制之上的实用程序的使用进行限制和严格控制?A.11.5.492在规定的不活动期限后,不活动的会话是否关闭?A.11.5.593为了给高风险应用程序提高额外的安全,是否使用连接
31、时间限制?A.11.5.694用户以及支持人员对信息和应用系统的访问是否按照规定的访问控制方针进行限制?A.11.6.195敏感系统是否有专用(隔离的)计算环境?A.11.6.296是否建立正式的方针,并且是否采用适当的安全措施,以防范使用移动计算和通信设施的风险?A.11.7.197是否为远程活动建立并实施方针、运作计划和程序?A.11.7.298对于新增信息系统或者现有系统的升级的业务需求声明是否详细说明安全控制的要求?A.12.1.199是否验证输入到应用软件系统中的数据,确保它是正确的和适当的?A.12.2.1100有效性检查是否结合具体的应用,通过处理错误或预先的行为来检测信息的损毁
32、?A.12.2.2101在应用中确保可验证性和消息的完整性的需求是否得到识别,适当的控制也是否得到识别和实施?A.12.2.3102是否验证应用系统输出的数据以确保对存储信息的处理是正确的并且与环境相适是否?A.12.2.4103是否为保护信息而制订一套加密控制措施的使用方针并实施?A.12.3.1104是否有适当的密钥管理支持组织加密技术的使用?A.12.3.2105是否有适当的程序控制在操作系统中安装软件?A.12.4.1106是否谨慎挑选测试数据,并对它们进行保护和控制?A.12.4.2107访问程序源代码是否受到限制?A.12.4.3108是否使用正式的变更控制程序控制变更的实施?A.
33、12.5.1109当操作系统变更时,是否复查并测试应用程序系统以确保对运行或者安全没有负作用?A.12.5.2110是否阻止修改软件包,或限制在一些必要修改的范围内?所有修改都是否进行严格控制?A.12.5.3111是否防止发生信息泄露的机会?A.12.5.4112组织是否监督和监控外包的软件开发?A.12.5.5113使用的信息系统的技术薄弱点的相关信息是否定期获得?组织在这些薄弱点的暴露程度是否被评估,并采取适当的方法处理相关风险?A.12.6.1114信息安全事情是否通过适当的管理途径尽快报告?A.13.1.1115要求所有信息系统及服务的员工、合同方和第三方用户记录和报告任何观察到或可
34、疑的系统或者服务的弱点?A.13.1.2116是否建立管理责任和程序以保证对信息安全事件快速、有效和有序地做出响是否?A.13.2.1117是否有相是否的机制来量化并监测事件和故障的类型、大小和造成的损失?A.13.2.2118当信息安全事件发生后对个人或组织的后续行为涉及到法律行为(民事或刑事)时,是否收集、保留和给出证据并与相是否权限内的证据规则相符?A.13.2.3119是否在整个组织内为业务连续建立并保持管理过程,处理组织业务连续所需的信息安全要求?A.14.1.1120识别那些能够引起业务过程中断的信息安全事件,和中断发生的可能性和影响以及对于信息安全的后果?A.14.1.2121是
35、否制订并实施计划,以便关键商务处理程序的受干扰或者发生故障后,能够在要求的时间范围内维持或者恢复经营活动?A.14.1.3122是否保持单一的业务连续性计划框架,确保所有的计划相一致并且便于在测试和维护时识别优先级?A.14.1.4123是否通过定期测试和定期更新来维护该业务连续性计划,以确保它们是最新的和有效的?A.14.1.5124对每一个信息系统和组织而言,法律条文、行政法规及合同内容所规定的所有相关要求,以及满足这些要求的组织方法,是否加以明白地界定、文件化并保持更新?A.15.1.1125是否实行适当的程序,以确保在具有知识产权的产品和私有软件产品时,能符合法律、法规和合同条款的要求
36、?A.15.1.2126是否保护重要记录防止其丢失、损坏和篡改,并符合法律、规章、合同和业务的要求?A.15.1.3127数据保护和隐私是否确保符合相是否的法律法规要求,适用时也是否满足合同条款的要求?A.15.1.4128是否阻止用户把信息处理设备用于未经授权的目的?A.15.1.5129密码控制措施的使用要与所有的相关协定、法律和规定相符合?A.15.1.6130管理者是否确保在其责任范围内的所有安全程序被正确地执行,以确保符合安全方针及标准?A.15.2.1131是否定期检查信息系统是否符合安全运行标准?A.15.2.2132涉及检测操作系统的审核要求和活动是否仔细地策划并得到同意,以把中断业务处理程序的风险降到最低?A.15.3.1133是否保护对信息系统审核工具的访问,防止任何可能的误用或者危害?A.15.3.2其其他他核核 查查 说说 明明核核查查结结果果
黑公网安备:91230400333293403D