1、信息安全管理iso/ iec 27002:2005(iso/ iec 27001:2005)sans audit check listauthor: val thiagarajan b.e., m.comp, ccse, mcse, sfs, its 2319, it security specialist.status: finallast updated: 3rd may 2006owner: sanspermission to use extracts from iso 17799:2005 was provided by standards council of canada, in

2、cooperation with ihs canada. no further reproduction is permitted without prior written approval from standards council of canada. documents can be purchased at www.standardsstore.ca.目錄安全方針4信息安全方針4信息安全的組織5內(nèi)部組織5外部組織6資產(chǎn)管理7對資產(chǎn)的責(zé)任7信息分類7人力資源安全8雇傭前8雇傭中8雇傭終止或變更9物理和環(huán)境安全9安全區(qū)域9設(shè)備安全10通訊和操作管理12操作程序和職責(zé)12第三方服務(wù)交付管

3、理13系統(tǒng)規(guī)劃與驗(yàn)收13防范惡意代碼和移動(dòng)代碼14備份14網(wǎng)絡(luò)安全管理14介質(zhì)處置15信息交換15電子商務(wù)服務(wù)16監(jiān)督17訪問控制18訪問控制的業(yè)務(wù)要求18用戶訪問管理18用戶責(zé)任19網(wǎng)絡(luò)訪問控制20操作系統(tǒng)訪問控制21應(yīng)用和信息訪問控制22移動(dòng)計(jì)算和遠(yuǎn)程工作22信息系統(tǒng)的獲取、開發(fā)和維護(hù)23信息系統(tǒng)安全要求23應(yīng)用的正確處理23加密控制24系統(tǒng)文件安全25開發(fā)和支持過程的安全25技術(shù)脆弱點(diǎn)管理26信息安全事故管理27報(bào)告信息安全事件和弱點(diǎn)27信息安全事故的管理和改進(jìn)27業(yè)務(wù)連續(xù)性管理28業(yè)務(wù)連續(xù)性管理的信息安全方面28符合性29符合法律法規(guī)要求29符合安全方針、標(biāo)準(zhǔn)，以及技術(shù)符合性31信息系

4、統(tǒng)審核的考慮因素31參考資料32信息安全管理 iso iec 27002:2005 審計(jì)清單審計(jì)人員：_ 審計(jì)日期：_信息安全管理 iso iec 27002:2005 審計(jì)清單參考審計(jì)范圍、目標(biāo)和問題結(jié)果清單章節(jié)條款審計(jì)問題發(fā)現(xiàn)符合性安全方針1.15.1信息安全方針.1信息安全方針文件l 是否存在經(jīng)過管理層批準(zhǔn)的信息安全方針，發(fā)布并傳達(dá)給所有員工？l 安全方針是否陳述了管理承諾，并且設(shè)立了信息安全管理的組織目標(biāo)？.2信息安全方針的評審l 是否按計(jì)劃的時(shí)間間隔，或者在發(fā)生重大變化時(shí)評審信息安全方針，以確保方針的持續(xù)適合性、充分性和有效性？l 信息安全方針有沒有所

5、有者，此人負(fù)有經(jīng)過組織批準(zhǔn)的起草、評審和評估安全方針的管理責(zé)任？l 有沒有制定信息安全方針評審程序，該程序是否包括管理評審的要求？l 有沒有考慮/重視管理評審的結(jié)果？l 修訂的方針有沒有得到管理層的批準(zhǔn)？信息安全的組織2.16.1內(nèi)部組織.1管理層對信息安全的承諾管理層有沒有積極支持組織內(nèi)的安全措施。例如清楚明確的方向，可證實(shí)的承諾，明確分配和確認(rèn)信息安全職責(zé)。.2信息安全協(xié)調(diào)組織的各個(gè)部門有沒有指派具有恰當(dāng)?shù)慕巧吐氊?zé)的代表參與協(xié)調(diào)信息安全活動(dòng)？2.1.3待添加的隱藏文字內(nèi)容16.1.3信息安全職責(zé)分配有沒有清晰地識(shí)別和定義保護(hù)各種資產(chǎn)，以及執(zhí)行特定安全過程的

6、職責(zé)？.4信息處理設(shè)施的授權(quán)過程有沒有定義和實(shí)施對組織內(nèi)任何新的信息處理設(shè)施的管理授權(quán)程序？.5保密協(xié)議l 有沒有清楚地定義并有規(guī)律地評審組織的保密性需求或用于保護(hù)信息的保密協(xié)議？l 有沒有用合適的法律用詞指出保護(hù)機(jī)密信息的需求？.6與政府部門的聯(lián)系有沒有一個(gè)程序描述了在什么情況下，應(yīng)該由誰聯(lián)系哪個(gè)政府部門，比如公安局、消防局，以及如何報(bào)告事故？.7與特殊利益團(tuán)體的聯(lián)系有沒有與特殊的利益團(tuán)體比如專業(yè)的安全論壇或者安全專家協(xié)會(huì)保持恰當(dāng)?shù)穆?lián)系？.8信息安全的獨(dú)立評審有沒有按照計(jì)劃的時(shí)間間隔，或者在安全實(shí)施發(fā)生重大改變時(shí)

7、，對組織的信息安全管理目標(biāo)及其實(shí)現(xiàn)進(jìn)行獨(dú)立評審？2.26.2外部組織.1識(shí)別與外部組織相關(guān)的風(fēng)險(xiǎn)在外部組織需要訪問組織內(nèi)的信息和信息處理設(shè)施時(shí)，有沒有在授予訪問權(quán)限前識(shí)別訪問導(dǎo)致的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)目刂拼胧?2與客戶接觸時(shí)強(qiáng)調(diào)安全在授予客戶對組織的信息或資產(chǎn)的訪問權(quán)限前，是否確保所有的安全需求得到了滿足？.3在第三方協(xié)議中強(qiáng)調(diào)安全第三方協(xié)議中有沒有要求在訪問、處理、通訊、管理組織的信息或信息處理設(shè)施，或者往信息處理設(shè)施引入產(chǎn)品或服務(wù)時(shí)，必須符合所有適用的安全要求？資產(chǎn)管理3.17.1對資產(chǎn)的責(zé)任.1資產(chǎn)清單是不是所有的資產(chǎn)都得到

8、識(shí)別，有沒有維護(hù)所有重要資產(chǎn)的清單或者登記表.2資產(chǎn)責(zé)任人每個(gè)已識(shí)別的資產(chǎn)都有責(zé)任人，和一個(gè)已定義且得到一致同意的安全類別，以及定期審核的訪問權(quán)限.3資產(chǎn)的可接受使用有沒有確定一個(gè)信息和資產(chǎn)的可接受使用規(guī)定，并實(shí)施了該規(guī)定3.27.2信息分類.1分類指南有沒有根據(jù)信息的價(jià)值、法律法規(guī)的要求、敏感度和重要性分類信息.2信息標(biāo)識(shí)和處理有沒有根據(jù)組織采用的分類標(biāo)準(zhǔn)，制定一系列標(biāo)識(shí)和處理信息的程序人力資源安全4.18.1雇傭前.1角色和職責(zé)l 有沒有根據(jù)組織的信息安全策略定義并記錄員工、承包商和第三方用戶的安全角色和職責(zé)l

9、 在雇用前過程中有沒有就定義的角色和職責(zé)與職位的候選人進(jìn)行明確的溝通.2審查l 有沒有根據(jù)相關(guān)規(guī)定對所有職位、合同商和第三方用戶候選者進(jìn)行背景驗(yàn)證審查l 審查有沒有包括身份證明書，所聲稱的學(xué)術(shù)和專業(yè)資質(zhì)證明，以及獨(dú)立的身份檢驗(yàn).3雇傭條款和條件l 有沒有要求員工、合同商和第三方用戶簽訂保密協(xié)議，作為雇傭合同的初始條款l 協(xié)議有沒有包含組織、員工、第三方用戶和合同商的信息安全責(zé)任4.28.2雇傭中.1管理職責(zé)管理層有沒有要求員工、合同商和第三方用戶根據(jù)組織建立的策略和程序?qū)嵤┌踩?2信息安全意識(shí)、教育和培訓(xùn)組織的所有員工，合同方和第

10、三方用戶，有沒有受到與其工作職能相關(guān)的適當(dāng)?shù)陌踩庾R(shí)培訓(xùn)和組織方針及程序的定期更新培訓(xùn).3懲戒過程對于違反安全規(guī)定的員工有沒有正式的懲戒過程4.38.3雇傭終止或變更.1終止職責(zé)有沒有清晰規(guī)定和分配進(jìn)行雇傭終止或變更的責(zé)任.2歸還資產(chǎn)有沒有適當(dāng)?shù)某绦虼_保當(dāng)雇傭、合同或協(xié)議終止時(shí)，員工、合同方和第三方用戶歸還所使用的組織資產(chǎn).3移除訪問權(quán)限當(dāng)雇傭、合同或協(xié)議終止時(shí)，有沒有撤銷員工、合同方和第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限，或根據(jù)變化調(diào)整物理和環(huán)境安全5.19.1安全區(qū)域.1物理安全邊界有沒有使用物理邊界安全設(shè)

11、施（例如門卡控制出入的大門、人工接待臺(tái)等）來保護(hù)信息處理服務(wù).2物理進(jìn)入控制有沒有適當(dāng)?shù)倪M(jìn)入控制程序確保只有經(jīng)過授權(quán)的人員才可以訪問組織內(nèi)部區(qū)域.3辦公室、房間和設(shè)施的安全提供信息處理服務(wù)的房間有沒有上鎖或者房內(nèi)有可鎖定的柜子、保險(xiǎn)箱.4防范外部和環(huán)境威脅l 有沒有設(shè)計(jì)并實(shí)施針對火災(zāi)、水災(zāi)、地震、爆炸、騷亂和其他形式的自然或人為災(zāi)難的物理保護(hù)措施l 鄰近地點(diǎn)有沒有潛在的安全威脅.5在安全區(qū)域工作有沒有設(shè)計(jì)并實(shí)施在安全區(qū)域工作的物理保護(hù)措施和指南.6公共訪問和裝卸區(qū)域?qū)τ谘b卸或其他未經(jīng)授權(quán)人員可以進(jìn)入的公共訪問區(qū)域有

12、沒有加以控制，那里的信息處理設(shè)施有沒有加以隔離以防止非授權(quán)的訪問5.29.2設(shè)備安全.1設(shè)備安置和保護(hù)有沒有保護(hù)設(shè)備以減少來自環(huán)境的威脅或危害，并減少未經(jīng)授權(quán)訪問的機(jī)會(huì) .2支持性設(shè)施l 有沒有保護(hù)設(shè)備免受電力中斷或其他支持性設(shè)施失效所導(dǎo)致的中斷l(xiāng) 有沒有采取某些持續(xù)供電措施，如多路供電、ups、備用發(fā)電機(jī)等.3電纜安全l 有沒有保護(hù)承載數(shù)據(jù)或支持信息服務(wù)的電力和通訊電纜免遭中斷或破壞l 對于敏感或關(guān)鍵的系統(tǒng)，有沒有采取進(jìn)一步的安全控制.4設(shè)備維護(hù)l 有沒有正確地維護(hù)設(shè)備以確保其持續(xù)可用性和完整性l 設(shè)備是不是按照供應(yīng)商推薦的服務(wù)

13、時(shí)間間隔和規(guī)范進(jìn)行維護(hù)l 是不是只有經(jīng)過授權(quán)的人員才能進(jìn)行維護(hù)l 有沒有保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正措施的記錄l 對于需要離場維護(hù)的設(shè)備有沒有進(jìn)行適當(dāng)?shù)目刂苐 設(shè)備有沒有保險(xiǎn)，有沒有遵守保險(xiǎn)方面的要求.5場外設(shè)備安全l 有沒有評估場外設(shè)備的風(fēng)險(xiǎn)并采取降低風(fēng)險(xiǎn)的控制措施l 在組織外使用信息處理設(shè)施有沒有得到管理授權(quán).6設(shè)備的安全處置或重用有沒有檢查所有含存儲(chǔ)介質(zhì)的設(shè)備，以確保在銷毀或重用設(shè)備前物理摧毀或者安全重寫所有敏感數(shù)據(jù)或授權(quán)軟件.7資產(chǎn)轉(zhuǎn)移有沒有控制措施，確保未經(jīng)授權(quán)，不能將設(shè)備、信息和軟件帶離工作場所通訊和操作管理6.110

14、.1操作程序和職責(zé).1文件化的操作程序l 操作程序有沒有文件化，得到維護(hù)且所有需要的用戶都可以獲得l 有沒有把這些文件化程序視為正式的文件，且任何變更須得到管理授權(quán).2變更管理有沒有控制所有對信息處理設(shè)施和系統(tǒng)的變更6.1.310.1.3職責(zé)分離有沒有分離職責(zé)和區(qū)域，以降低未授權(quán)修改或?yàn)E用組織的信息和服務(wù)的機(jī)會(huì)6.1.410.1.4開發(fā)、測試與運(yùn)營設(shè)施的分離有沒有分離開發(fā)、測試和運(yùn)營設(shè)施。例如，開發(fā)和生產(chǎn)軟件應(yīng)該運(yùn)行在不同的計(jì)算機(jī)上。開發(fā)和生產(chǎn)網(wǎng)絡(luò)應(yīng)該互相隔離6.210.2第三方服務(wù)交付管理.1服務(wù)交付有沒有措施確保第三方實(shí)施、運(yùn)行并保持第

15、三方服務(wù)交付協(xié)議中包含的安全控制、服務(wù)定義和交付等級(jí).2第三方服務(wù)的監(jiān)督和評審l 有沒有定期對第三方提供的服務(wù)、報(bào)告和記錄進(jìn)行監(jiān)視和評審l 有沒有定期對第三方服務(wù)、報(bào)告和記錄進(jìn)行審核6.2.310.2.3管理第三方服務(wù)的變更l 有沒有管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有信息安全方針、程序和控制措施l 有沒有考慮業(yè)務(wù)系統(tǒng)的關(guān)鍵程度、涉及的過程和風(fēng)險(xiǎn)的再評估6.310.3系統(tǒng)規(guī)劃與驗(yàn)收.1容量管理有沒有監(jiān)控容量需求并反應(yīng)未來的容量要求，以確保擁有足夠的處理能力和存儲(chǔ)空間.2系統(tǒng)驗(yàn)收l 有沒有建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則l 接收系

16、統(tǒng)前有沒有進(jìn)行適當(dāng)?shù)臏y試6.410.4防范惡意代碼和移動(dòng)代碼.1防范惡意代碼有沒有制定并實(shí)施程序，通過檢測、預(yù)防和恢復(fù)來防范惡意代碼，并進(jìn)行適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn).2防范移動(dòng)代碼l 是不是只可以使用獲得授權(quán)的移動(dòng)代碼l 配置管理有沒有確保授權(quán)的移動(dòng)代碼按照安全方針運(yùn)行l(wèi) 有沒有阻止未經(jīng)授權(quán)的移動(dòng)代碼運(yùn)行6.510.5備份.1信息備份l 有沒有根據(jù)既定的備份策略對信息和軟件進(jìn)行備份并定期測試l 所有基本的信息和軟件能否在災(zāi)難或介質(zhì)故障后進(jìn)行恢復(fù)6.610.6網(wǎng)絡(luò)安全管理.1網(wǎng)絡(luò)控制l 有沒有充分管理和控制網(wǎng)絡(luò)以防范威脅、保持使用

17、網(wǎng)絡(luò)包括信息傳輸?shù)南到y(tǒng)和應(yīng)用程序的安全l 有沒有實(shí)施控制以確保網(wǎng)絡(luò)上信息的安全，防止未經(jīng)授權(quán)訪問所連接的服務(wù).2網(wǎng)絡(luò)服務(wù)安全l 有沒有識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)和管理要求，并包含在網(wǎng)絡(luò)服務(wù)協(xié)議中l(wèi) 有沒有對網(wǎng)絡(luò)服務(wù)提供商以安全方式管理商定服務(wù)的能力予以確定并定期監(jiān)督，還應(yīng)商定審計(jì)的權(quán)利6.710.7介質(zhì)處置.1可移動(dòng)介質(zhì)的管理l 有沒有建立可移動(dòng)介質(zhì)的管理程序，如磁帶、磁盤、閃存等l 所有的程序和授權(quán)級(jí)別是否清晰地形成文件.2介質(zhì)的處置不再需要的介質(zhì)有沒有按照正式的程序進(jìn)行安全可靠的處置6.7.310.7.3信息處理程序l 有沒有

18、處理信息存儲(chǔ)的程序l 該程序有沒有考慮防范信息的未授權(quán)泄露或誤用6.7.410.7.4系統(tǒng)文件安全保護(hù)系統(tǒng)文件免受未授權(quán)的訪問6.810.8信息交換.1信息交換策略和程序l 有沒有建立正式的交換策略、程序和控制，以保護(hù)信息l 這些程序和控制有沒有涵蓋使用電子通訊設(shè)施交換信息.2交換協(xié)議l 有沒有建立組織和外部組織交換信息和軟件的協(xié)議l 協(xié)議的安全內(nèi)容有沒有反映涉及的業(yè)務(wù)信息的敏感度6.8.310.8.3運(yùn)輸中的物理介質(zhì)包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，有沒有防止未授權(quán)的訪問、不當(dāng)使用或毀壞6.8.410.8.4電子消息有沒有保護(hù)包含在發(fā)送的電子消息中

19、的信息(電子消息包括但不限于電子郵件、電子數(shù)據(jù)交換（edi）、即時(shí)通信)6.8.510.8.5業(yè)務(wù)信息系統(tǒng)有沒有制定并實(shí)施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)相關(guān)聯(lián)的信息 6.910.9電子商務(wù)服務(wù).1電子商務(wù)l 有沒有保護(hù)電子商務(wù)中通過公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭議、未授權(quán)的訪問和修改l 有沒有考慮諸如使用密碼技術(shù)等安全控制l 有沒有文件化的協(xié)議來支持和貿(mào)易伙伴之間的電子商務(wù)安排，該協(xié)議使雙方致力于商定的貿(mào)易條款，包括安全問題的細(xì)節(jié).2在線交易有沒有保護(hù)在線交易信息，以防止不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)的信息更改、未經(jīng)授權(quán)的信息泄露、未經(jīng)授權(quán)的信息

20、復(fù)制或重放 6.9.310.9.3公共可用信息有沒有保護(hù)公共可用信息的完整性，防止未經(jīng)授權(quán)的更改6.1010.10監(jiān)督0.1審計(jì)日志l 有沒有產(chǎn)生記錄用戶活動(dòng)、意外以及信息安全事件的審計(jì)日志，并且按照約定的期限進(jìn)行保存，以支持將來的調(diào)查和訪問控制檢測l 保留審計(jì)日志時(shí)應(yīng)考慮適當(dāng)?shù)碾[私保護(hù)措施0.2監(jiān)視系統(tǒng)的使用l 有沒有制定并實(shí)施監(jiān)視信息處理設(shè)施系統(tǒng)使用的程序l 有沒有定期評審監(jiān)視活動(dòng)的結(jié)果l 各個(gè)信息處理設(shè)施的監(jiān)控級(jí)別是否由風(fēng)險(xiǎn)評估決定6.10.310.10.3日志信息保護(hù)有沒有保護(hù)日志設(shè)施和日志信息免受破壞和未經(jīng)授權(quán)的訪問6.10.410.10.4管

21、理員和操作員日志l 有沒有記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)l 有沒有定期評審上述活動(dòng)日志6.10.510.10.5故障日志l 有沒有記錄并分析錯(cuò)誤日志，并采取適當(dāng)?shù)拇胧﹍ 各系統(tǒng)的日志記錄級(jí)別是否由風(fēng)險(xiǎn)評估決定，并考慮性能的降低6.10.610.10.6時(shí)鐘同步組織內(nèi)或同一安全域內(nèi)的所有信息處理設(shè)施的時(shí)鐘有沒有按照約定的正確時(shí)間源保持同步(正確設(shè)置計(jì)算機(jī)時(shí)鐘對于保持審計(jì)日志的準(zhǔn)確性非常重要)訪問控制7.111.1訪問控制的業(yè)務(wù)要求.1訪問控制策略l 有沒有制定并評審基于業(yè)務(wù)和安全需求的訪問控制策略l 訪問控制策略有沒有同時(shí)考慮物理和邏輯訪問控制l 有沒有將通過訪問控制要滿足的

22、業(yè)務(wù)要求的清晰說明提供給用戶和服務(wù)提供者7.211.2用戶訪問管理.1用戶注冊有沒有建立正式的用戶注冊和解除注冊程序，以允許和撤銷對所有信息系統(tǒng)和服務(wù)的訪問 .2特權(quán)管理有沒有限制并控制信息系統(tǒng)環(huán)境下特權(quán)的使用和分配，例如根據(jù)需要知道原則分配特權(quán)，或特權(quán)僅在通過正式授權(quán)流程后分配 7.2.311.2.3用戶口令管理l 有沒有通過正式的管理流程控制口令的分配l 有沒有要求用戶簽署一份聲明，以保持口令的保密性7.2.411.2.4用戶訪問權(quán)限的評審有沒有按計(jì)劃的時(shí)間間隔評審用戶訪問權(quán)限的流程，例如：每三個(gè)月評審特殊權(quán)限，每六個(gè)月評審普通權(quán)限7.311.3用戶責(zé)任

23、.1口令使用有沒有要求用戶在選擇和使用口令時(shí)遵循良好的安全慣例 .2無人值守的用戶設(shè)備有沒有讓用戶和合同商了解保護(hù)無人值守設(shè)備的安全要求和程序例如：會(huì)話結(jié)束時(shí)登出或設(shè)置自動(dòng)登出，結(jié)束時(shí)終止會(huì)話等7.3.311.3.3桌面及屏幕清空策略l 有沒有針對文件、可移動(dòng)存儲(chǔ)介質(zhì)的桌面清空策略l 有沒有針對信息處理設(shè)施的屏幕清空策略7.411.4網(wǎng)絡(luò)訪問控制.1網(wǎng)絡(luò)服務(wù)使用策略l 用戶是不是只能訪問經(jīng)過明確授權(quán)使用的服務(wù)l 有沒有制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略.2外部連接用戶的鑒別有沒有適當(dāng)?shù)蔫b別機(jī)制控制遠(yuǎn)程用戶的訪問7.4.311

24、.4.3網(wǎng)絡(luò)設(shè)備的識(shí)別有沒有考慮自動(dòng)設(shè)備識(shí)別，將其作為鑒別特定位置及設(shè)備連接的方法7.4.411.4.4遠(yuǎn)程診斷和配置端口保護(hù)有沒有安全地控制對診斷和配置端口的物理和邏輯訪問7.4.511.4.5網(wǎng)絡(luò)隔離l 有沒有隔離網(wǎng)絡(luò)上的信息服務(wù)組、用戶和信息系統(tǒng)l 有沒有使用安全邊界機(jī)制如防火墻來隔離網(wǎng)絡(luò)（業(yè)務(wù)伙伴或第三方需要訪問信息系統(tǒng)）l 有沒有考慮把無線網(wǎng)絡(luò)與內(nèi)部和專用網(wǎng)絡(luò)隔離開7.4.611.4.6網(wǎng)絡(luò)連接控制訪問控制策略有沒有規(guī)定共享網(wǎng)絡(luò)的網(wǎng)絡(luò)連接控制，尤其是那些延伸到組織邊界之外的網(wǎng)絡(luò)7.4.711.4.7網(wǎng)絡(luò)路由控制l 網(wǎng)絡(luò)控制策略有沒有規(guī)定路由控制l 路由選擇控制是否基于確定的源地址和目

25、的地址檢驗(yàn)機(jī)制7.511.5操作系統(tǒng)訪問控制.1安全登錄程序是否通過安全登錄程序控制對操作系統(tǒng)的訪問.2用戶標(biāo)識(shí)和鑒別l 所有用戶如操作員、系統(tǒng)管理員和其他技術(shù)人員是否有唯一的識(shí)別碼（用戶id）l 有沒有選擇合適的認(rèn)證技術(shù)驗(yàn)證所宣稱的用戶身份l 在例外環(huán)境下，如果存在明顯的業(yè)務(wù)利益，可以使用共享用戶id。對于這種情況，有沒有要求額外的控制以維護(hù)可核查性7.5.311.5.3口令管理系統(tǒng)有沒有口令管理系統(tǒng)以加強(qiáng)口令控制 7.5.411.5.4系統(tǒng)實(shí)用工具的使用有沒有限制并嚴(yán)格控制能越過系統(tǒng)和應(yīng)用控制的實(shí)用工具的使用7.5.511.5.5會(huì)話超時(shí)不活動(dòng)的會(huì)話是否

26、在一個(gè)設(shè)定的不活動(dòng)周期后關(guān)閉(對于某些系統(tǒng)，清空屏幕并防止未授權(quán)訪問，但不關(guān)閉應(yīng)用或網(wǎng)絡(luò)會(huì)話提供了一種受限制的超時(shí)形式)7.5.611.5.6聯(lián)機(jī)時(shí)間限制有沒有限制對高風(fēng)險(xiǎn)應(yīng)用程序的連接時(shí)間，這類限制應(yīng)考慮終端安裝在高風(fēng)險(xiǎn)位置的敏感應(yīng)用7.611.6應(yīng)用和信息訪問控制.1信息訪問限制有沒有根據(jù)規(guī)定的訪問控制策略，限制用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問.2敏感系統(tǒng)隔離敏感系統(tǒng)有沒有使用獨(dú)立的計(jì)算環(huán)境，例如運(yùn)行在特定的計(jì)算機(jī)上，僅和信任的應(yīng)用系統(tǒng)共享資源等7.711.7移動(dòng)計(jì)算和遠(yuǎn)程工作.1移動(dòng)計(jì)算和通訊l 有沒有建立正式的策略并采取適當(dāng)

27、的安全措施，以防范使用移動(dòng)計(jì)算和移動(dòng)通訊設(shè)施的風(fēng)險(xiǎn)l 移動(dòng)計(jì)算和通訊設(shè)施包括：筆記本、掌上機(jī)、膝上機(jī)、智能卡和移動(dòng)電話l 移動(dòng)計(jì)算策略有沒有考慮在不受保護(hù)的環(huán)境下工作的風(fēng)險(xiǎn).2遠(yuǎn)程工作l 有沒有制定并實(shí)施遠(yuǎn)程工作的策略、操作計(jì)劃和程序l 管理層有沒有授權(quán)和控制遠(yuǎn)程工作活動(dòng)，并進(jìn)行適當(dāng)?shù)陌才判畔⑾到y(tǒng)的獲取、開發(fā)和維護(hù)8.112.1信息系統(tǒng)安全要求.1安全要求分析和規(guī)范l 新的信息系統(tǒng)或現(xiàn)有信息系統(tǒng)的更新的安全需求有沒有詳述安全控制要求 l 安全要求和控制有沒有反映所涉及信息資產(chǎn)的業(yè)務(wù)價(jià)值和由于安全失敗引起的業(yè)務(wù)損失l 信息安全系統(tǒng)需求與實(shí)施安全的過程是否在信息

28、系統(tǒng)項(xiàng)目的早期階段集成8.212.2應(yīng)用的正確處理.1輸入數(shù)據(jù)驗(yàn)證l 有沒有驗(yàn)證應(yīng)用系統(tǒng)的輸入數(shù)據(jù)，以確保正確和適當(dāng)l 有沒有考慮下述控制：用于檢查錯(cuò)誤信息的不同類型的輸入，響應(yīng)確認(rèn)差錯(cuò)的程序，定義數(shù)據(jù)輸入過程中所涉及的全部人員的職責(zé)等.2內(nèi)部處理控制l 應(yīng)用程序有沒有包含確認(rèn)檢查，以檢測任何由于流程錯(cuò)誤或故意行為造成的信息出錯(cuò)l 設(shè)計(jì)和實(shí)施應(yīng)用時(shí)有沒有確保把由于處理失敗導(dǎo)致的完整性被損壞的風(fēng)險(xiǎn)降至最低8.2.312.2.3消息完整性l 有沒有識(shí)別應(yīng)用系統(tǒng)中確保和保護(hù)信息完整性的要求，識(shí)別并實(shí)施適當(dāng)?shù)目刂苐 有沒有進(jìn)行安全風(fēng)險(xiǎn)評估以決定是否需要信息完整性，并

29、識(shí)別實(shí)施中最合適的方法8.2.412.2.4輸出數(shù)據(jù)驗(yàn)證有沒有驗(yàn)證應(yīng)用系統(tǒng)的輸出數(shù)據(jù)，以確保存儲(chǔ)信息的處理是正確的且與環(huán)境相適宜8.312.3加密控制.1使用加密控制的策略l 有沒有制定并實(shí)施使用加密控制保護(hù)信息的策略l 密碼策略有沒有考慮使用密碼控制的管理方法、風(fēng)險(xiǎn)評估結(jié)果所要求的保護(hù)級(jí)別、密鑰管理方法、為有效實(shí)施而采用的標(biāo)準(zhǔn)等.2密鑰管理l 有沒有進(jìn)行密鑰管理，以支持組織對密碼技術(shù)的使用l 有沒有保護(hù)密鑰，防止修改、遺失和損壞l 有沒有保護(hù)秘密密鑰和私有密鑰，防止泄露l 有沒有對用于生成、存儲(chǔ)密鑰的設(shè)備進(jìn)行物理保護(hù)l 密鑰管理系統(tǒng)是否基于一組已商定的標(biāo)準(zhǔn)

30、、程序和方法8.412.4系統(tǒng)文件安全.1操作軟件控制有沒有建立程序，控制在運(yùn)營系統(tǒng)之上安裝應(yīng)用軟件(降低運(yùn)營系統(tǒng)損壞的風(fēng)險(xiǎn)).2系統(tǒng)測試數(shù)據(jù)的保護(hù)l 有沒有保護(hù)并控制系統(tǒng)測試數(shù)據(jù)l 有沒有避免使用包含個(gè)人信息或其他敏感信息的運(yùn)行數(shù)據(jù)庫進(jìn)行測試8.4.312.4.3程序源代碼的訪問控制有沒有嚴(yán)格控制對程序源代碼庫的訪問8.512.5開發(fā)和支持過程的安全.1變更控制程序l 有沒有實(shí)施嚴(yán)格的控制程序，控制對信息系統(tǒng)變更的實(shí)施l 該程序有沒有包括風(fēng)險(xiǎn)評估、變更影響分析.2操作系統(tǒng)變更后的應(yīng)用系統(tǒng)技術(shù)評審操作系統(tǒng)變更后，有沒有程序

31、或過程評審并測試關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)對組織的運(yùn)營或安全產(chǎn)生負(fù)面影響8.5.312.5.3軟件包變更限制l 不鼓勵(lì)對軟件包進(jìn)行變更或僅限于必要的變更l 有沒有嚴(yán)格控制所有變更8.5.412.5.4信息泄露l 有沒有實(shí)施控制以防信息泄露l 有沒有考慮如下控制：掃描外部介質(zhì)和通信、在法律法規(guī)允許的前提下定期監(jiān)視個(gè)人和系統(tǒng)行為、監(jiān)控資源使用8.5.512.5.5軟件開發(fā)外包l 有沒有對外包開發(fā)的軟件進(jìn)行監(jiān)控和管理 l 有沒有考慮：許可證問題、源代碼托管、質(zhì)量保證的合同要求、安裝前測試以檢測惡意代碼和特洛伊代碼等8.612.6技術(shù)脆弱點(diǎn)管理.1控制技術(shù)脆弱點(diǎn)l 有沒有及時(shí)獲

32、取所使用信息系統(tǒng)的技術(shù)脆弱點(diǎn)信息l 有沒有評估組織技術(shù)脆弱點(diǎn)暴露的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)拇胧┙档拖嚓P(guān)風(fēng)險(xiǎn)信息安全事故管理9.113.1報(bào)告信息安全事件和弱點(diǎn).1報(bào)告信息安全事件l 有沒有通過適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事件l 有沒有制定并實(shí)施正式的信息安全事件報(bào)告程序、事故響應(yīng)和升級(jí)程序.2報(bào)告信息安全弱點(diǎn)有沒有程序要求所有員工、合同方和第三方用戶注意并報(bào)告系統(tǒng)或服務(wù)中發(fā)現(xiàn)或疑似的安全弱點(diǎn)9.213.2信息安全事故的管理和改進(jìn).1職責(zé)和程序l 有沒有建立管理職責(zé)和程序，以迅速、有效和有序地響應(yīng)信息安全事故l 有沒有監(jiān)控系統(tǒng)、報(bào)警和弱點(diǎn)來檢測信

33、息安全事故l 有沒有與管理層協(xié)商信息安全事故管理的目標(biāo)并達(dá)成一致.2從信息安全事故中學(xué)習(xí)l 有沒有建立識(shí)別并量化信息安全事故的類型、數(shù)量和費(fèi)用的機(jī)制l 有沒有使用從過去信息安全事故評估中獲取的信息來識(shí)別再發(fā)生或重大影響的事故9.2.313.2.3收集證據(jù)l 信息安全事故發(fā)生后，有沒有根據(jù)法律規(guī)定（無論是民法還是刑法）跟蹤個(gè)人或組織的行動(dòng)l 有沒有收集、保留事故相關(guān)證據(jù)，并以符合相關(guān)法律的形式提交l 當(dāng)為了懲罰目的而收集和提交證據(jù)時(shí)，有沒有制定并遵循內(nèi)部規(guī)程業(yè)務(wù)連續(xù)性管理10.114.1業(yè)務(wù)連續(xù)性管理的信息安全方面.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全l 有

34、沒有一個(gè)管理程序，闡明組織業(yè)務(wù)連續(xù)性對信息安全的要求l 該程序有沒有闡明組織面臨的風(fēng)險(xiǎn)，識(shí)別業(yè)務(wù)關(guān)鍵資產(chǎn)，識(shí)別事故影響，考慮實(shí)施附加的預(yù)防性控制，并形成表明了安全需求的業(yè)務(wù)連續(xù)性計(jì)劃文檔.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評估有沒有識(shí)別可能導(dǎo)致業(yè)務(wù)過程中斷的事故，以及這類中斷發(fā)生的可能性和影響、中斷的信息安全后果10.1.314.1.3制定并實(shí)施包括信息安全的連續(xù)性計(jì)劃l 有沒有開發(fā)計(jì)劃，在業(yè)務(wù)流程中斷或失效后能在要求的時(shí)間內(nèi)和要求的等級(jí)上保持和恢復(fù)運(yùn)營并確保信息的可用性l 計(jì)劃有沒有考慮鑒別和協(xié)調(diào)職責(zé)、鑒別可接受損失、實(shí)施恢復(fù)和重建程序、文檔化規(guī)程、定期測試10.1.414.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架l 有沒有單一的業(yè)務(wù)連續(xù)性計(jì)劃框架l 有沒有維護(hù)該框架以確保所有計(jì)劃的一致性，并識(shí)別測試和保持的優(yōu)先級(jí)l 業(yè)務(wù)連續(xù)性計(jì)劃有沒有闡明識(shí)別出的信息安全需求10.1.514.1.5bcp的測試、維護(hù)和再評估l 有沒有定期測試并更新bcp，以確保bcp的更新和有效性l bcp的測試能否確?；謴?fù)團(tuán)隊(duì)的所有成員及其他相關(guān)人員知道該計(jì)劃