資源描述:
《資訊安全管控項(xiàng)目調(diào)查問卷》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1���、資訊安全管控項(xiàng)目內(nèi)部稽核項(xiàng)次問題BS7799-2控管項(xiàng)目對(duì)照稽核員評(píng)量完成度高尚可低不適用1貴單位是否已經(jīng)建立並維護(hù)「資訊安全管理系統(tǒng)」文件��?3.12貴單位是否有訂定明確的「資訊安全政策」��?3.2a)3貴單位是否有訂定明確的「資訊安全管理系統(tǒng)」範(fàn)疇��?3.2b)4貴單位是否有執(zhí)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估作業(yè)����?3.2c)5貴單位是否有依據(jù)安全問題等級(jí),進(jìn)行安全風(fēng)險(xiǎn)管理�?3.2d)6貴單位是否有選擇適當(dāng)?shù)墓苤颇繕?biāo)及管制方法3.2e)7貴單位是否已經(jīng)建立一份「適用聲明」(StatementofApplicability)�����?
2����、3.2f)8建置之「資訊安全管理系統(tǒng)」�����,貴單位是否有統(tǒng)一制定出相關(guān)的作業(yè)文件��?3.4a)9貴單位是否有安全管理架構(gòu)的大綱����?3.4b)10貴單位是否有建立執(zhí)行程序的文件?3.4c)11建立執(zhí)行及管理「資訊安全管理系統(tǒng)」作業(yè)的文件時(shí)���,其內(nèi)容貴單位是否有包含執(zhí)行人員權(quán)責(zé)及相關(guān)作業(yè)程序�����?3.4d)12貴單位是否有建立程序來控管及維護(hù)「資訊安全管理系統(tǒng)」的文件�����?3.513貴單位程序文件是否隨時(shí)都可使用�����?3.5a)14貴單位是否有定時(shí)的審查文件以保持資料更新��?3.5b)15貴單位是否有執(zhí)行正式的文件版本管制作業(yè)��?3.
3����、5c)16貴單位是否有將需淘汰之文件予以銷毀?3.5d)17當(dāng)保留應(yīng)淘汰文件時(shí)���,貴單位是否有明確的記錄文件���?3.5e)18貴單位是否有規(guī)範(fàn)出一套記錄控管程序?3.619貴單位記錄是否有受到良好保存����,以防止遭受損壞、遺失����、及變質(zhì)?3.720貴單位是否有建立「資訊安全政策」文件�,並經(jīng)由管理階層核準(zhǔn)及頒行���?4.1.1.121貴單位是否有定期審查安全政策���?4.1.1.2622貴單位是否已成立“資訊安全委員會(huì)”?4.2.1.123貴單位是否有建立跨部門的小組來管理整個(gè)公司的資訊安全�����?4.2.1.224貴單位是否有分
4��、配安全責(zé)任��、資產(chǎn)與程序的所有權(quán),並指派一位綜理安全相關(guān)事務(wù)的管理人員����?4.2.1.325購買新的資訊設(shè)備時(shí),貴單位是否有經(jīng)合法(正式)的授權(quán)程序�����?4.2.1.426貴單位是否有尋求安全顧問服務(wù)����?4.2.1.527貴單位是否有定期與其他相關(guān)組織機(jī)關(guān)保持聯(lián)繫,例如警察�����、大樓保全或管理員���?4.2.1.628貴單位是否有執(zhí)行過獨(dú)立的安全政策��、施實(shí)及程序的審查�����?4.2.1.729同意第三者(thirdparty)可以存取資訊設(shè)備前�,貴單位是否有執(zhí)行風(fēng)險(xiǎn)評(píng)估�?4.2.2.130在所有第三者(thirdparty)契約
5�����、中�,貴單位是否有規(guī)範(fàn)安全有關(guān)問題��?(如保密協(xié)定��、使用公司的設(shè)備…等等)4.2.2.231在委外契約中���,貴單位是否有規(guī)範(fàn)安全之問題�����?例如保密協(xié)定�����、使用公司的設(shè)備4.2.3.132對(duì)所有重要資產(chǎn),貴單位是否有辦理清點(diǎn)(盤點(diǎn))���,以及隨時(shí)保持清點(diǎn)資料正確性�����?4.3.1.133貴單位資訊是否有依其重要性加以分級(jí)(分類)保護(hù)��?4.3.2.134貴單位資訊是否有以分級(jí)(分類)原則標(biāo)示及處理��?4.3.2.235貴單位業(yè)務(wù)職掌說明文件中,是否有包含安全職位與責(zé)任歸屬�����?4.4.1.136晉用正職人員之前�����,貴單位是否有檢核並確
6����、認(rèn)其個(gè)人基本資料��?4.4.1.237當(dāng)員工任職前�����,貴單位是否有簽訂保密契約書���?4.4.1.338貴單位是否有在員工聘僱之條件與考量規(guī)章中明定與資訊安全相關(guān)之權(quán)責(zé)?4.4.1.439貴單位員工是否有接受相關(guān)資訊安全教育訓(xùn)練並定期得到更新的資訊安全政策及程序���?4.4.2.140貴單位是否具有資訊安全事故通報(bào)之固定管道�?4.4.3.141貴單位是否有提出安全漏洞之報(bào)告�����?4.4.3.242貴單位是否有一套如何報(bào)告軟體故障的程序��?4.4.3.343當(dāng)事故發(fā)生時(shí)���,貴單位是否有改善之動(dòng)作以俾利防範(fàn)其再次發(fā)生�����?4.4.3
7���、.444發(fā)現(xiàn)違反安全政策事件時(shí),貴單位是否有採取正式的懲戒作業(yè)����?4.4.3.5645貴單位是否有建置適當(dāng)之實(shí)體環(huán)境安全控管�,以保護(hù)資訊資產(chǎn)與設(shè)備?4.5.1.146貴單位對(duì)安全區(qū)域是否有施行實(shí)體的進(jìn)出控管�?4.5.1.247貴單位在安全區(qū)域中是否具有更加嚴(yán)密之保護(hù)措施?4.5.1.348對(duì)安全區(qū)域內(nèi)的工作���,貴單位是否有頒行所需注意的事項(xiàng)��,或額外控管措施的指導(dǎo)綱要�?4.5.1.449貴單位是否有對(duì)卸貨與裝載區(qū)執(zhí)行進(jìn)出的管制����?4.5.1.550貴單位的設(shè)備是否有放置(儲(chǔ)存)在安全地方?4.5.2.151貴單位
8、對(duì)主要資產(chǎn)是否有加強(qiáng)保護(hù)��?4.5.2.252貴單位對(duì)電力及網(wǎng)路傳輸路線是否有防止其受到干擾或破壞的保護(hù)��?4.5.2.353貴單位是否有依原廠所訂定的標(biāo)準(zhǔn)���,辦理設(shè)備維護(hù)作業(yè)?4.5.2.454貴單位是否有保護(hù)攜出或設(shè)置於公司外面的設(shè)備�����?4.5.2.555貴單位報(bào)廢設(shè)備時(shí)�,所有資料是否皆已移除���?4.5.2.656貴單位辦公司內(nèi)是否有執(zhí)行桌面與螢?zāi)粶Q(jìng)空政策��?4.5.3.157貴單位對(duì)於組織內(nèi)資訊資產(chǎn)攜出是否有加以管制�?4.5.3.2
