安全管理checklist.docVIP

安全管理评估检查表 (评估人员内部使用) 说明： 核查活动： 检查：主要看有无。 审查或核查：需要看内容及执行情况。 等级： 高：迫切需要近期内解决，如：1年以内。 中：需要解决，但时间可以宽限，如：2-3年内。 低：看情况解决，没有时间限制或时间可以较长，如：4年以上。 编号 检查对象 问题 核查活动 等级 结果 1安全策略与安全计划 1.1 安全策略 1.1.1 策略建立 是否建立组织的安全策略体系？包括总体安全策略、问题相关安全策略。 检查安全策略 高 1.1.2 策略支持 安全策略是否经过管理高层的批准？ 高 1.1.3 策略内容 是否在策略中指定了安全管理组织、职责、安全管理方法等？ 策略文档审查 高 1.1.4 策略公布 员工是否了解组织的安全策略？ 询问单个员工 低 1.1.5 策略维护 是否指定了专门机构维护策略？包括策略内容，文档管理。 维护记录检查 中 是否定义策略审查或维护时机？如：出现安全事故、组织及系统变更等。 策略变更记录检查 中 是否具有策略维护流程？ 维护流程文档检查 中 1.2 安全计划 1.2.1 计划建立 是否建立组织的安全计划或规划？ 检查安全计划 高 安全计划是否符合安全策略？ 安全计划文档审查 高 1.2.2 计划执行 安全计划或规划是否得到执行？ 检查执行记录或安全方案或实施计划等等 高 1.2.3 计划实施回顾 是否对实施结果与计划的一致性进行审查？ 检查变更记录 低 2组织和人员安全 2.1 安全组织 2.1.1 安全管理机构建立 是否建立信息安全管理机构，统一负责组织的信息安全管理工作？ 检查组织机构表 高 2.1.2 安全管理机构组成 机构成员是否来自相关各方？如：业务部门、IT部门。 低 安全管理机构是否包括安全专业人士？ 检查人员简历或资质 低 是否聘请外部专业人士？ 低 2.1.3 管理职责 管理机构内是否有明确的分工？ 核查组织机构表 高 2.1.4 管理流程 是否有相应的管理授权流程来处理安全规划、安全规划实施。 检查流程文档 高 是否有相应的安全事件上报流程？ 检查流程文档 高 是否具有安全弱点上报流程？ 检查流程文档 高 2.1.5 行业合作 是否与相关行业或组织机构，如：CNCERT、电信、公安等有联系？定期获取相关信息。 低 2.1.6 角色分离 安全管理工作是否设置不同角色？ 检查岗位表 低 2.2 个人安全 2.2.1 员工安全手册 是否具有员工安全手册？ 检查员工安全手册 高 2.2.2 个人职责 个人对安全管理的责任是否明确？如：个人不能在PC上散播病毒？ 核查员工安全手册 高 2.2.3 员工安全使用原则 是否对员工的资格进行限定与审核？如：品德、学历、工作经历？ 低 是否与员工签署保密协议？ 低 2.2.4 员工培训 是否对员工进行内部或外部安全培训？ 培训实施计划 高 2.2.5 岗位轮转 是否在一定范围内进行岗位轮转？ 低 2.2.6 奖惩机制 是否建立安全事故奖惩机制？ 低 3安全评估 3.1 安全评估 3.1.1 安全评估方法 是否建立安全评估方法论？ 检查安全评估手册 低 3.1.2 评估实施 是否定期或不定期进行风险评估？评估时机？ 检查评估记录或方案 高 3.1.3 第三方评估 是否聘请第三方评估？ 中 4第三方组织与外包安全 4.1 第三方组织安全 4.1.1 第三方访问的风险评估 是否具有第三方访问评估措施或活动？例如：标识哪些组织是可以访问的，标识是组织受限的，标识组织是不能访问的？ 中 4.1.2 控制流程 是否建立第三方访问控制流程？ 检查第三方访问策略或流程或记录 高 4.1.3 第三方访问控制措施 是否对第三方的访问进行控制？如：特殊标识、访问记录等？ 高 4.1.4 第三方合同 是否签定保密协议？ 中 4.1.5 与第三方的信息及软件交换 是否签定保密协议？ 中 4.2 外包安全 4.2.1 外包合同 是否在合同中明确组织的安全需求？如：保密要求、开发环境的安全要求、技术支持的要求、对代码质量的明确要求 中 5信息资产分类、分级 5.1 信息资产分类 5.1.1 信息资产登记 是否对所有重要的信息资产进行了登记？包括设备、介质、信息系统、信息等。 检查登记表 高 5.1.2 信息资产归类 是否对信息资产进行了归类以进行不同的管理？ 低 5.1.3 信息资产责任人 是否对信息资产指定了责任人？ 低 5.1.4 信息资产清查 是否定期或不定期清查信息资产？ 低 5.