ISO 适用性说明.xls

A.15符合性 A.14业务连续性管理 A.13信息安全事故管理 A.12信息系统的获取、开发和维护 A.11访问控制 A.10通讯及操作管理 A.9物理与环境安全 A.8人力资源安全 A.7资产管理 A.6信息安全组织 A.5安全方针 封面与说明 有没有要求用户在选择和使用口令时遵循良好的安全惯例 有没有让用户和合同商了解保护无人值守设备的安全要求和程序 例如：会话结束时登出或设置自动登出，结束时终止会话等 有没有针对信息处理设施的屏幕清空策略 用户是不是只能访问经过明确授权使用的服务 有没有制定关于使用网络和网络服务的策略 有没有适当的鉴别机制控制远程用户的访问 有没有考虑自动设备识别，将其作为鉴别特定位置及设备连接的方法 有没有安全地控制对诊断和配置端口的物理和逻辑访问 有没有使用安全边界机制如防火墙来隔离网络（业务伙伴或第三方需要访问信息系统） 有没有考虑把无线网络与内部和专用网络隔离开 有没有隔离网络上的信息服务组、用户和信息系统 访问控制策略有没有规定共享网络的网络连接控制，尤其是那些延伸到组织边界之外的网络 路由选择控制是否基于确定的源地址和目的地址检验机制 网络控制策略有没有规定路由控制 是否通过安全登录程序控制对操作系统的访问 有没有选择合适的认证技术验证所宣称的用户身份 在例外环境下，如果存在明显的业务利益，可以使用共享用户ID。对于这种情况，有没有要求额外的控