ISO 27001适用性说明.xlsVIP

A.15符合性 A.14业务连续性管理 A.13信息安全事故管理 A.12信息系统的获取、开发和维护 A.11访问控制 A.10通讯及操作管理 A.9物理与环境安全 A.8人力资源安全 A.7资产管理 A.6信息安全组织 A.5安全方针 封面与说明 有没有要求用户在选择和使用口令时遵循良好的安全惯例 有没有让用户和合同商了解保护无人值守设备的安全要求和程序 例如：会话结束时登出或设置自动登出，结束时终止会话等 有没有针对信息处理设施的屏幕清空策略 用户是不是只能访问经过明确授权使用的服务 有没有制定关于使用网络和网络服务的策略 有没有适当的鉴别机制控制远程用户的访问 有没有考虑自动设备识别，将其作为鉴别特定位置及设备连接的方法 有没有安全地控制对诊断和配置端口的物理和逻辑访问 有没有使用安全边界机制如防火墙来隔离网络（业务伙伴或第三方需要访问信息系统） 有没有考虑把无线网络与内部和专用网络隔离开 有没有隔离网络上的信息服务组、用户和信息系统 访问控制策略有没有规定共享网络的网络连接控制，尤其是那些延伸到组织边界之外的网络 路由选择控制是否基于确定的源地址和目的地址检验机制 网络控制策略有没有规定路由控制 是否通过安全登录程序控制对操作系统的访问 有没有选择合适的认证技术验证所宣称的用户身份 在例外环境下，如果存在明显的业务利益，可以使用共享用户ID。对于这种情况，有没有要求额外的控制以维护可核查性 所有用户如操作员、系统管理员和其他技术人员是否有唯一的识别码（用户ID） 有没有口令管理系统以加强口令控制 有没有限制并严格控制能越过系统和应用控制的实用工具的使用 不活动的会话是否在一个设定的不活动周期后关闭 (对于某些系统，清空屏幕并防止未授权访问，但不关闭应用或网络会话提供了一种受限制的超时形式) 有没有限制对高风险应用程序的连接时间，这类限制应考虑终端安装在高风险位置的敏感应用 有没有根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问 敏感系统有没有使用独立的计算环境，例如运行在特定的计算机上，仅和信任的应用系统共享资源等 有没有建立正式的策略并采取适当的安全措施，以防范使用移动计算和移动通讯设施的风险 移动计算和通讯设施包括：笔记本、掌上机、膝上机、智能卡和移动电话 移动计算策略有没有考虑在不受保护的环境下工作的风险 有没有制定并实施远程工作的策略、操作计划和程序 管理层有没有授权和控制远程工作活动，并进行适当的安排 有没有实施控制以确保网络上信息的安全，防止未经授权访问所连接的服务 有没有充分管理和控制网络以防范威胁、保持使用网络包括信息传输的系统和应用程序的安全 有没有对网络服务提供商以安全方式管理商定服务的能力予以确定并定期监督，还应商定审计的权利 有没有识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中 有没有建立可移动介质的管理程序，如磁带、磁盘、闪存等 所有的程序和授权级别是否清晰地形成文件 不再需要的介质有没有按照正式的程序进行安全可靠的处置 有没有处理信息存储的程序 该程序有没有考虑防范信息的未授权泄露或误用 保护系统文件免受未授权的访问 这些程序和控制有没有涵盖使用电子通讯设施交换信息 ? 有没有建立正式的交换策略、程序和控制，以保护信息 协议的安全内容有没有反映涉及的业务信息的敏感度 有没有建立组织和外部组织交换信息和软件的协议 包含信息的介质在组织的物理边界以外运送时，有没有防止未授权的访问、不当使用或毁坏 有没有保护包含在发送的电子消息中的信息 (电子消息包括但不限于电子邮件、电子数据交换（EDI）、即时通信) 有没有制定并实施策略和程序，以保护与业务信息系统相关联的信息 有没有考虑诸如使用密码技术等安全控制 有没有文件化的协议来支持和贸易伙伴之间的电子商务安排，该协议使双方致力于商定的贸易条款，包括安全问题的细节 有没有保护电子商务中通过公共网络传输的信息，以防止欺诈、合同争议、未授权的访问和修改 有没有保护在线交易信息，以防止不完整的传输、路由错误、未经授权的信息更改、未经授权的信息泄露、未经授权的信息复制或重放 有没有保护公共可用信息的完整性，防止未经授权的更改 保留审计日志时应考虑适当的隐私保护措施 ? 有没有产生记录用户活动、意外以及信息安全事件的审计日志，并且按照约定的期限进行保存，以支持将来的调查和访问控制检测 有没有定期评审监视活动的结果 各个信息处理设施的监控级别是否由风险评估决定 有没有制定并实施监视信息处理设施系统使用的程序 有没有保护日志设施和日志信息免受破坏和未经授权的访问 有没有定期评审上述活动日志 有没有记录系统管理员和系统操作员的活动 有没有记录并分析错误日志，并采取适当的措施 各系统的日志记录级别是否由风险评估决定，并考虑性能