ISO27001预评估访谈表-安全管理员.docVIP

ISO 27001预评估访谈表-安全管理员 （评估内部人员使用） 访谈时间 访谈地点 访谈部门 访谈对象 职务 联系电话 电子邮件 其他对象 提问人 记录人 安全管理员 序号 问题 1 有没有根据机密程度和商业重要程度对数据和信息分类？ 2 是否已建立了合适的信息标记规程？ 3 是否根据信息分类机制建了处理资产的规程？ 4 目前公司部署了哪些安全产品?都部署了哪些策略?是否会定期对安全产品的策略进行调整? 5 是否在公司范围内开展风险评估？多久进行一次？ 风险评估的内容包括那些？发现的风险如何处置的？ 6 是否在公司范围内开展信息安全内审？内审是否包括管理和技术两方面？ 7 进行技术审计前是否有明确的授权？在对运行系统进行技术评估时是否有适当的保护措施？ 8 对技术审计工具的使用是否有适当的限制，以防止滥用？ 9 是否会和外部公司存在数据交换的情况？ 是否有正式的信息交换策略和流程，明确交换方式，交换中的注意事项？ 10 和外部公司之间的电子和手工方式的信息交换，是否根据信息和软件的重要性和敏感程度提出了保护措施？ 11 是否采用加密技术来保护机密信息和敏感信息？ 12 是否考虑所用签名算法的类型和质量，所用密钥的长度？（数字签名所用的密钥应与加密所用密钥不同） 13 采用了哪些机制以支持组织使用密码技术,保护所有密钥，防止修改和破坏？ 14 密钥管理机制是否基于相同的一套标准、程序和安全方法？ 15 是否对公司记录按类型（会计记录、数据库数据和日志、网管日志、审计日志和操作程序等）进行分类，每种记录是否说明详细的保管时间和存储介质类型？ 16 有没有制定针对信息资产的清单？（信息资产应包括数据、服务、软件、硬件、设备等） 17 信息资产的清单是否定期维护和更新？ 18 是否清楚地规定了每个信息资产的保护责任，并明确定义了维护责任人？ 19 是否有文件化的信息资产的可接受的使用准则?（如办公电脑使用要求/邮箱使用要求/办公软件使用要求/互联网使用要求/VPN使用） 20 对于已经存储数据的可移动介质是否被妥善地管理和控制？（可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD 和打印的介质） 21 是否有介质的安全处理流程，以约束介质的处理并将风险降到最小？ 22 对不再使用的存储介质（如：硬盘、磁盘）是否进行了安全妥善的处理？硬盘消磁？ 27001预评估访谈表-安全管理员 内部资料