浙江省交通系统网络安全风险评估项目.docVIP

安全管理调查表 北京理工先河科技发展有限公司 第 PAGE 1 页 共 NUMPAGES 14 页 地址：北京市海淀区中关村南大街7号理工科技集团304室 {100081} 电话：010 传真：010网址： 浙江省交通系统网络安全风险评估项目 安全管理调查表 单位（部门）名称 填表人： 职位： 联系电话： 填表日期： 安全策略 序号 审查点 问题描述 符合情况 备注 1.1 信息安全策略 1.1.1 信息安全策略文档 是否已经制定并发布了能够反映组织安全管理意图的信息安全策略文件？ ? 是 ? 否 　 是否描述了相应的管理责任和管理方法？ ? 是 ? 否 　 1.1.2 复审与评价 是否有专人按照特定的过程定期进行复审与评价？ ? 是 ? 否 　 能否确保当系统安全状态发生变化时及时地进入复审与评价的过程，以便及时地修改安全策略，恢复到组织可接受的安全状态？ ? 是 ? 否 　 组织安全 序号 审查点 问题描述 符合情况 备注 2.1 信息安全架构 2.1.1 信息安全管理机构 是否具有负责对组织内各安全管理实体进行支持的安全管理、决策机构？ ? 是 ? 否 　 2.1.2 信息安全协调机构 是否具有对安全控制进行实施过程中所涉及的内部相关部门进行协调的机构？ ? 是 ? 否 　 2.1.3 信息安全责任分配 是否明确定义了保护个人财产的责任和实施安全措施的特定过程？ ? 是 ? 否 　 2.1.4 信息处理授权过程 是否建立了对新信息处理设备的授权管理过程？ ? 是 ? 否 　 2.1.5 专家信息安全建议 是否能够在需要时以某种方式获得专家级建议？ ? 是 ? 否 　 2.1.6 组织间合作 是否与公安机关、电信运营等组织保持适当的接触，以便当系统发生安全事件时，能够及时地采取快速行动加以解决？ ? 是 ? 否 　 2.1.7 独立复查 是否有独立的部门或外部专业机构对组织的安全管理进行独立复查？ ? 是 ? 否 　 2.2 第三方访问安全 2.2.1 来自第三方风险的识别 是否已经明确定义了来自第三方访问的风险？ ? 是 ? 否 　 是否规定了第三方的访问类型？ ? 是 ? 否 　 是否对来自第三方的风险采取了适当的控制措施？ ? 是 ? 否 　 是否在签定了相应条款后才允许第三方对信息及信息处理系统进行许可的访问？ ? 是 ? 否 　 2.2.2 第三方合同中应提及的安全需求 是否第三方对组织信息访问的合同中所包含的内容均符合组织的安全策略及相关制度？ ? 是 ? 否 　 2.3 外包 2.3.1 外包合同中的安全需求 是否在外包合同中明确描述了组织的安全需求？ ? 是 ? 否 　 是否在合同中包含了对专业术语的解释？ ? 是 ? 否 　 是否明确了外包服务所涉及的系统范围和服务方式？ ? 是 ? 否 　 资产分类和控制 序号 审查点 问题描述 符合情况 备注 3.1 资产责任 3.1.1 资产清单 是否组织的重要资产由一份清单被管理和维护？ ? 是 ? 否 　 是否每个资产都标明了所有者、类型、级别（或价值）和当前所处位置？ ? 是 ? 否 　 3.2 信息分类 3.2.1 分类指导方针 是否具有信息分类的方案或指导方针？ ? 是 ? 否 　 3.2.2 信息的标记和处理 是否根据分类方案对信息进行标记并指出处理方式？ ? 是 ? 否 　 个人安全 序号 审查点 问题描述 符合情况 备注 4.1 工作定义和资源的安全性 4.1.1 工作责任中的安全 是否在组织的信息安全政策中确定了安全角色和责任？其中包括实施维护安全政策的通用责任，也包括对一些特殊财产的特殊保护的责任，或者是执行一些特定安全处理和活动时应负的责任。 ? 是 ? 否 　 4.1.2 个人观察和政策 是否对永久雇员的观察与确认贯穿于其工作的始终？应包括以下内容： a)令人满意的性格特征； b)对员工履历的检查； c)声称的学术及专业资格的认证； d)独立身份确认。 ? 是 ? 否 　 4.1.3 保密协议 是否要求员工在任职之初签署保密协议？ ? 是 ? 否 　 是否临时雇员和第三方的用户在访问信息处理系统以前首先签署保密协议？ ? 是 ? 否 　 4.1.4 雇佣条件与条款 是否在雇佣条款中包括了员工对信息安全的责任以及员工享有的法律权利和义务？ ? 是 ? 否 　 4.2 用户培训 4.2.1 信息安全教育和培训 是否组织内的雇员和第三方使用信息的合作伙伴均接受过相应的培训？ ? 是 ? 否