ISO27001信息安全风险评估安全状况调查.docxVIP

信息安全风险评估安全状况调查

1.安全管理机构

安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

序号

检查项

结果备注

1.

信息安全管

理机构设置

□以下发公文方式正式设置了信息安全管理工作的专门职能机构。

□设立了信息安全管理工作的职能机构，但还不是专门的职能机构。

□其它。

2.

信息安全管

理职责分工

情况

□信息安全管理的各个方面职责有正式的书面分工，并明确具体的责任人。

□有明确的职责分工，但责任人不明确。

□其它。

3.

人员配备

□配备一定数量的系统管理人员、网络管理人员、安全管理人员等;安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。

□配备一定数量的系统管理人员、网络管理人员、安全管理人员等，但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。

□其它。

4.

关键安全管

理活动的授

权和审批

□定义关键安全管理活动的列表，并有正式成文的审批程序，审批活动有完整的记录。

□有正式成文的审批程序，但审批活动没有完整的记录。

□其它。

5.

与外部组织

沟通合作

□与外部组织建立沟通合作机制，并形成正式文件和程序。

□与外部组织仅进行了沟通合作的口头承诺。

6.与组织机构内部沟通合作

□其它。

□各部门之间建立沟通合作机制，并形成正式文件和程序。

□各部门之间的沟通合作基于惯例，未形成正式文件和程序。

□其它。

2.安全管理制度

安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。

检查项

结果备注

1

信息安全策

略

□明确信息安全策略，包括总体目标、范围、原则和安全框架等内容。

□包括相关文件，但内容覆盖不全面。

□其它

2

安全管理制

度

□安全管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。

□有安全管理制度，但不全而面。

□其它。

3

操作规程

□应对安全管理人员或者操作人员执行的重要管理操作建立操作规程。

□有操作规程，但不全面。

□其它。

4

安全管理制

度

的论证和审

定

□组织相关人员进行正式的论证和审定，具备论证或者审定结论。

□其它。

5

安全管理制

度

的发布

□文件发布具备明确的流程、方式和对象范围。

□部份文件的发布不明确。

□其它。

6

安全管理制

度

的维护

□有正式的文件进行授权专门的部门或者人员负责安全管理制度的制定、保存、销毁、版本控制，并定期评审与修订。

□安全管理制度分散管理，缺乏定期修订。

□其它。

7执行情况□所有操作规程的执行都具备详细的记录文档。

□部份操作规程的执行都具备详细的记录文档。

□其它。

3.人员安全管理

人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。

序号

检查项

结果备注

1.

重点、敏

感岗位人

员录用和

审查

□为与信息安全密切相关的重点、敏感岗位人员制定特殊的录用要求。对被录用人的身份、背景和专业资格进行审查，对技术人员的技术技能进行考核，有严格的制度规定要求。

□其它。

2

保密协议

的签

署

□与从事关键岗位的人员签署保密协议，包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。

□其它。

3

人员离岗

□规范人员离岗过程，有具体的离岗控制方法，及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。

□其它。

4

安全意识

教育

□根据岗位要求进行有针对性的信息安全意识培训。

□未根据岗位要求进行有针对性的信息安全意识培训，仅开展全员安全意识教育。

□其它。

5

安全技能

培训

□制定了有针对性的安全技能培训计划，培训内容包含信息安全基础知识、岗位操作规程等，并认真实施，而且有培训记录。

□安全技能培训针对性不强，效果不显著。

□其它。

6

在岗人员考核

□定期对所有人员进行安全技能及安全知识的考核，对重点、敏感岗位的人员进行全面、严格的安全审查。

□仅对重点、敏感岗位的人员进行全面、严格的安全审查，未普及到全员。

□其它。

7

惩戒措施

□告知人员相关的安全责任和惩戒措施，并对