上海联众网络信息有限公司 ISO27001:2005 信息安全目标与控制检查表 编制: 审核: 批准: 二〇一三年三月十二日 A.5 安全方针 标准条款号 标 题 目标 /控制 控制 理 由 控 制 要 求 审核发现 A.5.1 信息安全方针 目标 依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。 A.5.1.1 信息安全方针文件 控制 根据Info-Riskmanager风险评估的结果。 总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布? 管理手册中有信息安全方针 A.5.1.2 信息安全方针评审 控制 根据Info-Riskmanager风险评估的结果。 每年管理评审或发生重大变化时是否对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订? 管理评审报告 A.6 信息安全组织 标准条款号 标 题 目标 /控制 控 制 理 由 控 制 要 求 审核发现 A.6.1 信息安全组织 目标 管理组织内部信息安全。 A.6.1.1 信息安全管理承诺 控制 根据Info-Riskmanager风险评估的结果。 总经理是否承诺建立、实施、运作、监视、评审、保持和改进 ISMS,并通过一系列的活动,提供证实。该承诺《信息安全管理手册》中进行相是否描述? A.6.1.2 信息安全的协作 控制 根据Info-Riskmanager风险评估的结果。 公司是否成立以信息安全管理者代表、各部门信息安全负责人组成的跨部门的联席会议,协调信息安全管理工作,对体系运行中存在的问题进行解决。会议由人事行政部负责组织安排并做好会议记录? A.6.1.3 信息安全职责分配 控制 根据Info-Riskmanager风险评估的结果。 公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作? 对每一项重要资产指定信息安全责任人。 A.6.1.4 信息处理设备的授权过程 控制 根据Info-Riskmanager风险评估的结果。 软件部是否根据使用部门需求提出新的信息处理设施(包括软件)的配置要求,并组织验收与实施,确保与原有系统的兼容? A.6.1.5 保密协议 控制 根据Info-Riskmanager风险评估的结果。 本公司是否与正式录用员工在劳动合同中附加有关保密方面的内容条款或签订《保密协议》。员工聘用期满离开公司之前,是否提醒其对保密所作的承诺...
