审查内容审查要点检查时间审核结果发现就是否开展了信息安全得检查活动?有安全检查记录或者报告,与改善记录 1,就是否制定了资产清单,包含了所有得客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?2,对这些资产清单就是否有定期得更新? 1、 确认资产清单正确ﻫ2、 确认更新记录ﻫ3、 客户得资产得保护 上面得资产清单上就是否标识了所有人与保管人?(要点:确认资产得所有人与保管人被清楚得标识,并且与实际情况相符) 就是否按客户文档得密级规则进行了适当得保护确认对于机密信息(电子文档,打印文档),限定范围得信息(电子文档,打印文档)就是否有‘明确标识’.根据需要,确认‘限定范围',‘附带标识',‘制定日期’,‘制定者'。 就是否使所有员工与信息安全相关人员签署了保密协议/合同? 就是否有信息安全意识、教育与培训计划?确认培训计划 就是否执行了信息安全意识、教育与培训?培训记录(实施日期,培训内容/教材,参加人员) 就是否制定了信息安全惩戒规程? 就是否执行了信息安全惩戒? 邮件用户就是否清除了?抽查就是否有离职人员得用户权限没有被清除 门禁权限就是否清除了? 内部 OA 权限就是否清除了?抽查就是否有离职人员得用户权限没有被清除 S V N/CC/VSS 权限就是否清除了?部门服务器得权限就是否清除了?(要点:实地检查就是否有离职员工/转出员工得访问权限没有被清除) 就是否制订规则划分了安全区域?确认风险评估时就是否划分了安全区域等级 就是否执行了安全区域划分规则?对不同等级得区域就是否有相应措施,措施就是否 审查内容审查要点检查时间审核结果发现被执行就是否制订安全区域出入规则?1、 在公司内部,员工就是否佩带可以识别身份得门卡。ﻫ2、 机房,实验室就是否有出入管制规则 就是否执行了安全区域出入规则(前台接待,机房,实验室访问控制)?安装了防盗设施。(机房大门得上锁,I D 卡得识别装置进入,离开得管理),实验室进出就是否有管理记录 就是否定期执行门/窗等入口安全检查?检查记录 就是否定义了公共访问/交接区域?确认定义文件 就是否监控了公共访问与交接区域?实地查瞧就是否有监控措施 服务器就是否得到了妥善得安置与防护?1、 重要得服务器放在安全得区域(如机房)2、 就是否有 U PS3、 温度与湿度合适 个人电脑就是否得到了安置与防护?1、 笔记本安装 P o inSe c,配有物理锁 2、 所有电脑使用密码屏幕保护ﻫ...
