信息安全核查手册-ic

严重不合格重大不合格轻微不合格建议项合格项优秀项电算部门的组织结构中是否对所有的岗位职责进行了专业上的分工电算部门员工的岗位职责是否明确，分工界定是否既能相互联系又不引起冲突电算所有工作流程是否已定义，流程是否合理。电算相关管理制度是否明确制定，是否遵照执行。执行程度是否满意。是否存在改进余地，改进是否及时。是否已经制定信息安全方针和安全策略，能够给各项信息安全管理活动提供指引和支持电算部门员工的信息安全意识是否足够，部门主管是否进行信息安全意识的不断强化和灌输是否具有安全事故的预防机制和措施。是否定期针对信息安全进行核查和不断地过程改进管理层是否足够重视并提供切实有效的支持；信息资产是否明确定义并能妥善管理信息的物理与环境安全是否符合国家和集团规范的要求人力资源相关的信息安全管控是否明确定义并遵照执行通讯和操作管理方面是否有明确的管控措施信息是否具有访问控制措施信息系统当中的安全需求定义是否明确信息安全管理制度与流程是否明确定义并严格执行信息管理制度、规范、操作手段和管理范围是否符合现行法律，政策，规范等要求部门管理电算部管理评价细则评价单位信息中心评价范围检查要素检查结果优秀点、问题及改正建议方案信息安全执行信息安全管理严重不合格重大不合格轻微不合格建议项合格项优秀项电算部管理评价细则评价单位信息中心评价范围检查要素检查结果优秀点、问题及改正建议方案系统维护工作流程是否明确定义并遵照执行是否制定设备巡检制度并遵照执行是否具有系统故障的预防机制和应急措施。是否定期针对系统进行诊断、核查是否具有系统维护的工作项、检查项清单。系统是否具有升级计划和规划系统维护工作是否有登记制度，记录维护人，维护项目，维护结果等系统维护严重不合格重大不合格轻微不合格建议项合格项优秀项组织架构：组织设计是否合理，符合企业当前和长远发展目标电算部门的组织结构中是否对所有的岗位职责进行了专业上的分工人员职责电算部门员工的岗位职责是否明确，分工界定是否既能相互联系又不引起冲突工作流程电算部门所有工作流程是否已定义，流程是否合理。管理制度电算部门相关管理制度是否明确制定，是否遵照执行。执行程度是否满意。是否存在改进余地，改进是否及时。电算部门员工的信息安全意识是否足够，部门主管是否进行信息安全意识的不断强化和灌输是否具有安全事故的预防机制和措施。是否定期针对信息安全进行核查和不断地过程改进管理层是否足够重视并提供切实有效的支持；在国际公司范围内建立发起和控制信息安全实施的管理框架。是否明确定义国际公司管理层对信息安全的责任是否明确定义信息安全协调机制是否明确分派信息安全责任是否明确定义信息处理设施的批准程序是否明确定义信息保密协议（内、外部各类保密协议）是否能持续保持与专业信息安全权威人士或组织联系是否能够对信息安全做独立评审是否能够识别与外部伙伴相关的风险是否能够在外部交往时注意安全是否能够在第三方协议中注明安全是否编制资产清单是否定义资产属主安全管理基础信息安全管理内部组织：在国际公司内部建立发起和控制信息安全实施的管理框架外部伙伴：维护被外部访问、处理和管理的组织的信息处理设施和信息资产的安全。部门管理组织级信息安全资产责任：保持对组织资产的恰当的保护。所有资产都应该责任到人。资产管理电算部管理评价细则评价单位信息中心评价领域评价要素检查结果优秀点、问题及改正建议方案评价目标严重不合格重大不合格轻微不合格建议项合格项优秀项电算部管理评价细则评价单位信息中心评价领域评价要素检查结果优秀点、问题及改正建议方案评价目标是否定义对资产的可接受使用是否有分类指南是否有信息标注与处理是否明确定义了角色和责任是否有严格的人员筛选（Screening）是否明确定义了聘用条件和条款是否明确定义了管理层职责是否持续培养员工信息安全意识、并持续进行教育和培训是否明确定义了惩罚机制是否明确定义了解聘责任是否明确定义了返还资产流程是否明确定义了去除访问权限的流程是否明确定义了物理安全边界是否进行物理入口控制是否保护办公场所、房间和设施是否能有效防止外部和环境威胁是否能够保证在安全区内工作是否明确定义了公共访问和交接区域是否明确定义了设备的安置与保护制度是否能保证供电安全是否能保证电缆安全是否定期设备维护是否能保证场外设备的安全是否能保证设备报废或重用时的安全是否能保证顺利财物迁移聘用前控制：确保雇员、临时人员和第三方用户理解其自身责任，适合角色定位，减少偷窃、欺诈或误用设施带来的风险。安全区域：防止非授权物理访问、破坏和干扰组织的安全区边界。设备安全：防止资产的丢失、损害和破坏，防止业务活动被中断。物理与环境安全聘用期间：确保所有雇员、临时人员和第三方用户都意识到信息安全威胁、利害关系、责任和义务，并在其正常工作当中支持组织的安全策略，减少人为错误导致的风险。解聘和职位变更：确保雇员、零时人员和第三方用户按照既定方式离职或变更职位。人力资源安全资产责任：保持对组织资产的恰当的保护。所有资产都应该责任到人。信息分类：确保信息资产得到适当级别的保护。资产管理严重不合格重大不合格轻微不合格建议项合格项优秀项电算部管理评价细则评价单位信息中心评价领域评价要素检查结果优秀点、问题及改正建议方案评价目标操作程序的是否已经制度化、文档化是否明确定义了变更管理流程是否能够明确职责，进行职责分离是否已经把开发、测试和运营设施进行分离是否明确定义了服务交付流程是否能够有效监督和复查第三方服务是否可以针对第三方服务变更管理是否已经容量管理是否定义了系统验收流程并遵照执行是否能进行恶意代码控制是否能进行移动代码控制备份：维护信息和信息处理设施的完整性及可用性是否有备份策略，信息备份策略完备程度如何是否具有网络控制能力网络服务的安全是否可管理移动介质的是否进行管理，管理制度定义是否合适是否具有介质的处置流程是否有信息处理流程系统文件的安全策略是如何定义的信息交换策略和流程是否有定义交换协议是否有定义传输中的物理介质是否有管理电子信息交换规范是否有定义业务信息系统是否有管理电子商务服务安全性保证策略有效性、合理性如何在线交易安全性保证有效性、合理性如何信息的交换:保持组织内部和与外部实体间进行信息交换的安全性。电子商务服务:确保电子商务服务的安全性，保证安全使用电子商务服务。网络安全管理:确保网络中的信息以及支持技术设施得到保护介质处理:防止非授权泄漏、篡改、废除和破坏资产，防止业务活动中断。操作程序和责任：确保正确并安全地操作信息处理设施。第三方服务交付管理：根据第三方服务交付协议，实施并保持恰当的信息安全和服务交付水平。系统规划及验收：减少系统故障带来的风险抵御恶意和移动代码：保护软件和信息的完整性通信与操作管理严重不合格重大不合格轻微不合格建议项合格项优秀项电算部管理评价细则评价单位信息中心评价领域评价要素检查结果优秀点、问题及改正建议方案评价目标公共可用信息安全性保证有效性、合理性如何是否具有审计日志是否监视系统使用情况是否有机制保护日志信息是否有管理员和操作日志是否有故障日志是否进行时钟同步访问控制的业务需求访问控制策略(控制对信息的访问。是否能够根据业务和安全需求对信息、系统和业务流程加以控制，还有信息传播和授权的策略。)是否能够进行用户注册是否具有特权管理是否具有用户口令管理是否具有用户访问权限的复审是否具有口令使用无人值守的用户设备是否有管理机制是否具有桌面清理和清屏策略是否制定网络服务使用策略是否具有对外部连接用户进行身份认证是否能够识别网络中的设备是否具有远程诊断和配置端口的保护是否具有网络隔离是否具有网络连接控制是否具有网络路由控制是否具有安全的登录程序是否具有用户身份识别与认证是否具有口令管理系统是否有系统工具的使用是否具有会话超时是否限制连接时间是否进行信息访问限制电子商务服务:确保电子商务服务的安全性，保证安全使用电子商务服务。应用和信息访问控制：防止非授权访问信息系统中的信息用户访问管理:确保授权用户的访问，防止非授权访问信息系统。用户责任:防止非授权用户访问、破坏、窃取信息及信息处理设施。网络访问控制：保护网络服务，防止非授权访问，对内部和外部的网络访问都应该得到控制。访问控制监视:发现非授权活动操作系统访问控制：防止对信息系统的非授权访问通信与操作管理严重不合格重大不合格轻微不合格建议项合格项优秀项电算部管理评价细则评价单位信息中心评价领域评价要素检查结果优秀点、问题及改正建议方案评价目标敏感系统是否单独进行隔离移动计算和通信的安全策略是否具备远程工作的安全策略是否具备信息系统的安全需求：确保安全内建于信息系统中。安全需求分析与规范是否进行输入数据的验证是否进行内部处理控制是否进行消息认证是否进行输出数据的验证是否具有密码控制使用策略是否进行密钥管理是否能够控制运营系统上的软件是否有机制保护系统测试数据是否有机制对源代码进行访问控制是否已经制定变更控制流程并遵照实施运营系统变更后是否对应用做技术评审限制对软件包的变更是否可以防止信息泄漏外包的软件开发的控制流程是否具备技术漏洞管理：防止因为利用已发布漏洞而实施的破坏。是否能够及时控制技术漏洞是否能够及时报告信息安全事件是否能够及时报告安全缺陷是否能够明确安全事件的责任和程序报告信息安全事件和缺陷：确保与信息系统相关的信息安全事件和缺陷能够及时发现，以便采取纠正措施。管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件。信息系统获取、开发与维护应用和信息访问控制：防止非授权访问信息系统中的信息访问控制系统文件的安全：控制对系统文件和程序源代码的访问，使IT项目及其支持活动安全进行，确保系统文件的安全性。开发和支持过程的安全：维护应用系统软件和信息的安全。应该严格控制项目和支持环境移动计算和通信：确保使用移动计算和通讯设施时的信息安全。应用程序中正确的处理：防止应用程序中的信息出错、丢失、被非授权篡改或误用。密码控制：通过加密手段，保护信息的保密性、真实性或完整性。严重不合格重大不合格轻微不合格建议项合格项优秀项电算部管理评价细则评价单位信息中心评价领域评价要素检查结果优秀点、问题及改正建议方案评价目标能否从信息安全事件中吸取经验和教训是否能够进行安全事件的证据搜集在业务连续性管理过程中是否考虑信息安全业务连续性和风险评估是否已经进行或准备进行在开发和实施时是否包含信息安全的连续性计划是否制定业务连续性计划框架是否进行过或即将进行测试、维护和再评估业务连续性计划识别适用的法律知识产权（IPR）保护组织记录数据保护和个人信息的隐私防止对信息处理设施的滥用加密控制的规定符合集团信息安全策略技术符合性检查信息系统是否具有审计控制信息系统审计工具保护机制是如何定义的系统维护工作流程是否明确定义并遵照执行是否制定设备巡检制度并遵照执行是否具有系统故障的预防机制和应急措施。是否定期针对系统进行诊断、核查是否具有系统维护的工作项、检查项清单。系统是否具有升级计划和规划系统维护工作是否有登记制度，记录维护人，维护项目，维护结果等符合安全策略和标准：确保遵守组织的安全策略和标准。信息系统审计的考虑：发挥系统审计过程的最大效用，并把干扰降到最低。符合性系统维护系统维护管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件。信息系统获取、开发与维护业务连续性管理的信息安全方面：减少业务活动的中断，保护关键业务过程不受重大事故或灾害的影响，确保其及时恢复。业务连续性管理符合法律要求：避免违反任何法律、条令、法规或者合同义务，以及任何安全要求。