ISO27001调查问卷模版1

编号标准编号部分问题A.5安全政策(SecurityPolicy)A.5.1信息安全政策控制目标：依照营运要求及相关法律与法规，提供管理阶层对信息安全之指引与支持。1A.5.1.1信息安全政策文件控制措施信息安全政策文件应由管理阶层核准，并公布与传达给所有聘雇人员与相关外部团体。编号标准编号部分问题A.6A.6.1内部组织控制目标：在组织内管理信息安全。3管理阶层对信息安全的承诺控制措施管理者应通过清晰的方向、可见的承诺、明确的任务分配、信息安全职责沟通在组织内积极支持安全4控制措施信息安全活动应由组织的各个部门及各种相关角色和职能的代表进行协作5控制措施应明确界定所有信息安全职责。6控制措施应确定并实施新的信息处理设施的管理授权过程7控制措施应识别并定期评审组织的保密或非扩散协议。该协议应反应组织对于信息保护的要求。A.6.2外部团体控制目标：维持由外部团体存取、处理、通讯或管理之组织信息与信息处理设施的安全11控制措施应识别来自外部组织的业务过程的信息和信息处理设施的风险，并在允许访问前实施适当的控制12控制措施A.6.1.3信息安全职责的分派A.6.1.4信息处理设施的授权过程信息安全的组织(Organizationofinformationsecurity)A.6.1.1A.6.1.2信息安全协调合作A.6.2.2当与顾客接触时强调安全A.6.1.5保密协议A.6.2.1鉴别与外部团体有关的风险应在允许顾客访问组织的信息或资产前强调所有的安全要求13控制措施凡涉及存取、处理、通讯或管理组织的信息或信息处理设施，或在信息处理设施上附加产品或服务者，应在与第三方签署的协议中涵盖所有相关的安全要求。编号标准编号部分问题A.7资产管理A.7.1资产职责控制目标：达成并维持组织资产的适当保护。14控制措施应清楚识别所有的资产，编制并保持所有重要资产列表15控制措施所有与信息及信息处理设施有关的资产应指定组织的部门负责，确定所有权关系。16控制措施应识别信息及与信息处理设施有关的资产的可接受的使用准则，形成正式文件并予以实施A.7.2信息分类控制目标：确保信息受到适当等级的保护17控制措施应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类18控制措施应依照组织所采用的分类方案，发展与实施一套适当的信息标示与处理程序。编号标准编号部分问题A.6.2.2当与顾客接触时强调安全A.6.2.3在第三方协议中强调安全A.7.1.3资产可接受的使用方式A.7.2.1分类指南A.7.1.1资产列表A.7.1.2资产的所有权A.7.2.2信息标示与处理3解释：“所有者”系指负有经过核准之管理职责的个人或实体，控制资产的生产、发展、维护、使用及安全。所有者一词并非该人员真正对资产有任何财产权。A.8人力资源安全A.8.1聘用之前控制目标：确保聘雇人员、承包商及第三方使用者了解其职责，并适合其所考虑的角色与降低设施的窃盗、诈欺或误用的风险19控制措施聘用人员、承包商及第三方使用者的安全角色与职责，应依照组织的信息安全政策加以界定与文件化20控制措施应根据相关的法律、法规和道德，对所有的求职者、合同方和第三方用户进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适宜21控制措施作为合同责任的一部分，员工、合同方和第三方用户应同意并签署他们的雇佣合同的条款。这些条款应规定其与组织对于信息安全的职责A.8.2聘用期间控制目标：确保所有聘雇人员、承包商及第三方使用者认知信息安全的威胁与关切议题、其职责及责任，并有能力在日常工作中支持组织安全政策与降低人为错误的风险22控制措施管理者应要求所有的员工、合同方和第三方用户应用符合组织已建立的方针和程序的安全23控制措施组织应对组织的所有员工进行适当的意识培训，及定期更新的、与他们工作相关的组织方针和程序培训。在适当时候，还要对合同方和第三方用户进行教育与培训。24控制措施对违反安全的聘用人员，应有正式的惩戒过程。A.8.3聘雇的终止或变更控制目标：确保聘雇人员、承包商及第三方使用者能以有序的方式脱离组织或变更聘雇。A.8.1.2筛选A.8.1.3聘用条款A.8.1.1角色与职责A.8.2.3惩戒过程A.8.2.1管理职责A.8.2.2信息安全意识、教育和培训25控制措施应清晰规定和分配进行雇佣变更或终止的责任26控制措施当结束聘用关系、合同或协议时，员工、合同方和第三方用户应归还所使用的组织资产27控制措施当聘用关系、合同或协议中止时，应移除所有员工、合同方和第三方用户对信息和信息处理设施的访问权限，或根据变化加以调整编号标准编号部分问题A.9实体与环境安全A.9.1安全区域控制目标：防止组织的作业场所与信息被未经授权的实体存取、损害及干扰28控制措施应使用安全边界（例如墙、卡片控制的进入信道或人工驻守的柜台等屏障），以保护含有信息与信息处理设施的区域。29控制措施安全区域应藉由适当的进入控制措施加以保护，以确保只有授权人员方可允许进入。30控制措施办公室、房间及设施的实体安全应加以设计与运用。31控制措施应设计与运用实体保护，以避免遭受火灾、洪水、地震、爆炸、民众暴动及其它天然或人为灾难的损害32控制措施A.8.3.1终止职责A.9.1.1实体安全边界4解释：“聘用”一字在此处系指包括下列所有不同的情况：人员之聘用（临时或长期）、指派工作角色、变更工作角色、合约之任务以及此等安排的终止A.9.1.2实体进入控制措施A.8.3.2资产的归还A.8.3.3移除访问权限A.9.1.5安全区域内之工作A.9.1.3安全的办公处所及设施A.9.1.4对外部与环境威胁的保护在安全区域内工作之实体保护与指引应加以设计与运用。33控制措施诸如递送与装卸区以及其它未经授权人员可能进入作业场所之进入点应加以管制；并且，若可能，应将信息处理设施隔离，以避免未经授权的存取。A.9.2设备安全控制目标：防止资产的遗失、损害、偷窃或受损，并防止组织活动的中断34控制措施应安置或保护设备，以降低来自环境之威胁与危害，以及未经授权存取之机会。35控制措施应保护设备不受电力失效与其它支持设施失效所导致的中断。36控制措施应保护传送数据或支持信息服务的电力与电信缆线，以防止窃听或损毁。37控制措施应正确地维护设备，以确保其持续的可用性与完整性。38控制措施安全应运用于场外设备，并考虑其在组织作业场所外工作的各种风险39控制措施含有储存媒介物的设备其所有项目在报废前应加以核对，以确保任何敏感性的数据与授权的软件已被移除或安全地覆写。40控制措施设备、信息或软件未经事前授权不应带出厂（场）区。编号标准编号部分问题A.10通讯与操作管理A.9.1.5安全区域内之工作A.9.1.6公共存取、递送及装卸区A.9.2.3缆线的安全A.9.2.4设备维护A.9.2.1设备安置与保护A.9.2.2支持的公用设施A.9.2.7财产的移动A.9.2.5场外设备之安全A.9.2.6设备的安全报废或再使用A.10.3系统规划与验收控制目标：使系统失效的风险最小化48控制措施应监督、调整各项资源的使用，并预估未来容量需求，以确保所要求的系统绩效。49控制措施对新的信息系统、系统升级及新版本的验收准则应加以建立，并且在开发期间与验收前应完成适当之系统测试。A.10.4防范恶意码与行动码控制目标：保护软件与信息的完整性50A.10.4.1对抗恶意码的控制措施控制措施应实施防范恶意码的侦测、预防及复原控制措施，以及适当的使用者认知程序51A.10.4.2防范移动代码控制措施当使用移动代码获得授权时，配置管理应确保授权的移动代码按照明确定义的安全方针运行，并防止未经授权移动代码的执行。A.10.5备份控制目标：维持信息与信息处理设施的完整性与可用性52控制措施应根据既定的备份策略对信息和软件进行备份并定期测试A.10.6网络安全管理控制目标：确保网络内信息与支持性基础设施的保护53控制措施应对网络进行充分的管理和控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输。54控制措施A.10.3.1容量管理A.10.6.1网络控制措施A.10.6.2网络服务的安全A.10.3.2系统验收A.10.5.1信息备份应鉴别所有网络服务的安全特性、服务等级及管理要求，并应纳入网络服务协议，不论此等服务是由内部或委外所提供。A.10.7媒介物处理控制目标：防止资产被未授权的揭露、修改、移除或破坏，以及营运活动的中断55控制措施应建立适当的程序，以管理可移动存储介质。56控制措施当存储介质不再需要时，应按照正式的程序进行安全可靠的销毁。57控制措施应建立信息处置和存储程序，以防范该信息的未授权泄漏或误用。58控制措施应保护系统文件，防止未授权的访问。A.10.8信息交换控制目标：维护组织内及与任何外部实体交换信息与软件的安全59控制措施应建立正式的信息交换策略、程序和控制，以保护通过所有类型的通讯设施交换信息的安全。60控制措施组织与外部团体间的信息与软件交换应建立协议。61控制措施在组织的物理边界之外进行传输的过程中，应保护包含信息的介质免受未授权的访问、误用或破坏62控制措施涉及电子消息的信息应适当的加以保护。63控制措施应开发并实施策略和程序，以保护与业务信息系统互联的信息A.10.6.2网络服务的安全A.10.7.3信息处理程序A.10.7.4系统文件的安全A.10.7.1可移动存储介质的管理A.10.7.2存储介质的处置A.10.8.3物理介质传输A.10.8.4电子消息A.10.8.1信息交换的政策与程序A.10.8.2交换协议A.10.8.5业务信息系统A.10.10监督控制目标：侦测未经授权的信息处理活动67控制措施审计日志系纪录使用者活动、例外及信息安全事件，应加以产生与保留一段同意的期间，以协助未来的调查与存取控制监督。68控制措施应建立信息处理设施使用的监控程序，并定期审查监视活动的结果。69控制措施应保护纪录日志的设施与日志信息，不受窜改与未授权存取。70控制措施系统管理者与系统操作员的活动应记录日志。71控制措施应记录并分析错误日志，并采取适当的措施。72控制措施组织或安全领域内所有相关信息处理系统的时钟，应与公认的准确时间来源同步。编号标准编号部分问题A.11访问控制A.11.2用户访问管理控制目标：确保授权使用者对信息系统的存取与防止未经授权的存取。74控制措施应建立正式的用户注册和解除注册程序，以允许和撤销对于所有信息系统和服务的访问75控制措施应限制与控制特权的分配与使用。76控制措施A.10.10.2监督系统的使用A.10.10.3日志信息的保护A.10.10.1审计日志A.10.10.6时钟同步A.10.10.4管理者与操作员日志A.10.10.5错误日志A.11.2.2特权管理A.11.2.1用户注册A.11.2.3用户口令管理应以正式的管理过程控制口令的分配。77控制措施管理阶层应定期使用正式过程审查使用者的存取权限。A.11.3使用者责任控制目标：防止未经授权的使用者存取及信息与信息处理设施的泄露或窃盗。78控制措施应要求使用者遵守良好安全规范去选择及使用通行码。79控制措施使用者应确保无人看管的设备有适当的保护。80控制措施应采用针对文件、可移动储存介质的桌面整理策略和针对信息处理设施的屏幕清空策略。A.11.4网络存取控制控制目标：防止网络服务被未授权的存取。81控制措施用户应只能访问经过明确授权使用的服务。82控制措施应使用适当的鉴别方法控制远程用户的访问83控制措施应考虑自动设备的鉴别，将其作为鉴别特定位置和设备连接的方法。84控制措施应控制对诊断和配置端口的物理和逻辑访问85控制措施应隔离信息系统内的信息服务组、用户和信息系统A.11.4.4远程诊断和配置端口保护A.11.3.3桌面整理与屏幕清空策略无人看管的使用者设备A.11.2.4对用户访问权限的审查A.11.3.1口令的使用A.11.4.1A.11.3.2A.11.4.2外部连接用户鉴别A.11.2.3用户口令管理网络服务使用策略