信息安全管理体系内审检查表
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
4.1理解组织及其环境
公司是否有部门简介,并能充分反应公司内部情况,如:背景、经营范围、财务表现、规模及设施、人力资源能力、技术优势、知识等(内部因素)及涉及法律法规和专利技术、市场占有率、主要合作伙伴及同行的影响、物理边界、信息渠道(外部因素)?
符合
4.2 理解相关方的需求和期望
公司是否收集相关方需求及期望(上级及主要供方及客户) 包括:
•顾客对信息安全的要求;已与顾客或外部供应商达成的合同;行业规范及标准;和社区团体或非政府组织的协议;法规法案;备忘录;许可,执照或其他授权形式;监管机构发布的制度;条约,公约及草案;和公共机构及顾客的协议;组织要求;自愿原则或行为规范;自愿标示或环境承诺;组织契约合同的承担义务;
符合
4.3 确定信息安全管理体系范围
公司是否有一个定义ISMS范围的过程?
有没有明确的体系范围和边界?
是否有对任何范围的删减?
符合
4.4 信息安全管理体系
公司形成完整的体系文件
公司性体系文件描述适用于公司实际情况
符合
5.1 领导力和承诺
是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进,做出承诺的过程?
管理者提供承诺的证据是否包括以下内容:
a) 制定ISMS方针;
b) 确保建立ISMS目标和计划;
c) 建立信息安全的角色和职责;
d) 向该组织传达满足信息安全目标与符合信息安全方针的重要性、法律责任和持续改进的需要;
e) 提供足够的资源;
f) 决定接受风险的准则和风险的可接受级别准则;
g) 确保ISMS内审的执行;
进行ISMS管理评审。
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
5.2 方针
公司是否有一个ISMS方针文件?
公司的ISMS方针文件是否满足以下要求:
1) 包括信息安全的目标框架、信息安全工作的总方向和原则;
2) 考虑业务要求、法律法规的要求和合同要求;
3) 与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致;
4) 建立风险评价准则;
5) 获得管理者批准。
符合
5.3 组织的角色,职责和权限
公司内各职位职责是否明确?
权限分派、沟通和理解是否适宜?
各职责间关系是否明确?
是否有颁布令和授权令?
符合
6.1 应对风险和机会的措施
公司是否有明确可能所需要应对的风险和机遇?为确定需要应对的风险和机遇: 1、公司在策划信息安全管理体系时,是否考虑内部和外部因素?
2、公司在策划信息安全管理体系时,是否有理解相关方需求?
公司是否有策划应对风险和机遇的措施?这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。
2.应对风险和机遇的措施是否得到实施和评价措施的有效性?
符合
6.2 信息安全目标和实现规划
公司信息安全目标是否:
1) 包括信息安全的目标框架、信息安全工作的总方向和原则;
2) 考虑业务要求、法律法规的要求和合同要求;
3) 与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致;
4) 建立风险评价准则;
5) 获得管理者批准。
在对这个要求的符合性审核时,要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
7.1 资源
公司是否有对为满足信息安全管理体系要求的人力资源、材料、能力、信息、设施等进行评估?
2、公司是否识别各种现有制约,即为减少不良影响或达成目标需要什么,以及需要什么措施?
符合
9.3 管理评审
公司是否定期召开管理评审?并在管理评审中确定体系的运行是否适宜、充分和有效,并与组织的战略方向一致?管理评审输入资料是否满足要求?是否包括以为管理评审采取措施的情况?环境目标的实现程度?组织环境绩效方面的信息?资源的充分性?来自相关方的有关信息交流?应对风险和机遇采取的措施是否有效?有无改进的机会?管理评审输出资料是否满足要求?并保留形成文件的信息?体系改进有关的信息?环境目标为实现时需要采取的措施?改进管理体系与其他业务过程融合的机遇?任何与组织战略方向相关的结论?
符合
10.1 持续改进
公司是否通过多种途径,持续改进ISMS的有效性持,包括:
1) 使用信息安全方针;
2) 使用安全目标;
3) 使用审核结果;
4) 使用监视事件的分析;
5) 使用纠正措施与预防措施;
6) 使用管理评审。
符合
10.1不符合及纠正措施
是否有一个确保采取措施,消除不符合ISMS要求的原因的过程?
当不符合情况发生时,是否依据制定的措施进行及时纠正?
纠正完成后纠正效果是否经过验证有效?
是否形成相应的记录?
符合
受审核部门:管理层
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
A.5.1信息安全策略
总经理是否确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。信息安全方针在《信息安全管理手册》中描述,《信息安全管理手册》由总经理批准发布?
符合
A.5.2信息安全的角色和责任
信息安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调?
符合
A.5.3职责分离
公司是否清楚的确定所有的信息安全职责。最高管理者授权信息安全管理者代表,全面负责信息安全管理体系的建立、实施与保持工作?
7) 对每一项重要资产指定信息安全责任人
符合
A5.4管理层责任
管理者是否要求雇员、承包方人员和第三方人员,按照该组织已建立的方针和程序负起安全责任?
组织的所有雇员,(适当时,也要包括承包方人员和第三方人员),是否受到与其工作职能相关的适当的意识培训和方针策略以及规程的定期更新培训
对于安全违规的雇员,是否有一个正式的纪律处理过程?
符合
A5.25信息安全事件的评估和决策
是否要求信息系统和服务的所有员工、合同方和第三方用户都需要报告他们观察到的或怀疑的系统或服务中的任何安全弱点?
是否对信息安全事态进行评估,以决定他们是否被归类为信息安全事件?
符合
A5.26应对信息安全事故
信息安全事故发生时,是否积极采取应对措施?
所采取措施应对信息安全事件无效时是否及时进行调整?
是否建立有效制度应对信息安全事故?
符合
A5.27从信息安全事故中吸取教训
对于信息安全事件是否按照已建立的职责和规程,快速、有效、有序的响应?
对于已处理的信息安全事故是否组织人员对事故的原因进行分析并制定防止再次发证的规定?
是否对信息安全事件处理过程进行回顾分析,并优化处理过程?
符合
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
7.2 能力
是否对从事影响信息安全管理活动的部门、层次、岗位人员进行了识别,对各类人员所需的教育、培训、技能和经验提出了要求?针对需求是否提出了培训计划(包括特殊工种、工作人员)或采取其他措施并组织实施?
通过何种方式宣传/培训确保员工意识到所从事活动的相关性和重要性,并为实现信息安全管理目标做出 贡献?是否适当地保存了教育、培训、技能、经验的记录?看培训需求是否合理?是否按计划实施?通过查相关记录验证计划完成情况,抽查相关培训和评价记录。
与绩效有关的人员和与合规性有关的人员的能力要求有哪些?
能力要求描述中有无对人员适当的教育、培训或经历要求,确保员工能够胜任?
有无相应措施获得所需能力,如何评价措施有效性?
有无相应的记录证明人员能力?
符合
7.3 意识
1、公司员工及各相关方是否知晓公司信息安全方针、信息安全目标
2、公司员工及各相关方是否明确“可接受”产品和“不合格”产品和服务的知识和理解。以及当产品和服务不满足规范时,该如何去做。
3、公司是否信息安全体系有相关沟通过程。现场观察员工是否知晓管理体系方针和目标?员工是否知晓其对管理体系的贡献?
员工是否知晓不符合管理体系要求的后果?
符合
7.4 沟通
最高管理者应确保在组织内建立适当的沟通过程,并确保对质量/环境/职业健康安全体系的有效性进行沟通。各职能层次间的沟通是如何开展的?对信息沟通的职责和方法以及对重大事件、问题的沟通是如何开展的?
2) 是否使用了恰当的沟通形式?开展的情况,信息是否被有效的利用?
3) 沟通的内容是否能促进组织质量活动协调和质量/环境/职业健康安全体系过程及其有效性?
如何策划内外部沟通的过程?
有哪些记录来证明?外部信息交流的内容?正面的?负面的(如投诉)?是否及时给出清晰回复?是否涉及绩效的改进?
符合
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
7.5 形成文件的信息
7.5.1 总则
公司是否按标准要求和按公司情况形成质量管理体系文件信息?并保持和保留这些文件信息?
如何进行文件的分发、存储、更新、保留和处置等?
如何识别外部文件,文件是如何保管的?文件是否有标识和说明?文件都有哪些形式?是否经过评审和批准?
记录控制程序是否完整,是否有可操作性?程序文件是否为有效版本?记录控制程序是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?记录控制情况如何?记录的形成与质量活动是否同步进行?与本组织的记录有哪些?与受审核部门有关记录有哪些?是否有保存期的规定?记录是否按档案管理规范的要求处理和管理?
符合
7.5.2创建和更新
是否规定了文件的保管办法?
是否规定了评审文件的有效性?
是否规定了失效文件的处置、管理办法?
所有文件是否字迹清楚?标识是否明确?
文件发布前是否得到授权人的批准?是否均注明制定或修订日期?
文件的查找是否方便?文件的保管是否有效?Q:文件化信息内容是否完整?版本是否有效?
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?
文件化信息的形成与活动是否同步进行。 与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
符合
7.5.3文件记录信息的控制
文件化信息内容是否完整?版本是否有效?
文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定?
文件化信息的形成与活动是否同步进行。 与本组织有关的文件化信息有哪些?与受审核部门有关的记录有哪些?是否有保存期的规定?
文件修改后是否重新批准?识别修改状态的方法是什么?使用时是否都使用适应文件的有效版本?
文件化信息是否按档案管理规范的要求处置和管理?
符合
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
8.1 运行规划和控制
公司有哪些运行控制?有无明确运行准则?对变更的控制?异常情况的评审?产品设计开发的输出的有关信息中是否包括生产周期每一阶段的信息安全要求?采购过程的控制?对外部供方的控制的类型与程度?运输、交付、使用、最终处置等?
符合
8.2 信息安全风险评估
1)是否识别公司织ISMS范围内的资产及其责任人;
2) 识别资产所面临的威胁;
3) 是否识别可能被威胁利用的脆弱点;
4) 是否识别资产保密性、完整性和可用性的丧失造成的影响。
符合
8.3 信息安全风险处置
是否有一个用于识别和评价风险处理选择措施的过程?这个过程是否包括采用适当的控制措施、接受风险、避免风险、转移风险四种选择可能
实施风险处置计划并按计划实施?
符合
9.1监视、测量、分析和评价
公司确定的需要监视和测量的对象包括:定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;
1) 规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);
据此,管理者和员工就可以确定所选控制措施是否实现原计划的控制目标,或实现的程度。
2)通过纠正、纠正措施、预防措施、改进计划、简单的统计分析保持信息安全/环境/职业健康安全管理体系持续改进的有效性,并确定了信息安全目标/过程绩效指标及监视和测量方法,考核频次。公司在管理手册中对监视、测量、分析和改进过程进行了策划,对确保信息安全/环境/职业健康安全管理体系的适宜性、产品信息安全的符合性及应用数据分析等方式来实现对信息安全/环境/职业健康安全管理体系的改进和提高进行了策划,并在实际工作中通过日常的监视和测量对发现的问题及时进行分析、解决,并建立了相应的信息流过程,就有关信息安全、环境、职业健康安全绩效进行内部和外部信息交流
符合
9.2 内部审核
Q:1)公司是否定期进行内部审核?2)内部审核的频次和结果是否满足部门体系运行要求?
E/S:公司是否定期进行内部审核?内部审核的频次和结果是否满足部门体系运行要求?
E/S:内部审核是否得到了有效的实施和保持?
符合
A5.5与职能机构的联系
是否制定规定,详细说明由谁何时与政府机构联系,以及怎样识别是否该及时报告的可能会违背法律的信息安全事件?
符合
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
A5.6与特定相关方的联系
组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系?
符合
A5.7威胁情报
是否定期与机构、特殊利益团体、安全专家组和专业协会联系以获取信息安全最新法规及当下多发信息安全事故原因等相关威胁情报?
符合
A5.9信息和其他相关资产的清单
是否识别信息以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单?
符合
A5.10信息和其他相关资产的可接受的使用
与信息处理设施有关的信息和资产的可接受使用规则,是否确定形成了文件并加以实施?
符合
A5.11资产返还
所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,是否归还他们使用的所有组织资产?
符合
A5.12信息分类
信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类?
符合
A5.13信息标签
是否按照所采纳的分类机制建立和实施一组合适的信息标记规程?
符合
A5.14信息传递
为了保护通过使用各种类型的通信设施的信息交换,是否有正式的交换策略、规程和控制措施?
符合
A5.15访问控制
访问控制策略是否建立并形成文件?
是否基于业务和访问的安全要求进行评审?
是否对网络进行分区域管理?或用户是否仅能访问已获专门授权使用的服务?
是否有正式的用户注册与注销程序,授权和撤销对所有信息系统和服务的访问?(对系统有访问权限的员工或签约员工进行抽样检查)
无论什么类型的用户,在对其分配或撤销所有系统和服务的权限时,是否有一个正式的用户访问开通流程?
是否限制和控制特殊权限的分配及使用?
所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权,是否在任用、合同或协议终止时,删除,或在变化时调整?
用户对信息和应用系统功能的访问,是否依照已确定的访问控制策略进行限制?
资产所有者应定期对用户的访问权进行复查?
符合
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
A5.16身份管理
是否有正式的用户注册与注销程序,授权和撤销对所有信息系统和服务的访问?(对系统有访问权限的员工或签约员工进行抽样检查)
是否开发和实施使用密码控制措施来保护信息的策略?
符合
A5.17鉴别信息
是否要求用户在选择和使用安全鉴别信息时,如口令,遵循良好的安全习惯?
符合
A5.18访问权限
是否限制和控制特殊权限的分配及使用?
资产所有者应定期对用户的访问权进行复查?
所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权,是否在任用、合同或协议终止时,删除,或在变化时调整?
用户对信息和应用系统功能的访问,是否依照已确定的访问控制策略进行限制?
访问操作系统是否通过安全登录规程加以控制?
口令管理系统是否交互式的并能够确保优质的口令?
对于可能超越系统和应用程序控制措施的实用工具的使用,是否加以限制并严格控制?
是否限制访问程序源代码?
符合
A5.19供应商关系中的信息安全
是否与供应商协商并记录信息安全的要求,以减少供应商访问信息资产带来的风险?
符合
A5.20解决供应商协议中的信息安全问题
是否与供应商建立并协商所有信息安全相关要求,并实施?
符合
A5.21管理ICT 供应链中的信息安全
供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险
符合
A5.22供应商服务的监控、审查和变更管理
对供应商提供的服务、报告和记录,是否定期的进行监视、评审和审核?
符合
A5.24规划和准备管理信息安全事故
是否建立管理责任和规程,以确保快速、有效和有序地响应信息安全?
符合
A5.28收集证据
在整个系统开发生命周期的系统开发和集成工作中,是否建立了适当的安全开发环境?
符合
A5.29中断期间的信息安全
为了解决组织的业务持续性所需的信息安全要求,组织是否开发和维持一个用于整个组织的业务持续性管理过程?和计划?
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
A5.30关于业务连续性的ICT准备
为了解决组织的业务持续性所需的信息安全要求,组织是否开发和维持一个用于整个组织的业务持续性管理过程?和计划?
是否按照程序和控制的要求,实施了信息安全连续性管理过程和计划?
符合
A5.31法律、法规、监管和合同
对每一个信息系统和组织,适用的所有相关法律法规和合同要求,以及为满足这些要求组织所采用的方法,都明确地进行了定义,形成了文件并保持更新?
符合
A5.32知识产权
在使用具有知识产权的材料和具有所有权的软件产品时,为了符合法律、法规和合同要求,组织是否实施了适当的规程?
符合
A5.33记录保护
为了满足法律、法规、合同和业务要求,是否防止重要的记录遗失、毁坏和伪造?
符合
A5.34PII 隐私和保护
是否有依照相关的法律法规要求和合同要求,确保数据保护和隐私?
符合
A5.35信息安全独立审查
是否制定信息安全独立审查相关制度,以确保信息安全审查职能部门不受相关利益方因素干扰?
符合
A5.36信息安全策略、规则和标准的遵从性
是否定期审查是否符合组织的信息安全策略、专题策略、规则和标准?
符合
A5.37文件化的操作程序
控制操作规程应形成文件,并对所需用户可用
符合
A6.1筛选
对所有任用的候选者、承包方人员和第三方人员,是否按照相关法律法规、道德规范、业务要求、被访问的信息类别和已察觉的风险,进行背景调查和验证?
符合
A6.2雇佣条款和条件
雇员、承包方人员和第三方人员是否签署了任用合同的条款和条件(这些条款和条件应声明他们和组织的信息安全职责
符合
A6.3信息安全意识、教育和培训
组织的所有雇员,(适当时,也要包括承包方人员和第三方人员),是否受到与其工作职能相关的适当的意识培训和方针策略以及规程的定期更新培训?
符合
A6.4纪律程序
对于安全违规的雇员,是否有一个正式的纪律处理过程?
符合
A6.5雇佣关系终止或变更后的责任
任用终止或任用变更的职责是否清晰地做出了定义和分配?
符合
A6.6保密或不披露协议
保密协议是否得到识别和定期评审?(查看保密协议)
符合
A6.7远程工作
组织是否开发和实施有关控制远程工作活动的策略、操作计划和规程?
符合
A6.8报告信息安全事件
是否建立了对安全事件做出快速、有效和有序反应的职责和程序?
是否有适当的途径报告信息安全事态
符合
A7.1物理安全边界
是否有用于保护包含信息和信息处理设施的区域的安全周边(如墙、门禁卡或受管理的接待台等屏障)?
符合
受审核部门:商务部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
A7.2物理入口
为了确保只有已被授权人员才允许访问,安全区域是否通过合适的入口控制措施加以保护?(现场检查访问记录,并可能测试用户进入安全区域的符合性。)
符合
A7.3保护办公室、房间和设施
是否为办公室、房间和设施设计并采取物理安全措施?(现场检查办公室、房间和设施的保护情况)
符合
A7.4物理安全监控
对由火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的损害,是否设计与采取了物理保护措施?(现场检查针对外部威胁和环境威胁的安全防护情况)
符合
A7.5抵御物理和环境威胁
采取了物理保护措施?(现场检查针对外部威胁和环境威胁的安全防护情况)
符合
A7.6在安全区域工作
是否设计和应用了用于安全区域工作的物理保护和指南?(现场检查安全区域的保护状况)
符合
A7.7桌面清理和屏幕清理
是否采取清空桌面文件,可移动存储介质的策略和清空信息处理设施屏幕的策略?(现场检查用户的清空桌面和屏幕设置)
符合
A7.8设备安置和保护
设备的安置或保护,是否在可减少由环境威胁和危险所造成的各种风险以及未授权访问的机会?(现场检查设备的安置和保护情况,并可能需要系统测试保护措施是否适当
符合
A7.9场外资产的安全
对于组织场所的设备,是否考虑了工作在组织场所以外的不同风险,而采取安全措施?(可能测试组织场所外的设备安全状况,如移动设备的加密)
符合
A7.10存储介质
是否有适当的可移动介质的管理程序?
对于不再需要的介质,是否使用正式的程序可靠并安全地处置?
当包含信息的介质在组织的物理边界以外运送时,是否有防范未授权的访问、不当使用或毁坏的措施?
符合
受审核部门:技术部
审核准则:ISO/IEC27001:2022,体系文件、适用法律法规
审核日期:2023.4.10
审核员: ***
审核条款
检查内容
检查结果
A5.8项目管理中的信息安全
组织是否对其管理信息安全的方法与实践(及信息安全控制目标与控制措施、方针、过程和程序),按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审?
符合
A5.23使用云服务的信息安全
供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险?
符合
A7.12布线安全
是否可以保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或者损坏?(现场检查供电和通信电缆的布线状况)
符合
A7.13设备维护
为了确保设备持续的可用性和完整性,对设备是否予以正确的维护?
符合
A7.14设备的安全作废或再利用
为了确保在处置之前,任何敏感信息和注册软件已经被删除或安全地写覆盖,是否对包含储存介质的设备的所有项目进行核查?(现场检查并可能测试设备处置或重用情况)
符合
A8.1用户终端设备
无论什么类型的用户,在对其分配或撤销所有系统和服务的权限时,是否有一个正式的用户访问开通流程?
符合
A8.2特殊访问权
是否限制和控制特殊权限的分配及使用?
符合
A8.3信息访问约束
用户对信息和应用系统功能的访问,是否依照已确定的访问控制策略进行限制?
符合
A8.4获取源代码
是否限制访问程序源代码?
符合
A8.5安全身份认证
访问操作系统是否通过安全登录规程加以控制?
符合
A8.6容量管理
为了确保所需要的系统性能,是否对资源的使用进行监视和调整,并对未来的容量需求做出规划?(可能需要测试系统性能和资源容量)
符合
A8.7防范恶意软件
是否有对恶意代码的控制措施(包括恶意代码的监测、预防和恢复)?是否有适当的提高用户安全意识的规程?
符合
A8.8技术漏洞的管理
是否及时了解和获得有关现有信息系统的技术脆弱性信息?对信息系统的技术脆弱性是否进行评价,并采取处理相关的风险的适当措施?
符合
A8.9配置管理
1. 是否综合地计划变更和配置管理2. 是否定义了配置管理与财务管理流程的接口3. 是否明确定义了哪些项目应被作为配置项进行记录和管理?4. 是否明确定义了每个配置项应该记录什么信息
5. 每个配置项该记录的信息中是否包括了:
a. 配置项关系、b. 进行有效管理所需的相关文档
6.配置管理是否提供相应机制对所有可标识的服务和基础设施组件的版本进行:识别、控制、跟踪?
符合
热门跟贴