A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
A.11.2 A.11.2.1 设备安置和保护 询问、验证组织设备安置和保护措施。查阅信息安全管理小组管理规定等相关文件。
设备安全 A.11.2.2 支持性设施 询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。查阅信息安全管理小组记录等。
A.11.2.3 布缆安全 询问在线运维人员等相关部门在布线方面是否符合相关国家标准,并验证。
A.11.2.4 设备维护 询问、验证组织设备维护情况,查阅设备维护记录。
A.11.2.5组织场所外的设备的安全 询问、验证组织对场所外的设备的安全保护措施。
A.11.2.6资产的移动 询问、验证对资产的移动的安全防护措施。
A.11.2.7设备的安全处置或再利用 询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.11.2.8无人值守的用户设备 询问、验证无人值守的用户设备的安全措施情况。
A.11.2.9清空桌面和屏幕策略 检查、验证清空桌面和屏幕策略执行情况。
记录填写和编制
1) 记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求,使用规定的表格或模板如实填写或编制。同年度同一类记录按时间顺序编目。
2) 记录按规定格式填写,所有记录,都要有记录编号,以便检索;凡要求填写数据的,必须填写数据;凡要求签名的,必须签全名。
3) 纸质记录的填写字迹要清晰,内容齐全,能被准确识别,记录不得随意进行更改;凡因笔误需更改的记录,要用“/”划断,在旁边空白处写上正确的数据或文字,并签上修改人姓名及时间。
4) 记录原则上不能修改,若修改,尤其是修改较多或变动较大时,要重新填写,原记录作废,新记录重新履行编制审批手续。如果记录在格式上有变化,必须填写《文件变更审批表》,件负责人同意后,方可使用新的记录格式。
内部审核实施
内部审核实施可划分为内审声明、现场审核和内审结果通告三个阶段进行。
1 内审声明
审核组长向受审核方负责人进行内审声明,内审声明的内容有:
1) 审核组长声明审核目的、范围和准则;
2) 介绍审核组成员、分工及日程安排;
3) 简介审核方法;
4) 介绍审核结果的报告方法,包括不符合的分类等;
5) 审核计划中需说明的其他细节问题。
2 现场审核
1) 现场要求
审核组按照审核实施计划日程安排,根据《内部审核检查表》对受审核部门逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。
内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或陪同人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。
2) 审核方式
听:听取现场信息安全负责人介绍其信息安全的组织管理、规章制度、标准、实施措施、实施效果、事故处理、应急演练、改进建议等。
查:查阅有关文件、标准、报表、记录、管理制度、应急程序、工作程序、组织机构等资料。
看:现场观察和检查装置设备的安全卫生和环境保护状况;规章制度、工作程序、操作规程、作业标准、作业方案和纪律执行情况;信息安全设施配备运行情况。
问:与现场主要管理人员及员工代表谈话,询问现场管理情况、应知应会的内容、现场信息安全管理措施及应急程序等内容。
3) 审核组沟通
审核组长组织,审核员各自介绍审核情况,充分讨论。
审核组依据标准、体系文件及有关法律法规要求等审核准则,综合分析,共同评审审核发现,确认不符合项,确定审核结论。审核员填写《信息安全审核、检查发现事项通知单》,内容准确、清晰、有事实证据。受审核部门负责人或陪同人员对审核情况进行确认。
-/gbafcji/-
http://iso9001fsc.b2b168.com
