A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
1)是信息安全管理体系的决策机构;
2)负责公司信息安全管理手册(一级),包括:信息安全管理范围、方针、目标的审批与发布;
3)负责对信息安全管理体系进行管理评审;
4)确认可接受的风险和风险等级;
5)支持和推动信息安全工作在公司范围内的实施;
6)评审重大信息安全事故的处理。
1)负责组织建立、实施、保持和改进信息安全管理体系,保证信息安全体系的有效运行;
2)负责公司信息安全管理体系二级程序文件的审批;
3)组织并公司内部审核工作;
4)负责组织发起信息安全管理体系的管理评审工作;
协助组长处理信息安全事务。
A.14 信息系统获取、开发和维护
A.14.1 A.14.1.1 安全要求分析和说明 查阅系统开发中安全需求分析和说明等相关文件
信息系统的安全要求 A.14.1.2公共网络应用服务安全 询问、验证对网站信息的发布管理过程
A.14.1.3保护应用服务交易 检查业务数据、管理信息的保护权限
A.14.2 A.14.2.1安全开发策略 检查是否制定及应用关于软件和系统的开发规则,并应用于组织内的开发
开发和支持过程的安全 A.14.2.2 变更控制规程 查阅变更控制等相关文件。
A.14.2.3 操作系统变更后应用的技术评审 查阅操作系统变更后对应用的技术评审记录。
A.14.2.4 软件包变更的限制 询问对系统变更的限制措施。
A.14.2.5系统开发程序(安全系统原则) 检查是否建立安全系统开发流程,记录,维护并应用到任何信息系统开发工作
A.14.2.6安全的开发环境 检查开发、测试和生产环境是否分离
A.14.2.7 外包软件开发 是否有外包管理规定,是否按规定来监督外包项目的执行
A.14.2.8系统安全性测试 检查是否在开发过程中,测试了功能的安全性
A.14.2.9系统验收测试 查阅系统建设完成时的验收标准和验收记录
A.14.3 A.14.3.1 系统测试数据的保护 询问对系统测试数据的包括措施。
-/gbafcji/-
http://iso9001fsc.b2b168.com
