A.8.2 A.8.2.1 分类指南 访问行政部等相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
信息分级 A.8.2.2 信息的标记和处理
A.8.2.3
A.8.3 A.8.3.1 可移动介质的管理 访问行政部等相关部门,验证对可移动介质的管理是否满足安全要求。
介质处置 A.8.3.2 介质的处置 访问各部门,验证对介质的处置是否满足安全要求。
A.8.3.3 信息处理规程 查阅、验证信息处理规程。
A.9 访问控制
A.9.1 A.9.1.1 访问控制策略 查阅访问控制程序等相关文件。
访问控制的业务要求
A.9.1.2网络和网络服务的访问控制
A.9.2 A.9.2.1 用户注册和注销 查阅用户注册、注销的流程等相关文件。
用户访问 A.9.2.2用户访问的提供
管理 A.9.2.3 特殊权限管理 询问、验证**级用户等特殊权限的管理控制措施。
A.9.2.4 用户秘密认证信息的管理 检查、验证用户口令秘密认证信息的管理控制措施。
A.9.2.5 用户访问权的复查 查阅用户访问权的复查、评审记录。
A.9.2.6移除或调整访问权限
A.5 安全方针(每年一次,结合管理评审时进行)
A.5.1 A.5.1.1信息安全方针文件 审核ISMS方针文件
信息安全 访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
方针 A.5.1.2信息安全方针的评审 查阅ISMS方针文件的评审和修订记录。
A.6 信息安全组织(每年一次,结合管理评审时进行)
A.6.1 A.6.1.1 结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
内部组织 信息安全角色和职责
A.6.1.2 责任分割 访问组织的信息安全管理机构,包括其职责。
A.6.1.3 与监管机构的联系 查阅信息安全职责分配或描述等方面的文件。
A.6.1.4 与特定利益集团的联系 访问信息安全管理机构,询问与相关信息安全*、专业协会、学会等联络情况
A.6.1.5 项目管理中的信息安全 检查项目过程中关键节点对信息安全的控制。
A.6.2 A.6.2.1移动设备策略 询问、验证移动计算和通信的安全措施。
移动的设备和远程工作 A.6.2.2远程办公安全 询问、验证移动计算和通信的安全措施。
A.6.2.3 处理第三方协议中的安全问题 访问组织人力资源部等相关部门,了解第三方协议中的安全要求的满足情况。
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
-/gbafcji/-
http://iso9001fsc.b2b168.com
