A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
A.11.2 A.11.2.1 设备安置和保护 询问、验证组织设备安置和保护措施。查阅信息安全管理小组管理规定等相关文件。
设备安全 A.11.2.2 支持性设施 询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。查阅信息安全管理小组记录等。
A.11.2.3 布缆安全 询问在线运维人员等相关部门在布线方面是否符合相关国家标准,并验证。
A.11.2.4 设备维护 询问、验证组织设备维护情况,查阅设备维护记录。
A.11.2.5组织场所外的设备的安全 询问、验证组织对场所外的设备的安全保护措施。
A.11.2.6资产的移动 询问、验证对资产的移动的安全防护措施。
A.11.2.7设备的安全处置或再利用 询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.11.2.8无人值守的用户设备 询问、验证无人值守的用户设备的安全措施情况。
A.11.2.9清空桌面和屏幕策略 检查、验证清空桌面和屏幕策略执行情况。
A.7人力资源安全
A7.1 A.7.1.1审查 访问人力资源部等相关部门,验证人员任用前的审查工作。
任用之前 A.7.1.2 任用条款和条件 查阅任用合同中的信息安全相关的任用条款
A7.2 A.7.2.1 管理职责 访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
任用中 A.7.2.2 信息安全意识、教育和培训 查阅培训计划和培训记录。
A7.2.3 纪律处理过程 访问人力资源部等相关部门,以及查阅信息安全奖惩制度。
A.7.3 A.7.3.1 终止职责 访问人力资源部,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
任用的终止或变化
A.8资产管理
A.8.1 A.8.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单。
对资产负责 A.8.1.2 资产责任人
A8.1.3 资产的允许使用 访问各部门,了解对信息资产使用的控制。
A.8.1.4 资产的归还 访问行政部、人力资源部等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
1内审结果通告
内审结束后,审核组长将内审结果以邮件、书面等方式告知受审核方负责人、体系负责人及相关人员。内审结果通告主要内容有:
1) 审核情况总结;
2) 宣读不符合项及其严重程度;
3) 提出纠正时限和验证要求;
4) 宣布审核结论。
内审结束后,审核组长将《审核、检查发现事项通知单》及时发放给受审核部门。
2内审报告编制和分发
审核组长负责组织编写《内部审核报告》,报体系负责人审批。审核报告的主要内容有:审核目的范围及依据、审核日期、审核组成员、审核计划实施情况总结、审核发现(包括不符合项及其分布情况分析)、审核结论等。
审核报告批准后,由信息安全工作小组将《内部审核报告》分发给信息安全管理小组、体系负责人、受审核方及有关部门。
3 纠正措施的实施、跟踪及验证
审核组对受审部门发出《审核、检查发现事项通知单》后,受审核部门立即组织进行原因分析,进行纠正或制订纠正或预防措施,*专人负责整改,并将完成情况报信息安全工作小组,信息安全工作小组对实施结果进行跟踪验证,直至关闭。
-/gbafcji/-
http://iso9001fsc.b2b168.com
