資訊安全管控項目調查問卷.doc

資訊安全管控項目內部稽核項次問題BS7799-2控管項目對照稽核員評量完成度高尚可低不適用1 貴單位是否已經建立並維護資訊安全管理系統文件？3.12 貴單位是否有訂定明確的資訊安全政策？3.2 a)3貴單位是否有訂定明確的資訊安全管理系統範疇 ？3.2 b)4貴單位是否有執行適當的風險評估 作業？3.2 c)5貴單位是否有依據安全問題等級，進行安全風險管理？3.2 d)6貴單位是否有選擇適當的管制目標及管制方法3.2 e)7貴單位是否已經建立一份適用聲明(Statement of Applicability)？3.2 f)8建置之資訊安全管理系統， 貴單位是否有統一制定出相關的作業文件 ？3.4 a)9貴單位是否有安全管理架構的大綱？3.4 b)10貴單位是否有建立執行程序的文件？3.4 c)11建立執行及管理資訊安全管理系統作業的文件時，其內容貴單位是否有包含執行人員權責及相關作業程序？3.4 d)12貴單位是否有建立程序來控管及維護資訊安全管理系統的文件？3.513貴單位程序文件是否隨時都可使用？3.5 a)14貴單位是否有定時的審查文件以保持資料更新？3.5 b)15貴單位是否有執行正式的文件版本管制作業？3.5 c)16貴單位是否有將需淘汰之文件予以銷毀？3.5 d)17當保留應淘汰文件時，貴單位是否有明確的記錄文件 ？3.5 e)18貴單位是否有規範出一套記錄控管程序？3.619貴單位記錄是否有受到良好保存，以防止遭受損壞、遺失、及變質？3.720貴單位是否有建立資訊安全政策文件，並經由管理階層核准及頒行？21貴單位是否有定期審查安全政策？22貴單位是否已成立“資訊安全委員會”？ 23貴單位是否有建立跨部門的小組來管理整個公司的資訊安全？24貴單位是否有分配安全責任、資產與程序的所有權，並指派一位綜理安全相關事務的管理人員？25購買新的資訊設備時，貴單位是否有經合法(正式)的授權程序？26貴單位是否有尋求安全顧問服務？ 27貴單位是否有定期與其他相關組織機關保持聯繫，例如警察、大樓保全或管理員？28貴單位是否有執行過獨立的安全政策、施實及程序的審查？29同意第三者(third party) 可以存取資訊設備前，貴單位是否有執行風險評估？ 30在所有第三者(third party)契約中，貴單位是否有規範安全有關問題？（如保密協定、使用公司的設備等等）31在委外契約中，貴單位是否有規範安全之問題？例如保密協定、使用公司的設備 32對所有重要資產，貴單位是否有辦理清點(盤點)，以及隨時保持清點資料正確性？ 33貴單位資訊是否有依其重要性加以分級(分類)保護？ 34貴單位資訊是否有以分級(分類)原則標示及處理？ 35貴單位業務職掌說明文件中，是否有包含安全職位與責任歸屬？36晉用正職人員之前，貴單位是否有檢核並確認其個人基本資料？37當員工任職前，貴單位是否有簽訂保密契約書？38貴單位是否有在員工聘僱之條件與考量規章中明定與資訊安全相關之權責？39貴單位員工是否有接受相關資訊安全教育訓練並定期得到更新的資訊安全政策及程序？40貴單位是否具有資訊安全事故通報之固定管道？ 41貴單位是否有提出安全漏洞之報告？ 42貴單位是否有一套如何報告軟體故障的程序？ 43 當事故發生時，貴單位是否有改善之動作以俾利防範其再次發生？44發現違反安全政策事件時，貴單位是否有採取正式的懲戒作業？45貴單位是否有建置適當之實體環境安全控管，以保護資訊資產與設備？ 46貴單位對安全區域是否有施行實體的進出控管？ 47貴單位在安全區域中是否具有更加嚴密之保護措施？48對安全區域內的工作，貴單位是否有頒行所需注意的事項，或額外控管措施的指導綱要？49貴單位是否有對卸貨與裝載區執行進出的管制？50貴單位的設備是否有放置(儲存)在安全地方？ 51貴單位對主要資產是否有加強保護？ 52貴單位對電力及網路傳輸路線是否有防止其受到干擾或破壞的保護？ 53貴單位是否有依原廠所訂定的標準，辦理設備維護作業？54貴單位是否有保護攜出或設置於公司外面的設備？55貴單位報廢設備時，所有資料是否皆已移除？ 56貴單位辦公司內是否有執行桌面與螢幕淨空政策？ 57貴單位對於組織內資訊資產攜出是否有加以管制？58貴單位是否有制定安全政策中鑑別之作業系統程序，並維護其文件檔？ 59貴單位是否有執行資訊處理設備及作業系統變更的控管？ 60貴單位安全事故管理之責任與程序，是否有建立文件檔？61貴單位是否有須劃分及予以區隔有關權限？以避免資訊或服務的未授權存取狀況發生 62貴單位開發與測試之環境，是否有與實際營運環境區分開來？ 63資訊處理設備委外管理時，貴單位是否有正式的安全控管及風險評估？64貴單位是否有執行系統容量規劃，以因應日後擴充的作業與儲存空間？65對於新的系統升級或新的版本，貴單位是否有建立一個導入接受的標準？並在正式使用之前貴單位是否有先行測試？66對於惡意軟體(Malicious Software)之偵測及防護措施貴單位是否有建立程序文件？ 67貴單位是否有提升使用者對於惡意軟體(Malicious Software)之偵測及防護措施的危機意識？68貴單位是否有定時做商業資訊及軟體的備份？69貴單位系統人員是否有維護其各項作業之記錄 ？ 70貴單位若有任何錯誤，是否有被記錄下來，並採取修正的動作？71貴單位是否有一套可執行之維護網路安全的控管程序？72可移動式或攜出媒體(如磁碟光碟及報表等)，貴單位是否有所管制？73報廢媒體(設備)時，貴單位是否有注意到安全問題？ 74貴單位是否有資訊存取管控的程序文件？ 75貴單位對系統文件是否有管制，以防止其遭到未經授權的存取？76貴單位的資訊與軟體交換契約是否有建置文件檔？77貴單位是否有保護傳輸中的媒體？78對於電子交易安全的控管，貴單位是否有建置文件檔？79貴單位電子郵件政策，是否有建立文件檔？ 80是否有建立政策及規範來管制電子化辦公室帶來的風險？81對外開放系統存取時，貴單位是否有通過授權程序，以保護資訊？82對其他資訊交換方式，貴單位是否有程序及控管？ 83貴單位是否有制定出組織對存取控制的問題，並頒行政策？ 84增加或減少資訊系統及服務權限，貴單位是否有正式的程序？85貴單位是否有對所擁有的權責設限及管制？86貴單位是否有正式的使用者密碼管理程序？87使用者存取權限，貴單位是否有定時稽查？88貴單位是否有強制規定如何設定密碼？89貴單位是否有保護無人值守的資訊設備？ 90貴單位是否有規範使用者之網路資源範圍？（例如：FTP,Internet,E-Mail等）91貴單位是否有強制網路存取路徑？ 92貴單位是否有執行遠端登錄使用者身份鑑別？ 93貴單位是否有管制遠端電腦系統之連線節點(Node)？94貴單位遠端診斷埠是否有安全控管？ 95使用者對網路服務之區隔，貴單位是否有執行控制？96貴單位是否有依存取控管政策限制網路連線之使用？97貴單位是否有依存取控管政策執行網路路由之控管？98貴單位是否有制定並建立網路服務安全之文件檔？99對於特定及可移動式設備，貴單位是否有自動識別系統？100使用資訊服務時，貴單位是否有安全管制的登錄作業程序？101貴單位是否有保留使用者身份辨識與鑑別記錄，以確保可追溯其來源？102貴單位是否有執行密碼管理系統，以確保有使用正確的密碼？103對使用系統公用程式，貴單位是否有限制？104貴單位是否具有保護用戶的威脅警報機制？ 105貴單位高風險之系統是否有自動斷線設計？ 106貴單位是否有連線時間的限制？ 107貴單位資訊存取限制是否有包含在存取控管政策內？108貴單位是否有隔離對公司極重要之系統？109貴單位是否有審查特殊或安全事件之記錄？並將記錄保留一定時間110貴單位是否有監控系統使用情形並定期審查？111貴單位電腦時間是否有執行“時鐘同步”校正？112貴單位是否有制定行動電腦使用政策？113貴單位是否有頒定遠端上班行為之政策？114貴單位新的系統是否有通過安全問題的分析與規範？115貴單位是否有驗證輸入系統之資料？ 116貴單位是否有對應用系統處理過之資料，驗證其真確性？117當資料需確保其完整性時，貴單位是否有通訊內容的驗證？118貴單位是否有驗證應用系統輸出的資料？ 119貴單位是否有使用加密管制的政策？ 120貴單位是否有用加密技術保護重要資訊？ 121貴單位是否有用數位簽名，以確保資訊的驗證及完整性？ 122貴單位是否有使用不否認性服務解決有爭論之問題？ 123貴單位密鑰管理系統是否有建置文件檔？ 124貴單位在操作系統上，是否有使用操作軟體的控管？ 125貴單位是否有保護並管制系統測試資料？ 126對原始程式庫的存取，貴單位是否有控管？127當執行任何更改時，貴單位是否有使用變更程序的控管？128貴單位是否有執行變更作業系統的技術評審作業？ 129貴單位是否有嚴格控管套裝軟體的修改？130購買、使用及修改軟體，貴單位是否有受到控管及檢查？131貴單位是否有控管委外軟體開發案？132貴單位是否有建置一套企業持續運作管理流程？ 133有無一套以適切之風險評估為基礎的企業持續運作策略計劃？134貴單位有無災害回復計畫？135貴單位企業持續運作規劃架構中，是否有考量各計畫之演練與其先後之順序性？136貴單位是否有在固定一段時間內做測試與檢視企業持續運作規劃之適用性？137所有有關法令、法規和契約的要求，貴單位是否有考量應予以明確定義每一個資訊系統的適用性？138智慧財產權貴單位是否有加以維護？139對重要記錄，貴單位是否有加以保護，避免損失、破壞和偽造？140資料保護之控管制度，貴單位是否有確實執行？141是否有