ISO27001调查问卷模版

编号标准编号部分问题分值 A.5安全政策(Security Policy) A.5.1信息安全政策 控制目标：依照营运要求及相关法律与法规，提供管理阶层 对信息安全之指引与支持。0 1A.5.1.1信息安全政策文件 控制措施 信息安全政策文件应由管理阶层核准，并公布与传达给所有 聘雇人员与相关外部团体。 编号标准编号部分问题 A.6 A.6.1内部组织控制目标：在组织内管理信息安全。 3管理阶层对信息安全的承诺控制措施 管理者应通过清晰的方向、可见的承诺、明确的任 务分配、信息安全职责沟通在组织内积极支持安全 4控制措施 信息安全活动应由组织的各个部门及各种相关角色和职能的 代表进行协作 5控制措施 应明确界定所有信息安全职责。 6控制措施 职务：联系方式： 填写目的：在于帮助建立适合自身需要的信息安全管理体系。 答题需知： 被调查者针对ISO27001确定的11个领域所覆盖控制措施，回答在这些控制方面所达到的程度，分为四个等级：2控制已经建立，并 能正常起作用，1控制部分起作用，0控制没有建立，-1此内容不适用。请把分值填写在缺省为“0”的表格内。 被调查人：部门： ISO27001调查问卷 A.6.1.3信息安全职责的分派 A.6.1.4信息处理设施的授权过程 信息安全的组织 (Organization of information security) A.6.1.1 A.6.1.2信息安全协调合作 应确定并实施新的信息处理设施的管理授权过程 7控制措施 应识别并定期评审组织的保密或非扩散协议。该协议应反应 组织对于信息保护的要求。 A.6.2外部团体 控制目标：维持由外部团体存取、处理、通讯或管理之组织 信息与信息处理设施的安全 11控制措施 应识别来自外部组织的业务过程的信息和信息处理设施的风 险，并在允许访问前实施适当的控制 12控制措施 应在允许顾客访问组织的信息或资产前强调所有 的安全要求 13控制措施 凡涉及存取、处理、通讯或管理组织的信息或信息处理设 施，或在信息处理设施上附加产品或服务者，应在与第三方 签署的协议中涵盖所有相关的安全要求。 编号标准编号部分问题 A.7资产管理 A.7.1资产职责控制目标：达成并维持组织资产的适当保护。 14控制措施 应清楚识别所有的资产，编制并保持所有重要资产列表 15控制措施 所有与信息及信息处理设施有关的资产应指定组织的部门负 责，确定所有权关系。 16控制措施 应识别信息及与信息处理设施有关的资产的可接受的使用准 则，形成正式文件并予以实施 A.7.2信息分类控制目标：确保信息受到适当等级的保护 17控制措施 A.7.1.3资产可接受的使用方式 A.7.2.1分类指南 A.7.1.1资产列表 A.7.1.2资产的所有权 A.6.2.2当与顾客接触时强调安全 A.6.2.3在第三方协议中强调安全 A.6.1.5保密协议 A.6.2.1鉴别与外部团体有关的风险 信息处理设施的授权过程 应按照信息的价值、法律要求及对组织的敏感程度和关键程 度进行分类 18控制措施 应依照组织所采用的分类方案，发展与实施一套适当的信息 标示与处理程序。 编号标准编号部分问题 A.8人力资源安全 A.8.1聘用之前 控制目标：确保聘雇人员、承包商及第三方使用者了解其职 责，并适合其所考虑的角色与降低设施的窃盗、诈欺或误用 的风险 19控制措施 聘用人员、承包商及第三方使用者的安全角色与职责，应依 照组织的信息安全政策加以界定与文件化 20控制措施 应根据相关的法律、法规和道德，对所有的求职者、合同方 和第三方用户进行背景验证检查，该检查应与业务要求、接 触信息的类别及已知风险相适宜 21控制措施 作为合同责任的一部分，员工、合同方和第三方用户应同意 并签署他们的雇佣合同的条款。这些条款应规定其与组织对 于信息安全的职责 A.8.2聘用期间 控制目标：确保所有聘雇人员、承包商及第三方使用者认知 信息安全的威胁与关切议题、其职责及责任，并有能力在日 常工作中支持组织安全政策与降低人为错误的风险 22控制措施 管理者应要求所有的员工、合同方和第三方用户应用符合组 织已建立的方针和程序的安全 23控制措施 A.8.2.1管理职责 A.8.2.2信息安全意识、教育和培训 A.8.1.2筛选 A.8.1.3聘用条款 A.7.2.2信息标示与处理 A.8.1.1角色与职责 3 解释：“所有者”系指负有经过核准之管理职责的个人或实体，控制资产的生产、发展、维护、使用及安全。“所有者“ 一词并非该人员真正对资产有任何财产权。 分类指南 组织应对组织的所有员工进行适当的意识培训，及定期更新 的、与他们工作相关的组织方针和程序培训。在适当时候， 还要对合同方和第三方用户进行教育与培训。 24控制措施 对违反安全的聘用人员，应有正式的惩戒过程。0 A.8.3聘雇的终止或变更 控制目标：确保聘雇人员、承包商及第三方使用者能以有序 的方式脱离组织或变更聘雇。 25控制措施 应清晰规定和分配进行雇佣变更或终止的责任0 26控制措施 当结束聘用关系、合同或协议时，员工、合同方和第三方用 户应归还所使用的组织资产 1 27控制措施 当聘用关系、合同或协议中止时，应移除所有员工、合同方 和第三方用户对信息和信息处理设施的访问权限，或根据变 化加以调整 1 编号标准编号部分问题 A.9实体与环境安全 A.9.1安全区域 控制目标：防止组织的作业场所与信息被未经授权的实体存 取、损害及干扰 28控制措施 应使用安全边界（例如墙、卡片控制的进入信道或人工驻守 的柜台等屏障），以保护含有信息与信息处理设施的区域。 0 29控制措施 安全区域应藉由适当的进入控制措施加以保护，以确保只有 授权人员方可允许进入。 0 30控制措施A.9.1.3安全的办公处所及设施 A.9.1.1实体安全边界 4 解释：“聘用”一字在此处系指包括下列所有不同的情况：人员之聘用（临时或长期）、指派工作角色、变更工作角色 、合约之任务以及此等安排的终止 A.9.1.2实体进入控制措施 A.8.3.2资产的归还 A.8.3.3移除访问权限 A.8.2.3惩戒过程 A.8.3.1终止职责 信息安全意识、教育和培训 办公室、房间及设施的实体安全应加以设计与运用。0 31控制措施 应设计与运用实体保护，以避免遭受火灾、洪水、地震、爆 炸、民众暴动及其它天然或人为灾难的损害 0 32控制措施 在安全区域内工作之实体保护与指引应加以设计与运用。0 33控制措施 诸如递送与装卸区以及其它未经授权人员可能进入作业场所 之进入点应加以管制；并且，若可能，应将信息处理设施隔 离，以避免未经授权的存取。 0 A.9.2 设备 安全 控制目标：防止资产的遗失、损害、 偷窃或受损，并防止组织活动的中断 34控制措施 应安置或保护设备，以降低来自环境之威胁与危害，以及未 经授权存取之机会。 0 35控制措施 应保护设备不受电力失效与其它支持设施失效所导致的中断 。 0 36控制措施 应保护传送数据或支持信息服务的电力与电信缆线，以防止 窃听或损毁。 0 37控制措施 应正确地维护设备，以确保其持续的可用性与完整性。0 38控制措施 安全应运用于场外设备，并考虑其在组织作业场所外工作的 各种风险 0 39控制措施 含有储存媒介物的设备其所有项目在报废前应加以核对，以 确保任何敏感性的数据与授权的软件已被移除或安全地覆写 。 0 40控制措施 设备、信息或软件未经事前授权不应带出厂（场）区。0 A.9.2.7财产的移动 A.9.2.5场外设备之安全 A.9.2.6设备的安全报废或再使用 A.9.2.3缆线的安全 A.9.2.4设备维护 A.9.2.1设备安置与保护 A.9.2.2支持的公用设施 A.9.1.5安全区域内之工作 A.9.1.6公共存取、递送及装卸区 安全的办公处所及设施 A.9.1.4对外部与环境威胁的保护 编号标准编号部分问题 A.10通讯与操作管理 A.10.3系统规划与验收控制目标：使系统失效的风险最小化 48控制措施 应监督、调整各项资源的使用，并预估未来容量需求，以确 保所要求的系统绩效。 0 49控制措施 对新的信息系统、系统升级及新版本的验收准则应加以建 立，并且在开发期间与验收前应完成适当之系统测试。 0 A.10.4防范恶意码与行动码控制目标：保护软件与信息的完整性 50A.10.4.1对抗恶意码的控制措施控制措施 应实施防范恶意码的侦测、预防及复原控制措施，以及适当 的使用者认知程序 0 51A.10.4.2防范移动代码控制措施 当使用移动代码获得授权时，配置管理应确保授权的移动代 码按照明确定义的安全方针运行，并防止未经授权移动代码 的执行。 0 A.10.5备份控制目标：维持信息与信息处理设施的完整性与可用性 52控制措施 应根据既定的备份策略对信息和软件进行备份并 定期测试 0 A.10.6网络安全管理控制目标：确保网络内信息与支持性基础设施的保护 53控制措施 应对网络进行充分的管理和控制，以防范威胁、保 持使用网络的系统和应用程序的安全，包括信息传 输。 0 54控制措施 A.10.6.1网络控制措施 A.10.6.2网络服务的安全 A.10.3.2系统验收 A.10.5.1信息备份 A.10.3.1容量管理 应鉴别所有网络服务的安全特性、服务等级及管理要求，并 应纳入网络服务协议，不论此等服务是由内部或委外所提供 。 0 A.10.7媒介物处理 控制目标：防止资产被未授权的揭露、修改、移除或破坏， 以及营运活动的中断 55控制措施 应建立适当的程序，以管理可移动存储介质。0 56控制措施 当存储介质不再需要时，应按照正式的程序进行安全可靠的 销毁。 0 57控制措施 应建立信息处置和存储程序，以防范该信息的未授 权泄漏或误用。 0 58控制措施 应保护系统文件，防止未授权的访问。0 A.10.8信息交换 控制目标：维护组织内及与任何外部实体交换信息与软件的 安全 59控制措施 应建立正式的信息交换策略、程序和控制，以保护通过所有 类型的通讯设施交换信息的安全。 0 60控制措施 组织与外部团体间的信息与软件交换应建立协议。0 61控制措施 在组织的物理边界之外进行传输的过程中，应保护 包含信息的介质免受未授权的访问、误用或破坏 0 62控制措施 涉及电子消息的信息应适当的加以保护。0 63控制措施 应开发并实施策略和程序，以保护与业务信息系统 互联的信息 0 A.10.8.5业务信息系统 A.10.8.3物理介质传输 A.10.8.4电子消息 A.10.8.1信息交换的政策与程序 A.10.8.2交换协议 A.10.7.3信息处理程序 A.10.7.4系统文件的安全 A.10.7.1可移动存储介质的管理 A.10.7.2存储介质的处置 网络服务的安全 A.10.10监督控制目标：侦测未经授权的信息处理活动 67控制措施 审计日志系纪录使用者活动、例外及信息安全事件，应加以 产生与保留一段同意的期间，以协助未来的调查与存取控制 监督。 0 68控制措施 应建立信息处理设施使用的监控程序，并定期审查监视活动 的结果。 0 69控制措施 应保护纪录日志的设施与日志信息，不受窜改与未授权存取 。 0 70控制措施 系统管理者与系统操作员的活动应记录日志。0 71控制措施 应记录并分析错误日志，并采取适当的措施。0 72控制措施 组织或安全领域内所有相关信息处理系统的时钟，应与公认 的准确时间来源同步。 0 编号标准编号部分问题编号 A.11访问控制 A.11.2用户访问管理 控制目标：确保授权使用者对信息系统的存取与防止未经授 权的存取。 74 控制措施 应建立正式的用户注册和解除注册程序，以允许和撤销对于 所有信息系统和服务的访问 0 75控制措施 应限制与控制特权的分配与使用。 0 76控制措施A.11.2.3用户口令管理 A.11.2.1用户注册 A.11.2.2特权管理 A.10.10.6时钟同步 A.10.10.4管理者与操作员日志 A.10.10.5错误日志 A.10.10.2监督系统的使用 A.10.10.3日志信息的保护 A.10.10.1审计日志 应以正式的管理过程控制口令的分配。 0 77控制措施 管理阶层应定期使用正式过程审查使用者的存取权限。0 A.11.3使用者责任 控制目标：防止未经授权的使用者存取及信息与信息处理设 施的泄露或窃盗。 78控制措施 应要求使用者遵守良好安全规范去选择及使用通行码。0 79控制措施 使用者应确保无人看管的设备有适当的保护。0 80控制措施 应采用针对文件、可移动储存介质的桌面整理策略和针对信 息处理设施的屏幕清空策略。 0 A.11.4 网络存取控制控制目标：防止网络服务被未授权的存取。 81控制措施 用户应只能访问经过明确授权使用的服务。 0 82 控制措施 应使用适当的鉴别方法控制远程用户的访问0 83控制措施 应考虑自动设备的鉴别，将其作为鉴别特定位置和设备连接 的方法。 0 84 控制措施 应控制对诊断和配置端口的物理和逻辑访问 0 85控制措施 应隔离信息系统内的信息服务组、用户和信息系统 0 86 控制措施 A.11.4.5网络隔离 A.11.4.3网络设备鉴别 网络服务使用策略 A.11.3.2 A.11.4.2外部连接用户鉴别 A.11.4.6网络连接控制 A.11.4.4远程诊断和配置端口保护 A.11.3.3桌面整理与屏幕清空策略 无人看管的使用者设备 A.11.2.4对用户访问权限的审查 A.11.3.1口令的使用 A.11.4.1 在公共网络中，尤其是那些延展到组织边界之外的网络，应 限制用户联接的能力，并与业务应用系统的访问控制策略和 要求一。 0 87 控制措施 应对网络进行路由控制，以确保信息联接和信息流不违反业 务应用系统的访问控制策略 0 A.11.5操作系统访问控制控制目标：防止操作系统被未授权存取。 88控制措施 应通过安全登陆程序对操作系统的访问进行控制。0 89 控制措施 所有的用户应有一个唯一的识别码（用户ID）且仅供本人使 用，应使用适当的鉴别技术来证实用户所声称的身份 0 90 控制措施 应是使用交互式口令管理系统，并确保口令质量0 91 控制措施 应限制并严格控制系统实用工具的使用和应用系统控制的使 用 0 92 控制措施 不活动的会话应在一个设定的不活动周期后关闭。 0 93 控制措施 应使用连接时间限制以提供高风险应用程序的额外安全保障 0 A.11.6应用与信息访问控制控制目标：防止应用系统中的信息被未经授权的存取。 94控制措施 应根据规定的访问控制策略，限制用户和支持人员对信息和 应用系统功能的访问 0 会话超时 A.11.6.1信息访问控制 A.11.5.6连接时间限制 A.11.5.4系统实用工具的使用 A.11.5.2用户标识与身份鉴别 A.11.5.3口令管理系统 A.11.5.5 A.11.4.7网络路由控制 A.11.5.1安全登入程序 95 控制措施 敏感性系统应有专用的（隔离的）计算机作业环境。 0 A.11.7移动计算和远程工作 控制目标：确保在使用移动计算和远程工作设施时信息的安 全 96控制措施 应建立正式的策略并实施适当的控制，以防范使用移动计算 和通讯设施的风险 0 97 控制措施 应开发并实施远程工作的策略、操作计划和程序 0 编号标准编号部分问题 A.12信息系统获取、开发及维护 A.12.3加密控制制措施 控制目标：通过加密手段来保护细腻的保密性、真实性或完 整性应该制定使用密码的策略。密钥管理应该支持使用密码 技术。 控制措施 为保护信息，应开发并实施加密控制的使用策略0 104A.12.3.2密钥管理应进行密钥管理，以支持组织对密码技术的使用0 A.12.4系统文件安全控制目标：确保系统文件的安全。 控制措施 应有适当的程序，以控制操作系统上软件的安装。0 控制措施 应谨慎选择测试数据，并加以保护和控制。0 控制措施 应限制对程序源代码的访问0 编号标准编号部分问题 A.13信息安全事故管理 A.11.7.1移动计算及通讯 106A.12.4.2系统测试数据的保护 107A.12.4.3对程序源代码的访问控制 103A.12.3.1使用加密控制的策略 105A.12.4.1作业软件的控制 A.11.7.2远程工作 A.11.6.2敏感系统的隔离 A.13.1报告信息安全事故和弱点 控制目标：确保能够采取及时矫正措施的方式，传达与信息 系统有关的信息安全事件与弱点 114控制措施 应通过适当的管理途径尽快报告信息安全事件。0 115控制措施 应要求所有的员工、合同方和第三方用户注意并报告系统或 服务中已发现或疑似的安全弱点 0 A.13.2信息安全事故与改进的管理 控制目标：确保应用一致与有效的方案于信息安全事故的管 理。 116控制措施 应建立管理职责和程序，以快速、有效和有序的响应信息安 全事故 0 117控制措施 应建立能够量化和监控信息安全事故的类型、数量、成本的 机制。 0 118控制措施 事故发生后，应根据相关法律的规定（无论是民法还是刑 法）跟踪个人或组织的行动，应收集、保留证据，并以符合 法律规定的形式提交 0 编号标准编号部分问题 A.14业务连续性管理 A.14.1业务连续性管理的信息安全考虑 控制目标：防止业务活动的中断，保护关键业务流程不会受 信息系统重大失效或自然灾害的影响， 并确保他们的及时恢复 119控制措施 应在组织内开发并保持业务连续性管理过程，该过程阐明了 组织的业务连续性对信息安 全的要求 0 120控制措施 应识别可能导致业务过程中断的事故，以及这类中断发射给 您的可能性和影响、中断的信息安全后果0 A.14.1.2业务连续性和风险评估 A.13.2.3证据的收集 A.14.1.1在业务连续性管理过程中包含信息安 全 A.13.2.1职责与程序 A.13.2.2从信息安全事故中学习 A.13.1.1报告信息安全事故 A.13.1.2通报安全弱点 121控制措施 应开发并实施计划，以确保在关键业务流程中断或失效后能 够在要求的时间内和要求的等级上保持和恢复运营并确保信 息的可用性。 0 122A.14.1.4业务连续性计划框