ISO27001差距访谈提纲.doc

A5信息安全方针A5.1公司是否存在信息安全方针和策略文件？A5.2信息安全方针和策略文件是否得到管理层批准并正式发布和执行？A6信息安全组织A6.1公司内部是否设立了信息安全管理组织和角色？A6.2信息安全角色和责任是如何划分和定义的？A6.3公司是否与外部权威机构或专家就信息安全相关事务建立了联系？A6.4公司内部的信息安全审计是如何开展的？A6.5是否存在有效的信息处理设施管理程序？A6.6公司是否有保密协议/NDA来防止敏感信息的泄漏？A6.7公司在和外部伙伴（包括客户和第三方组织）合作过程中，是否识别并且有效控制由于外部伙伴而引入的信息安全风险？A.7资产管理A7.1是否为各类信息资产指定了责任人（属主）？A7.2对各类信息资产的可接受使用是如何得以实现的？A7.3是否对信息资产进行了恰当的分类？A7.4如何对包括电子和纸质在内的信息资产进行分类标注？A7.5如何对不同类型的资产处理进行保护？以确保其在存储、传送或访问期间的安全？A.8人力资源安全A.8.1员工岗位职责描述中是否定义了和信息安全相关的责任要求？A.8.2员工招聘过程中如何进行信息安全相关的背景检查？A.8.3公司内部员工的信息安全意识和培训是如何开展的？A.8.4公司是否设立了明确的信息安全违规处罚机制？A.8.5公司如何在员工离职期间进行安全控制？A.8.6内部转岗或离职人员如何进行物品和访问权限上缴？A.9物理与环境安全A.9.1公司是如何设立不同级别的隔离区域的？A.9.2公司如何保证人员进出的安全控制？A.9.3公司如何看待来自内部和外部的物理安全威胁？A.9.4公司是如何确保办公环境内的物理安全的？A.9.5公司内部的物理安全责任如何认定？A.9.6对于敏感区域（例如机房），公司如何保证其物理安全？A.9.7公司如何管理物理环境中各种设备以确保其安全？A.9.8公司如何确保场外设备使用的安全性？A.9.9公司如何确保物理环境中各项基础设施的安全？A.10通信与操作管理A.10.1公司关于对信息系统和网络通信设施的各种操作是否有文件化的程序规定？A.10.2公司对信息处理设施和系统（包括设备、操作系统及应用系统软件）的变更控制如何？A.10.3公司是如何遵循职责分离原则的？A.10.4公司是否将开发、测试和运营系统进行了有效的分离？A.10.5公司如何考虑第三方服务的交付、变更、监督和检查？A.10.6公司如何对资源使用进行规划管理？A.10.7公司如何解决恶意软件/移动代码的威胁问题？A.10.8公司如何实施备份操作？A.10.9公司如何确保网络环境的安全性？A.10.10公司是如何管理磁带、移动硬盘、USB盘、带摄像和存储功能小电子设备以及其他移动存储介质的？A.10.11公司如何处理不再使用的存储介质？A.10.12公司是否制定有明确的信息交换策略及程序？A.10.13公司如何确保在公共可访问系统上进行信息交换的安全性？包括网上交易A.10.14公司如何通过日志管理来跟踪各种信息处理活动？A.11访问控制A.11.1公司是否建立了明确的访问控制策略？A.11.2公司如何实现系统帐号的注册和管理？A.11.3公司如何进行用户口令管理？A.11.4公司员工对口令使用的安全意识如何？A.11.5员工对桌面清理、清屏和无人值守设备使用等方面策略的理解和执行情况如何？A.11.6公司是否有明确的网络服务使用策略？A.11.7公司在网络基础设施和网络管理方面采取和何种安全控制？A.11.8在操作系统运行管理过程中采取了何种安全控制？A.11.9对关键的应用系统，如何确保其信息访问的控制？A.11.10公司如何对笔记本电脑等移动设施的使用进行管控？A.12信息系统获取、开发与维护A.12.1公司对信息系统（包括操作系统、基础设施、应用软件、服务等）在设计、实施、更新或采购时是否做过安全需求分析？A.12.2应用系统本身在数据输入输出以及中间处理等环节实施了何种控制措施？A.12.3公司如何对密码使用进行控制和管理？A.12.4公司在应用系统投入运营时会采取何种控制？A.12.5在应用系统运维期间，如何确保系统及相关数据的安全性？A.12.6在应用系统开发和支持过程中，如何实施变更管理？A.12.7在应用系统开发和支持过程中，如何防止信息泄漏？A.12.8公司是怎样控制外包软件开发过程的？A.12.9对于应用系统的技术漏洞，有怎样的管理机制？A.13信息安全事件管理A.13.1公司的信息安全事件和隐患报告机制情况如何？A.13.2公司信息安全事件管理的责任和流程是怎样定义的？A.13.3公司如何对信息安全事件进行总结并汲取教训？A.13.4如果信息安全事件牵涉到法律问题，公司如何进行取证？A.14业务连续性管理A.14.1公司业务连续性管理的基本状况如何？A.14.2在公司业务连续性管理框架中，角色和责任如何认定？A.14.3公司业务连续性计划的范围是如何定义的？A.14.4公司的业务连续性计划是否进行更新和演练？A.14.5公司如何考虑业务