isms-4032-内审检查表-checklist-研发部

isms-4032-内审检查表-checklist-研发部

ID:34083384

大小:72.03 KB

页数:11页

时间:2019-03-03

isms-4032-内审检查表-checklist-研发部_第1页
isms-4032-内审检查表-checklist-研发部_第2页
isms-4032-内审检查表-checklist-研发部_第3页
isms-4032-内审检查表-checklist-研发部_第4页
isms-4032-内审检查表-checklist-研发部_第5页
资源描述:

《isms-4032-内审检查表-checklist-研发部》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、有限公司——20年度内审检查受审部门研发部审核员印峰审核日期2012年12月20日审核依据IS0/IEC2001:200ISO/IEC2002:200信息安全管理体系文件、适用性声明覆盖条款.2,.2.1,.2.2,»2•王五,;A.1.1.A.1.干石〜A.1.,A,A,A,A,A,A,A1王五,A1,A1;序号审核项目及过程标准条款审核事实记录审核结论合格/不合格1谈谈自己平时主要工作,对木部门信息安全的认识,是否了解公司的信息安全方针和目标?A.1.1受审代表回笞在信息安全何方针为:倍盘•:系小负责内部网络安全

2、管理和技术运营维护;本公司的信息安全1安全,人人有责;遵守法规,持续改进。符合方针、目标发布在公司对内WEB公告上或者张贴于公司宣传栏;2详细描述-下公司的风险评估方法和风险处置过程.对识别的信息和资产是否都有指定的责任人维护?识别了信息和资产面临的哪些风险,是否包含了外部风险,为处理这些风险公司提供了哪些资源,处理效果如何?A.1.1A.1.2.2.1.2.2a-dA.2软件实施部按照《信息安全风险评佔管理程序》和《信息安金风险评估指南》组织各部门按业务流程识别所有信息资产,形成《信息资产识别评价农》,并明确资产负

3、责人。根据《信息资产识别评价表》和风险评估指南识别对应资产所面临的威胁和脆弱性并予以赋值。根据风险评估模型查农得知安全枣件的损失=F(资产重耍程度,脆弱性赋值)、安全事件发生的可能性=1_(脆弱性,威胁赋值)和风险值=只(安全事件的损失,安全事件发生•的可能性),编制《信息安全风险评估报告》,《信息安全不可接受风险处理计划》作为其附件是对不可风险接受资产的处「置办法,当信息资产增添或报废时,软件实施部组织资产使用部门应对《信息资产识别评价表》和《重耍信息资产清单》进行修订。识别外部各方访问、处理、管理、通信的风险,明

4、确对外部各方访问控制的耍求,并采取措施控制外部各方带來的风险。符合王五移动设备(笔记本电脑、U盘),尤其是在公司外使用设备的使用的规定是否有?A...1)A.U盘为公司公用U盘,不得携带私人移动设备进入办公区域。移动介质的使用有登记。本公司建立实施《信息处理设备管理程序》..,对笔记木电脑的移动办公实施有效可行的安全管理。符合本部门哪些人负有信息处理设备有关的信息和资产的安全职贵?各自是否了解自身的贵任?A.1.公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持丁•作。对每一项重耍信息资产指定信息安全

5、责任人(《信息资产识别评价表》。)与ISMS有关各部门的信息安全职贵在《信息安全管理手册》附录中予以描述,关于具体岗位的信息安全活动的职责在《计算机应用管理及相关岗位工作标准》附录中予以明确。符合对于新购买的设备冇没冇授权过程?冇没冇信息设备领用登记表?是否存在使用个人计算机等处理公司业务,对其如何控制?A.1.软件实丿施部参与对信息处理设施的供方技术评价与跟踪。软件实施部分别对各H负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,进行技术选型,并组织验收,确保与原系统的兼容。明确信息处理设施的

6、使用部门接受新设施的信息安金负责人为软件实施部经理,软件实施部人员需要讲解新设施的正确使用方法。公司规定软件实施部不允许使用私人计算机用于办公。符合木公司的信息是否有分类?(外來文件、电子文档、人事记录等),分类依据是什么?根据公司要求的分类要求如何对信息进行标识?是否识别了哪些信息为本部门需要保密的信息和软件系统?使用这此保密信息时怎么保证信息安全?A.1.A.2.1A.2.2A.A..2本公司的信息按照敏感性划分为:公开信息、受控信息、企业秘密三级。对于属于企业秘密与国家秘密的文件(无论任何媒体),密级确定部门按

7、《密级控制程序》的要求进行适当的标注:公开信息不需要标注,其余均标注受控或秘密。信息的使用、传输、存储等处理活动按《信息资产沼级管理程序》等进行控制。木部门需要保护的秘密和受控信息有:标书、已完成项目资料、正在实施项目资料,图纸等;符合公司员工、笫三方等在正式任用前是否进行背景验证清楚向C的安全角色和职责,将双方的信息安全职责写进劳动合同或承包合同?丨1常工作屮是否有人考核木部门的信息安全规定执行情况?木部门是否接受过适当的信息安全意识培训和公司信息安全规定更新的培训?是否了解违反公司信息安金的处罚制度?A对聘用过程

8、进行管理,确保员工、合同方和笫三方用户理解其责任,并H能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。综合管理部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。所有员工须遵守公司有关信息安全管理的规章制度,保守木公司秘密(包括顾客秘密)与国家秘密。综合管理部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。