公司信息安全风险评估安全状况调查模版.doc
《公司信息安全风险评估安全状况调查模版.doc》由会员分享,可在线阅读,更多相关《公司信息安全风险评估安全状况调查模版.doc(20页珍藏版)》请在咨信网上搜索。
1、信息安全风险评估安全状况调查1 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。序号检查项 结果备注1.信息安全管理机构设置 以下发公文方式正式设置了信息安全管理工作的专门职能机构。 设立了信息安全管理工作的职能机构,但还不是专门的职能机构。 其它。2.信息安全管理职责分工情况 信息安全管理的各个方面职责有正式的书面分工,并明确具体的责任人。有明确的职责分工,但责任人不明确。 其它。3.人员配备配备一定数量的系统管理人员、网络管理人员、安全管理人员等; 安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。配备一定数量的系统管理人员、网络管
2、理人员、安全管理人员等,但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。 其它。4.关键安全管理活动的授权和审批定义关键安全管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。 有正式成文的审批程序,但审批活动没有完整的记录。其它。5.与外部组织沟通合作与外部组织建立沟通合作机制,并形成正式文件和程序。与外部组织仅进行了沟通合作的口头承诺。 其它。6.与组织机构内部沟通合作 各部门之间建立沟通合作机制,并形成正式文件和程序 。各部门之间的沟通合作基于惯例,未形成正式文件和程序。 其它。2安全管理制度 安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、
3、修订及执行情况。检查项结果备注1信息安全策略明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。包括相关文件,但内容覆盖不全面。 其它2安全管理制度 安全管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。 有安全管理制度,但不全而面。其它。操作规程应对安全管理人员或操作人员执行的重要管理操作建立操作规程。有操作规程,但不全面。 其它。4安全管理制度的论证和审定组织相关人员进行正式的论证和审定,具备论证或审定结论。 其它。5安全管理制度的发布 文件发布具备明确的流程、方式和对象范围。部分文件的发布不明确。其它。6安全管理制度的维护 有正式的文件进行授权专门的部
4、门或人员负责安全管理制度的制定、保存、销毁、版本控制,并定期评审与修订。 安全管理制度分散管理,缺乏定期修订。 其它。执行情况 所有操作规程的执行都具备详细的记录文档。部分操作规程的执行都具备详细的记录文档。其它。. 人员安全管理 人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。序号检查项结果备注1.重点、敏感岗位人员录用和审查为与信息安全密切相关的重点、敏感岗位人员制定特殊的录用要求。对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核,有严格的制度规定要求。 其它。2保密协议的签署与从事关键岗位的人员签署保密协议,包
5、括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。 其它。3人员离岗规范人员离岗过程,有具体的离岗控制方法,及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 其它。4安全意识教育 根据岗位要求进行有针对性的信息安全意识培训。 未根据岗位要求进行有针对性的信息安全意识培训,仅开展全员安全意识教育。 其它。5安全技能培训 制定了有针对性的安全技能培训计划,培训内容包含信息安全基础知识、岗位操作规程等,并认真实施,而且有培训记录。 安全技能培训针对性不强,效果不显著。 其它。6在岗人员考核 定期对所有人员进行安全技能及安全知识的考核,对重点、敏
6、感岗位的人员进行全面、严格的安全审查。 仅对重点、敏感岗位的人员进行全面、严格的安全审查,未普及到全员。 其它。7惩戒措施告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。有惩戒措施,但效果不佳。 其它。8外部人员访问管理 外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。 外部人员访问受控区域前得到授权或审批,但不能全程陪同或监督。 其它。4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。信息系统开发过程中设计、开发和验收的管理情况。序号检查项结果备注1关键资产采
7、购时进行安全性测评相关专门部门负责产品的采购,产品的选用符合国家的有关规定。资产采购之前进行选型测试,确定产品的候选范围,具有产品选型测试结果、候选产品名单审定记录或更新的候选产品名单,经过主管信息安全领导批准。 专门部门负责产品的采购,产品的选用符合国家的有关规定。 关键资产采购未进行安全性测试或未经过主管信息安全领导批准。2服务机构和人员的选择 在具有资格的服务机构中进行选择,通过内部和专家的评选。对服务机构的人员,审查其所具有的资格。 对服务机构的能力进行了详细的审查。 服务机构和人员的选择未经过审查和筛选。3保密约束 签订的安全责任合同书或保密协议包含服务内容、保密范围、安全责任、违约
8、责任、协议的有效期限和责任人的签字等。定期考察其服务质量和保密情况。 签订的安全责任合同书或保密协议明确规定各项内容。但无监督考察机制。未签订合约或签订了安全责任合同书或保密协议,但服务范围、安全责任等未明确规定。4服务管控措施 制定了详细的服务审核要求和规范。对服务提供过程中的重要操作进行审核,并要求服务机构定期提供服务的情况汇总。每半年组织内部检查,审查服务机构的服务质量。 定期进行检查。但缺乏规范的检查内容和要求。未采用任何管控措施。5系统安全方案制定根据信息系统安全保障要求,书面形式加以描述,形成能指导安全系统建设、安全产品采购和使用的详细设计方案,并经过专家论证和审定。 形成能指导安
9、全系统建设、安全产品采购和使用的概要设计方案,内部相关部门审定。 缺乏体系化的安全方案。6信息系统开发 根据软件开发管理制度,各类开发文档齐全,信息系统均经过功能、安全测试,并形成测试报告。 开发文档不全面,仅在内部进行功能测试。 无开发文档,或外包开发,没有源代码或有源代码但未经过全面的安全测试。7信息系统建设实施过程进度和质量控制 制定详细的实施方案,并经过审定和批准,指定或授权专门的部门或人员按照实施方案的要求控制整个过程。制定简要实施方案,指定或授权专门的部门或人员控制整个过程。 无实施方案或无专人管理实施过程。.信息系统验收 制定验收方案,组织相关部门和相关人员对系统测试验收报告进行
10、审定,详细记录验收结果,形成验收报告。重要的信息系统在验收前,组织专业的第三方测评机构进行测评。 组织了验收活动,但缺乏专业人员进行全面的验收测试。未组织验收。5系统运维管理 设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况,重点检查系统性能的监控措施及运行状况。序号检查项结果 备注1.环境管理 有机房安全管理制度,并配备机房安全管理人员,对机房供配电等设施、设备和人员出入机房进行严格管理。配备机房安全管理人员,对机房供配电等设施、设备和人员出入机房进行管理。 其它。2. 资产管理 资产
11、清单记录内容与实际使用的计算机设备及其属性内容完全一致。 资产清单内容与实际使用的计算机设备及其属性内容,在数量上一致,但在部分属性记录上有偏差。其它。3.介质管理 对介质的存放环境、使用、维护和销毁等方面采取严格的控制措施。 对介质的存放环境、使用、维护和销毁等方面采取了部分控制措施。 其它。4.设备管理 对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。对信息系统相关的各种设备、线路等指定专门的部门或人员不定期进行维护管理。 其它。5.生产环境与开发环境的分离 生产环境与开发环境隔离。 其它。6.系统监控 对通信线路、关键服务器、网络设备和应用软件的运行情况能够实时监测
12、,并能及时分析报警日志。 对通信线路、关键服务器、网络设备和应用软件的运行情况能够不定期监测,并能定期分析报警日志。其它。7.变更管理 系统发生重要变更前,以书面形式向主管领导申请,审批后实施变更,并在实施后向相关人员通告,相关记录保存完好。 系统发生重要变更前,向主管领导申请,审批后实施变更,并在实施后向相关人员通告。 其它。 补丁管理 补丁更新及时,并能在测试环境测试后安装到运行环境。 大部分计算机设备的补丁更新及时,只有少数由于应用软件代码不兼容而导致服务器补丁更新不及时。 其它。安全事件管理 制定安全事件报告和处置管理制度,能及时响应安全事故,并从安全事故中学习总结。 能及时响应安全事
13、故。 其它。10.风险评估 信息系统投入运行后,应每年至少进行一次关键业务或关键风险点的信息安全风险评估,每三年或信息系统发生重大变更时,进行一次全面的信息安全风险评估工作。 信息系统投入运行后,每两年进行一次关键业务的信息安全风险评估。 其它。6. 物理安全 机房安全管控措施、防灾措施、供电和通信系统的保障措施等。序号检查项结果备注1物理位置选择。机房和办公场地所在的建筑,抗拒人为破坏和自然灾害的能力。 机房和办公场地所在的建筑周边具备防止无关人员接近的措施,并且根据当地的自然环境设置了必要的防震、防火和防水的措施。 机房和办公场地所在的建筑具备基本的抗拒人为破坏和自然灾害的能力,但防护强度
14、有待提高。 其它。2机房出入控制情况 设置专人和自动化技术措施,对出入机房的人员进行全面的鉴别、监控和记录。设置专人或自动化技术措施,对出入机房的人员进行鉴别,但没有监控和完整的记录。 其它。3机房环境。机房配备防火、防水、防雷、防静电、温度湿度调节等措施,并提供充足稳定的电源,为机房中的设备提供良好的运行环境。 机房环境保障完全达到相关国家标准的要求。 少部分机房环境保障措施没有达到有关标准要求,但可以在短时间内有效整改。 其它。4电磁防护。电源线和通信线缆应隔离铺设,避免互相干扰。 采用接地方式防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆隔离,避免互相干扰。其它。7网络安全 安全域
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公司 信息 安全 风险 评估 状况 调查 模版
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。