1、供應(yīng)商信息安全基準(zhǔn)檢查表（Verl.9）以下回答的內(nèi)容，作為總公司秘信息管理。不合適的情況下，通過另行采取管理對(duì)策而排7除了風(fēng)險(xiǎn)的情況下，請將詳細(xì)內(nèi)容填入備注欄。確信明信、密2121222建立信息安全管理相關(guān)組織體制嗎制定信息安全相關(guān)規(guī)則的書面文件嗎對(duì)于組織內(nèi)的信息安全實(shí)施項(xiàng)目，要明確責(zé)任人及相關(guān)任務(wù)和責(zé)任嗎制作本公司制定的機(jī)密信息以及利用該信息創(chuàng)造出的機(jī)密信息信息資產(chǎn)清單的管理列表，使機(jī)密信息明確化嗎對(duì)于管理列表中的機(jī)密信息進(jìn)行適當(dāng)?shù)陌踩芾韱嵊韶?zé)任者對(duì)信息資產(chǎn)清單和情報(bào)以及管理的實(shí)際狀況進(jìn)行重審嗎制作與供應(yīng)商共享機(jī)密信息的委托對(duì)象等的管理列表嗎與委托對(duì)象等簽訂包括如下規(guī)定的條款在內(nèi)的保密合

2、同（或包括了保密條款的合守秘義務(wù)成為保密對(duì)象的信息的范圍保密義務(wù)期限（也包括無限期）使用目的的限制訪問者應(yīng)限定為在業(yè)務(wù)上須了解該信息的人員對(duì)指定重要機(jī)密信息的管理方法限制對(duì)指定重要機(jī)密信息進(jìn)行復(fù)制規(guī)定在保密期限期滿后返還或廢棄由本公司進(jìn)行保密相關(guān)確認(rèn)（提問和監(jiān)查等）措施的規(guī)程違反合同時(shí)的措施（除了損害賠償以外，還要加入可使停止在市場銷售等優(yōu)先次序先次序先次序回答是是是備注同)a.)b.).)的條款）禁止擅自進(jìn)行再委托D禁止使用私人電腦處理業(yè)務(wù)得點(diǎn)T1223與本公司和供應(yīng)商一樣，在供應(yīng)商和委托對(duì)象等之間也要制定機(jī)密信息的交換相關(guān)規(guī)則嗎）由本公司交給供應(yīng)商的信息，原則上，均作為內(nèi)部信息處理（禁止對(duì)

3、第三方公開）嗎）須交換和公開機(jī)密信息時(shí)，要事先取得本公司的認(rèn)可后再實(shí)施嗎）以電子文件的形式發(fā)送和接收機(jī)密信息時(shí)，要實(shí)施加密嗎對(duì)于供應(yīng)商和委托對(duì)象等，要定期地實(shí)施信息安全的實(shí)際狀況調(diào)查嗎要記錄供應(yīng)商與委托對(duì)象等之間交接機(jī)密信息的情況嗎）發(fā)生了信息資產(chǎn)的交接時(shí)，要決定與對(duì)方交接的規(guī)則，制作協(xié)議書嗎）已進(jìn)行了實(shí)際的通信（交接）記錄并實(shí)施管理嗎制定了信息的返還和回收的規(guī)則嗎a.）明確業(yè)務(wù)結(jié)束時(shí)的返還和回收的方法、期限及責(zé)任人了嗎要基于規(guī)則和本社間實(shí)施交換、返還和回收了嗎通過電子商務(wù)交易系統(tǒng)、圖紙的交接系統(tǒng)等進(jìn)行固定的信息交換時(shí)，雙方之間應(yīng)就步驟和運(yùn)用方法等的保密對(duì)策達(dá)成協(xié)議并加以實(shí)施了嗎）進(jìn)行發(fā)信/接

4、收，發(fā)送/收領(lǐng)及其通知的步驟）信息的記錄/讀取、包裝以及傳送相關(guān)方法）數(shù)據(jù)丟失后的責(zé)任以及保證為了能夠限制無關(guān)人員進(jìn)入公司區(qū)域、建筑物以及房間內(nèi)而進(jìn)行了區(qū)域區(qū)分了嗎完善限制進(jìn)入的物理結(jié)構(gòu)了嗎只許可須了解信息的人員進(jìn)入嗎）僅限責(zé)任人判斷為在業(yè)務(wù)上必要的人員/情況下，才允許入室嗎）取得出/入室兩者或其中之一的日志嗎必要時(shí)，須設(shè)置圍墻、ID卡認(rèn)證、監(jiān)視攝像機(jī)、傳感器等嗎例子業(yè)務(wù)區(qū)域：入室管理通過ID卡認(rèn)證取得日志。重要區(qū)域：利用監(jiān)視攝像機(jī)監(jiān)視入口處，出入室管理則通過ID卡認(rèn)證取得期地對(duì)進(jìn)出記錄（包含攝象機(jī)圖象）進(jìn)行監(jiān)查嗎有區(qū)別員工和外來人員的方法嗎a.）員工和外來人員用名牌和ID卡進(jìn)行區(qū)別。建立了僅

5、限需要了解信息的人員訪問機(jī)密信息的體制嗎）機(jī)密信息要上鎖保管于文件柜中嗎）對(duì)試制品要進(jìn)行數(shù)量管理，并將訪問限制為最低限度嗎禁止在業(yè)務(wù)目的以外將電腦、帶攝象頭的手提電話、Da音樂播放器、記憶媒體（SD卡、U盤等）帶入處理機(jī)密信息的場所。a.）要帶入時(shí)，須得到責(zé)任人的許可嗎在工作中不得使用私人電腦。也禁止將私人電腦帶入嗎對(duì)于工作中需要使用的電子媒體和電腦，要制作管理表嗎對(duì)于工作中需要使用的電子媒體和電腦，制作帶出規(guī)則，并加以實(shí)施嗎a.）原則上，禁止帶出電腦，對(duì)于帶出的電腦要實(shí)施加密、設(shè)置多重密碼、信息加密等載有重要機(jī)密信息的紙張（文件）的廢棄步驟。a.）對(duì)于機(jī)密資料，要用碎紙機(jī)進(jìn)行裁切、溶解或燒毀

6、。決定了機(jī)密信息以及機(jī)密信息載體（試作品）的廢棄步驟嗎）對(duì)于設(shè)計(jì)信息等的技術(shù)載體，要進(jìn)行破壞以無法讀取信息嗎）要與處理工業(yè)廢品的企業(yè)簽訂保密合同嗎訪問電子化信息時(shí)，每個(gè)人要使用自己單獨(dú)的ID和密碼，并取得誰訪問了與本公司共享的機(jī)密信息的記錄。用理使管制定了ID的發(fā)行規(guī)則嗎）用戶不與其他的用戶共用ID嗎）規(guī)定ID的發(fā)行步驟和許可責(zé)任人嗎制定了密碼的管理規(guī)則嗎）密碼同時(shí)包含有英文和數(shù)字，在6個(gè)字符以上嗎）密碼須定期地變更，至少要每30天變更一次嗎）不得將密碼借給其他人嗎要定期地實(shí)施ID重審嗎a.）對(duì)是否存在離職者的ID、臨時(shí)使用的ID等、未被使用的ID以及不正當(dāng)?shù)腎D要進(jìn)行檢查嗎1合計(jì)11規(guī)回答備

7、注得點(diǎn)26在與因特網(wǎng)之間設(shè)置合適的防火墻，將業(yè)務(wù)上必要的信息設(shè)備和電腦連接于安全的公司內(nèi)部系統(tǒng)內(nèi)嗎定1是126已決定了設(shè)置IT系統(tǒng)時(shí)的手續(xù)嗎108989078.xls1是126已決定了IT系統(tǒng)的管理/使用規(guī)則嗎2a.）信息要保管在服務(wù)器上，實(shí)行服務(wù)器的安全管理，而并非個(gè)人電腦里。保管業(yè)務(wù)用個(gè)人電腦情報(bào)的場合請根據(jù)下面的b廠g.）進(jìn)行對(duì)應(yīng)。b.）人員離開座位時(shí)，要將筆記本電腦上鎖保管于辦公桌的抽屜里、柜子等中。C.）臺(tái)式電腦等的固定式電腦，要用電腦鎖固定在辦公桌等的上面。是2d.）帶出的電腦內(nèi)的數(shù)據(jù)要實(shí)施加密，在萬一被盜時(shí)，可避免數(shù)據(jù)被讀取。e.）帶出電腦期間，應(yīng)隨時(shí)帶在身邊。f.）對(duì)BIOS、

8、OS、屏幕保護(hù)程序設(shè)定密碼。g.）離開座位時(shí)，可鎖屏，可把屏幕設(shè)置為在5分鐘內(nèi)無輸入的狀態(tài)下，可通過帶密碼的屏幕保護(hù)程序鎖定屏幕。離開座位時(shí)，要鎖定屏幕或退出系統(tǒng)。26決定了IT系統(tǒng)的廢棄和再使用規(guī)則嗎（包含故障交換的場合）2是2a.）制定了將硬盤內(nèi)的信息完全刪除或進(jìn)行物理破壞的規(guī)則嗎腦電26服務(wù)器設(shè)置在了可確保安全的合適場所嗎1是126對(duì)于服務(wù)器管理場所的出入進(jìn)行限制嗎6a.）保管機(jī)密信息的服務(wù)器設(shè)置在實(shí)施了安全管理的區(qū)域，上鎖管理于帶門的架子上。此外，還進(jìn)行與此同等的管理嗎1是127針對(duì)電腦病毒和非法程序，制定了相應(yīng)的對(duì)策和規(guī)則嗎由系統(tǒng)管理員（或提供單位）指定防病毒軟件（殺毒軟件）的種類和

9、版本等，并加以引進(jìn)嗎是27實(shí)施了病毒和非法程序的對(duì)策和規(guī)則嗎2a.）使防病毒軟件常駐于規(guī)定的各設(shè)備中，始終確保完全受保護(hù)的環(huán)境嗎是2b.）設(shè)置為至少每天更新次（推薦每隔定時(shí)間進(jìn)行自動(dòng)更新）病毒定義嗎27C.）對(duì)于被保存的所有文件，進(jìn)行每周掃描次以上的設(shè)定嗎制定有病毒對(duì)策實(shí)施狀況的自我檢查表和體制嗎1是127制定相應(yīng)規(guī)則，以使受病毒的危害被控制在最小限度嗎1是1、7a.）包括感染病毒時(shí)的物理處理和報(bào)告、通知方法等嗎27禁止安裝和使用PeertoPeer軟件（Winny、Share等的文件交換軟件）了嗎2是227定期確認(rèn)是否安裝了禁止軟件嗎2是2a.）由信息安全責(zé)任人檢杳，或使用檢測工具等嗎份備施

10、實(shí)28制定了備份的規(guī)則嗎2a.）對(duì)于重要系統(tǒng)，研究了備份的必要性和頻度嗎是2b.）確保了事業(yè)的可持續(xù)性嗎28按照規(guī)則定期地實(shí)施了備份嗎1是1、28制定備份數(shù)據(jù)的保管規(guī)則，并按照規(guī)則實(shí)施管理嗎1是18a.）要能夠確認(rèn)處理機(jī)密信息的信息系統(tǒng)的所有備份媒體均得以正確的管理嗎1制定信息安全的教育計(jì)劃嗎1a.）關(guān)于信息安全，制定有進(jìn)行員工教育的體制（錄像、指導(dǎo)手冊、研修等），且制定了教育計(jì)劃嗎是11對(duì)組織責(zé)任人或項(xiàng)目主管等的管理者定期實(shí)施安全教育，并整理好聽講記錄嗎1是11對(duì)所有公司員工和派遣員工實(shí)施信息安全教育，此外，委托對(duì)象也應(yīng)對(duì)委托進(jìn)行業(yè)務(wù)的員工實(shí)施同樣的信息安全教育，并制作聽講記錄嗎1是1a.）

11、在入社、調(diào)入和升職等時(shí)，均實(shí)施信息安全教育以及定期教育嗎b.）在接收員工時(shí)以及接收后，均應(yīng)適當(dāng)實(shí)施嗎1制作對(duì)規(guī)則進(jìn)行自我檢查的檢查表，由全員實(shí)施嗎2是21建立可對(duì)自我檢查結(jié)果的不合格點(diǎn)進(jìn)行改善的體制嗎1a.）組織責(zé)任人定期地確認(rèn)自我檢查結(jié)果，當(dāng)出現(xiàn)不符合規(guī)定的事項(xiàng)時(shí)，要指導(dǎo)改善并記錄嗎是1、11自我檢杳表中加入了清理桌面（應(yīng)注意整理整頓，禁止將機(jī)密文件放在桌上）、清理屏幕（離開座位時(shí)，應(yīng)設(shè)定為不顯示屏幕或啟用帶密碼的屏幕保護(hù)程序）的規(guī)則P是12就業(yè)規(guī)則中有關(guān)于保密的條款，取得員工簽署的保密誓約書嗎1是12派遣員工在上崗前應(yīng)取得保密誓約書嗎1是1a.）進(jìn)行與公司員工等同等的保密管理，并對(duì)誓約書進(jìn)

12、行管理嗎2委托業(yè)務(wù)時(shí)，委托對(duì)象要取得員工簽署的保密誓約書嗎2是22簽a.）委托對(duì)象要進(jìn)行保密管理，并對(duì)誓約書進(jìn)行管理嗎1設(shè)置了事故發(fā)生時(shí)的聯(lián)絡(luò)/處理的責(zé)任人，建立事故報(bào)告體制嗎a.）要建立相應(yīng)的體制，以在發(fā)現(xiàn)信息安全上的問題或感覺到發(fā)生的危險(xiǎn)時(shí)，或目擊了事件事故或發(fā)現(xiàn)了事件事故的痕跡時(shí)，能夠迅速向貴公司的信息管理責(zé)任1是12對(duì)于與嗎公司共享的機(jī)密信息，在發(fā)現(xiàn)了上述的問題以及事件事故或感覺到發(fā)生的危險(xiǎn)時(shí)，要迅速向本公司通報(bào)嗎2是2a.）規(guī)定了報(bào)告渠道、從事故發(fā)生到通報(bào)為止的時(shí)間等，并加以貫徹嗎完備發(fā)生了信息安全事故時(shí)的處理手冊，明確步驟了嗎1a.）把握受害狀況和使受害影響最小化的緊急處理了嗎b.）查明原因和暫定措施了嗎是1C.）應(yīng)米取相應(yīng)措施，以在信息泄露時(shí)可向該第一方報(bào)告等，可實(shí)現(xiàn)相關(guān)者能夠進(jìn)行自衛(wèi)和相關(guān)處理了嗎d.）必要時(shí)，應(yīng)進(jìn)行宣傳處理，向相關(guān)政府機(jī)關(guān)報(bào)告了嗎記錄事故的經(jīng)過和處理的過程了嗎1是15要迅速實(shí)施防止事故再次發(fā)生的對(duì)策，