信息安全管理體系審核指南表格大全標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件強(qiáng)制性ISMS文件注釋與指南對“定義ISMS的范圍”要求的符合性審核，要確ISMS的定義不僅要包括范圍，也要包括邊界。對要求明確規(guī)定ISMS方針的5個基本點，即ISMS包括信息安全的目標(biāo)框架、信息安全工作的總方考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；與組織開發(fā)與維護(hù)ISMS的戰(zhàn)略性風(fēng)險管理，結(jié)合建立風(fēng)險評價準(zhǔn)則；獲得管理者批準(zhǔn)。在對這個要求的符合性審核時，要確保組織的方針滿足上述5個要求。還要注意到ISMS方要求明確規(guī)定，“定義組織的風(fēng)險評估方法”的工(活動)要包括:而這個評估方法要適合組織確定風(fēng)險評估方法，適合已確定的組織的業(yè)務(wù)信息安全的要求、ISMS說明(1)ISMS方針文件，包括ISMS的范圍標(biāo)準(zhǔn)的要求審核內(nèi)容根據(jù)標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。審核記錄(2)風(fēng)險評估程序組織是否有一個定義？a)組織要定義ISMSISMS的范圍范圍的過程？？是否有對任何范圍的刪減？要有形成文件的“風(fēng)險評估，和e)的要求根據(jù)“4.3.1”d)可創(chuàng)方法的描述”和“風(fēng)險評估報告”。為了減少文件量，。該程序文件應(yīng)包括“風(fēng)險評估方建一個《風(fēng)險評估程序》法的描述”，而其運行的結(jié)果應(yīng)產(chǎn)生《風(fēng)險評估報告》。(3)風(fēng)險處理程序組織是否有一個?b)組織要定義ISMS方針文件？方針？組織的ISMS,根據(jù)標(biāo)準(zhǔn)“4.3.1”f)的要求要有形成文件的“風(fēng)險處理。該程序文件計劃”。因此，可創(chuàng)建一個《風(fēng)險處理程序》。運行的結(jié)果應(yīng)產(chǎn)生《風(fēng)險處理計劃》ISMS方針文件(4)文件控制程序ISO/IEC是否滿足27001:2005規(guī)定的要有形成文件的“文“根據(jù)標(biāo)準(zhǔn)的4.3.2文件控制”的要求，。件控制程序”個基5(5)記錄控制程序本點(見注釋與指南欄4.3.3記錄控制”的要求，要有形成文件的“記根據(jù)標(biāo)準(zhǔn)的“錄控制程序”。)？(6)內(nèi)部審核程序6根據(jù)標(biāo)準(zhǔn)的“內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7)糾正措施與預(yù)防措施程序？組織是否有一個定義c)組織要定義風(fēng)險8.2根據(jù)標(biāo)準(zhǔn)的“糾正措施”的要求，要有形成文件的“糾預(yù)防措施”的要求，要有形成文。根據(jù)“8.3正措施程序”“預(yù)防措施程序”和件的“預(yù)防措施程序”?！凹m正措施程序”通常可以合并成一個文件。(8)控制措施有效性的測量程序評估方法風(fēng)險評估方法的文件？組織的風(fēng)險評估方法是？g)根據(jù)標(biāo)準(zhǔn)的“4.3.1”的要求，要有形成文件的“控制措施有效性的測量程序”。（9）管理評審程序ISMS的要求、否適合確定的組織的業(yè)務(wù)信息安全“管理評過程不一定要形成文件，“管理評審”但最好形成審程序”文件，以方便實際工作。適合已（9）適用性聲明,4.3.1i）根據(jù)標(biāo)準(zhǔn)的“”的要求要有形成文件的適用性聲明。1審核重點第二階段審核：檢查受審核組織如何評估信息安全風(fēng)險和如何設(shè)計其ISMS，包括如何：a）定義風(fēng)險評估方法（參見4.2.1c）?識別安全風(fēng)險（參見4.2.1d））?分析和評價安全風(fēng)險（參見4.2.1e）?識別和評價風(fēng)險處理選擇措施（參見的4.2.1f）?選擇風(fēng)險處理所需的控制目標(biāo)和控制措施（參見4.2.1g））?確保管理者正式批準(zhǔn)所有殘余風(fēng)險（參見4.2.1h）?確保在ISMS實施和運行之前，獲得管理者授權(quán)（參見的4.2.1i））?準(zhǔn)備適用性聲明（參見4.2.1j）?檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測量、報告和評審（包括抽樣檢查關(guān)鍵的過程是否到b）位），至少包括：ISMS監(jiān)視與評審（依照4.2.3監(jiān)視與評審ISMS”條款）？控制措施有效性的測量（依照4.3.1g）?內(nèi)部ISMS審核（依照第6章“內(nèi)部ISMS審核”）？管理評審（依照第7章“ISMS的管理評審”）PISMS改進(jìn)（依照第8章“ISMS改進(jìn)”）。?檢查管理者如何執(zhí)行管理評審（包括抽樣檢查關(guān)鍵的過程是否到位），依照條款包括：c）4.2.3監(jiān)視與評審ISMS?第7章“ISMS的管理評審”。？檢查管理者如何履行信息安全的職責(zé)（包括抽樣檢查關(guān)鍵的過程是否到位），依照條款包d）括：4.2.3監(jiān)視與評審ISMS?5管理職責(zé)?7ISMS的管理評審？檢查安全方針、風(fēng)險評估結(jié)果、控制目標(biāo)與控制措施、各種活動和職責(zé)，相互之間有如何e）連帶關(guān)系（也參見本文第8章“過程要求的符合性審核”）。監(jiān)督審核：上次審核發(fā)現(xiàn)的糾正/預(yù)防措施分析與執(zhí)行情況；a)內(nèi)審與管理評審的實施情況；b)管理體系的變更情況；c)信息資產(chǎn)的變更與相應(yīng)的風(fēng)險評估和處理情況；d)信息安全事故的處理和記錄等。e)再認(rèn)證審核：檢驗組織的ISMS是否持續(xù)地全面地符合ISO/IEC27001:2005的要求。a)評審在這個認(rèn)證周期中ISMS的實施與繼續(xù)維護(hù)的情況，包括：b)檢查ISMS是否按照ISO/IEC27001:2005的要求加以實施、維護(hù)和改進(jìn)；？評審ISMS文件和定期審核(包括內(nèi)部審核和監(jiān)督審核)的結(jié)果；？檢查ISMS如何應(yīng)對組織的業(yè)務(wù)與運行的變化；？檢驗管理者對維護(hù)ISMS有效性的承諾情況。?24信息安全管理體系4.1總要求4.2建立和管理ISMS4.2.1建立ISMS任何范圍的刪減，必須有詳細(xì)說明和正當(dāng)性理由方針要1)向和原則2)3)一起或保持一致4)5)ISM針與信息安全方針的關(guān)系1)要求和法律法規(guī)要求；制定接受風(fēng)險的準(zhǔn)則，確定可接受的風(fēng)險級別。2)要求和法律法規(guī)要求？1接受風(fēng)險的準(zhǔn)則是否已？個要求d)組織要識別安全風(fēng)險經(jīng)確定？并根據(jù)此準(zhǔn)則，確定了可接受的風(fēng)險級別？得到程(活組織是否有一個識別安？全風(fēng)險的過程？組織要分析和評價e)安全風(fēng)險識別安全風(fēng)險的過程？參見“注釋是否符合規(guī)定(ISMS產(chǎn)所面3)完影響風(fēng)。析和評包括資能產(chǎn)生主要威與指南”欄)？組織是否有個用于？評估安全風(fēng)險的過程？是否評估了安全破壞可？能產(chǎn)生對組織的業(yè)務(wù)影響？這個安全風(fēng)險評估過？

參見“注（程是否符合規(guī)定）釋與指南欄”？可能,3）算參見“注（程是否符合規(guī)定）釋與指南欄”？可能,3）算

使用本的一個“的符合上述要求。組織是否有一個用于識？f）組織要識別和評價要求明確規(guī)定，可選擇的措施包括:別和評價風(fēng)險處理選擇措施采用適當(dāng)?shù)目刂拼胧?）風(fēng)險處理選擇措施2）接受風(fēng)險；的過程？2種4這個過程是否慮了？（可能的選擇參見“注釋與指南欄”）？避免“識另組織要選擇風(fēng)險處g）理所需的控制目標(biāo)和控制措施4評價可能的控制措制措施理過程控制目貝嘰以控制措組織是否有一個用于？ISO/IEC27001:2005選擇的風(fēng)險處理控制目標(biāo)A附錄和控制措施的過程？這個過程是否確保所？h）組織要確保管理者選擇的控制目標(biāo)和控制措?yún)⒁姟白⑹M足相關(guān)要求（“選擇過程的和9在確保結(jié)目標(biāo)和別安全規(guī)的要適用于不要錯的審核

釋與指南”欄）？的控制目標(biāo)和控附錄A?制措施是否都被選擇？是否有正？如果不選擇，當(dāng)性理由？以外A?是否選擇了附錄的控制措施？所有殘余風(fēng)險是否獲得？正式批準(zhǔn)所有殘余風(fēng)險管理者正式批準(zhǔn)？3i）組織要確保在ISMS實施和運行之前，獲得管理者授權(quán)組織要準(zhǔn)備適用性j）聲明實施和運行是否獲ISMS?得管理者授權(quán)？文“4件控制求明確及其選措施;3）刪的是要上述3推薦的要加以防止漏組織是否有一個準(zhǔn)備適？用性聲明的過程？適用性聲明的內(nèi)容是否？項內(nèi)有含有標(biāo)準(zhǔn)規(guī)定的“3參見“注釋與指南”（容”欄）？適用性聲明是否記載？中任何控制目標(biāo)和控附錄A以及刪減的制措施的刪減，正當(dāng)性理由？的審對制目標(biāo)實施與運行ISMS4.2.2

標(biāo)準(zhǔn)要求組織要制定風(fēng)險處a）理計劃審核內(nèi)容組織是否有一個符合？標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng)險處理計劃文件的過程？“風(fēng)險處理？是否有一個審核記錄注釋上理計戈險的管階段,計劃”文件？早可與’見"的4b）組織要實施風(fēng)險處組織是否有一個符合？要求明理計劃c）組織要實施所選擇的控制措施組織要定義如何測d）"實施風(fēng)標(biāo)準(zhǔn)此條款要求的險處理計劃”的過程？劃”的確定的組織要施”的組織要組織是否有一個符合標(biāo)？準(zhǔn)此條款要求的"實施所選擇的控制措施”的過程？"測量組織是否有一個？即要有一定義如何測量所選控制措施的有效性，1）量所選控制措施的有所選控制措施有效性”的過個"測量所選施的有效2）規(guī)定如何使用這些測量措施，去？如何使用測量措施，e）組織要實施培訓(xùn)和意識教育計劃測量控制措施的有效性？）;性進(jìn)行測量（或評估據(jù)此，管理者和員工就可以確定所選的程度。在對這個要求的審核時，審核員必須檢查受審核組性的？;措施”如何使用其測量措施進(jìn)行測量；？所選控制措施是否達(dá)到既定的控制目標(biāo)。？參見規(guī)定的要求同時審核（？可與4.2.3c））監(jiān)視與評審ISMS""4.2.3對于實施ISMS的組織來說，很重息安全的原理。因此在”中，首先要有"培訓(xùn)和"實施與運行纟意識和能力”。組織是否有一個符合？“實施培標(biāo)準(zhǔn)此條款要求的訓(xùn)和意識教育計劃”的過程？ISMS組織是否有？，ISMS要求明確規(guī)定的運行需要管理。組織要管理f）ISMS“管理5的運行ISMSg）組織要管理的資源h）組織要實施組織的運行”的過程？實ISMS組織是否有對?施所需要的資源進(jìn)行管理的過程？“迅是否有組織的ISMS?實施所（參見安全事的安全程序和其他控制措施速檢測安全事件和對安全事故能做出迅速反應(yīng)”的程序？能做出ISMS”ISMS監(jiān)視與評審4.2.3標(biāo)準(zhǔn)要求組織要執(zhí)行監(jiān)視與a）評審程序?qū)徍藘?nèi)容“監(jiān)視與評組織是否有？，以：審程序”迅速檢測處理產(chǎn)生的1）審核記錄注釋與程序”生的錯錯誤；迅速識別試圖的和得2）逞的安全違規(guī)事件和事故；迅速識使管理b）組織要定期評審使管理者能確定指定3）人員的安全活動或通過信息技術(shù)實施的安全活動是否如）信息技扌曰示器定解決的審杉組織對期執(zhí)行；通過使用指示器，幫助4）檢測安全事件并預(yù)防安全事故；確定解決安全違規(guī)事件5）的措施是否有效？是否有符合此要求？6ISMS有效性“ISMS有效性的定期評審”|方針和目標(biāo)的符合性評審、安全控ISMS（包括評審組織要測量控制c）措施的有效性d）組織要測量控制c）措施的有效性d）組織要評審風(fēng)險評估的過程？“測量控是否有到位的？的過程制措施的有效性”或程序？“評審風(fēng)是否有到位的？的過程或程序？險評估”的？“評審風(fēng)險評估”方面的過程是否考慮了"6?參見注釋與指南變化”（）組織；1））。制措施的有效性評審或有效性的定期評審時，要聯(lián)系到果、事故、考慮到）所有相關(guān)方的建議和反饋。在對要求的審求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要測量控制措對要求的審核時，要檢查是否有“測量控制措施的有效性”“監(jiān)視和評審ISMS要按照既定的時間間隔，評審風(fēng)險評估、慮以下方面的變化：e）組織要執(zhí)行定期的是否有到位的定期的？內(nèi)部審核”過程或程內(nèi)部審核°ISMS要按既定的時間間隔，執(zhí)行'‘內(nèi)部審核ISMSISMS的變化查是否"監(jiān)視2）技術(shù)；3）業(yè)務(wù)目標(biāo)和過程;4）已識5）已法規(guī)環(huán)7序？ISMS在審核的要求執(zhí)組織要執(zhí)行定期的f）管理評審ISMS組織要更新信息安g）全計劃h）ISMS組織要維護(hù)事件和行動措施的紀(jì)錄是否有到位的定期的？過程或程ISMS管理評審”“這個要要按既個要求理評審按照標(biāo)組織要ISMS這的事件可與標(biāo)

序？組織是否參考監(jiān)視和評？“更新信息審活動的發(fā)現(xiàn)，而安全計劃”？是否有到位的“維護(hù)？事件和行動措施的紀(jì)ISMS錄”的過程？ISMS4.2.4保持與改進(jìn)標(biāo)準(zhǔn)要求ISMS組織要實施a）改進(jìn)組織要采取適當(dāng)b）的糾正措施和預(yù)防措審核內(nèi)容是否有到位的“實施？改進(jìn)”的過程？ISMS“糾正措？是否有到位的施和預(yù)防措施”的過程？審核記錄注釋改進(jìn)點對要求改進(jìn)”正措施“8.3施是否有到位的吸取其？它組織和本組織的安全經(jīng)施和預(yù)織的安8驗教訓(xùn)的過程？糾正措c）組織要向所有相關(guān)方交流ISMS的措施是否有向所有相關(guān)方？改進(jìn)的過程？交流ISMS條款"ISM動措施和改進(jìn)狀況d）組織要確保ISMS的改進(jìn)達(dá)到預(yù)期目標(biāo)的改進(jìn)是否有確保ISMS?達(dá)到了預(yù)期目標(biāo)的過程？并取預(yù)期目文件要求4.3總則4.3.1標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋文件要包括1）ISMS管理決定的記錄文件要確保所2）ISMS采取的措施可追蹤到文件包括有ISMS?是否管理決定的記錄？文件確保所是否ISMS?采取的措施可追蹤到管理總則”文件:須包括施可追管理決定和方針文件要確保記3）ISMS錄的結(jié)果是可再生的決定和方針？文件確保記ISMS是否？和方所選擇關(guān)系的錄的結(jié)果是可再生的？記錄記錄1010性。即從所選擇控制措施可追溯到風(fēng)險評估的結(jié)果，ISMS方針與目標(biāo)。而從風(fēng)險評估的結(jié)果又可追溯到方針與目是否定，ISMS文件要包括9(a)ISMS。欄a)-表從i))其中，方針與目標(biāo)文件)或頂級標(biāo)文件？ISMS(ISMS方針是最高文件要包括b)ISMS的是否有一個描述？ISMS范?的文范圍ISMS圍的文件？求的文個文9件，的范圍文件。ISMS這容很廣多組織同而有1)安全管理c)ISMS文件要包括支的程序和控制ISMS持的程ISMS?是否有支持序和控制措施？措施控制措見第通6.3.1文件要包括風(fēng)d)ISMS險評估方法的描述是否有描述風(fēng)險評估方法的文件？?條款的明，"合并于“風(fēng)險評估程序”；而“風(fēng)險評估程序”的是否有可用的風(fēng)險評？e)ISMS文件要包括運行結(jié)果又產(chǎn)生“風(fēng)險1-1c)；?參見的表文件要包括f)ISMS風(fēng)險處理計劃是否有可用的風(fēng)險處理計劃？?參見與標(biāo)準(zhǔn)性ISM文件要包括g)ISMS控制措施有效性的測是否有描述如何測量控？制措施有效性的程序文件？?的要求的強(qiáng)制量程序是否有提供符合要求“記錄”的范圍很廣。？實際上，？每一個程序文件？文件要包括本h)ISMS證據(jù)的記錄”。標(biāo)準(zhǔn)所要求的記錄

i)ISMS文件要包括適用性聲明是否有符合要求的適？用性聲明？1-14.3.2文件控制標(biāo)準(zhǔn)要求1)ISMS所要求的文件要加以保護(hù)和控制審核內(nèi)容是否有個用于保護(hù)和ISMS文件的過程？控制審核記錄注釋始的-出的。程”2)ISMS文件控制程序要形成文件a)“文件控制程序文要定義“文件發(fā)布件”前要得到批準(zhǔn)”是否有一個形成文件的文件控制程序？是否文件發(fā)布前要得？到批準(zhǔn)？序文般稱為求的必求是:對文件條款要組織是b)“文件控制程序文件”要定義“必要時評是否必要時評審與更？新文件，并再次批準(zhǔn)文件？制程文件。并再次審與更新文件，獲得批準(zhǔn)”“文件控制程序文c)件”要定義“文件的更是否文件的更改和現(xiàn)？行修訂狀態(tài)得到標(biāo)識？改和現(xiàn)行修訂狀態(tài)得11到標(biāo)識”d)“文件控制程序文件”要定義“在使用處可獲得有關(guān)版本的適用文件”是否在使用處可獲得？有關(guān)版本的適用文件？“文件控制程序文e)要定義“文件保持件”清晰、易于識別”f)“文件控制程序文件”要定義“文件可為需要的人員使用，并依易？是否文件保持清晰、于識別？是否文件可為需要的？并依照相關(guān)程序人員使用，進(jìn)行傳輸、貯存和最終銷照相關(guān)程序進(jìn)行傳輸、貯存和最終銷毀”g)“文件控制程序文毀？是否外來文件得到標(biāo)？1414件”要定義“外來文件得到標(biāo)識”h)“文件控制程序文件”要定義“文件的分識？是否文件的分發(fā)受控？制？發(fā)受控制”i)“文件控制程序文件”要定義“防止作廢“防止作廢文件非是否？預(yù)期使用”？文件非預(yù)期使用”j)“文件控制程序文件”要定義“對需要?！皩π枰Ａ舻淖?？是否？廢文件做出適當(dāng)?shù)臉?biāo)識”留的作廢文件做出適當(dāng)?shù)臉?biāo)識”124.3.3記錄控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋觀證據(jù)持、保證據(jù)(據(jù)的記制包括和處置錄控制須要有27001過程,過程的要保留記錄要加以建立與a.保持記錄要加以保護(hù)與b.控制是否有一個建立與保？持記錄的過程？是否有一個保護(hù)與控？制記錄的過程？要考慮相關(guān)c.ISMS法律法規(guī)要求和合同義務(wù)是否考慮了相關(guān)法ISMS?律法規(guī)要求和合同義務(wù)？記錄要保持清晰、d.易于識別和檢索e.記錄的控制要形成文件，并加以實施易記錄是否保持清晰、？于識別和檢索？記錄的控制是否形成？了文件？

過記錄要保留f.ISMSISMS記錄是否保留了？程的執(zhí)行情況，和所有重大安全事故的執(zhí)行情況過程的執(zhí)行情況？記錄是否保留了所有重？大安全事故的執(zhí)行情況？135管理職責(zé)5.1管理承諾標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋上管理者要對ISMS的實施與運行、建立、監(jiān)是否有一個確保管理？ISMS者對的建立、實施與這里，ISO/I管理者視與評審、保持和改做出承諾進(jìn)，，提供證運行、監(jiān)視與評審、保持和改進(jìn)，做出承諾的過程？據(jù)。管理者提供承諾的證？方面的內(nèi)容據(jù)是否包括8?見“注釋與指南”欄()理層(立、實內(nèi)容的方針建立息安全任和持風(fēng)險的內(nèi)審5.2資源管理5.2.1資源提供標(biāo)準(zhǔn)要求組織要確定和提供審核內(nèi)容活？管理者是否提供ISMS審核記錄注釋上行、監(jiān)所需要的資源動所需要的資源？標(biāo)準(zhǔn)要求審核內(nèi)容標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋?管理者是否提供確保信息安全程序支持業(yè)務(wù)要求所需要的資源？管理者是否提供滿足？合同安全要法律法規(guī)要求、求所需要的資源？是否提供通過正確實？。如施控制措施維護(hù)安全所需要的資源？管理者是否提供必要？的評審與對評審結(jié)果做出適當(dāng)反應(yīng)所需要的資源？管理者是否提供改進(jìn)？ISMS有效性所需要的資源？培訓(xùn)、意識和能力5.2.2標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋a.組織要確保分配有職責(zé)的所有人員ISMS都具有執(zhí)行所要求任務(wù)的能力是否有一個確保分配？職責(zé)的所有人員都有ISMS具有完成所要求任務(wù)的能力的過程？職責(zé)的具有完動：有能力這些需保持檢查培15b.組織要確保所有相關(guān)人員意識到其信息安全活動的重要性證據(jù)到其信ISMS抽查相是否有一個確保所有？相關(guān)人員都識到其信息安全活動的重要性的過程？審核6內(nèi)部ISMS標(biāo)準(zhǔn)要求審核內(nèi)容標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋16審核員的選擇，審(4)核的實施要確保審核過程的客觀公正審核員不準(zhǔn)審核(5)自己的工作審核員的選擇，審核的？實施是否確保審核過程的客觀公正？是否審核員審核了自己？的工作？章的規(guī)"審核地反映其它工形成內(nèi)審程序文(6)件采取糾正措施(7)是否有定義內(nèi)審職責(zé)？和要求方面的內(nèi)審程序文件？？是否有一個確保受審部(包括以劃上文件的確保上門的責(zé)任管理者及時采取措施，消除"已發(fā)現(xiàn)的不符合1)措施要糾正措施不能有不適當(dāng)?shù)难舆t。事項及其產(chǎn)生的原因”的過3)在對要求的符合性審核時，要確保上述要求得到滿足是否有一個對糾正措？"跟蹤糾正措施”是受審部門責(zé)任管理者的職責(zé)，跟蹤糾正措施(8)施的跟蹤活動？包括：跟蹤活動是否包括驗？證和驗證結(jié)果的報告？要跟報告跟(1)定期進(jìn)行內(nèi)部ISMS審核制定審核方案⑵是否有一個定期進(jìn)行？(1)定期進(jìn)行內(nèi)部ISMS審核制定審核方案⑵是否有一個定期進(jìn)行？內(nèi)部ISMS審核的過程？是否有一個審核方案？？"組織ISMS審控制目標(biāo)準(zhǔn)和安全要d)在^足。該審核方案是否考慮了？。核方案”而這個審核方案要考慮受審核的過程與受受審核的過程與受審核的部審核的部門的狀況和重要性，以及以在實際中，審核的準(zhǔn)則、范圍、頻次和方法可以定義審核的準(zhǔn)則、(3)范圍、頻次和方往審核的結(jié)果？審核的準(zhǔn)貝1」、范圍、頻？次和方法是否定義？的管理評審7ISMS7.1總則（1）管理者要每年至是否有一個確保最咼管？次持續(xù)的ISMS1理者每年至少評審ISMS和有效次1少評審的過程？審次17的實施ISMS是否檢查了？持續(xù)的適情況，以確保ISMS宜性、充分性和有效性？進(jìn)行'也控制過程,有一個（2）評審要包括評估改進(jìn)的機(jī)會和變更ISMS的需要在管理評審時，是否評？（包括信息安全方估了ISMS針和信息安全目標(biāo)）改進(jìn)的“管理符合要能任意理者對此管理評審的結(jié)果要形成（3）文件評審的記錄要加以⑷機(jī)會和變更的需要？評審結(jié)果是否形成了文？審時理評審條款的件？記錄是否按照“記錄控？制”的要求加以保持？保持評審輸入7.2注釋與指南審核記錄標(biāo)準(zhǔn)要求審核內(nèi)容是否有一個確保管理？在審核時，審核員應(yīng)首先檢查組織如何確保滿足a結(jié)方面管理評審的輸入信息標(biāo)準(zhǔn)規(guī)定的9評審的輸入包括標(biāo)準(zhǔn)要求。果方面信息的過程？a-i）的9是否管理評審包括先前的審b）管理評審的輸入要包括相關(guān)方的反饋括先前的審核和評審結(jié)果？是否管理評審的輸入？包括相關(guān)方的反饋？和管檢查管見、抱論等18c）管理評審的輸入要是否管理評審的輸入？審核員包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)品或程序d）管理評審的輸入要包括預(yù)防和糾正措施的技包括可用于改進(jìn)ISMS術(shù)、產(chǎn)品或程序？有效是否管理評審的輸入包？括預(yù)防和糾正措施的狀況？審核員措施和的狀況e）管理評審的輸入要包括以往風(fēng)險評估沒是否管理評審的輸入包？括預(yù)防和糾正措施的狀況？審核員險評估有充分解決的脆弱點或威脅是否管理評審的輸入包？審核員應(yīng)檢查管理評審的輸入是否包括在先前對管理評審的輸.的測量結(jié)果。括ISMS包括有效性測量的結(jié)果是否管理評審的輸入包？g）管理評審的輸入要審核員應(yīng)檢查管理評審包括以往管理評審的跟蹤措施h）包括以往管理評審的跟蹤措施h）管理評審的輸入要ISMS的包括可能影響括以往管理評審的跟蹤措施？是否管理評審的輸入？的任何ISMS包括可能影響任何變更管理評審的輸入要i）變更？是否管理評審的輸入？包括改進(jìn)的建議包括任改進(jìn)的建議？理評審徹、跟入是否信息資變更、應(yīng)檢查ISMS197.3評審輸出標(biāo)準(zhǔn)要求管理評審的輸出要a）包括ISMS有效性的改進(jìn)審核內(nèi)容是否有一個確保管理？方面要求評審的輸出包括5的過程？審核記錄注釋保管理的輸出管理評審的輸出要b）是否管理評審做出了？ISMS有效性的決定？改進(jìn)是否管理評審做出了？ISMS審的決定風(fēng)險包括風(fēng)險評估和風(fēng)險處理計劃的更新c）管理評審的輸出要更新風(fēng)險評估和風(fēng)險處理計劃的決定？是否管理評審做出了在？處理計審核員要求的包括必要時對影響信息安全的程序和控制措施的修改，以應(yīng)對可必要時對影響信息安全的程序和控制措施的修改決定，的內(nèi)外以應(yīng)對可能沖擊ISMS件，包化；2的內(nèi)外事能沖擊ISMS件事件？影響規(guī)要求接受影響信要做出d）管理評審的輸出要是否管理評審做出了對？在審求。I

資源需求的決定。資源需求的決定？包括對資源需求的決在審核時，要檢查這方面的決定。定管理評審的輸出要e)包括改進(jìn)測量控制措施有效性的方法?20要求是做出這改進(jìn)8ISMS持續(xù)改進(jìn)8.1標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋組織要持續(xù)改進(jìn)ISMS的有效性是否有一個確保組織持？續(xù)改進(jìn)ISMS有效性的過程？ISMS要效性持使用使用使用使用使月考慮以并結(jié)8.2糾正措施標(biāo)準(zhǔn)要求組織要采取審核內(nèi)容是否有一個確保審核記錄注釋措施，a.要求消除不采取?要求ISMS措施，消除求規(guī)定符合ISMS的原因糾正不符合的原因的過程？是否“形成措施程序要b.形成文有一個糾正措施？程序文程序文件件？21C.糾正措施程序文件要定義“識別不符合項”糾正措施程序文件d.“確定產(chǎn)生不符要定義合項的原因”e.糾正措施程序文件是否糾正措施程序文？標(biāo)準(zhǔn)要求組織要建立和執(zhí)行“糾正措施程序文？件”。件定義了“識別不符合項”見本(要定義6條要求這個“糾正措施程序文件”。糾正8.2就應(yīng)對照此“審核員在文件評審階段，件定義了“確定產(chǎn)生不符合措施”的要求，評性。是否糾正措施程序文？件定義了“評價確保不符合要定義“評價確保不符合項不再發(fā)生的措項不再發(fā)生的措施需求”？施需求”糾正措施程序文件f.要定義“確定和實施是否糾正措施程序文？件定義了“確定和實施所需

所需要的糾正措施”要的糾正措施”？是否糾正措施程序文？g.糾正措施程序文件件定義了“記錄所采取措施要定義“記錄所采取措施的結(jié)果”的結(jié)果是否糾正措施程序文？h.糾正措施程序文件件定義了“評審所采取的糾要定義“評審所采取正措施”？的糾正措施8.3預(yù)防措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋組織要采取措施，a.消除潛在的不符合ISMS要求的原因是否有個用于確保采？取措施，消除潛在的不符合要求的原因的過程？ISMS要求規(guī)要求的22所采取的預(yù)防措b.所采取的預(yù)防措施是？所要采施要與潛在問題的影響程度相適應(yīng)組織要建立一個C.否適于潛在問題的影響？條相是否有一個定義？5小而決施程序5關(guān)要求的預(yù)防措施程序文條相關(guān)要求：文件。該程序文件要定義預(yù)防措施程序文件，定義5條相關(guān)要求識別潛在評價預(yù)防發(fā)生不符合事項的措施的需要；b)確定和實施所需要的預(yù)防措施；C)記錄所采取措施的結(jié)果；d)評審所采取的預(yù)防措施。e)在審核時，審核員要檢查確保：一組織要有一個；一該文件要定義上術(shù)形成文件的“預(yù)防措施程序”條要求。5風(fēng)險了變化的風(fēng)險的過程，并對已經(jīng)發(fā)生了變化的風(fēng)險，要識別其預(yù)防措施的要求。有些組織通過使用一個“風(fēng)險評估管在審核時，審核員可結(jié)合標(biāo)準(zhǔn)的“4.2”條款的相關(guān)要求，進(jìn)行審核°ISMS理d.組織要識別已經(jīng)發(fā)生了變化的風(fēng)險是否有個用于識別已？經(jīng)發(fā)生了變化的風(fēng)險的過組織要識別對已經(jīng)e.發(fā)生了變化的風(fēng)險的預(yù)防措施的要求程？對已經(jīng)發(fā)生了重大變？化的風(fēng)險，是否識別其預(yù)防措施要求？預(yù)防措施的優(yōu)先f.級要根據(jù)風(fēng)險評估的是否預(yù)防措施的優(yōu)先級？根據(jù)風(fēng)險評估的結(jié)果而確結(jié)果確定定？

23附錄2-控制要求符合性審核A.5安全方針A.5.1信息安全方針目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)，提供信息安全的管理方向和支持。相關(guān)條款A(yù).5.1.1信息安全是否有信息安全方針文件？方針文件信息安全方針文件是否獲得管理者批準(zhǔn)、發(fā)布和控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性傳達(dá)給所有員工和相關(guān)的外方？信息安全方針文件是否符合標(biāo)準(zhǔn)的要求，如是否說明管理承諾，并提出組織管理信息安全的方法？息安全方為了確保信息安全方針持續(xù)的適宜性、充分性和A.5.1.2針的評審有效性，化時是否按既定的時間間隔）對其進(jìn)行評審？或當(dāng)發(fā)生重大變（A.6信息安全的組織A.6.1內(nèi)部的組織目標(biāo)：管理組織內(nèi)的信息安全。相關(guān)條款管理者是否通過清晰的方向、可證實的承諾、明A.6.1.1信息安全確的任務(wù)，的管理承諾控制要求與檢查內(nèi)容和信息安全職責(zé)的承認(rèn)，來積極支持組實施的方法，或刪減的正當(dāng)性織內(nèi)的安全？信息安全活動是否由不同部門的代表協(xié)調(diào)相關(guān)工A.6.1.2信息安全協(xié)調(diào)作？所有的信息安全職責(zé)信息安全A.6.1.3執(zhí)行特定安全過程的職責(zé)）是否有明確的規(guī)定？職責(zé)的分配（包括保護(hù)各個資產(chǎn)的職責(zé)和

24A.6.1.4信息處理對新信息處理設(shè)施，是否有管理授權(quán)過程？設(shè)施的授權(quán)過程保密性協(xié)議A.6.1.5是否所有員工都要簽署一個反映組織信息保護(hù)需？）要的保密協(xié)議（或不泄露協(xié)議是否得到識別和定期評）保密協(xié)議（或不泄露協(xié)議審？聯(lián)系權(quán)威A.6.1.6部門例如，執(zhí)法部門、消防組織是否與相關(guān)權(quán)威部門（保持適當(dāng)?shù)穆?lián)系？部門和監(jiān)管部門）組織是否與特殊利益團(tuán)體、安全專家組和專業(yè)協(xié)A.6.1.7聯(lián)系特殊利益團(tuán)體會保持適當(dāng)?shù)穆?lián)系？（A.6.1.8信息安踐，安全控制目標(biāo)與控制措施、方針、過程和程序的獨立評審）或當(dāng)安全實施發(fā)生重大變化按既定的時間間隔（）進(jìn)外方A.6.2目標(biāo)：保持被外方訪問與處理，與外方通信，或被管理的組織的信息與信息處理設(shè)施的安全。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.6.2.1外方相關(guān)風(fēng)險的識別A.6.2.2處理與顧客有關(guān)的安全問題組織的信息和信息處理設(shè)施受外方訪問或管理而產(chǎn)生的風(fēng)險，是否進(jìn)行識別？組織的信息和信息處理設(shè)施，在允許外方訪問前，是否執(zhí)行適當(dāng)?shù)目刂拼胧?？在允許顧客訪問組織信息或資產(chǎn)之前，所有確定的安全要求是否得到解決？A.6.2.3處理第三方協(xié)議中的安全問題或管理（）組織的信息或信涉及訪問、處理、交流息處理設(shè)施的第三方協(xié)議，是否涵蓋所有相關(guān)的安全要求？25A.7資產(chǎn)A.7.1對資產(chǎn)的職責(zé)目標(biāo)：實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.7.1.1資產(chǎn)清單A.7.1.2資產(chǎn)責(zé)任人是否所有資產(chǎn)度都進(jìn)行了識別？是否所有重要資產(chǎn)都進(jìn)行了登記、建立了清單文件并加以維護(hù)？所有信息和信息處理設(shè)施相關(guān)資產(chǎn)，是否都有責(zé)A.7.1.3資產(chǎn)的可任人？信息和信息處理設(shè)施相關(guān)資產(chǎn)的可接受使用規(guī)接受使用貝叭是否確定、形成了文件并加以實施？

A.7.2信息分類目標(biāo)：確保信息受到適當(dāng)級別的保護(hù)。相關(guān)條款分類指南A.7.2.1控制要求與檢查題）？是否有一個信息分類指南（或分類法實施的方法，或刪減的正當(dāng)性信息是否按照其對組織的價值、法律要求、敏感性和關(guān)鍵性進(jìn)行分類？A.7.2.2信息的標(biāo)記和處理信息標(biāo)記與處理程序是否按照組織采用的分類法，加以開發(fā)和實施？A.8人力資源安全A.8.1雇用之前目標(biāo)：確保雇員、承包人和第三方用戶理解其職責(zé)，適合其考慮的角色，以降低行竊、欺詐和誤用設(shè)施的風(fēng)險。相關(guān)條款A(yù).8.1.1角色和職責(zé)控制要求與檢查內(nèi)容雇員、承包人和第三方用戶的安全角色和職責(zé)是實施的方法，或刪減的正當(dāng)性否按照組織的信息安全方針加以定義并形成了文26件？篩選A.8.1.2是否對所有雇用的候選者、承包人和第三方用戶，按照相關(guān)法律法規(guī)、道德規(guī)范、相應(yīng)的業(yè)務(wù)要求、和已察覺的風(fēng)險，進(jìn)行背景要被訪問信息的類別、雇用的條A.8.1.3驗證檢查？雇員、承包人和第三方用戶是否簽署了雇用合同的條款和條件，作為他們合同義務(wù)的一部分？款和條件“雇用合同的條款和條件”是否聲明雇員、承包人和第三A.8.2雇用期間目標(biāo)：確保所有雇員、承包人和第三方用戶意識到信息安全威脅與利害關(guān)系、他們的職責(zé)與義務(wù)，并在其正常工作中支持組織的安全方針和減少人為過失的風(fēng)險。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.8.2.1管理職責(zé)信息安全A.8.2.2管理者是否要求雇員、承包人和第三方用戶，按照該組織已建立的方針和程序負(fù)起安全責(zé)任？組織的所有雇員、相關(guān)的承包人和第三方用戶，意識、教育和培訓(xùn)是否都接受過適當(dāng)?shù)囊庾R培訓(xùn)和定期更新與其工作有關(guān)的組織的方針與程序方面的知識？紀(jì)律處理A.8.2.3過程對于安全違規(guī)的雇員，是否有個正式的紀(jì)律處理過程？雇用終止或雇用變更A.8.3目標(biāo)：確保雇員、承包人和第三方用戶以一個適宜的方式離職或變更雇用。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.8.3.1終止職責(zé)履行雇用終止或雇用變更的職責(zé)是否清晰地做出

了規(guī)定和分配?27A.8.3.2歸還資產(chǎn)所有雇員、承包人和第三方用戶在雇用、合同或刪除訪問權(quán)A.8.3.3協(xié)議終止時，是否歸還其使用的該組織的所有資產(chǎn)？所有雇員、承包人和第三方用戶對信息和信息處在其雇用、合同或協(xié)議終止時，理設(shè)施的訪問權(quán)，是否刪除，或進(jìn)行變更調(diào)整？物理和環(huán)境安全A.9A.9.1安全區(qū)域目標(biāo)：防止對組織場所和信息，進(jìn)行未授權(quán)的物理訪問、損壞和干擾。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.9.1.1物理的安全邊界是否有用于保護(hù)包含信息和信息處理設(shè)施的區(qū)域的安全邊界（諸如墻、入口控制卡或受管理的接A.9.1.2物理入口控制待臺等屏障）？為了確保只有已被授權(quán)人員才允許訪問，安全區(qū)域是否通過適用的入口控制措施加以保護(hù)？A.9.1.3保護(hù)辦公室、房間和設(shè)施的辦公室、房間和設(shè)施的物理安全措施是否進(jìn)行了設(shè)計并加以應(yīng)用？安全防范外部A.9.1.4對由火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然災(zāi)難或人為災(zāi)難引起的損害,計與應(yīng)用了物理保護(hù)措施？A.9.1.5在安全區(qū)在安全區(qū)域工作的物理保護(hù)措施和指南是否進(jìn)行域工作了設(shè)計并加以應(yīng)用？對在安全區(qū)域工作的人員，是否有任何安全控制措施？28A.9.1.6公共訪問|為了避免未授權(quán)訪問，訪問點（如交接區(qū)和未授權(quán)人員可以進(jìn)入的其它地點）是否進(jìn)行控制？區(qū)和交接區(qū)交接區(qū)是否與信息處理設(shè)施隔開?設(shè)備安全A.9.2目標(biāo)：防止資產(chǎn)丟失、損壞、被盜或被破壞，和中斷組織的活動。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.9.2.1設(shè)備安置和保護(hù)設(shè)備是否安置在可減少未授權(quán)訪問的適當(dāng)?shù)攸c？對于處理敏感數(shù)據(jù)的信息處理設(shè)施，是否安置在可限制觀測的位置？對于需要特殊保護(hù)的設(shè)備，是否進(jìn)行隔離？A.9.2.2支持性設(shè)對信息處理設(shè)施的運行有負(fù)面影響的環(huán)境條件（例如溫度和濕度），是否進(jìn)行監(jiān)視？在由支持性設(shè)施的失效而引起的電源故障和其他3030施A.9.2.3布纜安全中斷方面，設(shè)備是否有所防范？通信電纜電源和傳輸數(shù)據(jù)的（或支持信息服務(wù)的）是否防范攔截或損壞？設(shè)備維護(hù)A.9.2.4設(shè)備是否按照供應(yīng)商推薦的服務(wù)時間間隔和說明書，進(jìn)行正確維護(hù)？設(shè)備維護(hù)是否只由已授權(quán)人員執(zhí)行？設(shè)備的維護(hù)記錄是否保存？對于組織場所的設(shè)備，是否考慮了不同風(fēng)險，而組織場所A.9.2.5采取安全措施？外的設(shè)備安全設(shè)備的安A.9.2全銷毀或安全再利是否進(jìn)行安全銷毀或安全覆蓋后再利用？29A.9.2.7財產(chǎn)的移動是否設(shè)備、信息或軟件要帶出組織場所外，必須獲得管理者授權(quán)？通信和運行管理A.10運行程序和職責(zé)A.10.1目標(biāo)：確保信息處理設(shè)施的正確運行和安全運行。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性形成運行A.10.1.1程序文件A.10.1.2變更管理A.10.1.3責(zé)任的劃分A.10.1.4開發(fā)設(shè)運行程序是否形成了文件、加以保持并可為所有需要的用戶使用？對信息處理設(shè)施和系統(tǒng)的變更是否受控？的修改或無意識為了減少對組織資產(chǎn)未授權(quán)（）是否劃分了職責(zé)的責(zé)任與職責(zé)（或誤用）的機(jī)會，的范圍？）運行系統(tǒng)的風(fēng)險，（為了減少未授權(quán)訪問或更改施、測試設(shè)施和運行設(shè)施的分離開發(fā)設(shè)施、測試設(shè)施和運行設(shè)施是否彼此分離開？第三方服務(wù)交付管理A.10.2目標(biāo)：依照第三方服務(wù)交付協(xié)議，實施和保持適當(dāng)水準(zhǔn)的信息安全和服務(wù)交付。相關(guān)條款服務(wù)交付A.10.2.1控制要求與檢查內(nèi)容第三方服務(wù)交付協(xié)議中所規(guī)定的安全控制措施、實施的方法，或刪減的正當(dāng)性A.10.2.2第三方服務(wù)的監(jiān)視和評審服務(wù)定義和交付水準(zhǔn)，由第三方實施、運行和保持，是否獲得保障？對第三方提供的服務(wù)、報告和記錄，是否定期地進(jìn)行監(jiān)視、評審和審核？第三方服A.10.2.3務(wù)的變更管理（包括保持和改進(jìn)現(xiàn)有的信息對服務(wù)提供的變更，是否考慮所涉及安全方針、程序和控制措施）的業(yè)務(wù)系統(tǒng)與過程的關(guān)鍵程度和風(fēng)險的再評估,進(jìn)行管理？系統(tǒng)規(guī)劃和驗收A.10.3目標(biāo)：將系統(tǒng)故障的風(fēng)險降至最小。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性容量管理A.10.3.1為了確保所需的系統(tǒng)性能，是否對資源的使用進(jìn)行監(jiān)視和調(diào)整，并對未來的容量需求做出規(guī)劃？系統(tǒng)驗收A.10.3.2新信息系統(tǒng)、升級和新版本的驗收準(zhǔn)則，是否建立了，并在系統(tǒng)驗收前和開發(fā)中進(jìn)行適當(dāng)?shù)南到y(tǒng)測試？A.10.4防范惡意代下是對在這個目標(biāo)下白碼和移動代碼2個控制措施的審核。目標(biāo)：保護(hù)軟件和信息的完整性。以勺相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.4.1對惡意代碼的控制措施（包括對惡意代碼是否有對惡意代碼的控制措施？的監(jiān)測、預(yù)防和恢復(fù)）是否有禁止使用未授權(quán)軟件的正式方針？是否安裝并定期更新惡意代碼檢測與修復(fù)軟件？A.10.4.2對移動代是否有提高用戶對惡意代碼防范意識的程序？當(dāng)移動代碼獲得授權(quán)使用時，是否配置確保該授碼的控制措施權(quán)的移動代碼，按照清晰定義的安全方針的規(guī)定運行？當(dāng)移動代碼未獲得授權(quán)時，是否阻止其運行？A.10.5備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。相關(guān)條款實施的方法，或刪減的正當(dāng)性控制要求與檢查內(nèi)容31A.10.5.1信息備份是否有備份方針？重要的信息和軟件是否按照備份方針的規(guī)定定期備份和測試？備份的存儲地是否安全，并與實際的使用場所保持足夠的距離？A.10.6網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持基礎(chǔ)設(shè)施的安全。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性網(wǎng)絡(luò)控制A.10.6.1為了防止使用網(wǎng)絡(luò)時發(fā)生的威脅和維護(hù)系統(tǒng)與應(yīng)用程序的安全，網(wǎng)絡(luò)是否充分受控？網(wǎng)絡(luò)的運行職責(zé)與計算機(jī)系統(tǒng)的運行職責(zé)是否分開？信息在公用網(wǎng)絡(luò)上傳輸時，是否有控制措施？？（不管是內(nèi)部的，還是外部的）是否有網(wǎng)絡(luò)服務(wù)A.10.6.2網(wǎng)絡(luò)服務(wù)的安全是否有確定所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)級別和管理要求的網(wǎng)絡(luò)服務(wù)協(xié)議？介質(zhì)處理A.10.7目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動或銷毀，和中斷業(yè)務(wù)活動。相關(guān)條款A(yù).10.7.1可移動介質(zhì)的管理A.10.7.2介質(zhì)的處控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性

是否有可移動介質(zhì)的管理程序？對于不再需要的介質(zhì)，是否使用正式的程序進(jìn)行置信息處理A.10.7.3安全地處置？為了保持審計蹤跡，是否保留敏感信息的處置記錄？是否有信息的處理與貯存程序?是否有可移動介質(zhì)的管理程序？對于不再需要的介質(zhì)，是否使用正式的程序進(jìn)行置信息處理A.10.7.3安全地處置？為了保持審計蹤跡，是否保留敏感信息的處置記錄？是否有信息的處理與貯存程序?32程序A.10.7.4系統(tǒng)文件的安全該程序是否要防范信息被未授權(quán)者泄漏或誤用？是否要防范系統(tǒng)文件被未授權(quán)訪問？系統(tǒng)文件的訪問名單是否保持在最小范圍，并獲得責(zé)任人授權(quán)？信息的交換A.10.8目標(biāo)：保持與內(nèi)部組織和與任何外部實體間信息和軟件交換時的安全。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.8.1信息交換方針和程序A.10.8.2交換協(xié)議為了保護(hù)通過使用各種類型的通信設(shè)施進(jìn)行信息交換，是否有正式的信息交換方針、程序和控制措施？軟件交換時，是否有在組織和外方之間進(jìn)行信息/交換協(xié)議？A.10.8.3運輸中的該交換協(xié)議是否指向所涉及的敏感業(yè)務(wù)信息的安全問題？當(dāng)含信息的介質(zhì)在組織的物理邊界以外運送時，是否有防范未授權(quán)訪問、誤用或毀壞的措施？物理介質(zhì)A.10.8.4當(dāng)用電子方法發(fā)送信息時，是否有適當(dāng)?shù)男畔⒈０l(fā)送A.10.8.5業(yè)務(wù)信息護(hù)措施？為了保護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息，是否開系統(tǒng)發(fā)與實施了相關(guān)的方針和程序？A.10.9電子商務(wù)服務(wù)目標(biāo)：確保電子商務(wù)服務(wù)的安全及其安全使用。相關(guān)條款電子商務(wù)A.10.9.1控制要求與檢查內(nèi)容電子商務(wù)是否有防范欺詐活動、合同爭議和未授實施的方法，或刪減的正當(dāng)性A.10.9.2在線交易權(quán)泄露與修改信息的控制措施？以防止傳輸錯誤、在線交易中的信息是否受保護(hù)，33未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制？為了維護(hù)公共可用系統(tǒng)中的信息的完整性，是否A.10.9.3公共可用信息有防范未授權(quán)修改的控制措施？

監(jiān)視A.10.10目標(biāo)：檢測未授權(quán)的信息處理活動。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.10.10.1審計日志審計日志是否記錄用戶活動、異常事件和信息安全事件？為了幫助未來的調(diào)查和訪問控制監(jiān)視，審計日志A.10.10.2監(jiān)視系統(tǒng)的使用A.10.10.3日志信是否保持一段已商定的時期？監(jiān)視信息處理設(shè)施的使用程序是否建立了？監(jiān)視活動的結(jié)果是否定期評審？記錄日志的設(shè)施和日志信息是否有防范被篡改和息的保護(hù)管理員A.10.10.4未授權(quán)訪問的控制措施？系統(tǒng)管理員和系統(tǒng)操作員的活動是否寫入日志和操作員日志中？是否定期檢查操作員日志？A.10.10.5故障日志系統(tǒng)故障是否被報告、記錄、分析和采取適當(dāng)?shù)拇胧克邢嚓P(guān)信息處理系統(tǒng)的時鐘是否都按統(tǒng)一的標(biāo)時鐘同步A.10.10.6準(zhǔn)時間進(jìn)行同步設(shè)置？A.11訪問控制A.11.1訪問控制的業(yè)務(wù)要求目標(biāo)：控制對信息的訪問。34相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.1.1訪問控制方針訪問控制方針是否根據(jù)對訪問控制的業(yè)務(wù)要求與安全要求，進(jìn)行定義、形成文件和評審？明確訪問控制方針是否為每個用戶（或用戶組）地規(guī)定了訪問的規(guī)則和權(quán)限？用戶訪問管理A.11.2目標(biāo)：確保授權(quán)用戶訪問信息系統(tǒng)，防止未授權(quán)用戶訪問信息系統(tǒng)。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性用戶注冊A.11.2.1特權(quán)管理A.11.2.2是否有正式的用戶注冊與注銷程序，授權(quán)和撤銷對所有信息系統(tǒng)和服務(wù)的訪問？對于多用戶系統(tǒng)，特權(quán)的分配和使用是否受限制和受控制？A.11.2.3用戶口令管理口令的分配是否要用一個正式的管理過程進(jìn)行控制？用戶訪問A.11.2.4權(quán)的評審管理者是否使用一個正式過程，定期地評審用戶的訪問權(quán)？用戶職責(zé)A.11.3目標(biāo)：防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取。相關(guān)條款口令使控制要求與檢查內(nèi)容是否有指導(dǎo)用戶選擇和使用實施的方法，或刪減的正當(dāng)性A.11.3.1用口令的指南、方針或

規(guī)定？組織是否要求用戶遵照指南、方針或規(guī)定，選擇和使用口令？無人值守A.11.3.2的用戶設(shè)備用戶是否知道保護(hù)無人值守的用戶設(shè)備的職責(zé)和程序？組織是否要求用戶確保無人值守的用戶設(shè)備得到35適當(dāng)?shù)谋Ｗo(hù)？清空桌面A.11.3.3和屏幕方針業(yè)務(wù)信息受未授權(quán)（或關(guān)鍵的）為了防止敏感的訪問、丟失或損壞，組織是否實施一個清空桌面和屏幕方針？組織是否要求員工在離開座位時，不要把機(jī)密的紙文件和可移動存儲介質(zhì)留在桌面上，并注銷計算機(jī)或鎖住屏幕?A.11.4網(wǎng)絡(luò)訪問控制目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性網(wǎng)絡(luò)服A.11.4.1務(wù)的使用方針是否有一個只允許用戶訪問其已被授權(quán)使用的網(wǎng)絡(luò)服務(wù)？A.11.4.2外部連接的用戶鑒別對遠(yuǎn)程用戶的訪問控制，是否使用適當(dāng)?shù)挠脩翳b別方法？A.11.4.3網(wǎng)絡(luò)上的設(shè)備識別為了鑒別特定位置和設(shè)備的連接，是否把自動的設(shè)備識別作為一種手段？遠(yuǎn)程診斷A.11.4.4端口和配置端口的對診斷端口和配置端口的物理和邏輯訪問，是否受控制？保護(hù)網(wǎng)絡(luò)隔離A.11.4.5是否在網(wǎng)絡(luò)上對信息服務(wù)、用戶和信息系統(tǒng)進(jìn)行隔離控制？如組織的內(nèi)部網(wǎng)絡(luò)域在各個不同的邏輯網(wǎng)絡(luò)域（之間，是否通過使用安全邊界和外部網(wǎng)絡(luò)域等）A.11.4.6網(wǎng)絡(luò)連接控制，進(jìn)行隔離和保護(hù)？如防火墻等（）網(wǎng)站如電子郵件、對于越過組織邊界的共享網(wǎng)絡(luò)（，是否有網(wǎng)絡(luò)連接控制措）訪問、和文件傳送等36網(wǎng)絡(luò)路由A.11.4.7控制施？對共享網(wǎng)絡(luò)用戶連接網(wǎng)絡(luò)的能力，是否按照業(yè)務(wù)應(yīng)用系統(tǒng)的訪問控制方針和要求加以限制？為了確保計算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用系統(tǒng)的訪問控制方針，共享網(wǎng)絡(luò)是否有路由控制措施？操作系統(tǒng)訪問控制A.11.5目標(biāo)：防止對操作系統(tǒng)的未授權(quán)訪問。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性安全登A.11.5.1錄程序為了最小化對操作系統(tǒng)未授權(quán)訪問的機(jī)會，是否有一個操作系統(tǒng)安全登錄程序？對操作系統(tǒng)的訪問，是否只能按安全登錄程序進(jìn)行？A.11.5.2用戶標(biāo)識和鑒別是否所有用戶都有一個僅供其個人使用的唯一標(biāo)）？識碼（用戶IDA.11.5.3口令管理所選用的用戶身份鑒別技術(shù)是否能證實所宣稱的用戶身份？是否有口令管理系統(tǒng)？系統(tǒng)系統(tǒng)實用A.11.5.4工具的使用口令管理系統(tǒng)是否強(qiáng)迫用戶執(zhí)行各種口令安全控與口令、選用與定期制措施（如使用個人用戶ID?更改優(yōu)質(zhì)口令和安全地保存口令等））（對于系統(tǒng)實用工具程序的使用，是否有限制和嚴(yán)格的控制措施？會話暫停A.11.5.5為了防止未授權(quán)者訪問系統(tǒng)，是否有確保計算機(jī)終被自動關(guān)閉期后，）（端在一個設(shè)定的休止或靜止（或鎖?。┑目刂拼胧?37連接時A.11.5.6|為了提供額外的安全，對于高風(fēng)險應(yīng)用系統(tǒng)的連間的限制接，是否有連接時間限制？A.11.6應(yīng)用系統(tǒng)和信息訪問控制目標(biāo)：防止未授權(quán)訪問應(yīng)用系統(tǒng)中的信息。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.11.6.1信息訪問限制A.11.6.2敏感系統(tǒng)隔離用戶對信息和應(yīng)用系統(tǒng)功能的訪問，是否依照已確定的訪問控制方針進(jìn)行限制？（或孤立的）計算機(jī)環(huán)境？敏感系統(tǒng)是否有專用的移動計算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施A.11.7目標(biāo)：確保使用可移動計算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施時的信息安全。相關(guān)條款A(yù).11.7.1移動計算機(jī)設(shè)施和通信設(shè)施控制要求與檢查題如筆記在防范使用移動計算機(jī)設(shè)施和通信設(shè)施（實施的方法，或刪減的正當(dāng)性是本電腦、）的風(fēng)險方面，掌上電腦和移動電話等否有正式方針，和適當(dāng)?shù)陌踩胧?？A.11.7.2遠(yuǎn)稈工作設(shè)施組織是否開發(fā)和實施有關(guān)控制遠(yuǎn)程工作活動的方針、操作計劃和程序？為了防范設(shè)備被盜、信息被未授權(quán)者泄露、組織的遠(yuǎn)程工作場地的內(nèi)部系統(tǒng)被未授權(quán)者遠(yuǎn)程訪問等，保護(hù)是否有恰當(dāng)?shù)拇胧?？信息系統(tǒng)獲取、開發(fā)和維護(hù)A.12

信息系統(tǒng)的安全要求A.12.1目標(biāo)：確保安全是信息系統(tǒng)的一個組成部分。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.12.1.1安全要求或增強(qiáng)的現(xiàn)有信息系統(tǒng)在新的信息系統(tǒng)（）的業(yè)務(wù)38要求說明中，是否規(guī)定了對安全控制措施的要分析和說明求？正確處理應(yīng)用系統(tǒng)中的數(shù)據(jù)A.12.2目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯誤、遺失、未授權(quán)的修改或誤用。相關(guān)條款控制要求與檢查內(nèi)容實施的方法，或刪減的正當(dāng)性A.12.2.1輸入數(shù)據(jù)的確認(rèn)應(yīng)用系統(tǒng)的輸入數(shù)據(jù)是否進(jìn)行確認(rèn)，以確保其正確和適當(dāng)？A.12.2.2內(nèi)部處理的控制確認(rèn)檢查是否被整合到應(yīng)用系統(tǒng)中，以檢測由于）造成的信息錯誤？或故意行為處理錯誤（為了降低內(nèi)部處理的風(fēng)險，是否有適當(dāng)?shù)目刂拼胧?？?yīng)用系統(tǒng)的設(shè)計與實施是否能確保：處理失敗導(dǎo)致完整性損壞的風(fēng)險減至最?。肯⑼暾鸄.12.2.3性輸出數(shù)據(jù)A.12.2.4的確認(rèn)為了確定應(yīng)用系統(tǒng)中消息完整性的需要和確定最適用的控制措施，是否進(jìn)行安全風(fēng)險評估？應(yīng)用系統(tǒng)的輸出數(shù)據(jù)否進(jìn)行確認(rèn)，以確保信息處理正確和符合要