JF01內部審核管理程序內部審核方案年度內審計劃03審核組長(成員)任命書04內部審核計劃不符合項報告及糾正報告單01不符合項報告及糾正報告單0208內部審核報告09內部審核報告發(fā)放記錄10ISMS內審檢查表01內部審核方案總則ISO/IEC27001:2005《信息安全管理體審核范圍（審核準則ISO/IEC27001:2005本公司信息安全管理手冊、信息安全方針、信息安全目標及程序；相關的法律法規(guī)及其它要求；資源2內部審核的管理活動組織內審員學習法規(guī)、標準、規(guī)范、和體系文件；制定公司內審計劃；；編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準/批準日期:；內審結果-糾正措施的跟蹤與驗證；內審資料的匯總及歸檔；將內審報告輸入管理評審。內審的時間安排12每年至少進行一次內審；當遇到下列情況時，可以增加內審的次數(shù)：一，公司內外情況發(fā)生重大變化時；二，局部薄弱環(huán)節(jié)；三，對于外審的準備。每一次內審活動，必須查看相關的現(xiàn)場；當遇到特殊情況時，可以間隔式地安排內審日程。內審方案的評審與更新內審方案須經評審、批準后，方可實施；當公司內外環(huán)境、采用的管理標準發(fā)生變化時，對審核方案須進行更新。編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準/批準日期:編號：

年度內審計劃審核目的評價信息安全管理體系運行的符合性和有效性。審核范圍公司信息安全管理體系所覆蓋的所有過程、部門和場所。審核依據(jù)ISO27001：2005體系標準，體系文件，法律法規(guī)審核方法集中式審核（按業(yè)務部門審核）審核頻次共1次審核時間審核持續(xù)時間每次審核持續(xù)1天編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準/批準日期:審核范圍審核號部門/區(qū)域審核范圍審核月份12345678910112001信息安全管理小組1、審核文件的符合性；2、檢查體系運續(xù)性；3、檢查體系文件的宣貫培訓情況；4、檢查信息安全跟蹤記錄的填寫情況；5、檢查不合格項的糾正情況。002綜合部003開發(fā)部編制/編制日期: 信息安全管理小組2013-06-10 審核/審核日期:批準/批準日期:審核組長（成員）任命書根公司息安管理定，于月日公司行信安全理體審核現(xiàn)命為核組為核成員并做下工：總經理：年月日內部審核計劃編號：受審核方：各部門 編寫日期：審核目的檢查內部信息安全管理體系涉及各部門的活動是否符合計劃安為管理體系的改進提供依據(jù)。審核依據(jù)ISO27001體系文件審核范圍綜合部、開發(fā)部審核日期審核組組長A組B組審核員首次會議時間：（請受審核方有關人員參加）內部評定時間：（審核組全體人員參加）審核情況通報時間：（請受審核方管理層有關人員參加）末次會議時間：（請受審核方有關人員參加）備注在內審實施中各部門要配合內審人員進行內審工作;在內審實施中要避免言語沖突的發(fā)生;內審員對審核結果要及時記錄(無論是否符合),并要被審核部門代表簽字確認.內部審核計劃書2013年內部審核計劃日期時間被審核部門所涉及的體系要求審核員狀況；ISMS改進；組織管理主要涉及條款：4.2.1；4.2.2；4.2.3；4.2.4；8；A.6.1.4~A.6.1.8；A.6.2；主要審核內容：文件要求與控制；內部審核；資產管理；物理和環(huán)境安全；符合性；日常運作管理；培訓、意識和能力；主要涉及條款：4.3.1；4.3.2；4.3.3；6；A.7；A.9；A.15；5.2.2；A.8；詳細計劃主要審核內容：ISMS建立和管理；管理職責；7；A.5主要審核內容：信息系統(tǒng)獲取、開發(fā)和維護；信息安全體系執(zhí)行情況主要涉及條款：A.12；A.7.1；A.10.4；A.10.5；A10.7；A11.3；A.14主要審核內容：通信和操作管理；訪問控制；業(yè)務持續(xù)性管理；信息安全事件管理；主要涉及條款：A.10；A.11；A.13；A.14；內審檢查表見發(fā)布給各人的《內審檢查匯總表》不符合項報告

編號：受審核部門部門負責人審核員審核時間不符合項事實陳述：不符合項標準條款：不符合項類型：審核 員： 日期：糾正：預防：部門負責人：糾正和預防措施完成情況：部門負責人： 年月日糾正和預防措施驗證：完成審核員： 年月日不符合項報告

編號：受審核部門部門負責人審核員審核時間不符合項事實陳述：不符合項標準條款：不符合項類型：審核 員： 日期：糾正：預防：部門負責人：糾正和預防措施完成情況：部門負責人： 年月日糾正和預防措施驗證：審核員： 年月 日 年度公司內審報告編號：公司 半年度信息安全內部體系審核工作已完成，目前整改工作已經結束。為評價依據(jù)ISO27001標準建立的信息安全管理體系的符合性及運行的有效年月日至年月日對本公司進行了為期ISO27001此次內審依據(jù)客觀事實，查出不合格項處。其分布情況見不合格分布情況1。表1不合格項分類情況分布表類 別體系要素（數(shù)目）數(shù)目體系性不合格實施性不合格效果性不合格從內審中發(fā)現(xiàn)的不合格項來看發(fā)現(xiàn)不合格事件 （無嚴重不合格項均為實施性不合格無體系性不合格和效果性不合格這主要是因為公司有關人員在較大工作壓力下，執(zhí)行ISO27001體系文件過程中不夠細致，安全意識有所松懈因此建議有關部門針對不合格開展適宜的培訓使有關人員熟悉掌握信息安全管理體系文件及標準，以促使保證公司安全管理體系持續(xù)有效的運行。通過本次內審，根據(jù)不合格問題制定出組織公司和各部門進行相應的培訓（根據(jù)本部門的實際情況而定，在 月 日前完成整改，糾正措施完成況見表2。表2 糾正措施計劃完成情況統(tǒng)計表統(tǒng)計日期： 年月日體系審核計劃總項數(shù)按期完成項數(shù)未按期完成項目現(xiàn)狀備注共計其中延期其中升級后延期完成ISO27001審核ISO27001ISO27001:2005管理體系標準。編寫：信息安全小組 審批： 日期分發(fā)范圍：各部門部門經理，內審小組成員內部審核報告發(fā)放記錄編號：序號接收部門接收人接收時間備注填人： 審： 年月日1編制/編制日期: 審核/審核日期: 批準/批準日期:序號ISO/IEC27001信息安全管理體系要求核查結果備注核查問題條款號符合性檢查結果核查說明4信息安全管理體系1有無在整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系？4.12是否有文件明確描述ISMS范圍和邊界？4.2.1a)3刪減的項目是否明確說明？并說明細節(jié)和理由？4.2.1a)4是否定義了ISMS方針？4.2.1b)5ISMS方針是否為其目標建立一個框架并為信息安全活動建立整體的方向和原則？4.2.1b)6ISMS方針是否考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務？4.2.1b)7ISMS方針是否與建立和維持ISMS的組織戰(zhàn)略和風險管理相一致？4.2.1b)8能否根據(jù)ISMS方針建立風險評價的準則？4.2.1b)9ISMS方針是否獲得管理者批準？4.2.1b)10是否定義了組織風險評估方法？4.2.1c)11是否建立了接受風險的準則并識別風險的可接受等級？4.2.1c)12選擇的風險評估方法是否確保風險評估能產生可比較的和可重復的結果？4.2.1c)13是否識別了ISMS控制范圍內的資產以及這些資產的所有者？4.2.1d)14是否識別了對這些資產的威脅；？4.2.1d)15是否識別了可能被威脅利用的脆弱性？4.2.1d)16是否識別了保密性、完整性和可用性損失可能對資產造成的影響？4.2.1d)17是否分析并評價了風險？4.2.1e)18是否評估安全失效可能導致的組織業(yè)務影響，考慮因資產保密性、完整性、可用性的損失而導致的后果?4.2.1e)19是否根據(jù)資產的主要威脅、脆弱性、有關的影響以及已經實施的安全控制，評估安全失效發(fā)生的現(xiàn)實可能性?4.2.1e)20是否評價了風險的等級？4.2.1e)21是否根據(jù)已建立的準則，判斷風險是否可接受或需要處理？4.2.1e)22是否識別并評價風險處理的選擇的程序？4.2.1f)23風險處理是否考慮：4.2.1f)a)采用適當?shù)目刂?？b)如果能證明風險滿足方針和風險接受準則，有意的、客觀的接受風險？c)采取措施避免風險？d)將有關的業(yè)務風險轉移到其他方，例如保險公司、供方。24是否有選擇并實施控制目標和控制措施的程序，是否實施該程序以滿足風險評估和風險處理過程所識別的要求？4.2.1g)25選擇時，是否考慮接受風險的準則以及法律法規(guī)和合同要求？4.2.1g)26是否獲得管理者對建議的剩余風險的批準？4.2.1h)27是否獲得管理者對實施和運行ISMS的授權？4.2.1i)28是否有適用性聲明？4.2.1j)29適用性聲明是否描述所選擇的控制目標和控制措施，以及選擇的原因？4.2.1j)30適用性聲明是否描述當前實施的控制目標和控制措施？4.2.1j)31適用性聲明是否有對附錄A中控制目標和控制措施的刪減，以及刪減的理由？4.2.1j)32是否制定風險處理計劃闡明為控制信息安全風險確定的適當?shù)墓芾砘顒?、職責以及?yōu)先權？4.2.2a)33是否為了達到所確定的控制目標，實施風險處理計劃，包括考慮資金以及角色和職責的分配？4.2.2b)34是否實施了所選的控制，以滿足控制目標？4.2.2c)35是否確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結果？4.2.2d)36是否實施培訓和意識計劃？4.2.2e)37是否有管理ISMS實施的運作程序？4.2.2f)38是否實施ISMS的資源管理？4.2.2g)39是否實施能夠快速檢測安全事情、響是否安全事件的程序和其它控制？4.2.2h)40是否執(zhí)行監(jiān)視程序和其他控制以：4.2.3a)1）快速檢測處理結果中的錯誤；2）快速識別失敗的和成功的安全破壞和事件；3）能使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果；4)幫助檢測安全事情，并利用指標預防安全事件；5）確定解決安全破壞所采取的措施是否有效。41是否定期評審ISMS的有效性（包括安全方針和目標的符合性，對安全控制措施的評審），考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋？4.2.3b)42是否測量控制措施的有效性，以證實安全要求已得到滿足？4.2.3c)43是否按照計劃的時間間隔，評審風險評估，評審剩余風險以及可接受風險的等級，考慮到下列變化：4.2.3d)1)組織；2)技術；3)業(yè)務目標和過程；4)已識別的威脅；5)實施控制的有效性；6)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。44是否按照計劃的時間間隔進行內部審核？4.2.3e)45是否定期對進行管理評審，以確保范圍的充分性，并識別ISMS過程的改進？4.2.3f)46是否考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃？4.2.3g)47是否記錄可能對ISMS有效性或業(yè)績有影響的活動和事情？4.2.3h)48是否定期實施已識別的ISMS改進措施？4.2.4a)49是否定期采取適當?shù)募m正和預防措施。吸取從其他組織的安全經驗以及組織自身安全實踐中得到的教訓？4.2.4b)50是否定期與所有相關方溝通措施和改進。溝通的詳細程度是否與環(huán)境相適宜，必要時，是否約定如何進行？4.2.4c)51是否定期確保改進達到其預期的目標？4.2.4d)52文件是否包括管理決策的記錄，確保措施可以追溯到管理決策和方針。記錄的結果是否是可重現(xiàn)的？4.3.153能否展示從選擇的控制措施回溯到風險評估和風險處置過程結果的關系，最終回溯到ISMS方針和目標？4.3.154ISMS文件是否包括文件化的安全方針和控制目標?4.3.1a)55ISMS文件是否包括信息安全管理體系的范圍?4.3.1b)56ISMS文件是否包括支持ISMS的程序和控制？4.3.1c)57ISMS文件是否包括風險評估方法的描述？4.3.1d)58ISMS文件是否包括風險評估報告？4.3.1e)59ISMS文件是否包括風險處理計劃？4.3.1f)60ISMS文件是否包括組織為確保其信息安全過程有效策劃、運作和控制及如何測量控制措施有效性所需的文件化的程序？4.3.1g)61ISMS文件是否包括本標準所要求的記錄？4.3.1h)62ISMS文件是否包括適用性聲明？4.3.1i)63ISMS所要求的文件是否被保護并予以控制？4.3.264是否建立了《文件控制程序》？4.3.265文件發(fā)布前是否得到批準，以確保文件是充分的？4.3.2a)66必要時是否對文件進行評審、更新并再次批準？4.3.2d)67是否確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別？4.3.2c)68是否確保在使用時，可獲得相關文件的最新版本？4.3.2d)69是否確保文件保持清晰、易于識別？4.3.2e)70是否確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉移、存儲和最終的銷毀？4.3.2f)71確保外來文件得到識別？4.3.2g)72確保文件的分發(fā)得到控制？4.3.2h)73防止作廢文件的非預期使用？4.3.2i)74若因任何目的需保留作廢文件時，是否對其進行適當?shù)臉俗R？4.3.2j)75是否建立并保持記錄，以提供信息安全管理體系符合要求并有效運作的證據(jù)？4.3.376記錄是否被保護并控制？4.3.377ISMS是否考慮任何相關的法律和法規(guī)要求以及合同責任？4.3.378記錄是否保持清晰、易于識別和檢索？4.3.379記錄的標識、儲存、保護、檢索、保存期限以及處置所需的控制是否被文件化并實施？4.3.380記錄中是否包含4.2中所列出的所有過程的業(yè)績，以及發(fā)生的、與ISMS相關的重大安全事件？4.3.35管理職責81管理者是否建立信息安全方針？5.1a)82管理者是否確保信息安全目標和計劃得以制定？5.1b)83管理者是否建立信息安全的角色和職責？5.1c)84管理者是否向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性？5.1d)85管理者是否提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進ISMS？5.1e)86管理者是否決定接受風險的準則和風險的可接受等級？5.1f)87管理者是否確保內部ISMS審核得以實施？5.1g)88管理者是否實施ISMS管理評審？5.1h)89組織是否確定并提供所需的資源，以:5.2.1a)建立、實施、運作、監(jiān)視、評審、保持和改進ISMS；b)確保信息安全程序支持業(yè)務要求；c)識別并指出法律法規(guī)要求和合同安全責任；d)通過正確是否用所實施的所有控制來保持充分的安全；e)必要時進行評審，并對評審的結果采取適當措施；f)需要時，改進信息安全管理體系的有效性。90是否能夠確保被分配ISMS規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務？5.2.291組織是否通過以下措施保證人員能力：5.2.2a)確定從事影響ISMS工作的人員所必要的能力；b)提供培訓或采取其他的措施來滿足這些需求；c)評價所采取措施的有效性；d)保留教育、培訓、技能、經驗和資歷的記錄92是否確保所有相關人員意識到其所從事的信息安全活動的相關性和重要性，以及如何為實現(xiàn)ISMS目標做出貢獻？5.2.26內部信息安全管理體系審核93組織是否按照策劃的時間間隔進行內部審核？694組織是否考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結果，對審核方案進行了策劃？695是否規(guī)定審核的準則、范圍、頻次和方法？696審核員的選擇和審核的實施是否能確保審核過程的客觀性和公正性？審核員是否審核自己的工作？697是否制定了《內部審核程序》？698《內部審核程序》是否規(guī)定了策劃和實施審核以及報告結果和保持記錄的職責和要求？699負責受審區(qū)域的管理者是否確保及時采取糾正措施？6100改進的活動是否包括對所采取措施的驗證和驗證結果的報告？67信息安全管理體系管理評審101管理者是否按計劃的時間間隔進行ISMS管理評審？7.1102評審是否包括評價ISMS改進的機會和變更的需要，包括安全方針和安全目標？7.1103評審的結果是否清晰地形成文件？7.1104評審記錄是否加以保持？7.1105管理評審的輸入是否完整，符合要求。7.2106管理評審的輸出是否包括與下列內容相關的任何決定和措施：7.3a)ISMS有效性的改進；b)更新風險評估和風險處理計劃；c)必要時，修訂影響信息安全的程序和控制措施。8信息安全管理體系改進107是否通過使用信息安全方針、信息安全目標、審核結果、監(jiān)控事件的分析、糾正和預防措施以及管理評審，持續(xù)改進ISMS的有效性？8.1108是否采取措施，消除不符合的原因，以防止再發(fā)生？8.2109是否有《糾正措施控制程序》？8.2110《糾正措施控制程序》是否符合要求。8.2111是否確定措施，以消除潛在不符合的原因，防止其發(fā)生？8.3112所采取的預防措施是否與潛在問題的影響程度是否相適應？8.3113是否有《預防措施控制程序》？8.3114《預防措施控制程序》是否符合要求？8.3115是否識別變化的風險，并通過關注變化顯著的風險來識別預防措施要求？8.3116預防措施的優(yōu)先級是否基于風險評估結果來確定？8.3序號ISO/IEC27001信息安全管理體系要求核查結果其他核查問題條款號符合性檢查結果核查說明1信息安全方針文件是否由管理者批準、發(fā)布并傳遞給所有員工和外部相關方？A.5.1.12信息安全方針是否按照計劃的時間間隔或者發(fā)生重大變化時進行評審，以確保其持續(xù)適宜性、充分性和有效性？A.5.1.23管理者是否通過明確導向、可證實的承諾、信息安全職責的分配來積極支持組織內的信息安全？A.6.1.14信息安全活動是否由來自組織不同部門并具備相關任務和工作職責的代表進行協(xié)調？A.6.1.25所有信息安全職責都是否被清楚的定義？A.6.1.36是否對新的信息處理設施規(guī)定并實施管理授權過程？A.6.1.47反映組織信息保護需求的保密或不泄密協(xié)議的要求是否被識別并定期對其進行評審？A.6.1.58與相關的權威機構的適當聯(lián)系是否被保持？A.6.1.69與專業(yè)的相關團體或其他安全專家論壇或專業(yè)協(xié)會的適當聯(lián)系是否被保持？A.6.1.710組織管理信息安全的方法及其實施情況（如控制目標和控制措施、策略、過程和信息安全的程序）是否根據(jù)策劃的時間間隔，或者是當安全實施發(fā)生重大變化時進行了獨立評審？A.6.1.811是否識別由外部相關方參與商業(yè)過程而對組織信息資產和信息處理設施造成的風險？并在批準外部相關方訪問信息資產和信息處理設施前實施適當?shù)目刂?？A.6.2.112在批準顧客訪問組織信息或資產前，是否處理所有已識別的安全要求？A.6.2.213與第三方簽訂的涉及組織信息或信息處理設施或信息處理設施附加部件和服務的訪問、處理、溝通或管理的協(xié)議，是否包含或涉及所有已識別的安全要求？A.6.2.314是否明確識別所有資產，并建立和保持《重要資產清單》？A.7.1.115組織是否對所有的與信息處理設施有關的信息和資產指定“所有者”？A.7.1.216是否識別與信息系統(tǒng)或服務相關的資產的合理使用規(guī)則，并將其文件化，并予以實施？A.7.1.317是否根據(jù)其價值、法律要求、敏感度以及對組織的關鍵程度，對信息進行分類？A.7.2.118是否依據(jù)組織采納的分類方案制定并實施一系列適當?shù)男畔俗R和處理程序？A.7.2.219是否依據(jù)組織的信息安全方針規(guī)定員工、合作方以及第三方用戶的安全任務和責任，并將其文件化？A.8.1.120關于所有員工、合作方和第三方用戶候選者的背景驗證檢查是否按照相關法律法規(guī)、道德規(guī)范和對應的業(yè)務需求、被訪問信息的分類和感知的風險來執(zhí)行？A.8.1.221作為契約義務的一部分，員工、合同方以及第三方用戶是否同意并簽署其聘用合同中的條款和條件，陳述他們及組織的信息安全職責？A.8.1.322管理者是否要求員工、合作方以及第三方用戶依據(jù)建立的方針和程序來應用安全？A.8.2.123組織的所有員工，適當時還包括合作方和第三方用戶，是否接受適當?shù)囊庾R培訓并定期向它們傳達組織更新的方針和程序，以及工作任務方面的新情況？A.8.2.224對造成安全破壞的員工是否有一個正式的懲戒過程？A.8.2.325執(zhí)行工作終止或工作變化的職責是否清晰的定義和分配？A.8.3.126所有員工、合作方以及第三方用戶是否在他們的聘用期限、合同或協(xié)議終止時歸還他們負責的所有組織資產？A.8.3.227所有員工、合作方以及第三方用戶對信息和信息處理設施的訪問權是否在其聘用期限、合同或協(xié)議終止時刪除，或根據(jù)變化作相是否的調整？A.8.3.328是否使用安全周界（墻、刷卡出入的大門或者人工接待前臺）保護包含信息及信息處理設施的區(qū)域？A.9.1.129是否通過適當進入管理措施保護安全區(qū)域，確保只有得到授權的用戶才能訪問？A.9.1.230辦公室、房間和設施的物理安全措施是否被設計并應用？A.9.1.331防范火災、水災、地震、爆炸、社會動蕩，以及其它形式的自然或人為災害的物理安全控制是否被設計并應用？A.9.1.432安全區(qū)的物理保護和原則是否被設計并應用？A.9.1.533是否對交付和存儲設施的訪問地點以及其它未經授權的人員可能訪問到的地點進行控制，可能的話，是否與信息處理設施隔離，以避免未經授權的訪問？A.9.1.634設備是否被定位或保護，以降低來自環(huán)境威脅和危害的風險，以及未經授權的訪問機會？A.9.2.135是否對設備加以保護使其免于電力中斷或者其它電力異常的影響？A.9.2.236是否保護傳輸數(shù)據(jù)和輔助信息服務的電纜和通訊線路，使其免于截取或者破壞？A.9.2.337設備是否得到正確的維護，以確保其持續(xù)有效性和完整性？A.9.2.438考慮到在組織場所外工作的風險，安全是否應用到場所外設備？A.9.2.539包含儲存媒體的設備的所有項目是否進行檢查，以確保在處置之前將所有敏感數(shù)據(jù)和許可軟件都被清除或者覆蓋掉？A.9.2.640在未經授權的情況下，設備、信息或軟件是否帶到場所外？A.9.2.741操作程序是否被文件化、保持，并且在用戶需要時可用？A.10.1.142是否控制對信息處理設備和系統(tǒng)的變更？A.10.1.243責任及負責范圍是否加以隔離，以降低未經授權或無意識的修改或者不當使用組織資產的機會？A.10.1.344開發(fā)、測試和運作設施是否隔離，以降低對操作系統(tǒng)未經授權的訪問和更改的風險？A.10.1.445是否確保在第三方協(xié)議中規(guī)定的安全控制、服務的交付等級被第三方實施、運作和保持？A.10.2.146第三方提供的服務、報告以及記錄是否定期監(jiān)控和評審，并定期進行審核？A.10.2.247對服務提供的更改是否進行管理，包括保持和改進現(xiàn)有的信息安全方針、程序和控制，要考慮業(yè)務系統(tǒng)的關鍵程度、所涉及的過程以及風險的再評估？A.10.2.348是否監(jiān)控、協(xié)調資源的使用，并規(guī)劃未來的容量要求，以確保所要求的系統(tǒng)性能？A.10.3.149是否建立新信息系統(tǒng)、系統(tǒng)升級和新版本的接收標準，并在接收之前做適當?shù)南到y(tǒng)測試？A.10.3.250是否實施惡意代碼的監(jiān)測、預防和恢復控制，以及適當?shù)挠脩粢庾R培訓的程序？A.10.4.151移動代碼的應用被授權時，配置是否確保授權的移動代碼依照被清晰定義的安全方針來操作，未經授權的移動代碼是否被阻止執(zhí)行？A.10.4.252是否按照已設定的備份方針，定期備份和測試信息和軟件？A.10.5.153是否充分管理和控制網絡，以防范威脅，維持系統(tǒng)和使用網絡的應用程序的安全，包括傳輸中的信息？A.10.6.154是否識別所有網絡服務的安全特性、服務等級以及管理要求，并將其包括在網絡服務協(xié)議中，無論這些服務是內部提供還是外包？A.10.6.255是否有可移動介質的管理程序？A.10.7.156當不再需要時，介質是否按照正式的程序可靠、安全的處置？A.10.7.257是否建立處理和儲存信息的程序來保護這些信息免于未經授權的泄露或誤用？A.10.7.358是否保護系統(tǒng)文件，防止未經授權的訪問？A.10.7.459是否建立正式的交換方針、程序和控制，以保護通過所有類型的通信設施進行的信息交換？A.10.8.160是否建立組織與外部團體交換信息和軟件的協(xié)議？A.10.8.261運輸超出組織的物理界限時，是否對包含信息的介質進行保護，防止未經授權的訪問、誤用或破壞？A.10.8.362電子訊息中包含的信息是否被適當?shù)谋Ｗo？A.10.8.463是否建立并實施相是否的方針和程序，以保護與業(yè)務信息系統(tǒng)的互聯(lián)相關的信息？A.10.8.564是否保護通過公共網絡傳輸?shù)陌陔娮由虅罩械男畔?，防止欺詐行為、合同爭議，以及未經授權的泄漏和修改？A.10.9.165是否保護在線交易涉及的信息，防止傳輸不完全、路由錯誤、未經授權的信息更改以及未經授權的信息復制？A.10.9.266是否保護公共系統(tǒng)中信息的完整性，防止未經授權的修改？A.10.9.367是否產生記錄用戶活動、例外和信息安全事情的審核日志？是否保持一個已設的周期以支持將來的調查和訪問控制監(jiān)視活動？A.10.10.168是否建立程序檢測信息處理設備的使用？是否定期對監(jiān)控結果進行評審？A.10.10.269日志記錄設施以及日志信息是否被保護，防止被篡改和未經授權的訪問？A.10.10.370系統(tǒng)管理員和系統(tǒng)操作員的活動是否被記錄？A.10.10.471故障是否被記錄、分析并采取適當?shù)拇胧?？A.10.10.572織或安全域內的所有關于信息處理設施的時鐘是否使用已設的精確時間源進行同步？A.10.10.673訪問控制方針是否建立并文件化，是否基于業(yè)務和訪問的安全要求進行評審？A.11.1.174是否有一個正式的用戶注冊和注銷程序，適當?shù)嘏鷾屎统坊貙λ行畔⑾到y(tǒng)和服務的訪問？A.11.2.175是否嚴格限制并控制特權的分配和使用？A.11.2.276是否通過正式的管理程序來控制口令的分配？A.11.2.377管理層是否實施一個正式的程序來定期復查用戶的訪問權限？A.11.2.478用戶是否按照良好的安全操作規(guī)程來選擇和使用口令？A.11.3.179用戶是否確保無人值守設備得到足夠的保護？A.11.3.280對于文件和可移動存儲媒體的清潔桌面方針和對信息處理設施的清除屏幕方針是否被采用？A.11.3.381是否只向用戶提供對那些特別授權他們使用的服務進行直接訪問？A.11.4.182是否對遠程用戶的控制訪問進行適當?shù)尿炞C？A.11.4.283自動設備鑒別是否考慮作為一種從特定位置和設備進行自動連接時的認證手段？A.11.4.384是否控制對診斷端口的物理和邏輯的訪問？A.11.4.485是否在網絡中以群組方式分離信息服務、用戶及信息系統(tǒng)？A.11.4.586共享網絡，特別是那些跨越組織界線的網絡，是否根據(jù)業(yè)務應用的要求和訪問控制方針來限制用戶對網絡連接的能力？A.11.4.687是否對網絡實施路由控制以確保計算機連接和信息流不會違背業(yè)務應用的訪問控制方針？A.11.4.788對操作系統(tǒng)的訪問是否有一個安全登錄程序控制？A.11.5.189所有的用戶是否有唯一的標識（用戶ID）僅供他們個人使用，采用適當?shù)恼J證技術來證實用戶聲明的身份？A.11.5.290口令管理系統(tǒng)是否是交互式的，并能確保高質量的口令？A.11.5.391是否對可能會在系統(tǒng)和應用程序控制之上的實用程序的使用進行限制和嚴格控制？A.11.5.492在規(guī)定的不活動期限后，不活動的會話是否關閉？A.11.5.593為了給高風險應用程序提高額外的安全，是否使用連接時間限制？A.11.5.694用戶以及支持人員對信息和應用系統(tǒng)的訪問是否按照規(guī)定的訪問控制方針進行限制？A.11.6.195敏感系統(tǒng)是否有專用（隔離的）計算環(huán)境？A.11.6.296是否建立正式的方針，并且是否采用適當?shù)陌踩胧苑婪妒褂靡苿佑嬎愫屯ㄐ旁O施的風險？A.11.7.197是否為遠程活動建立并實施方針、運作計劃和程序？A.11.7.298對于新增信息系統(tǒng)或者現(xiàn)有系統(tǒng)的升級的業(yè)務需求聲明是否詳細說明安全控制的要求？A.12.1.199是否驗證輸入到應用軟件系統(tǒng)中的數(shù)據(jù)，確保它是正確的和適當?shù)?？A.12.2.1100有效性檢查是否結合具體的應用，通過處理錯誤或預先的行為來檢測信息的損毀？A.12.2.2101在應用中確?？沈炞C性和消息的完整性的需求是否得到識別，適當?shù)目刂埔彩欠竦玫阶R別和實施？A.12.2.3102是否驗證應用系統(tǒng)輸出的數(shù)據(jù)以確保對存儲信息的處理是正確的并且與環(huán)境相適是否？A.12.2.4103是否為保護信息而制訂一套加密控制措施的使用方針并實施？A.12.3.1104是否有適當?shù)拿荑€管理支持組織加密技術的使用？A.12.3.2105是否有適當?shù)某绦蚩刂圃诓僮飨到y(tǒng)中安裝軟件？A.12.4.1106是否謹慎挑選測試數(shù)據(jù)，