通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾。内容包含安全策略与计划、组织和人员安全、安全工程管理、安全产品管理与符合性五部分。
一、安全策略与安全计划
▼▼安全策略
-
是否建立组织的安全策略体系?包括总体安全策略、问题相关安全策略。
-
安全策略是否经过管理高层的批准?
-
是否在策略中指定了安全管理组织、职责、安全管理方法等?
-
员工是否了解组织的安全策略?
-
是否指定了专门机构维护策略?包括策略内容,文档管理。
-
是否定义策略审查或维护时机?如:出现安全事故、组织及系统变更等。
-
是否具有策略维护流程?
▼▼安全计划
-
是否建立组织的安全计划或规划?
-
安全计划是否符合安全策略?
-
安全计划或规划是否得到执行?
- 是否对实施结果与计划的一致性进行审查?
二、组织和人员安全
▼▼安全组织
-
是否建立信息安全管理机构,统一负责组织的信息安全管理工作?
-
机构成员是否来自相关各方?如:业务部门、IT部门。
-
安全管理机构是否包括安全专业人士?
-
是否聘请外部专业人士?
-
管理机构内是否有明确的分工?
-
是否有相应的管理授权流程来处理安全规划、安全规划实施。
-
是否有相应的安全事件上报流程?
-
是否具有安全弱点上报流程?
-
是否与相关行业或组织机构,如:CNCERT、电信、公安等有联系?定期获取相关信息。
-
安全管理工作是否设置不同角色?
▼▼个人安全
-
是否具有员工安全手册?
-
个人对安全管理的责任是否明确?如:个人不能在PC上散播病毒?
-
是否对员工的资格进行限定与审核?如:品德、学历、工作经历?
-
是否与员工签署保密协议?
-
是否对员工进行内部或外部安全培训?
-
是否在一定范围内进行岗位轮转?
- 是否建立安全事故奖惩机制?
三、安全工程管理
▼▼项目保障
-
是否对开展安全工程服务的组织有资质要求?
-
是否对开展安全工程服务的人员有资质要求?
-
是否对开展安全工程的项目人员组成有要求?
-
是否有安全工程方法论?
-
是否有专门的项目管理人员?
-
是否有项目培训?
▼▼实施过程
-
是否执行了风险评估?
-
是否执行了安全需求分析?
-
是否制定了安全设计方案?
-
是否制定项目实施方案与计划?
-
在实施过程中是否有监理?
- 是否执行了项目的验收?
四、安全产品管理
▼▼安全产品采购
-
是否具有安全产品采购流程?
-
采购产品是否具有公安部、测评中心相关资质?
-
采购产品是否具有密码管理局、保密局相关资质?
▼▼安全产品使用
- 是否进行敏感信息消除处理?
五、符合性
▼▼法律、法规符合性
-
是否了解国家/行业/地方信息安全相关的法律法规及制度?
-
是否将信息系统必须遵循的法律法规、合约文档化?
-
是否具有控制涉及知识产权的软件或系统传播的措施与流程?
-
是否保存符合法律法规合约的记录?如:安全产品或服务资格证书?
-
是否进行相关法律教育?
-
是否进行信息保密教育?
▼▼安全策略与标准的符合性
-
是否定期或不定期审查信息系统与安全策略的符合性?
- 是否定期或不定期审查信息系统与安全标准、指南的符合性?