代码改变世界

信息安全管理32_通用安全管理checklist

2021-06-30 09:19  微言晓意  阅读(402)  评论(0编辑  收藏  举报

通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾。内容包含安全策略与计划、组织和人员安全、安全工程管理、安全产品管理与符合性五部分。

一、安全策略与安全计划

▼▼安全策略

  • 是否建立组织的安全策略体系?包括总体安全策略、问题相关安全策略。

  • 安全策略是否经过管理高层的批准?

  • 是否在策略中指定了安全管理组织、职责、安全管理方法等?

  • 员工是否了解组织的安全策略?

  • 是否指定了专门机构维护策略?包括策略内容,文档管理。

  • 是否定义策略审查或维护时机?如:出现安全事故、组织及系统变更等。

  • 是否具有策略维护流程?

▼▼安全计划

  • 是否建立组织的安全计划或规划?

  • 安全计划是否符合安全策略?

  • 安全计划或规划是否得到执行?

  • 是否对实施结果与计划的一致性进行审查?

二、组织和人员安全

▼▼安全组织

  • 是否建立信息安全管理机构,统一负责组织的信息安全管理工作?

  • 机构成员是否来自相关各方?如:业务部门、IT部门。

  • 安全管理机构是否包括安全专业人士?

  • 是否聘请外部专业人士?

  • 管理机构内是否有明确的分工?

  • 是否有相应的管理授权流程来处理安全规划、安全规划实施。

  • 是否有相应的安全事件上报流程?

  • 是否具有安全弱点上报流程?

  • 是否与相关行业或组织机构,如:CNCERT、电信、公安等有联系?定期获取相关信息。

  • 安全管理工作是否设置不同角色?

▼▼个人安全

  • 是否具有员工安全手册?

  • 个人对安全管理的责任是否明确?如:个人不能在PC上散播病毒?

  • 是否对员工的资格进行限定与审核?如:品德、学历、工作经历?

  • 是否与员工签署保密协议?

  • 是否对员工进行内部或外部安全培训?

  • 是否在一定范围内进行岗位轮转?

  • 是否建立安全事故奖惩机制?

三、安全工程管理

▼▼项目保障

  • 是否对开展安全工程服务的组织有资质要求?

  • 是否对开展安全工程服务的人员有资质要求?

  • 是否对开展安全工程的项目人员组成有要求?

  • 是否有安全工程方法论?

  • 是否有专门的项目管理人员?

  • 是否有项目培训?

▼▼实施过程

  • 是否执行了风险评估?

  • 是否执行了安全需求分析?

  • 是否制定了安全设计方案?

  • 是否制定项目实施方案与计划?

  • 在实施过程中是否有监理?

  • 是否执行了项目的验收?

四、安全产品管理

▼▼安全产品采购

  • 是否具有安全产品采购流程?

  • 采购产品是否具有公安部、测评中心相关资质?

  • 采购产品是否具有密码管理局、保密局相关资质?

▼▼安全产品使用

  • 是否进行敏感信息消除处理?

五、符合性

▼▼法律、法规符合性

  • 是否了解国家/行业/地方信息安全相关的法律法规及制度?

  • 是否将信息系统必须遵循的法律法规、合约文档化?

  • 是否具有控制涉及知识产权的软件或系统传播的措施与流程?

  • 是否保存符合法律法规合约的记录?如:安全产品或服务资格证书?

  • 是否进行相关法律教育?

  • 是否进行信息保密教育?

▼▼安全策略与标准的符合性

  • 是否定期或不定期审查信息系统与安全策略的符合性?

  • 是否定期或不定期审查信息系统与安全标准、指南的符合性?