通用安全管理checklist
安全策略与安全计划
是否建立组织的安全策略体系?包括总体安全策略、问题相关安全策略。
安全策略是否经过管理高层的批准?
是否在策略中指定了安全管理组织、职责、安全管理方法等?
员工是否了解组织的安全策略?
是否指定了专门机构维护策略?包括策略内容,文档管理。
是否定义策略审查或维护时机?如:出现安全事故、组织及系统变更等。
是否具有策略维护流程?
▼▼安全计划
是否建立组织的安全计划或规划?
安全计划是否符合安全策略?
安全计划或规划是否得到执行?
是否对实施结果与计划的一致性进行审查?
组织和人员安全
▼▼安全组织
是否建立信息安全管理机构,统一负责组织的信息安全管理工作?
机构成员是否来自相关各方?如:业务部门、IT部门。
安全管理机构是否包括安全专业人士?
是否聘请外部专业人士?
管理机构内是否有明确的分工?
是否有相应的管理授权流程来处理安全规划、安全规划实施。
是否有相应的安全事件上报流程?
是否具有安全弱点上报流程?
是否与相关行业或组织机构,如:CNCERT、电信、公安等有联系?定期获取相关信息。
安全管理工作是否设置不同角色?
▼▼个人安全
是否具有员工安全手册?
个人对安全管理的责任是否明确?如:个人不能在PC上散播病毒?
是否对员工的资格进行限定与审核?如:品德、学历、工作经历?
是否与员工签署保密协议?
是否对员工进行内部或外部安全培训?
是否在一定范围内进行岗位轮转?
是否建立安全事故奖惩机制?
安全工程管理
▼▼项目保障
是否对开展安全工程服务的组织有资质要求?
是否对开展安全工程服务的人员有资质要求?
是否对开展安全工程的项目人员组成有要求?
是否有安全工程方法论?
是否有专门的项目管理人员?
是否有项目培训?
▼▼实施过程
是否执行了风险评估?
是否执行了安全需求分析?
是否制定了安全设计方案?
是否制定项目实施方案与计划?
在实施过程中是否有监理?
是否执行了项目的验收?
安全产品管理
▼▼安全产品采购
是否具有安全产品采购流程?
采购产品是否具有公安部、测评中心相关资质?
采购产品是否具有密码管理局、保密局相关资质?
▼▼安全产品使用
是否进行敏感信息消除处理?
符合性
▼▼法律、法规符合性
是否了解国家/行业/地方信息安全相关的法律法规及制度?
是否将信息系统必须遵循的法律法规、合约文档化?
是否具有控制涉及知识产权的软件或系统传播的措施与流程?
是否保存符合法律法规合约的记录?如:安全产品或服务资格证书?
是否进行相关法律教育?
是否进行信息保密教育?
▼▼安全策略与标准的符合性
是否定期或不定期审查信息系统与安全策略的符合性?
是否定期或不定期审查信息系统与安全标准、指南的符合性?
扩展 · 本文相关链接