信息安全管理體系審核指南標準要求強制性ISMS文件強制性ISMS文件說明(1)ISMS方針文件，包括ISMS范圍根據標準“4.3.1”(2)風險評估程序根據“4.3.1”d)和e)要求,要有形成文件“風險評估方法描述”和“風險評估報告”。為了減少文件量，可創建一個《風險評估程序》。該程序文件應包括“(3)風險處理程序根據標準“4.3.1”f)要求,要有形成文件“風險處理計劃”。因此，可創建一個《風險處理程序》。(4)文件控制程序根據標準“文件控制”要求，要有形成文件“文件控制程序”。(5)記錄控制程序根據標準“4.3.3記錄控制”要求，要有形成文件“記錄控制程序”(6)內部審核程序根據標準“6內部ISMS審核”要求，要有形成文件“內部審核程序”。(7)糾正措施和預防措施程序根據標準“8.2糾正措施”要求，要有形成文件“糾正措施程序”。根據“8.3預防措施”要求，要有形成文件“預防措施程序”。“糾正措施程序”和“預防措施程序”通常可以合并成一個文件。(8)控制措施有效性測量程序根據標準“4.3.1g)”要求，要有形成文件“(9)管理評審程序“管理評審”過程不一定要形成文件，但最好形成“管理評審程序”文件，以方便實際工作。(9)適用性聲明根據標準“4.3.1i)”要求,要有形成文件審核重點第二階段審核：檢查受審核組織如何評估信息安全風險和如何設計其ISMS，包括如何：定義風險評估方法(參見4.2.1識別安全風險(參見d))分析和評價安全風險(參見e)識別和評價風險處理選擇措施(參見4.2.1選擇風險處理所需控制目標和控制措施(參見4.2.1確保管理者正式批準所有殘余風險(參見h)確保在ISMS實施和運行之前，獲得管理者授權(參見i))準備適用性聲明(參見j)檢查受審核組織如何執行ISMS監控、測量、報告和評審(包括抽樣檢查關鍵過程是否到位)，至少包括：ISMS監視和評審(依照4.2.3監視和評審ISMS”控制措施有效性測量(依照4.3內部ISMS審核(依照第6章“內部ISMS審核”)管理評審(依照第7章“ISMS管理評審”)ISMS改進(依照第8章“ISMS改進”)。檢查管理者如何執行管理評審(包括抽樣檢查關鍵過程是否到位)，依照條款包括：4.2.3監視和第7章“ISMS管理評審”。檢查管理者如何履行信息安全職責(包括抽樣檢查關鍵過程是否到位)，依照條款包括：4.2.3監視和5管理職責7ISMS管理評審檢查安全方針、風險評估結果、控制目標和控制措施、各種活動和職責，相互之間有如何連帶關系(也參見本文第8章“過程要求符合性審核”)。監督審核：上次審核發現糾正/預防措施分析和執行情況；內審和管理評審實施情況；管理體系變更情況；信息資產變更和相應風險評估和處理情況；信息安全事故處理和記錄等。再認證審核：檢驗組織ISMS是否持續地全面地符合ISO/IEC27001:2005要求。評審在這個認證周期中ISMS實施和繼續維護情況，包括：檢查ISMS是否按照ISO/IEC27001:2005要求加以實施、維護和改進；評審ISMS文件和定期審核(包括內部審核和監督審核)結果；檢查ISMS如何應對組織業務和運行變化；檢驗管理者對維護ISMS有效性承諾情況。4信息安全管理體系4.1總要求4.2建立和管理ISMS建立ISMS 標準要求審核內容審核記錄注釋和指南a)組織要定義ISMS范圍組織是否有一個定義ISMS范圍過程？對“定義ISMS范圍”要求符合性審核，要確保ISMS定義不僅要包括范圍，也要包括邊界。對任何范圍刪減，必須有詳細說明和正當性理由。是否有對任何范圍刪減？b)組織要定義ISMS方針組織是否有一個ISMS方針文件？要求明確規定ISMS方針5個基本點，即ISMS方針要：1)包括信息安全目標框架、信息安全工作總方向和原則；2)考慮業務要求、法律法規要求和合同要求；3)和組織開發和維護ISMS戰略性風險管理，結合一起或保持一致；4)建立風險評價準則；5)獲得管理者批準。在對這個要求符合性審核時，要確保組織ISMS方針滿足上述5個要求。還要注意到ISMS方針和信息安全方針關系。組織ISMS方針文件是否滿足ISO/IEC27001:2005規定5個基本點(見注釋和指南欄)？c)組織要定義風險評估方法組織是否有一個定義風險評估方法文件？要求明確規定，“定義組織風險評估方法”工作(活動)要包括：1)確定風險評估方法，而這個評估方法要適合組織ISMS要求、適合已確定組織業務信息安全要求和法律法規要求；2)制定接受風險準則，確定可接受風險級別。在對要求符合性審核時，要確保上述2個要求得到滿足。組織風險評估方法是否適合ISMS要求、適合已確定組織業務信息安全要求和法律法規要求？接受風險準則是否已經確定？并根據此準則，確定了可接受風險級別？d)組織要識別安全風險組織是否有一個識別安全風險過程？“識別安全風險”是一個過程(活動)。而這個過程要包括：1)識別組織ISMS范圍內資產及其責任人；2)識別資產所面臨威脅；3)識別可能被威脅利用脆弱點；4)識別資產保密性、完整性和可用性喪失造成影響。在對要求符合性審核時，要確保“識別安全風險”要包括上述工作(活動)。識別安全風險過程是否符合規定(參見“注釋和指南”欄)？e)組織要分析和評價安全風險組織是否有一個用于評估安全風險過程？要求明確規定，“分析和評價安全風險”過程(活動)要包括：評估安全破壞(包括資產保密性、完整性，或可用性喪失后果)可能產生對組織業務影響；評估由主要威脅和脆弱點導致安全破壞現實可能性、對資產影響和當前所實施控制措施；估算風險級別；確定風險是否可接受，或者是否需要使用本組織接受風險準則進行處理。“分析和評價安全風險”結果應產生一個“風險評估報告”。在對要求符合性審核時，要確保滿足上述要求。是否評估了安全破壞可能產生對組織業務影響？這個安全風險評估過程是否符合規定(參見“注釋和指南欄”)？f)組織要識別和評價風險處理選擇措施組織是否有一個用于識別和評價風險處理選擇措施過程？要求明確規定，可選擇措施包括：采用適當控制措施；接受風險；避免風險；轉移風險。在對要求審核時，要確保組織有一個“識別和評價風險處理選擇措施”過程，并考慮了上述4種可能選擇。這個過程是否慮了4種可能選擇(參見“注釋和指南欄”)？g)組織要選擇風險處理所需控制目標和控制措施組織是否有一個用于選擇ISO/IEC27001:2005附錄A風險處理控制目標和控制措施過程？“選擇風險處理所需控制目標和控制措施”過程又包含3個具體要求：控制目標和控制措施要進行選擇和實施，以滿足風險評估和風險處理過程中所識別安全要求；控制目標和控制措施選擇要考慮接受風險準則，以及法律法規要求和合同要求；附錄A中控制目標和控制措施要加以選擇，作為此“選擇風險處理所需控制目標和控制措施”過程一部分，以滿足已識別安全需求。在對要求審核時，要和本書第9章“控制目標和控制措施審核”結合一起進行。最重要是要確保所選擇控制目標和控制措施：符合風險評估和處理過程中已經識別安全要求；符合接受風險準則要求，以及法律法規要求和合同要求；如果附錄A中控制目標和控制措施適用于已識別安全要求，要加以選擇，不要錯漏。可參見本書第9章“控制目標和控制措施審核”。這個過程是否確保所選擇控制目標和控制措施滿足相關要求(參見“注釋和指南”欄)？附錄A控制目標和控制措施是否都被選擇？如果不選擇，是否有正當性理由？是否選擇了附錄A以外控制措施？h)組織要確保管理者正式批準所有殘余風險所有殘余風險是否獲得管理者正式批準？首先要理解“殘余風險”意義。i)組織要確保在ISMS實施和運行之前，獲得管理者授權ISMS實施和運行是否獲得管理者授權？要檢查是否有領導簽字(可參見后面“4.3.2j)組織要準備適用性聲明組織是否有一個準備適用性聲明過程？要求明確規定,“適用性聲明”必須至少包括以下3項內容：所選擇控制目標和控制措施，及其選擇理由；當前實施控制目標和控制措施；附錄A中任何控制目標和控制措施刪減，以及刪減正當性理由。在對要求審核時，最重要是要確保：“適用性聲明”內容至少含有上述3項；不選擇理由必須是合理，或證明其是正當性。由于附錄A推薦控制目標和控制措施是最佳實踐，所以如果沒有正當性理由，都要加以選擇，要防止漏選。對要求審核，可和后面“4.3.1總則”i)審核和第9章“控制目標和控制措施審核適用性聲明內容是否有含有標準規定“3項內容”(參見“注釋和指南”欄)？適用性聲明是否記載附錄A中任何控制目標和控制措施刪減，以及刪減正當性理由？4.2.2實施和標準要求審核內容審核記錄注釋和指南a)組織要制定風險處理計劃組織是否有一個符合標準此條款要求產生風險處理計劃文件過程？要求明確規定，組織要有一個產生風險處理計劃過程或程序。而這個過程要確定信息安全風險管理措施、資源、職責和優先級。由于標準第4章只是“計劃”階段，在標準第5章中將提出更具體“資源”要求。對于“風險處理計劃”，可和“4.3.1總則”條款要求一起審核(見“4.3.1總則”是否有一個“風險處理計劃”文件？b)組織要實施風險處理計劃組織是否有一個符合標準此條款要求“實施風險處理計劃”過程？要求明確規定，組織要有一個“實施風險處理計劃”過程，或程序。而這個過程目是要達到已確定控制目標，包括資金安排、角色和職責分配。c)組織要實施所選擇控制措施組織是否有一個符合標準此條款要求“實施所選擇控制措施”過程？要求明確規定，組織要有一個“實施所選擇控制措施”過程，或程序，其目是要滿足控制目標。d)組織要定義如何測量所選控制措施有效性組織是否有一個“測量所選控制措施有效性”過程？即組織要：定義如何測量所選控制措施有效性，即要有一個“測量所選控制措施有效性”過程；規定如何使用這些測量措施，對控制措施有效性進行測量(或評估)；據此，管理者和員工就可以確定所選控制措施是否實現原計劃控制目標，或實現程度。在對這個要求審核時，審核員必須檢查受審核組織：是否有一個測量所選擇控制措施有效性“測量措施”；如何使用其測量措施進行測量；所選控制措施是否達到既定控制目標。可和c)規定要求同時審核(參見“4.2.3監視和評審ISMS”)如何使用測量措施，去測量控制措施有效性？e)組織要實施培訓和意識教育計劃組織是否有一個符合標準此條款要求“實施培訓和意識教育計劃”過程？對于實施ISMS組織來說，很重要事情是培訓，使其員工了解標準意圖和信息安全原理。因此在“實施和運行組織ISMS”中，首先要有“培訓和意識教育計劃”(參見“5.2.2培訓、意識和能力”f)組織要管理ISMS運行組織是否有“管理ISMS運行”過程？要求明確規定,ISMS運行需要管理。g)組織要管理ISMS資源組織是否有對ISMS實施所需要資源進行管理過程？要求明確規定,ISMS實施所需要資源要加以管理(參見“5.2資源管理”)。h)組織要實施組織安全程序和其他控制措施組織ISMS是否有“迅速檢測安全事件和對安全事故能做出迅速反應”程序？要求規定，在“迅速檢測安全事件和對安全事故能做出迅速反應”方面，要有相關程序和控制措施(參見“監視和評審ISMS”a))。4.2.3監視和標準要求審核內容審核記錄注釋和指南a)組織要執行監視和評審程序組織是否有“監視和評審程序”，以：迅速檢測處理產生錯誤；迅速識別試圖和得逞安全違規事件和事故；使管理者能確定指定人員安全活動或通過信息技術實施安全活動是否如期執行；通過使用指示器，幫助檢測安全事件并預防安全事故；確定解決安全違規事件措施是否有效？要求明確規定，求組織要有“監視和評審程序”，以達到以下5個目：迅速檢測處理產生錯誤；迅速識別試圖和得逞安全違規事件和事故；使管理者能確定指定人員安全活動(或通過信息技術實施安全活動)是否如期執行；通過使用指示器，幫助檢測安全事件并預防安全事故；確定解決安全違規事件措施是否有效。在對要求審核時，必須檢查這些內容。b)組織要定期評審ISMS有效性是否有符合此要求“ISMS有效性定期評審”過程？要求明確規定，組織對ISMS有效性，進行定期評審(包括ISMS方針和目標符合性評審、安全控制措施有效性評審)。而在對ISMS有效性定期評審時，要聯系到(或考慮到)安全審核結果、事故、有效性測量結果、所有相關方建議和反饋。在對要求審核時，要檢查是否有相關過程或活動。c)組織要測量控制措施有效性是否有到位“測量控制措施有效性”過程或程序？要求明確規定，組織在“監視和評審ISMS”中，要測量控制措施有效性以驗證安全要求是否得到滿足。在對要求審核時，要檢查是否有“測量控制措施有效性”過程或程序。d)組織要評審風險評估是否有到位“評審風險評估”過程或程序？要求明確規定，組織在“監視和評審ISMS”中，要按照既定時間間隔，評審風險評估、殘余風險和已確定可接受風險級別，要考慮以下方面變化：組織；技術；業務目標和過程；已識別威脅；已實施控制措施有效性；外部事件，如法律法規環境變化、合同義務變化和社會環境變化。在對要求審核時，要檢查是否有相關過程或活動。“評審風險評估”過程是否考慮了“6方面變化”(參見注釋和指南)？e)組織要執行定期ISMS內部審核是否有到位定期“ISMS內部審核”過程或程序？要求明確規定，組織在“監視和評審ISMS”中，要按既定時間間隔，執行ISMS內部審核。在對要求審核時，要檢查是否有“定期ISMS內部審核”過程或程序。而對ISMS內部審核符合性審核要按照標準第6章要求執行。f)組織要執行定期ISMS管理評審是否有到位定期“ISMS管理評審”過程或程序？這個要求明確規定，組織在“監視和評審ISMS”中，要按既定時間間隔，執行ISMS管理評審。在對這個要求審核時，要檢查是否有定期“ISMS管理評審”過程或程序。而對ISMS管理評審符合性審核要按照標準第7章要求執行。g)組織要更新信息安全計劃組織是否參考監視和評審活動發現，而“更新信息安全計劃”？這個要求明確規定，組織要參考監視和評審活動發現，更新安全計劃。h)組織要維護ISMS事件和行動措施紀錄是否有到位“維護ISMS事件和行動措施紀錄”過程？這個要求明確規定，組織要記錄可能影響ISMS有效性事件和所采取措施。對這個要求審核，可和標準“記錄控制”條款要求審核一起進行。4.2.4保持和改進標準要求審核內容審核記錄注釋和指南a)組織要實施ISMS改進是否有到位“實施ISMS改進”過程？要求明確規定，組織對已識別ISMS改進點，要加以實施。對要求符合性審核時，要確保有到位“實施ISMS改進”過程。b)組織要采取適當糾正措施和預防措施是否有到位“糾正措施和預防措施”過程？要求明確規定，組織有和標準“8.2糾正措施”條款和“8.3預防措施”條款保持一致“糾正措施和預防措施”過程，并要求吸取其它組織和本組織安全經驗教訓。對要求審核，可和標準“8.2糾正措施”條款和“8.3預防措施”條款要求審核一起進行。是否有到位吸取其它組織和本組織安全經驗教訓過程？c)組織要向所有相關方交流ISMS措施和改進狀況是否有向所有相關方交流ISMS改進過程？要求明確規定，組織要向所有相關方交流ISMS行動措施和改進情況，確保有適當詳情說明，并取得一致意見。d)組織要確保ISMS改進達到預期目標是否有確保ISMS改進達到了預期目標過程？管理者要跟蹤改進，直到達到了預期目標。4.3文件要求4.3.1標準要求審核內容審核記錄注釋和指南1)ISMS文件要包括管理決定記錄是否ISMS文件包括有管理決定記錄？在左欄所示這3）個要求是在“4.3.1總則”條款必須包括管理決定記錄；必須確保所采取行動措施可追蹤到管理決定和方針；必須確保已記錄結果是可再生。這里明確了，展示三者(即所選擇控制措施、風險評估結果、ISMS方針和目標)之間關系重要性。即從所選擇控制措施可追溯到風險評估結果，而從風險評估結果又可追溯到ISMS方針和目標。2)ISMS文件要確保所采取措施可追蹤到管理決定和方針是否ISMS文件確保所采取措施可追蹤到管理決定和方針？3)ISMS文件要確保記錄結果是可再生是否ISMS文件確保記錄結果是可再生？a)ISMS文件要包括ISMS方針和目標文件是否有ISMS方針和目標文件？標準規定，ISMS文件要包括9方面文件(見本表從a)-i)欄)。其中，ISMS方針是最高級(或頂級)文件。b)ISMS文件要包括ISMS范圍是否有一個描述ISMS范圍文件？標準要求ISMS文件內容不一定都要形成單一文件；某些相關內容可合并在一起，而形成一個文件，也不會認為違反標準要求。在實際中，為了減少文件量，“ISMS范圍”常合并于ISMS方針文件。參見表1-1a)。c)ISMS文件要包括支持ISMS程序和控制措施是否有支持ISMS程序和控制措施？這里，只是泛泛地提出。“支持ISMS程序和控制措施”包括內容很廣。除了標準強制要求程序文件外，還可有許多組織自主決定文件。文件內容可隨組織不同而有所不同。主要取決于:組織業務活動及風險；安全要求嚴格程度；管理體系范圍和復雜程度。組織需要哪些ISMS文件、控制措施及其復雜程度如何，通常可根據風險評估結果而決定(參見第6章“.1獲得ISMS文件”)。d)ISMS文件要包括風險評估方法描述是否有描述風險評估方法文件？和標準4.2.1c)最佳實踐表明，“風險評估方法描述”可合并于“風險評估程序”；而“風險評估程序”運行結果又產生“風險評估報告”。參見表1-1c)；參見“標準要求強制性ISMS文件”。e)ISMS文件要包括風險評估報告是否有可用風險評估報告？f)ISMS文件要包括風險處理計劃是否有可用風險處理計劃？和標準b)要求一致；參見“標準要求強制性ISMS文件”。g)ISMS文件要包括控制措施有效性測量程序是否有描述如何測量控制措施有效性程序文件？和標準4.2.3參見“標準要求強制性ISMS文件”。h)ISMS文件要包括本標準所要求記錄是否有提供符合要求證據記錄？“記錄”范圍很廣。實際上，每一個程序文件運行結果都可以產生可作為證據“記錄”。參見“4.3.3記錄i)ISMS文件要包括適用性聲明是否有符合要求適用性聲明？參見表1-1j)。4.3標準要求審核內容審核記錄注釋和指南1)ISMS所要求文件要加以保護和控制是否有一個用于保護和控制ISMS文件過程？要求是標準“4.3.2文件控制”條款開始一個引言段中提出。這里只是泛泛地提出。實際上，“保護和控制ISMS文件過程”可用“文件控制2)ISMS文件控制程序要形成文件是否有一個形成文件文件控制程序？“形成文件文件控制程序”一般稱為“文件控制程序文件”。這個程序文件是標準要求必須ISMS文件之一。“4.3.2文件控制”條款主要要求是：建立一個“文件控制程序文件”，并對文件進行以下10方面控制(見下面aa)“文件控制程序文件”要定義“文件發布前要得到批準”是否文件發布前要得到批準？在對這個“4.3.2組織是否有一個用于控制ISMS文件“文件控制程序文件”；組織ISMS文件實際上是否受控；是否從“10方面”(a-j)控制ISMS文件。b)“文件控制程序文件”要定義“必要時評審和更新文件，并再次獲得批準”是否必要時評審和更新文件，并再次批準文件？c)“文件控制程序文件”要定義“文件更改和現行修訂狀態得到標識”是否文件更改和現行修訂狀態得到標識？d)“文件控制程序文件”要定義“在使用處可獲得有關版本適用文件”是否在使用處可獲得有關版本適用文件？e)“文件控制程序文件”要定義“文件保持清晰、易于識別”是否文件保持清晰、易于識別？f)“文件控制程序文件”要定義“文件可為需要人員使用，并依照相關程序進行傳輸、貯存和最終銷毀”是否文件可為需要人員使用，并依照相關程序進行傳輸、貯存和最終銷毀？g)“文件控制程序文件”要定義“外來文件得到標識”是否外來文件得到標識？h)“文件控制程序文件”要定義“文件分發受控制”是否文件分發受控制？i)“文件控制程序文件”要定義“防止作廢文件非預期使用”是否“防止作廢文件非預期使用”？j)“文件控制程序文件”要定義“對需要保留作廢文件做出適當標識”是否“對需要保留作廢文件做出適當標識”？4.3.標準要求審核內容審核記錄注釋和指南a.記錄要加以建立和保持是否有一個建立和保持記錄過程？記錄是提供符合ISMS要求和有效運行客觀證據一種特殊類型文件。記錄需要建立和保持、保護和控制。b.記錄要加以保護和控制是否有一個保護和控制記錄過程？c.ISMS要考慮相關法律法規要求和合同義務ISMS是否考慮了相關法律法規要求和合同義務？組織要提供證據(記錄)，證明其ISMS考慮了相關法律法規要求和合同義務。d.記錄要保持清晰、易于識別和檢索記錄是否保持清晰、易于識別和檢索？作為客觀證據記錄，必須易于理解，不能含糊不清。e.記錄控制要形成文件,并加以實施記錄控制是否形成了文件？記錄控制包括：記錄標識、貯存、保護、檢索、保存期限和處置等。這些控制要形成文件，通常稱為“記錄控制程序文件”。“記錄控制程序文件”是必須要有ISMS文件之一。f.記錄要保留ISMS過程執行情況，和所有重大安全事故執行情況記錄是否保留了ISMS過程執行情況？這里，ISMS過程是指ISO/IEC27001:20054.2條款所列出過程，包括ISMS建立、實施和運行、監視和評審、保持和改進。所有這些過程記錄要加以保留，所有重大安全事故紀錄也要保留。記錄是否保留了所有重大安全事故執行情況？5管理職責5.1管理承諾標準要求審核內容審核記錄注釋和指南管理者要對ISMS建立、實施和運行、監視和評審、保持和改進，做出承諾,提供證據。是否有一個確保管理者對ISMS建立、實施和運行、監視和評審、保持和改進，做出承諾過程？這里，“管理承諾”應理解為“最高管理者(層)承諾”。ISO/IEC27001:2005標準認為，ISMS成功運行需要管理者參和并做出承諾。因此標準要求最高管理層(包括總經理和管理者代表等)展示出其如何支持(或承諾)ISMS建立、實施和運行、監視和評審、保持和改進，并提供8方面內容證據，包括：制定ISMS方針；確保建立ISMS目標和計劃；建立信息安全角色和職責；向該組織傳達滿足信息安全目標和符合信息安全方針重要性、法律責任和持續改進需要；提供足夠資源；決定接受風險準則和風險可接受級別準則；確保ISMS內審執行；進行ISMS管理評審。管理者提供承諾證據是否包括8方面內容(見“注釋和指南”欄)？5.2資源管理資源提供 標準要求審核內容審核記錄注釋和指南組織要確定和提供所需要資源管理者是否提供ISMS活動所需要資源？這里ISMS活動包括ISMS建立、實施和運行、監視和評審、保持和改進。管理者是否提供確保信息安全程序支持業務要求所需要資源？資源包括人、財、物(如設備、工具和資料等)。管理者是否提供滿足法律法規要求、合同安全要求所需要資源？是否提供通過正確實施控制措施維護安全所需要資源？管理者是否提供必要評審和對評審結果做出適當反應所需要資源？管理者是否提供改進ISMS有效性所需要資源？5.2.2標準要求審核內容審核記錄注釋和指南a.組織要確保分配有ISMS職責所有人員都具有執行所要求任務能力是否有一個確保分配有ISMS職責所有人員都具有完成所要求任務能力過程？要求明確規定，確保分配有ISMS職責所有人員都具有完成其所要求任務能力。這個過程包括4個活動：確定所有ISMS人員所必要能力；提供培訓，或采取其它措施(例如聘用有能力人員)，以滿足這些需要；評價培訓等措施有效性；保持教育、培訓、技能、經歷和資格記錄。在對要求符合性審核時，要檢查培訓記錄和相關證據。b.組織要確保所有相關人員意識到其信息安全活動重要性是否有一個確保所有相關人員都識到其信息安全活動重要性過程？要求明確規定，組織要確保所有相關人員意識到其信息安全活動利害關系和重要性，并為達到ISMS目標做出貢獻。在對要求符合性審核時，可以抽查相關人員安全意識。6內部ISMS審核標準要求審核內容審核記錄注釋和指南定期進行內部ISMS審核是否有一個定期進行內部ISMS審核過程？要求明確規定，“組織要按照既定時間間隔進行內部ISMS審核”。而內部審核目是確定其ISMS控制目標、控制措施、過程和程序是否：a)符合本標準和相關法律法規要求；b)符合已確定信息安全要求；c)得到有效地實施和保持；d)按預期執行。在對要求符合性審核時，要確保上述要求得到滿足。制定審核方案是否有一個審核方案？該審核方案是否考慮了受審核過程和受審核部門狀況和重要性，以及以往審核結果？要求明確規定，在進行內部審核之前，要制定“審核方案”。而這個審核方案要考慮受審核過程和受審核部門狀況和重要性，以及以往審核結果。定義審核準則、范圍、頻次和方法審核準則、范圍、頻次和方法是否定義在實際中，審核準則、范圍、頻次和方法可以包含于審核方案或審核計劃中。審核員選擇，審核實施要確保審核過程客觀公正審核員選擇，審核實施是否確保審核過程客觀公正？在這方面，應遵照本書第4章規定執行。其中包括“審核發現、審核結論和審核報告要真實和準確地反映審核活動”。審核員不準審核自己工作是否審核員審核了自己工作？要識別內部審核員除了內審以外其它工作。形成內審程序文件是否有定義內審職責和要求方面內審程序文件？要求明確規定，內審職責和要求(包括審核計劃和實施、審核結果報告、記錄保持等)必須以形成文件程序加以定義。在對要求符合性審核時，要確保上述要求得到滿足。。采取糾正措施是否有一個確保受審部門責任管理者及時采取措施，消除“已發現不符合事項及其產生原因”過程？要求意義包括：1)受審部門責任管理者要采取糾正措施；2)糾正措施要包含原因分析；3)糾正措施不能有不適當延遲。在對要求符合性審核時，要確保上述要求得到滿足。跟蹤糾正措施是否有一個對糾正措施跟蹤活動？“跟蹤糾正措施”是受審部門責任管理者職責，包括：要跟蹤和驗證糾正措施，直到真正獲得落實；要報告跟蹤和驗證結果。跟蹤活動是否包括驗證和驗證結果報告？7ISMS管理評審7.1總則標準要求審核內容審核記錄注釋和指南(1)管理者要每年至少評審1次ISMS是否有一個確保最高管理者每年至少評審1次ISMS過程？管理評審目是確保ISMS持續適宜性、充分性和有效性。為了確保最高管理者每年至少評審1次ISMS，最好實踐是通過使用一個“管理評審程序文件”進行控制。“管理評審程序文件”也控制相關管理評審過程，以滿足標準要求。但是，標準沒有明確規定一定要有一個形成文件“管理評審程序”。因此，在審核時，主要是要確保有符合要求評審過程。是否檢查了ISMS實施情況，以確保ISMS持續適宜性、充分性和有效性？(2)評審要包括評估改進機會和變更ISMS需要在管理評審時，是否評估了ISMS（包括信息安全方針和信息安全目標）改進機會和變更需要？在運行期間，操作者是不能任意變更ISMS。ISMS改進和變更，只能經過最高管理者對ISNS評審，做出評審決定后，才能執行。因此管理評審時，要有這方面評估。(3)評審結果要形成文件評審結果是否形成了文件？審核員在進行“ISMS管理評審”審核時，必須按標準“記錄控制”條款要求，檢查評審結果和相關評審記錄。(4)評審記錄要加以保持記錄是否按照“記錄控制”要求加以保持？7.2評審輸入標準要求審核內容審核記錄注釋和指南a)管理評審輸入要包括審核和評審結果是否有一個確保管理評審輸入包括標準要求9方面信息過程？在審核時，審核員應首先檢查組織如何確保滿足標準規定9方面管理評審輸入信息(見本表a-i)。是否管理評審輸入包括先前審核和評審結果？審核員應檢查管理評審輸入是否包括先前審核(包括內審和外審)和管理評審結果。b)管理評審輸入要包括相關方反饋是否管理評審輸入包括相關方反饋？審核員應檢查管理評審輸入是否包括相關方(如顧客和相關人員)反饋，包括意見、抱怨和評論等。c)管理評審輸入要包括可用于改進ISMS技術、產品或程序是否管理評審輸入包括可用于改進ISMS技術、產品或程序？審核員應檢查管理評審輸入是否包括可用于改進ISMS有效性技術、產品或程序。d)管理評審輸入要包括預防和糾正措施狀況是否管理評審輸入包括預防和糾正措施狀況？審核員應檢查管理評審輸入是否包括先前預防措施和糾正措施情況，包括查相關記錄。e)管理評審輸入要包括以往風險評估沒有充分解決脆弱點或威脅是否管理評審輸入包括預防和糾正措施狀況？審核員應檢查管理評審輸入是否包括在先前風險評估期間，沒有充分解決安全問題。f)管理評審輸入要包括有效性測量結果是否管理評審輸入包括ISMS有效性測量結果？審核員應檢查管理評審輸入是否包括在先前對ISMS有效性測量結果。g)管理評審輸入要包括以往管理評審跟蹤措施是否管理評審輸入包括以往管理評審跟蹤措施？審核員應檢查管理評審輸入是否包括以往管理評審跟蹤措施，包括對以往管理評審結果貫徹、跟蹤和驗證結果。h)管理評審輸入要包括可能影響ISMS任何變更是否管理評審輸入包括可能影響ISMS任何變更？審核員應檢查管理評審輸入是否包括可能影響ISMS任何變更，包括出現新信息資產、技術變更、內外環境變更和組織結構變更等。i)管理評審輸入要包括改進建議是否管理評審輸入包括任改進建議？審核員應檢查管理評審輸入是否包括改進ISMS任何建議。7.3評審輸出標準要求審核內容審核記錄注釋和指南a)管理評審輸出要包括ISMS有效性改進是否有一個確保管理評審輸出包括5方面要求過程？在審核時，審核員應首先檢查組織如何確保管理評審滿足標準規定5方面輸出(見本表a)-e))。是否管理評審做出了改進ISMS有效性決定？審核員應檢查管理評審輸出是否有改進ISMS有效性決定。b)管理評審輸出要包括風險評估和風險處理計劃更新是否管理評審做出了更新風險評估和風險處理計劃決定？風險是動態。風險評估活動要定期執行，風險處理計劃要及時更新。管理評審要做出這方面決定。審核員應檢查管理評審輸出是否有這方面決定。c)管理評審輸出要包括必要時對影響信息安全程序和控制措施修改，以應對可能沖擊ISMS內外事件是否管理評審做出了在必要時對影響信息安全程序和控制措施修改決定，以應對可能沖擊ISMS內外事件？要求含義是，為了應對可能沖擊ISMS內外事件，包括：1)業務要求發生變化；2)安全要求發生變化；3)影響現有業務要求業務過程發生變化；4)法律法規要求發生變化；5)合同義務發生變化；6)接受風險風險級別和/或準則發生變化。要對影響信息安全程序和控制措施進行修改。管理評審要做出這方面決定。在審核時，要檢查這方面決定。d)管理評審輸出要包括對資源需求決定是否管理評審做出了對資源需求決定？要求是解決資源需求。管理評審要做出解決ISMS資源需求決定。在審核時，要檢查這方面決定。e)管理評審輸出要包括改進測量控制措施有效性方法要求是改進如何測量控制措施有效性。管理評審要做出這方面決定。在審核時，要檢查這方面決定。8ISMS改進8.1持續改進標準要求審核內容審核記錄注釋和指南組織要持續改進ISMS有效性是否有一個確保組織持續改進ISMS有效性過程？要求規定，組織要通過多種途徑，持續改進ISMS有效性持，包括：使用信息安全方針；使用安全目標；使用審核結果；使用監視事件分析；使用糾正措施和預防措施；使用管理評審。因此，審核員在進行審核時，應考慮以上方面，并結合一起進行。8.2糾正措施標準要求審核內容審核記錄注釋和指南a.組織要采取措施，消除不符合ISMS要求原因是否有一個確保采取措施，消除不符合ISMS要求原因過程？要求規定，組織要采取措施，消除不符合ISMS要求原因，目是防止不符合事項再次發生。b.糾正措施程序要形成文件是否有一個糾正措施程序文件？“形成文件糾正措施程序”通常也稱“糾正措施程序文件”，是標準強制性要求ISMS文件之一。標準要求組織要建立和執行“糾正措施程序文件”。這個“糾正措施程序文件”要定義6條要求(見本表“標準要求”欄c-h)。審核員在文件評審階段，就應對照此“8.2糾正措施”要求，評審“糾正措施程序文件”符合性。c.糾正措施程序文件要定義“識別不符合項”是否糾正措施程序文件定義了“識別不符合項”？d.糾正措施程序文件要定義“確定產生不符合項原因”是否糾正措施程序文件定義了“確定產生不符合項原因”？e.糾正措施程序文件要定義“評價確保不符合項不再發生措施需求”是否糾正措施程序文件定義了“評價確保不符合項不再發生措施需求”？f.糾正措施程序文件要定義“確定和實施所需要糾正措施”是否糾正措施程序文件定義了“確定和實施所需要糾正措施”？g.糾正措施程序文件要定義“記錄所采取措施結果”是否糾正措施程序文件定義了“記錄所采取措施結果”？h.糾正措施程序文件要定義“評審所采取糾正措施”是否糾正措施程序文件定義了“評審所采取糾正措施”？8.3預防措施標準要求審核內容審核記錄注釋和指南a.組織要采取措施，消除潛在不符合ISMS要求原因是否有一個用于確保采取措施，消除潛在不符合ISMS要求原因過程？要求規定，組織要采取措施，消除潛在不符合ISMS要求原因，目是預先防止未來發生不符合事項。b.所采取預防措施要和潛在問題影響程度相適應所采取預防措施是否適于潛在問題影響？所要采取預防措施，要根據潛在問題影響大小而決定。c.組織要建立一個預防措施程序文件，定義5條相關要求是否有一個定義5條相關要求預防措施程序文件？要求規定，組織要建立和執行一個預防措施程序文件。該程序文件要定義5條相關要求：識別潛在不符合事項及其原因；評價預防發生不符合事項措施需要；確定和實施所需要預防措施；記錄所采取措施結果；評審所采取預防措施。在審核時，審核員要檢查確保：一組織要有一個形成文件“預防措施程序”；二該文件要定義上術5條要求。d.組織要識別已經發生了變化風險是否有一個用于識別已經發生了變化風險過程？風險是動態，組織必須有一個用于識別已經發生了變化風險過程，并對已經發生了變化風險，要識別其預防措施要求。有些組織通過使用一個“風險評估程序文件”對此過程要求進行控制。在審核時，審核員可結合標準“4.2建立和管理ISMS”條款相關要求，進行審核。e.組織要識別對已經發生了變化風險預防措施要求對已經發生了重大變化風險，是否識別其預防措施要求？f.預防措施優先級要根據風險評估結果確定是否預防措施優先級根據風險評估結果而確定？

附錄2-控制要求符合性審核A.5安全方針信息安全方針目標：依據業務要求和相關法律法規，提供信息安全管理方向和支持。相關條款控制要求和檢查內容實施方法，或刪減正當性信息安全方針文件是否有信息安全方針文件？信息安全方針文件是否獲得管理者批準、發布和傳達給所有員工和相關外方？信息安全方針文件是否符合標準要求，如是否說明管理承諾，并提出組織管理信息安全方法？A.5.1.2為了確保信息安全方針持續適宜性、充分性和有效性，是否按既定時間間隔(或當發生重大變化時)對其進行評審？A.6信息安全組織A.6.1內部組織目標：管理組織內信息安全。相關條款控制要求和檢查內容實施方法，或刪減正當性A.6管理者是否通過清晰方向、可證實承諾、明確任務，和信息安全職責承認，來積極支持組織內安全？A.6信息安全活動是否由不同部門代表協調相關工作？A.6所有信息安全職責（包括保護各個資產職責和執行特定安全過程職責）是否有明確規定？A.6對新信息處理設施，是否有管理授權過程？A.6是否所有員工都要簽署一個反映組織信息保護需要保密協議(或不泄露協議)？保密協議(或不泄露協議)是否得到識別和定期評審？A.6.1.6組織是否和相關權威部門(例如，執法部門、消防部門和監管部門)保持適當聯系？A.6.1.組織是否和特殊利益團體、安全專家組和專業協會保持適當聯系？A.6組織是否對其管理信息安全方法和實踐(即信息安全控制目標和控制措施、方針、過程和程序)，按既定時間間隔(或當安全實施發生重大變化時)進行獨立評審？A.6.2外方目標：保持被外方訪問和處理，和外方通信，或被管理組織信息和信息處理設施安全。相關條款控制要求和檢查內容實施方法，或刪減正當性A.6.組織信息和信息處理設施受外方訪問或管理而產生風險，是否進行識別？組織信息和信息處理設施，在允許外方訪問前，是否執行適當控制措施？A.6在允許顧客訪問組織信息或資產之前，所有確定安全要求是否得到解決？A.6涉及訪問、處理、交流(或管理)組織信息或信息處理設施第三方協議，是否涵蓋所有相關安全要求？A.7資產A.7.1對資產職責目標：實現和保持對組織資產適當保護。相關條款控制要求和檢查內容實施方法，或刪減正當性A.7是否所有資產度都進行了識別？是否所有重要資產都進行了登記、建立了清單文件并加以維護？A.7所有信息和信息處理設施相關資產，是否都有責任人？A.7.1信息和信息處理設施相關資產可接受使用規則，是否確定、形成了文件并加以實施？A.7.2信息分類目標：確保信息受到適當級別保護。相關條款控制要求和檢查題實施方法，或刪減正當性A.7是否有一個信息分類指南(或分類法)？信息是否按照其對組織價值、法律要求、敏感性和關鍵性進行分類？A.7信息標記和處理程序是否按照組織采用分類法，加以開發和實施？A.8人力資源安全A.8.1雇用之前目標：確保雇員、承包人和第三方用戶理解其職責，適合其考慮角色，以降低行竊、欺詐和誤用設施風險。相關條款控制要求和檢查內容實施方法，或刪減正當性A.8雇員、承包人和第三方用戶安全角色和職責是否按照組織信息安全方針加以定義并形成了文件？ A.8.對所有雇用候選者、承包人和第三方用戶，是否按照相關法律法規、道德規范、相應業務要求、要被訪問信息類別、和已察覺風險，進行背景驗證檢查？A.8.1雇員、承包人和第三方用戶是否簽署了雇用合同條款和條件，作為他們合同義務一部分？“雇用合同條款和條件”是否聲明雇員、承包人和第三方用戶信息安全職責？A.8.2雇用期間目標：確保所有雇員、承包人和第三方用戶意識到信息安全威脅和利害關系、他們職責和義務，并在其正常工作中支持組織安全方針和減少人為過失風險。相關條款控制要求和檢查內容實施方法，或刪減正當性A.8管理者是否要求雇員、承包人和第三方用戶，按照該組織已建立方針和程序負起安全責任？ A.8組織所有雇員、相關承包人和第三方用戶，是否都接受過適當意識培訓和定期更新和其工作有關組織方針和程序方面知識？A.8對于安全違規雇員，是否有一個正式紀律處理過程？A.8.3雇用終止或雇用變更目標：確保雇員、承包人和第三方用戶以一個適宜方式離職或變更雇用。相關條款控制要求和檢查內容實施方法，或刪減正當性A.8履行雇用終止或雇用變更職責是否清晰地做出了規定和分配？ A.8所有雇員、承包人和第三方用戶在雇用、合同或協議終止時，是否歸還其使用該組織所有資產？A.8所有雇員、承包人和第三方用戶對信息和信息處理設施訪問權，在其雇用、合同或協議終止時，是否刪除，或進行變更調整？A.9物理和環境安全A.9.1安全區域目標：防止對組織場所和信息，進行未授權物理訪問、損壞和干擾。相關條款控制要求和檢查內容實施方法，或刪減正當性A.9是否有用于保護包含信息和信息處理設施區域安全邊界（諸如墻、入口控制卡或受管理接待臺等屏障）？ A.9為了確保只有已被授權人員才允許訪問，安全區域是否通過適用入口控制措施加以保護？A.9辦公室、房間和設施物理安全措施是否進行了設計并加以應用？A.9.對由火災、洪水、地震、爆炸、社會動蕩和其他形式自然災難或人為災難引起損害，是否設計和應用了物理保護措施？A.9在安全區域工作物理保護措施和指南是否進行了設計并加以應用？對在安全區域工作人員，是否有任何安全控制措施？A.9.1.為了避免未授權訪問，訪問點（如交接區和未授權人員可以進入其它地點）是否進行控制？交接區是否和信息處理設施隔開？A.9.2設備安全目標：防止資產丟失、損壞、被盜或被破壞，和中斷組織活動。相關條款控制要求和檢查內容實施方法，或刪減正當性A.9.2設備是否安置在可減少未授權訪問適當地點？對于處理敏感數據信息處理設施，是否安置在可限制觀測位置？對于需要特殊保護設備，是否進行隔離？對信息處理設施運行有負面影響環境條件（例如溫度和濕度），是否進行監視？A.9在由支持性設施失效而引起電源故障和其他中斷方面，設備是否有所防范？ A.9電源和傳輸數據(或支持信息服務)通信電纜是否防范攔截或損壞？A.9設備是否按照供應商推薦服務時間間隔和說明書，進行正確維護？設備維護是否只由已授權人員執行？設備維護記錄是否保存？A.9.對于組織場所設備，是否考慮了不同風險，而采取安全措施？A.9.2對于含有任何敏感信息和許可軟件儲存介質，是否進行安全銷毀或安全覆蓋后再利用？A.9.是否設備、信息或軟件要帶出組織場所外，必須獲得管理者授權？A.10通信和運行管理A.10.1運行程序和職責目標：確保信息處理設施正確運行和安全運行。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10.1.1運行程序是否形成了文件、加以保持并可為所有需要用戶使用？A.10對信息處理設施和系統變更是否受控？A.10.為了減少對組織資產未授權(或無意識)修改(或誤用)機會,是否劃分了職責責任和職責范圍？A.10為了減少未授權訪問(或更改)運行系統風險，開發設施、測試設施和運行設施是否彼此分離開？A.10.2第三方服務交付管理目標：依照第三方服務交付協議，實施和保持適當水準信息安全和服務交付。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10第三方服務交付協議中所規定安全控制措施、服務定義和交付水準，由第三方實施、運行和保持，是否獲得保障？A.10對第三方提供服務、報告和記錄，是否定期地進行監視、評審和審核？A.10對服務提供變更(包括保持和改進現有信息安全方針、程序和控制措施)，是否考慮所涉及業務系統和過程關鍵程度和風險再評估，進行管理？A.10.3系統規劃和驗收目標：將系統故障風險降至最小。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10為了確保所需系統性能，是否對資源使用進行監視和調整，并對未來容量需求做出規劃？A.10新信息系統、升級和新版本驗收準則，是否建立了，并在系統驗收前和開發中進行適當系統測試？A.10.4防范惡意代碼和移動代碼目標：保護軟件和信息完整性。以下是對在這個目標下2個控制措施審核。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10.4是否有對惡意代碼控制措施(包括對惡意代碼監測、預防和恢復)？是否有禁止使用未授權軟件正式方針？ 是否安裝并定期更新惡意代碼檢測和修復軟件？是否有提高用戶對惡意代碼防范意識程序？A.10.4.當移動代碼獲得授權使用時，是否配置確保該授權移動代碼，按照清晰定義安全方針規定運行？ 當移動代碼未獲得授權時，是否阻止其運行？A.10.5備份目標：保持信息和信息處理設施完整性和可用性。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10.是否有備份方針？重要信息和軟件是否按照備份方針規定定期備份和測試？ 備份存儲地是否安全，并和實際使用場所保持足夠距離？ A.10.6網絡安全管理目標：確保網絡中信息和支持基礎設施安全。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10為了防止使用網絡時發生威脅和維護系統和應用程序安全，網絡是否充分受控？網絡運行職責和計算機系統運行職責是否分開？信息在公用網絡上傳輸時，是否有控制措施？A.10是否有網絡服務(不管是內部，還是外部)？是否有確定所有網絡服務安全特性、服務級別和管理要求網絡服務協議？A.10.7介質處理目標：防止資產遭受未授權泄露、修改、移動或銷毀，和中斷業務活動。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10是否有可移動介質管理程序？A.10.對于不再需要介質，是否使用正式程序進行安全地處置？為了保持審計蹤跡，是否保留敏感信息處置記錄？A.10是否有信息處理和貯存程序？該程序是否要防范信息被未授權者泄漏或誤用？A.10是否要防范系統文件被未授權訪問？系統文件訪問名單是否保持在最小范圍，并獲得責任人授權？A.10.8信息交換目標：保持和內部組織和和任何外部實體間信息和軟件交換時安全。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10.8為了保護通過使用各種類型通信設施進行信息交換，是否有正式信息交換方針、程序和控制措施？A.10在組織和外方之間進行信息/軟件交換時，是否有交換協議？該交換協議是否指向所涉及敏感業務信息安全問題？A.10當含信息介質在組織物理邊界以外運送時，是否有防范未授權訪問、誤用或毀壞措施？A.10當用電子方法發送信息時，是否有適當信息保護措施？ A.10為了保護相互連接業務信息系統信息，是否開發和實施了相關方針和程序？A.10.9電子商務服務目標：確保電子商務服務安全及其安全使用。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10電子商務是否有防范欺詐活動、合同爭議和未授權泄露和修改信息控制措施？A.10在線交易中信息是否受保護，以防止傳輸錯誤、未授權消息篡改、未授權泄露、未授權消息復制？A.10為了維護公共可用系統中信息完整性，是否有防范未授權修改控制措施？A.10.10監視目標：檢測未授權信息處理活動。相關條款控制要求和檢查內容實施方法，或刪減正當性A.10審計日志是否記錄用戶活動、異常事件和信息安全事件？為了幫助未來調查和訪問控制監視，審計日志是否保持一段已商定時期？ A.10監視信息處理設施使用程序是否建立了？監視活動結果是否定期評審？A.10記錄日志設施和日志信息是否有防范被篡改和未授權訪問控制措施？A.10系統管理員和系統操作員活動是否寫入日志中？是否定期檢查操作員日志？A.10系統故障是否被報告、記錄、分析和采取適當措施？A.10所有相關信息處理系統時鐘是否都按統一標準時間進行同步設置？A.11訪問控制A.11.1訪問控制業務要求目標：控制對信息訪問。相關條款控制要求和檢查內容實施方法，或刪減正當性A.11.1訪問控制方針是否根據對訪問控制業務要求和安全要求，進行定義、形成文件和評審？訪問控制方針是否為每個用戶(或用戶組)明確地規定了訪問規則和權限？A.11.2用戶訪問管理目標：確保授權用戶訪問信息系統，防止未授權用戶訪問信息系統。相關條款控制要求和檢查內容實施方法，或刪減正當性A.11是否有正式用戶注冊和注銷程序，授權和撤銷對所有信息系統和服務訪問？A.11對于多用戶系統，特權分配和使用是否受限制和受控制？A.11口令分配是否要用一個正式管理過程進行控制？A.11.管理者是否使用一個正式過程，定期地評審用戶訪問權？A.11.3用戶職責目標：防止未授權用戶對信息和信息處理設施訪問、危害或竊取。相關條款控制要求和檢查內容實施方法，或刪減正當性A.11.是否有指導用戶選擇和使用口令指南、方針或規定？組織是否要求用戶遵照指南、方針或規定，選擇和使用口令？ A.11用戶是否知道保護無人值守用戶設備職責和程序？組織是否要求用戶確保無人值守用戶設備得到適當保護？A.11.為了防止敏感(或關鍵)業務信息受未授權訪問、丟失或損壞，組織是否實施一個清空桌面和屏幕方針？組織是否要求員工在離開座位時，不要把機密紙文件和可移動存儲介質留在桌面上，并注銷計算機或鎖住屏幕？A.11.4網絡訪問控制目標：防止對網絡服務未授權訪問。相關條款控制要求和檢查內容實施方法，或刪減正當性A.11.4是否有一個只允許用戶訪問其已被授權使用網絡服務？ A.11對遠程用戶訪問控制，是否使用適當用戶鑒別方法？A.11.為了鑒別特定位置和設備連接，是否把自動設備識別作為一種手段？A.11對診斷端口和配置端口物理和邏輯訪問，是否受控制？A.11是否在網絡上對信息服務、用戶和信息系統進行隔離控制？在各個不同邏輯網絡域(如組織內部網絡域和外部網絡域等)之間，是否通過使用安全邊界(如防火墻等)，進行隔離和保護？A.11對于越過組織邊界共享網絡(如電子郵件、網站訪問、和文件傳送等)，是否有網絡連接控制措施？對共享網絡用戶連接網絡能力，是否按照業務應用系統訪問控制方針和要求加以限制？A.11為了確保計算機連接和信息流不違反業務應用系統訪問控制方針，共享網絡是否有路由控制措施？A.11.5操作系統訪問控制目標：防止對操作系統未授權訪問。相關條款控制要求和檢查內容實施方法，或刪減正當性A.11.為了最小化對操作系統未授權訪問機會，是否有一個操作系統安全登錄程序？ 對操作系統訪問，是否只能按安全登錄程序進行？A.11.5是否所有用戶都有一個僅供其個人使用唯一標識碼（用戶ID）？所選用用戶身份鑒別技術是否能證實所宣稱用戶身份？A.11是否有口令管理系統？口令管理系統是否強迫用戶執行各種口令安全控制措施(如使用個人用戶ID和口令、選用和定期更改優質口令和安全地保存口令等)？A.11.5對于系統實用工具(程序)使用，是否有限制和嚴格控制措施？A.11.為了防止未授權者訪問系統，是否有確保計算機終端在一個設定休止(或靜止)期后，被自動關閉（或鎖住）控制措施？A.11.5為了提供額外安全，對于高風險應用系統連接，是否有連接時間限制？A.11.6應用系統和信息訪問控制目標：防止未授權訪問應用系統中信息。相關條款控制要求和檢查內容實施方法，或刪減正當性A.11.用戶對信息和應用系統功能訪問，是否依照已確定訪問控制方針進行限制？ A.11敏感系統是否有專用（或孤立）計算機環境？A.11.7移動計算機設施和遠程工作設施目標：確保使用可移動計算機設施和遠程工作設施時信息安全。相關條款控制要求和檢查題實施方法，或刪減正當性A.11.7.1在防范使用移動計算機設施和通信設施(如筆記本電腦、掌上電腦和移動電話等)風險方面，是否有正式方針，和適當安全措施？ A.11.組織是否開發和實施有關控制遠程工作活動方針、操作計劃和程序？為了防范設備被盜、信息被未授權者泄露、組織內部系統被未授權者遠程訪問等，遠程工作場地保護是否有恰當措施？A.12信息系統獲取、開發和維護A.12.1信息系統安全要求目標：確保安全是信息系統一個組成部分。相關條款控制要求和檢查內容實施方法，或刪減正當性A.12.在新信息系統(或增強現有信息系統)業務要求說明中，是否規定了對安全控制措施要求？A.12.2正確處理應用系統中數據目標：防止應用系統中信息錯誤、遺失、未授權修改或誤用。相關條款控制要求和檢查內容實施方法，或刪減正當性A.12.應用系統輸入數據是否進行確認，以確保其正確和適當？A.12.確認檢查是否被整合到應用系統中，以檢測由于處理錯誤(或故意行為)造成信息錯誤？為了降低內部處理風險，是否有適當控制措施？應用系統設計和實施是否能確保：處理失敗導致完整性損壞風險減至最小？A.12為了確定應用系統中消息完整性需要和確定最適用控制措施，是否進行安全風險評估？A.12.應用系統輸出數據否進行確認，以確保信息處理正確和符合要求？A.12.3密碼控制目標：通過密碼方法保護信息保密性、真實性或完整性。相關條款控制要求和檢查內容實施方法，或刪減正當性A.12.是否有“密碼控制使用方針”？A.12為了支持組織使用密碼技術，是否有密鑰管理系統？密鑰管理系統是否基于一組已商定標準、程序和安全方法？A.12.4系統文件安全目標：確保系統文件安全。相