99网

全部频道

您的当前位置:首页风险评估调查问卷

风险评估调查问卷

来源:99网
XXX信息系统安全评估——问卷调查(经理层)

XXX

信息系统安全评估

v1.3

问卷调查(经理层)

XXX有限公司 2014年10月

文档说明

本文档所涉及到的文字、图表等,仅限于北京XXXXXX及被呈送方内部使用,未经XXX书面许可,请勿扩散到第三方。

文档属性

属性 客户名称: 项目名称: 文档主题: 最后更新: 文档状态: 文档作者:

内容 XXX

XXX信息系统安全评估 问卷调查(经理层) 2009-7-21 正式提交 XXX

文件编号:

XXX有限公司 资料接收单

项目名称: 填 写 人:

填写日期:

资产调查表(W2.1) 资产 你的重要资产是什么? 考虑: 信息 系统 软件 硬件 人 1. 有其他你必需保护的资产吗 (例如,依靠法律或者规则)? 2. 有什么重要的相关资产? 考虑: 信息 系统 软件 硬件 人 3. 在你已经确定的资产中,哪些是最重要的?你选择这些重要资产的基本原则是什么? 最重要的是数据。 安全需求调查表(W2.3) 安全需求 1. 每种信息资产的重要的安全需求是什么? 考虑: 机密性 完整性 可用性 其它 2. 每种信息资产的安全需求的相关级别是什么?哪种安全需求最重要? 保护策略调查表(W2.5) 保护策略 1. 你愿意深入讨论调查中的哪些问题? 2. 有哪些重要问题是调查中没有涉及的? 3. 有对某种资产唯一的特殊安全策略、处理和实践吗?它们是什么? 你认为你的机构的保护策略有效吗?你是怎么认识的? 执行经理层调查(W2.4)

名字 (可选): 职位: 执行经理层调查 制度 安全意识和培训 机构成员对他们的安全角色和职责的理解。记录和验证。 有足够多的为所有支持的服务、机制和技术(例如日志、监视或加密)设置的内部专家,包括他们的安全操作。记录和验证。 为所有职员提供的安全意识、培训和周期性提醒。全体职员的理解被记录,一致性被定期验证。 安全策略 机构的交易策略与安全考虑相结合。 安全策略和方针考虑到机构的交易策略和目标。 安全策略、目的、目标被证明和回顾、更新,以及与机构进行沟通。 安全管理 管理层为信息安全行为分配足够的资金和资源。 为机构中的所有职员定义安全角色和职责。 机构对员工的雇用和解雇行为考虑到信息安全问题。 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 这个制度被你的机构执行了吗? 是 否 不知道 执行经理层调查 制度 机构管理信息安全风险,包括: 对信息安全的风险评估 采取步骤降低信息安全风险 管理层收到和遵照例行报告总结安全相关信息(例如,审计、日志、风险和漏洞评估) 安全方针和规则 机构有一系列完整记录的、目前被周期性回顾和更新的方针。 安全方针管理的过程,包括: 创建 管理(包括周期性回顾和更新) 通信 机构有服从信息安全方针的评估和保证的处理过程,可应用的法律和规则以及保险需求。 机构统一执行安全方针。 协作的安全管理 在与外部机构合作时机构有保护信息的方针和处理程序(例如,第三方、合作者、转包商或合伙人),包括: 保护属于其它机构的信息 理解外部机构的安全方针和处理 通过终止外部人员来停止对信息的访问 机构验证符合自身要求的来自外部的安全服务、机制和技术。 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 这个制度被你的机构执行了吗? 是 否 不知道 执行经理层调查 制度 意外计划/灾难恢复 操作系统、应用程序和数据危险程度的分析已经执行。 机构已被记录、回顾和测试 交易连续性或紧急情况操作计划 灾难恢复计划 响应紧急情况的意外事故计划 意外事故、灾难恢复和交易连续性计划考虑物理和电子访问需求和控制。 所有职员 注意意外事故、灾难恢复和交易连续性计划 理解和执行他们的职责 物理安全计划和处理程序 维护房屋、建筑和任何受限区域的设备安全计划和程序被记录和测试。 有管理来访者的记录的方针和程序。 有记录下的对硬件和软件的物理控制的方针和程序。 物理访问控制 有记录下的控制对工作区域和硬件(计算机、通信设备等)以及软件媒体的物理访问的方针和程序。 对工作站和其它允许访问敏感信息的组件进行物理保护以防止未授权访问。 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 这个制度被你的机构执行了吗? 是 否 不知道 执行经理层调查 制度 监视和审计物理安全 对审计和监视记录进行例行的异常检查,在需要的时候引入矫正行为。 系统和网络管理 有维护系统和网络的记录和测试的安全计划。 有记录和测试的备份软件和数据的数据备份计划。所有员工在备份计划下理解他们的职责。 认证和授权 有建立和终止对个人或组的信息访问权限的记录的方针和程序。 事件管理 存在记录下的过程来识别、报告和响应可疑的安全事件和妨害。 周期性的测试、验证和更新事件管理过程。 有记录下的方针和过程来与法律执行中介一起工作。 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 是 否 不知道 这个制度被你的机构执行了吗? 执行经理层调查 制度 员工通用惯例 全体职员遵循安全制度,例如: 保护可靠信息 不向他人泄漏敏感信息(抵抗社会工程学) 拥有足够能力使用信息技术硬件和软件 使用好的口令制度 理解和遵循安全方针和规则 承认和报告事件 在所有职责级别上的全体职员为信息安全贯彻他们分配的角色和职责。 有记录下的处理过程来批准和检查与敏感信息有关的或者在信息所在区域工作的所有员工(包括来自第三方机构的个人)。 是 否 不知道 是 否 不知道 是 否 不知道 这个制度被你的机构执行了吗?

双方签定确认: XXX 签字: 日期:

签字: 日期: 北京XXXXXX

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文