A.5.1.1信息安全方针文件 | 信息安全方针文件是否由管理者批准发布并传达给员工和相关方。 | 查《信息安全管理手册》包括方针,依据批准。 | 符合 |
A.5.1.2 信息安全方针的评审 | 为了确保信息安全方针持续的适宜性、充分性和有效性,是否按既定的时间间隔(或当发生重大变化时)对其进行评审? | 查《管理评审报告》,已经评审。 | 符合 |
ISMS:A.6.1内部组织 | |||
A.6.1.1信息安全角色和职责
| 所有信息安全职责是否有清晰的定义 | 公司成立了信息安全小组,主要由管理者代表、各部门主要负责人组成。主要负责:确保安全活动的执行符合信息安全方针; 查公司管理层,在内部审核过程及管理评审过程,明确了管理者承诺。
管理者提供了所以的人力和物理,如:防火墙和涉密电脑。 | 符合 |
A.6.1.2职责分离 | 为了降低未授权或无意识的修改或者不当使用组织资产的机会,各类责任及职责范围是否加以分割? | 总经理、管理者代表、信息安全小组管理邮件涉密电脑、测试涉密电脑、综合管理室管理涉密电脑 | |
A.6.1.3与的联系 | 组织是否保持与政府相关部门的适当的联系? | 查主要面向政府客户,公司与客户、工商税务保持了适当的联系。 | |
A.6.1.4与特定利益团体的联系 | 组织是否与特殊利益团体、安全专家组和0业协会保持适当的联系? | 公司建立了《相关方一览表》能够确保沟通的一致和顺利进行。 | |
ISMS:A.9.1安全区域 | |||
A.9.1.1访问控制策略 | 访问控制策略是否建立并形成文件? 是否基于业务和访问的安全要求进行评审? | 已建立《用户访问管理程序;不同部门化为不同VLAN,各应用系统依据用户名口令控制访问权限,不同人员有不同账户。 | 符合 |
A.9.1.2网络和网络服务的访问 | 用户是否仅能访问已获专门授权使用的服务? | 通过上网行为管理设备控制,禁止所有游戏网站、禁止网络购物网站,限速,关键字过滤,禁止P2P下载。 | |
