ISMS:A.18.2信息安全评审 | ||||
A.18.2.1信息安全的独立评审 | 组织是否对其管理信息安全的方法与实践(及信息安全控制目标与控制措施、方针、过程和程序),按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审? (可以结合内审) | 《内部审核管理程序》 《管理评审管理程序》 已经实施内审和管理评审。 | ||
A.18.2.2符合安全策略和标准 | 管理者是否确保在其职责范围内的所有安全程序都能得到正确执行? | 已经执行,通过内审实施。 | ||
A.18.2.3 技术符合性评审 | 是否对信息系统符合安全实施标准方面进行定期的核查? | 使用360防病毒软件扫描病毒。 操作系统补丁及时更新。 防火墙配置了安全策略。 通过内审实施。 |
8.1 运行的规划和控制 | |||
运行的规划和控制 | 组织应规划、实施和控制满足信息安全要求所需的过程,并实施6.1中确定的措施 | 执行信息安全风险管理程序 查《信息资产识别清单》,按风险登级值对重要资产进行了汇总。 | 符合 |
8.2 信息安全风险评估 | |||
信息安全风险评估 | 组织应按计划的时间间隔执行信息安全风险评估 | 执行《信息安全风险管理程序》。查《信息安全风险评估表》,基本符合管理程序要求 | |
8.3 信息安全风险处置 | |||
信息安全风险处置 | 组织应实施信息安全风险处置计划,并处置结果的文件记录信息 | 查《信息安全风险处置计划表》,按风险登级值对剩余风险进行了汇总 |