审核魔方---管理体系审核小工具

4 组织环境
4.1 理解组织及其环境
4.2 理解相关方的需求和期望
4.3 确定 ISMS 的范围
4.4 信息安全管理体系
5 领导
5.1 领导和承诺
5.2 方针
5.3 组织的角色、责任和权限
6 规划
6.1 应对风险和机会的措施
6.1.1 总则
6.1.2 信息安全风险评估
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现规划
6.3 变更的策划
7 支持
7.1 资源
7.2 能力
7.3 意识
7.4 沟通
7.5 文件化信息
7.5.1 总则
7.5.2 创建和更新
7.5.3 文件化信息的控制
8 运行
8.1 运行规划和控制
8.2 信息安全风险评估
8.3 信息安全风险处置
9 绩效评价
9.1 监视、测量、分析和评价
9.2 内部审核
9.2.1 总则
9.2.2 内部审核方案
9.3 管理评审
9.3.1 总则
9.3.2 管理评审输入
9.3.3 管理评审输出
10 改进
10.1 持续改进
10.2 不符合及纠正措施
A.5.01 信息安全的策略集
A.5.02 信息安全角色和职责
A.5.03 职责分离
A.5.04 管理者职责
A.5.05 与职能机构的联系
A.5.06 与特定相关方的联系
A.5.07 威胁情报
A.5.08 项目管理中的信息安全
A.5.09 信息和其它相关资产清单
A.5.10 信息和其他相关资产的可接受使用
A.5.11 资产归还
A.5.12 信息的分级
A.5.13 信息的标记
A.5.14 信息传输
A.5.15 访问控制
A.5.16 身份管理
A.5.17 身份验证信息
A.5.18 访问权限
A.5.19 供应商关系中的信息安全
A.5.20 在供应商协议中的强调信息
A.5.21 供应链的信息安全管理
A.5.22 供应商服务的监控、审查和变更管理
A.5.23 使用云服务的信息安全
A.5.24 信息安全事件管理策划和准备
A.5.25 信息安全事态的评估与决策
A.5.26 信息安全事件响应
A.5.27 从信息安全事件中学习
A.5.28 证据收集
A.5.29 中断期间的信息安全
A.5.30 ICT为业务连续性做好准备
A.5.31 法律、法规、监管和合同要求
A.5.32 知识产权
A.5.33 记录的保护
A.5.34 隐私和个人可识别信息保护
A.5.35 信息安全独立审核
A.5.36 信息安全策略、规程和标准合规
A.5.37 文件化的操作规程
A.6.01 审查
A.6.02 任用条款及条件
A.6.03 信息安全意识、教育和培训
A.6.04 违规处理过程
A.6.05 任用终止或变更的责任
A.6.06 保密或不泄露协议
A.6.07 远程工作
A.6.08 报告信息安全事态
A.7.01 物理安全边界
A.7.02 物理入口
A.7.03 办公室、房间和设施的安全
A.7.04 物理安全监控
A.7.05 外部和环境威胁的安全防护
A.7.06 在安全区域工作
A.7.07 清理桌面和屏幕
A.7.08 设备选址和保护
A.7.09 组织场所外的资产安全
A.7.10 存储介质
A.7.11 支持性设施
A.7.12 布缆安全
A.7.13 设备维护
A.7.14 设备的安全处置或再利用
A.8.01 用户终端设备
A.8.02 特许访问权
A.8.03 信息访问限制
A.8.04 源代码的访问
A.8.05 安全的身份验证
A.8.06 容量管理
A.8.07 恶意软件防范
A.8.08 技术脆弱性管理
A.8.09 配置管理
A.8.10 信息删除
A.8.11 数据屏蔽
A.8.12 数据泄露防护
A.8.13 信息备份
A.8.14 信息处理设施的冗余
A.8.15 记录日志
A.8.16 监控活动
A.8.17 时钟同步
A.8.18 特权实用程序的使用
A.8.19 在操作系统上安装软件
A.8.20 网络安全
A.8.21 网络服务的安全
A.8.22 网络隔离
A.8.23 网页过滤
A.8.24 加密技术的使用
A.8.25 安全开发生命周期
A.8.26 应用程序安全要求
A.8.27 安全系统架构和工程原则
A.8.28 安全编码
A.8.29 开发和验收中的安全测试
A.8.30 外包开发
A.8.31 开发、测试和生产环境的分离
A.8.32 变更管理
A.8.33 测试信息
A.8.34 审计测试期间信息系统的保护