审核魔方---管理体系审核小工具

4.1 理解组织及其环境
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系的范围
4.4 信息安全管理体系
5 领导
5.1 领导和承诺
5.2 方针
5.3 组织内的角色、职责和权限
6 策划
6.1 应对风险和机遇的措施
6.1.1 总则
6.1.2 信息安全风险评估
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现的策划
7 支持
7.1 资源
7.2 能力
7.3 意识
7.4 沟通
7.5 文件化信息
7.5.1 总则
7.5.2 创建和更新
7.5.3 文件化信息的控制
8 运行
8.1 运行规划和控制
8.2 信息安全风险评估
8.3 信息安全风险处置
9 绩效评价
9.1 监视、测量、分析和评价
9.2 内部审核
9.3 管理评审
10 改进
10.1 不合格和纠正措施
10.2 持续改进
A.5 信息安全策略
A.5.1 信息安全管理指导
A.5.1.1 信息安全策略
A.5.1.2 信息安全策略的评审
A.6 信息安全组织
A.6.1 内部组织
A.6.1.1 信息安全的角色和责任
A.6.1.2 职责分离
A.6.1.3 与职能机构的联系
A.6.1.4 与特定相关方的联系
A.6.1.5 项目管理中的信息安全
A.6.2 移动设备和远程工作
A.6.2.1 移动设备策略
A.6.2.2 远程工作
A.7 人力资源安全
A.7.1 任用前
A.7.1.1 审查
A.7.1.2 任用条款和条件
A.7.2 任用中
A.7.2.1 管理责任
A.7.2.2 信息安全意识、教育与培训
A.7.2.3 违规处理过程
A.7.3 任用终止和变更 　
A.7.3.1 任用终止或变更的责任
A.8 资产管理
A.8.1 有关资产的责任
A.8.1.1 资产清单
A.8.1.2 资产的所属关系
A.8.1.3 资产的可接受使用
A.8.1.4 资产归还
A.8.2 信息分级
A.8.2.1 信息的分级
A.8.2.2 信息的标记
A.8.2.3 资产的处理
A.8.3 介质处理
A.8.3.1 移动介质的管理
A.8.3.2 介质的处置
A.8.3.3 物理介质的转移
A.9 访问控制
A.9.1 访问控制的业务要求
A.9.1.1 访问控制策略
A.9.1.2 网络和网络服务的访问
A.9.2 用户访问管理
A.9.2.1 用户注册和注销
A.9.2.2 用户访问供给
A.9.2.3 特许访问权管理
A.9.2.4 用户秘密鉴别信息管理
A.9.2.5 用户访问权限的评审
A.9.2.6 访问权的移除或调整
A.9.3 用户责任
A.9.3.1 秘密鉴别信息的使用
A.9.4 系统和应用访问控制
A.9.4.1 信息访问限制
A.9.4.2 安全登录规程
A.9.4.3 口令管理系统
A.9.4.4 特权实用程序的使用
A.9.4.5 程序源代码的访问控制
A.10 密码
A.10.1 密码控制
A.10.1.1 密码控制的使用策略
A.10.1.2 密钥管理
A.11 物理和环境安全
A.11.1 安全区域
A.11.1.1 物理安全边界
A.11.1.2 物理入口控制
A.11.1.3 办公室、房间及设施和安全保护
A.11.1.4 外部和环境威胁的安全防护
A.11.1.5 在安全区域工作
A.11.1.6 交接区
A.11.2 设备
A.11.2.1 设备安置和保护
A.11.2.2 支持性设施
A.11.2.3 布缆安全
A.11.2.4 设备维护
A.11.2.5 资产的移动
A.11.2.6 组织场所外的设备与资产安全
A.11.2.7 设备的安全处置或再利用
A.11.2.8 无人值守的用户设备
A.11.2.9 清楚桌面及屏幕策略
A.12 运行安全
A.12.1 运行规程和责任
A.12.1.1 文件化的操作规程
A.12.1.2 变更管理
A.12.1.3 容量管理
A.12.1.4 开发、测试与运行环境的分离
A.12.2 恶意软件防范
A.12.2.1 恶意软件的控制
A.12.3 备份
A.12.3.1 信息备份
A.12.4 日志和监视
A.12.4.1 事态日志
A.12.4.2 日志信息保护
A.12.4.3 管理员和操作者日志
A.12.4.4 时钟同步
A.12.5 运行软件控制
A.12.5.1 运行系统的软件安装
A.12.6 技术方面的脆弱性管理
A.12.6.1 技术方面脆弱性的管理
A.12.6.2 软件安装限制
A.12.7 信息系统审核的考虑
A.12.7.1 信息系统审计的控制
A.13 通信安全
A.13.1 网络安全管理
A.13.1.1 网络控制
A.13.1.2 网络服务的安全
A.13.1.3 网络中的隔离
A.13.2 信息传输
A.13.2.1 信息传输策略和程序
A.13.2.2 信息传输协议
A.13.2.3 电子消息发送
A.13.2.4 保密或不泄露协议
A.14 系统的获取、开发及维护
A.14.1 信息系统的安全要求
A.14.1.1 信息安全要求分析和说明
A.14.1.2 公共网络上应用服务的安全保护
A.14.1.3 应用服务事务的保护
A.14.2 开发和支持过程的安全
A.14.2.1 安全的开发策略
A.14.2.2 系统变更控制规程
A.14.2.3 运行平台变更后对应用的技术评审
A.14.2.4 软件包变更的限制
A.14.2.5 系统安全工程原则
A.14.2.6 安全的开发环境
A.14.2.7 外包开发
A.14.2.8 系统安全测试
A.14.2.9 系统验收测试
A.14.3 测试数据
A.14.3.1 测试数据的保护
A.15 供应商关系
A.15.1 供应商关系中的信息安全
A.15.1.1 供应商关系的信息安全策略
A.15.1.2 在供应商协议中强调安全
A.15.1.3 信息和通信技术的供应链
A.15.2 供应商服务交付管理
A.15.2.1 供应商服务的监视和评审
A.15.2.2 供应商服务的变更管理
A.16 信息安全事件管理
A.16.1 信息安全事件的管理和改进
A.16.1.1 责任和规程
A.16.1.2 报告信息安全事态
A.16.1.3 报告信息安全弱点
A.16.1.4 信息安全事态的评估和决策
A.16.1.5 信息安全事件的响应
A.16.1.6 从信息安全事件中学习
A.16.1.7 证据的收集
A.17 业务连续性管理中的信息安全方面
A.17.1 信息安全的连续性
A.17.1.1 规划信息安全连续性
A.17.1.2 实现信息安全连续性
A.17.1.3 验证、评审和评价信息安全连续性
A.17.2 冗余
A.17.2.1 信息处理设施的可用性
A.18 符合性
A.18.1 符合法律和合同要求
A.18.1.1 适用的法律和合同要求的识别
A.18.1.2 知识产权
A.18.1.3 记录的保护
A.18.1.4 隐私和个人可识别信息保护
A.18.1.5 密码控制规则
A.18.2 信息安全评审
A.17.2.1 信息处理设施的可用性
A.18.2.1 信息安全的独立评审
A.18.2.2 符合安全策略和标准
A.18.2.3 技术符合性评审