ISO27001调查问卷 填写目的：在于帮助建立适合自身需要的信息安全管理体系。 答题需知： 被调查者针对ISO27001确定的11个领域所覆盖控制措施，回答在这些控制方面所达到的程度，分为四个等级：2－控制已经建 立，并能正常起作用，1－控制部分起作用，0－控制没有建立，-1－此内容不适用。请把分值填写在缺省为“0”的表格内。 被调查人： 部门： 职务： 联系方式： 编号 标准编号 A.5 部分 安全政策(Security Policy) 问题 分值 控制目标：依照营运要求及相关法律与法规，提供管理阶 层对信息安全之指引与支持。 A.5.1 信息安全政策0 控制措施 1 A.5.1.1 信息安全政策文件 信息安全政策文件应由管理阶层核准，并公布与传达给所 有聘雇人员与相关外部团体。 问题 编号 标准编号 部分 A.6 信息安全的组织 (Organization of information security) A.6.1 内部组织 控制目标：在组织内管理信息安全。3 4 管理阶层对信息安全的承诺 控制措施 管理者应通过清晰的方向、可见的承诺、明确的任 务分配、信息安全职责沟通在组织内积极支持安全 控制措施 A.6.1.1 A.6.1.2 信息安全协调合作 信息安全活动应由组织的各个部门及各种相关角色和职能 的代表进行协作 控制措施 应明确界定所有信息安全职责。 控制措施5 6 信息安全职责的分派 A.6.1.3 A.6.1.4 信息处理设施的授权过程 A.6.1.4 A.6.1.5 信息处理设施的授权过程 保密协议 应确定并实施新的信息处理设施的管理授权过程 控制措施7 应识别并定期评审组织的保密或非扩散协议。该协议应反 应组织对于信息保护的要求。 控制目标：维持由外部团体存取、处理、通讯或管理之组 织信息与信息处理设施的安全 A.6.2 外部团体 11 12 13 鉴别与外部团体有关的风险 控制措施 A.6.2.1 应识别来自外部组织的业务过程的信息和信息处理设施的 风险，并在允许访问前实施适当的控制 控制措施 应在允许顾客访问组织的信息或资产前强调所有 的安全要求 A.6.2.2 A.6.2.3 当与顾客接触时强调安全 在第三方协议中强调安全 控制措施 凡涉及存取、处理、通讯或管理组织的信息或信息处理设 施，或在信息处理设施上附加产品或服务者，应在与第三 方签署的协议中涵盖所有相关的安全要求。 编号 标准编号 部分 问题 A.7 资产管理 A.7.1 资产职责 资产列表 控制目标：达成并维持组织资产的适当保护。 控制措施 14 15 16 A.7.1.1 应清楚识别所有的资产，编制并保持所有重要资产列表 A.7.1.2 A.7.1.3 资产的所有权 控制措施 所有与信息及信息处理设施有关的资产应指定组织的部门 负责，确定所有权关系。 资产可接受的使用方式 控制措施 应识别信息及与信息处理设施有关的资产的可接受的使用 A.7.2 信息分类 控制目标：确保信息受到适当等级的保护 17 18 分类指南 控制措施 应按照信息的价值、法律要求及对组织的敏感程度和关键 程度进行分类 控制措施 A.7.2.1 A.7.2.2 信息标示与处理 应依照组织所采用的分类方案，发展与实施一套适当的信 息标示与处理程序。3 解释：“所有者”系指负有经过核准之管理职责的个人或实体，控制资产的生产、发展、维护、使用及安全。 "所 有者"一词并非该人员真正对资产有任何财产权。 编号 标准编号 部分 问题 A.8 人力资源安全 控制目标：确保聘雇人员、承包商及第三方使用者了解其 职责，并适合其所考虑的角色与降低设施的窃盗、诈欺或 误用的风险 A.8.1 聘用之前 19 20 角色与职责 控制措施 A.8.1.1 聘用人员、承包商及第三方使用者的安全角色与职责，应 依照组织的信息安全政策加以界定与文件化 控制措施 应根据相关的法律、法规和道德，对所有的求职者、合同 方和第三方用户进行背景验证检查，该检查应与业务要求 、接触信息的类别及已知风险相适宜 控制措施 A.8.1.2 A.8.1.3 筛选 21 聘用条款 作为合同责任的一部分，员工、合同方和第三方用户应同 意并签署他们的雇佣合同的条款。这些条款应规定