ISO27001-2013信息资产风险评估表

ISO27001：2013信息资产分类分级管理制度

信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

ISO27001：2013信息资产分类分级管理制度

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

ISO27001：2013信息资产识别表

编号
D1
N
none
数据资产
重要敏感数据：非敏感重要数据配置数据，防火墙数据公司内部非敏感数据及第三方非敏感数据普通数据
数据资产范围资产
据
F
file
据仅限业务人员访问，传加密保存在服务器上仅限业务相关业务人落地，仅可保存在服 T2 如果发生安全事故，会对公司运营活动造成较大影响，并对公司造成较大的经济损失仅限业务人访问，传播过程不落地，加密保存在服务器上 P2 采购人员：采购部信息监管者：运营部信息管理者：源代码管理人员、各信息系统管理人员开发人员：平台开发部，云计算与移动互联网开发部，应用创新部、大数据开发部、云呼叫业务开发部仅限人力资源管理人员访问和总监访问，其个人信息存放在保仅限业务相关业务人员访问，可通过移动介质传播，可保存在任何介质中 T3 因其他可能的原因，使服务中断，不会直接对公司运营和经济造成影响的第三方服务仅限业务人访问，可使用移动介质拷贝传播，使用完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播、访问、拷贝、保存在任何介质中
人力资源相关人员：人力资源部项目人员、金点部、战营办公固定资产管理人相关第三方：最终客户部、客增部、服务运营委员：行政部、来自外单位的专业服员会其他相关人员：业务务机构流程部、市场部、总裁办仅限人力资源管理人员和主管访问，其个人信息由人力资源部保管仅限人力资源管理人员和主管访问，其个人信息由人力资源部由相关主管人员访问，其个人信息由相关主管人员保存。
D T
-
data team person
资产范围软件资产
非脚本源代码

ISO IEC 27001-2013信息安全管理体系法律法规要求符合性评价表

2012
2012
符合
43
44
GB/T 12505-1990计算机软件配置管理计划规范
2012
2012
符合
44
45
GB/T 19001-2008质量管理体系要求
2009
2009
符合
45
46
GB/T 14079-1993软件维护指南
1993
1993
符合
46
47
卫医政发（2010）114号基于Web的嵌入式监控系统
GB50057-94
符合
70
《低压配电设计规范》
GB50054-95
符合
71
《通讯机房静电防护通则》
YD/T754-95
符合
72
《环境电磁卫生标准》
GB9175-88
符合
73
《电磁辐射防护规定》
GB8702-88
符合
74
《电子计算机机房工程施工及验收规范》
SJ/T30003-93
符合
音视频设备
76
《终端的声学特性技术要求》
3GPP 26.131
符合
77
《语音和视频电话终端声学测试规范》
3GPP 26.132
符合
78
《扬声器主要性能测试》
GB/T 9396
符合
79
《传声器测量方法》
GB/T 9401
符合
80
《声压法测定噪声源声功率级混响室精密法》
GB 6881_ISO374
符合
81
《声压法测定噪声源声功率级》
GB 6882-2008-T
1993.02.22
全国人大常委会
符合

信息安全管理体系ISO27001-2013内审检查表

被审核部门
市场部
审核成员李子叶审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查要素/条款
核查事项
核查记录
符合项
8.2
信息安全有信息安全风险评估报告，记录了风险评估的时间、人员 √
风险评估、资产数量、风险数量、优先级等。
8.3
信息安全有信息安全风险评处置计划，记录了风险评估的时间、人 √
决安全
A.15.1.3 信息与通查《相关方服务保密协议》，包括信息与通信技术服务以 √ 信技术供及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供应商服有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务的监视情况。
和评审
A.15.2.2 供应商服目前供应商服务无变更。务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置员、资产数量、风险数量、优先级等。
A.15.1.1
供应商关有《相关方信息安全管理程序》，规定相关部门应协同行 √ 系的信息政部识别供应商对信息资产和信息处理设施造成的风险，安全策略并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在供应商的查控有制《。相关方服务保密协议》，所有与外部相关方合作而 √ 协议中解引起的安全需求或内部控制都应在协议中反映。

ISO27001：2013信息资产风险接受、残余风险审批表

ISMS-0105-JL06
信息资产风险接受、残余风险审批表
资产名称失效模式
即时通讯
资料泄漏
影响
资料的安全性大大降低
威胁
对该类软件使用的监控成本过高或难以监控
脆弱点
即时通讯软件的特性
RPN
使用QQ需申
请，购买网 3
6
4
72
管软件或在
单独的网段
申请风险接受/残余风险理由
资产责任部门：技术部资产责任人：申请时间：同意把该风险做为残余风险并接受其风险
信息安全管理委员会审议意
见
管理者代表：同意把该风险做为残余风险并接受其风险
批准时间：
批准
总经理：备注
批准时间：
中使用
3
6
4
72
虽然公司对电脑的使用实行了防护制度，而且网管会定期对员工的电脑进行检查，但这仍未从本质原因上解决安全隐患。目前比较有效的措施是购买高性能的网管软件或在单独的网段中使用来加以控制，但这成本都比较高。根据目前公司的发展水平，仍未达到必须购买这的程度。因此经过风险控制和实施成本的综合考虑，建议在现有控制措施的基础上，把此项风险作为残余风险。

ISO27001-2013信息安全管理体系内部审核检查表`

ISO27001-2013信息安全管理体系内部审核检查表`被审核部门：审核时间：2020.01.06 编写人：被审核部门代表确认：内审员：管理者代表：审核依据：ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险？2、组织管理者是否了解组织外部环境，包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等？3、组织管理者是否明确组织的风险管理过程和风险准则？4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方？2、组织是否明确了这些相关方与信息安全有关要求？（包括法律法规要求和合同要求）4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围？2、组织的适用性声明，是否针对实际情况做合理删减？3、组织对信息安全管理范围和适用性是否定期评审？4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容？4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度？2、信息安全制度有安全策略、管理制度、操作规程等构成？5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标，并且这些方针和目标与组织的业务息息相关？2、组织的业务中是否整合了信息安全管理要求？3、组织为实施信息安全管理，是否投入了必要的资源？（人、财、物）4、组织管理者是否在范围内传达了信息安全管理的重要性？5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致？2、组织制定的信息安全方针是否与信息安全目标相一致？3、组织制定的信息安全方针是否可以体现领导的承诺？4、组织制定的方针是否在信息安全管理手册中体现？5、组织制定的方针是否已经传达给全体员工？并且在适当的时候也传达给第三方。

ISO27001：2013信息安全风险评估表(含附属全套表单)

5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表，用于资产风险风识险别计。算结果对应风险等级的参照表，用于确定风险级别。
资产的资产主要指与信息系统直接相关的资产，如信息：信息系统上传输的数据、信息系统的设计开发文档软件：信息系统正常运行所需的应用、中间件、数据库、操作系统等硬件：信息系统正常运行所需的服务器、小型机、磁盘柜等关键活动包含的资产主要指活动进行所必须的6类资产，如硬件：各部门用于存储、处理、传输日常办公及客户信息的各种设备和介质，例如移动硬盘、台式机、计算机等。软件：各种本部门安装使用的软件，包括操作系统、中间件、数据库、应用软件、工具应用软件、终端安全软件等。信息：括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件明细列举。人员：本部门各种对信息资产进行使用、操作和支持的人员角色，含为部门提供各种服务的外部人员（例如长期驻场外包人员）。物理环境：承载硬件资产和信息资产的设施。非计算机硬件类的实体。服务：各种本部门通过购买方式获取的，或者需要支持部门特别提供的，支持或协助日常业务进行的服务。
资产的类型、赋值、所处位置相同时，可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同，但资产赋值不同时，若采取的控制措施相同，威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受，暂不采取除现有控制措施以外的控制措施时，残余风险与风险值一致。
信息安全风险评估清单
编号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划

ISO27001：2013运营部信息安全风险评估记录

2
存储介质故障
无备份安全策略
4
2
3
4
7
14
开发库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
受控库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
产品库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
delphi
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Sql server 2000
10
运行错误,无法使用
风险评估记录
部门：运营部
资产名称
重要度
面临威胁
脆弱性
暴露
影响①
容易度
措施
可能性②
风险
有效
① X ②
台式计算机
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
数据损坏丢失
无备份策略
5
10
4
3
7
70
10
数据泄密
无口令策略
4
8
4
4
8
64
服务器
10
非授权访问
配置被修改
4
8
4
4
8
64
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
进水
硬件损坏系统无法正常运行
2

ISO27001-2013 控制项差距评分工具表

用户责任目标：确保用户对认证信息的保护负责。
A.9.3.1 认证信息的使用
应要求用户遵循组织的规则使用其认证信息。
A.9.4
系统和应用访问控制目标：防止对系统和应用的未授权访问。
A.9.4.1 信息访问限制
应基于访问控制策略限制对信息和应用系统功能的访问。
A.9.4.2 安全登录程序
在需要进行访问控制时，应通过安全的登录程序，控制对系统和应用的访问。
A.8.1.4 资产的归还
在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织资产
A.8.2
信息分类目标：确保信息资产是按照其对组织的重要性受到适当级别的保护。
A.8.2.1 信息分类
应根据法规、价值、重要性和敏感性对信息进行分类，保护信息免受未授权泄露或篡改。
A.8.2.2 信息标识
A.9.2.3 特权管理
应限制及控制特权的分配及使用。
A.9.2.4 用户认证信息的安全管理用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。
A.9.2.5 用户访问权限的评审
资产所有者应定期审查用户访问权限。
A.9.2.6 A.9.3
撤销或调整访问权限
在跟所有员工和承包商人员的就业合同或协议终止和调整后，应相应得删除或调整其信息和信息处理设施的访问权限。
A.8
资产管理
A.8.1
资产的责任目标：识别组织资产并确定适当的保护责任。
A.8.1.1 资产清单
应识别信息和信息处理设施的相关资产并制定和维护资产清单。
A.8.1.2 资产责任人
资产清单中应指定资产责任人。
A.8.1.3 资产的合理使用
应明确信息和信息处理设施相关资产的合理使用准则，形成文件并实施。

ISO IEC27001-2013信息安全管理体系内部审核检查表

检查信息资产清单，各类信息资产是否依照规则进行了分类和分级；
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度，制度中是否已明确制定了资产的处理措施；
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单，查看物品归还情况
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中，是否明确指定了与监管机构联系的部门或负责人
现场观察
A.6.1.3
抽样
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施，检查其是否符合制度要求
抽样
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略，包括加密的对象、加密的方法、解密的方法等。
抽样
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。
现场观察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录，检查管理评审会议中，是否对信息安全方针的达成情况进行了评审。

ISO27000-2013风险评估报告

信息安全风险评估报告INFORMATION SECURITY RISK ASSESSMENT REPORT2017年度编制：吴永娟审核：郭晓锋批准：季小秋2017年12月30日信息安全风险评估报告目录一、风险评估目的二、风险评估日期三、评估小组成员四、评估方法1. 综述2．术语3. 资产的识别4. 威胁及薄弱点的识别与评价5. 风险计算/确定风险等级五、风险评估概况1、本项目涉及的部门2、本项目涉及的流程或系统3、资产情况4、风险情况六、总结附加说明，附录：附录一《信息资产清单》。

附录二《重要信息资产清单》。

附录三《信息安全风险评估表》。

附录四《不可接受风险清单》附录五《风险处理计划》。

信息安全风险评估报告一、风险评估目的：为本公司依据GB/T22080-2008 IDT ISO27001:2013《信息技术-安全技术-信息安全管理体系要求》和GB/T22080-2008 IDT ISO27001:2005《信息技术-安全技术-信息安全管理体系实用规则》标准建立信息安全管理体系提供策划依据，并为信息安全管理体系的运行提供评审的输入及管理体系的持续改进提供依据，进行本次风险评估。

二、风险评估日期：2017.12.30三、评估小组成员：王旭、郭晓锋、张佳、吴永娟、张霞四、评估方法：本次信息安全风险评估采用定量的方法对资产进行识别，并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值，综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度，在此基础上得出综合结果，根据制定的重要资产评价准则，确定重要资产。

对信息资产的威胁及薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能性，以及在资产自身价值、保密性、完整性、可用性、法律法规合同的符合性方面的潜在影响，并考虑现有的控制措施，进行赋值分析，确定风险等级和接受程度。

资产（Asset）是组织要保护的资产，它包括硬件、软件、系统、数据、文档、服务、人力资源等。

ISO27001：2013内审检查表(含附属各个部门EXCEL表)

陪同人员
核查记录有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人。有用户访问权审查记录。所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改,用户定期变更口令等。公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。
文件编号：CDTY-RPZ-17
被审核部门市场部审核成员
版本号：A
审核日期 2015/12/2
8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1 审核主题 .1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1 .2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 核查核查事项要素/条款 8.2 信息安全风险评估 8.3 信息安全风险处置 A.6.1.1 信息安全角色和职责
符合项 √ √ √
观察项
不符合项
A.8.1.1
资产清单
√
A.8.1.2 A.9.2.5 A.9.4.3
资产责任主体用户访问权限的复查口令管理系统

【完整内容】ISO27001-2013信息安全管理体系信息安全风险评估表

3
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划

ISO27001-2013信息安全管理体系风险评估报告

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

ISO27001评估表

Business Impact Analysis (BIA)
Change Initiation Request (CIR)
Climate Control System
Glossary
Page 1 of 6 Page(s)
Shared Assessments Program
Standardized Information Gathering Questionuary 14, 2008
Cold Site
Complex Password Confidentiality Constituent Contractor DMZ (Demilitarized zone)
Enclosed Exception
External Vulnerability Scan
Acknowledgement of Acceptable Use Anti-Tailgating / Anti-Piggybacking Mechanism
Asset Classification Asset Control Tag Attribute
Baseline
Battery Biometric Reader Business Continuity Plan (BCP)
Externally Facing Extranet Facility
Fire Suppression System Firewall
Firewall Rule Fluid Sensor Gateway General Perimeter
Generator Hardware Systems Heat Detector
A remote facility that provides the equipment necessary for data and process restoration. A password that combines alphabetic and non-alphabetic characters, such as special or numeric characters. The protection of sensitive information from unauthorized disclosure and sensitive facilities from physical, technical, or electronic penetration or exploitation. An active employee or contractor. A contracted professional with expertise in a particular domain or area. A controlled network space, delimited by firewalls or other policy-enforcing devices, which is neither inside an organization's network nor directly part of the Internet. A DMZ is typically used to isolate an organization's most highly secured information assets while allowing pre-defined access to those assets that must provide or receive data outside of the organization. The access and services provided should be restricted to the absolute minimum required. Closed in, surrounded, or included within. A result that deviates from the norm or expectation. A systematic review process using software tools designed to search for and map systems for weaknesses in an application, computer or network, which is executed from a network address outside of the target network. The intent is to determine if there are points of weakness in the security control system that can be exploited from outside the network. In network terms, the network entry point that receives inbound traffic. Refers to an intranet that is partially accessible to authorized outsiders. A structure, building, or multiple structures or buildings in which operations are conducted for the services provided. These operations include handling, processing and storage of information, data or systems, as well as personnel that support the operations. A combination of sensors and equipment designed to detect the presence of heat/smoke/fire and actuate a fire retardant or fire extinguishing system. A set of related programs, located at a network gateway server that protects the resources of private networks from other networks. Firewalls can be application/proxy, packet filtering, or stateful based. Examples of firewalls are Cisco PIX, Check Point Firewall, Juniper NetScreen and Cyberguard. Though they contain some firewall functionality, routers are not included in this definition. Information added to the firewall configuration to define the organization's security policy through conditional statements that instruct the firewall how to react in a particular situation. A mechanical device sensitive to the presence of water or moisture that transmits a signal to a measuring or control instrument. A node on a network that facilitates the communication of information between two or more nodes. An area with fully enclosed walls that extend from floor to ceiling (beyond raised floors and ceilings) surrounding the secure perimeter. This may be the same floor as the secure perimeter, if shared by other tenants in the facility, or the facility itself. A device that converts mechanical energy to electrical energy; in this sense, an engine (usually fuel-powered) that provides electrical current as input to a power source. Includes servers and network devices. A mechanical device that is sensitive to temperature and transmits a signal to a measuring or control instrument.