还剩1页未读,继续阅读
文本内容:
业务连续性与安全事件的负责人员、访谈概况被访人姓名访谈人访谈记录时间地址
二、访谈内容
1.是否建立了管理职责和规程,以确保快速、有效和有序的响应安全事件?
2.安全事件是否能通过适当的管理渠道尽快地上报?
3.是否对所有信息安全事件都及时地汇报和响应?
4.是否对信息安全事件的结果进行了文字记录,并存档?
5.是否要求用户及时报告其发现或者怀疑系统存在的弱点和面临的威胁?
6.是否告知所有用户不要私自处理安全漏洞?
7.是否对安全事件进行分类?
8.是否有报告安全事件的流程和相应的处理流程?这些事故包括1)信息系统故障和服务丢失;2)拒绝服务;3)业务数据不完整或不准确产生错误;4)违反保密性
9.是否有有效的机制和流程来分析安全事件和故障的类型、大小和造成的损失等?
10.是否对安全事件进行分析和对导致事件发生的原因进行总结?
11.是否规定安全证据收集的流程和方式(安全事件发生时,用户应明白怎样收集证据,包括将问题的征兆和屏幕上显示的消息记录下来,将该计算机隔离,并立刻将问题报告给网络安全管理人员)?
12.是否存在一个业务连续性计划的框架,保证所有计划前后一致,确定测试和维护的优先级别?
13.是否定期进行应急演练,业务连续性计划是如何确定的?
14.当关键业务受到影响时,是否有可行的措施来进行维护和恢复?
15.是否已建立、文件化、实施和维护过程、规程和控制措施
16.业务连续性保障计划是否能确保关键操作能及时恢复
17.对连续性的业务计划是否有常规的测试和及时更新,以保证其有效性?
18.信息处理设备是否进行了冗余部署?
19.信息系统的设计、操作、使用和管理中是否依据了成文、法规或合同安全的要求
20.有没有相应的措施确保在使用软件和采用资料时严格遵守知识产权保护法?
21.是否有专门的管理人员来负责数据保护?
22.是否所有员工都有数据保护的意识?
23.是否有相应的措施来确保加密控制的使用符合相应的国家法律、法规?
24.加密控制的使用是否符合相关的法律规程?有否寻求专业的法律咨询?
25.是否定期对信息安全处置和实施方法进行评审?
26.是否对整个的安全策略执行状况都进行定期的审查?
27.是不是所有管理者都会检查其责任范围内的行为是否被安全地被实行?
28.有没有经常核对信息系统的安全执行状况是否符合安全标准?
29.主机和数据库的变更或配置修改是否有相应的控制措施吗,是否有归档记录?。