本文件知识产权归上声所有,未经授权禁止复制与传播 [密级:★]]
ISP22F01 V1
供应商信息安全风险评估表
供应商名称: 评估日期: 评估人:
项目 序号 评估项 规定
回
答
备注 得点
1、
组
织
管
理
1-1
建立信息安全管理相关组织体制吗 1 是 1
1-2
制定信息安全相关规则的书面文件吗 1 是 1
1-3 对于组织内的信息安全实施项目,要明确责任人及相关任务和责任吗 1 是 1
1-4
制定员工信息安全的教育计划吗 1 是 1
*1-5 劳动合同有关于保密的条款,取得员工签署的保密协议吗 1 是 1
1-6 规定了有组织的信息安全活动的自主检查内容吗 1 是 1
1-7 针对自主检查的结果、明确了的不符合事项,制定了改善计划并关闭了吗 1 是 1
2、
明
确
机
密
信
息
以
及
交
换
机
密
信
息
的
管
理
2-1
制定本公司的机密信息清单,使机密信息明确化吗 1 是 1
2-2 对于机密信息进行适当的安全管理吗 1 是 1
2-3 对于共享机密信息的委托对象(如供应商)等有建立管理列表吗 1 是 1
*2-4 与委托对象等签订包括如下规定的条款在内的保密合同(或包括了保密条款的合同)
吗
1
是 1
a.) 守秘义务
b.) 成为保密对象的信息的范围
c.) 保密义务期限(也包括无限期)
d.) 使用目的的限制
e.) 访问者应限定为在业务上须了解该信息的人员
f.) 对指定重要机密信息的管理方法
g.) 限制对指定重要机密信息进行复制
h.) 规定在保密期限期满后返还或废弃
i.) 由本公司进行保密相关确认(提问和监查等)措施的规程
j.) 违反合同时的措施
k) 禁止擅自进行再委托
l) 禁止使用私人电脑处理业务
2-5
与本公司一样,供应商在和其委托对象等之间也有制定机密信息的交换相关规则吗 1
是 1
a.) 本公司交给供应商的信息,原则上禁止对第三方公开吗
b.) 须交换和公开机密信息时,要事先取得本公司的认可后再实施吗
c.) 以电子文件的形式发送和接收机密信息时,要实施加密吗
2-6
在供应商和其委托对象等之间制定了信息的返还和回收的规则吗 1
是 1
a.) 明确业务结束时的返还和回收的方法、期限及责任人了吗
3、
物
理
的
管
理
3-1 为了能够限制无关人员进入公司区域、建筑物以及房间内,进行了区域区分了吗 1 是 1
3-2
只许可须了解信息的人员进入吗 1
是 1
a.) 仅限责任人判断为在业务上必要的人员/情况下,才允许进入吗
3-3 必要时,须设置围墙、ID卡认证、监视摄像机、传感器等吗 1 是 1
3-4
定期地对进出记录(包含摄象机图象)进行监查吗 1 是 1
3-5
有区别员工和外来人员的方法吗 1 是 1
3-6
建立了仅限需要了解信息的人员访问机密信息的体制吗 1
是 1 a.) 机密信息要上锁保管于文件柜中吗
b.) 对试制品要进行数量管理,并将访问限制为最低限度吗
4、
带
出
、
带
入
的
管
理
4-1 禁止在业务目的以外将电脑、带摄象头的手提电话、PDA、音乐播放器、记忆媒体(SD卡、U盘等)带入处理机密信息的场所。 1
是 1
4-2
在工作中不得使用私人电脑。也禁止将私人电脑带入吗 1 是 1
4-3 对于工作中需要使用的电子媒体和电脑,制定带出规则,并加以实施吗 1 是 1
4-4
制定了记载有重要机密信息的纸张(文件)的废弃步骤。 1
是 1
a.) 对于机密资料,要用碎纸机进行裁切、溶解或烧毁。
4-5 决定了机密信息以及机密信息载体(试作品)的废弃步骤吗 1
是 1 a.) 对于设计信息等的技术载体,要进行破坏以无法读取信息吗
本文件知识产权归上声所有,未经授权禁止复制与传播 [密级:★]]
ISP22F01 V1
b.) 要与处理工业废品的企业签订保密合同吗
5、
IT
系
统
的
使
用
者
ID
和
密
码
的
管
理 5-1 访问电子化信息时,每个人要使用自己单独的ID和密码,并取得谁访问了与本公司共
享的机密信息的记录。
1 是 1
5-2 制定了ID、权限的申请规则吗 1 是 1
5-3
制定了密码的管理规则吗 1
是 1
a.) 密码同时包含有英文和数字,在6个字符以上吗
b.) 密码须定期地变更,至少要每30天变更一次吗
c.) 不得将密码借给其他人吗
5-4 要定期地实施ID权限评审吗 1
是 1
a.) 对离职者的ID、临时使用的ID等、未被使用的ID以及不正当的ID要进行检查吗
6、
IT
系
统
的
设
置
以
及
废
弃
的
管
理
6-1 有设置合适的防火墙,将业务上必要的信息设备和电脑连接于安全的公司内部系统内
吗
1 是 1
6-2 已决定了IT系统的管理/使用规则吗 1
是 1
a.) 信息要保管在服务器上,实行服务器的安全管理,而并非个人电脑里。
b.) 人员离开座位时,要将笔记本电脑上锁保管于办公桌的抽屉里、柜子等中。
c.) 带出的电脑内的数据要实施加密,在万一被盗时,可避免数据被读取。
d.) 带出电脑期间,应随时带在身边。
e.)离开座位时,可锁屏,可把屏幕设置为在3~5分钟内无输入的状态下,可通过带密
码的屏幕保护程序锁定屏幕。离开座位时,要锁定屏幕或退出系统。
6-3 决定了IT系统的废弃和再使用规则吗(包含故障交换的场合) 1
是 1
a.) 制定了将硬盘内的信息完全删除或进行物理破坏的规则吗
6-4
服务器设置在了可确保安全的合适场所吗 1 是 1
6-5 对于服务器管理场所的出入进行限制吗 1 是 1
7、
非
法
程
序
的
对
策
7-1 针对电脑病毒和非法程序,制定了相应的对策和规则吗 1 是 1
7-2 实施了病毒和非法程序的对策和规则吗 1 是 1
7-3
制定相应规则,以使受病毒的危害被控制在最小限度吗 1 是 1
7-4 禁止安装和使用Peer to Peer软件(Winny、Share等的文件交换软件)了吗 1 是 1
7-5
定期确认是否安装了禁止软件吗 1 是 1
8、
实
施
备
份
8-1
制定了备份的规则吗 1
是 1 a.) 对于重要系统,研究了备份的必要性和频度吗
b.) 确保了事业的可持续性吗
8-2
按照规则定期地实施了备份吗 1 是 1
9、
事
件
处
理
9-1 设置了事故发生时的联络/处理的责任人,建立事故报告体制吗 1 是 1
9-2 对于与本公司共享的机密信息,在发现了事件事故时,要迅速向本公司通报吗 1 是 1
9-3
完善发生了信息安全事故时的处理手册,明确步骤了吗 1
是 1
a.) 把握受害状况和使受害影响最小化的紧急处理了吗
b.) 查明原因和暂定措施了吗
c.) 应采取相应措施,以在信息泄露时可向该第三方报告等要求吗
d.) 必要时,应进行宣传处理,向相关政府机关报告了吗
9-4 记录事故的经过和处理的过程了吗 1 是 1
总计 44 44
说明:1. 在回答“否”的情况下,如通过另行采取管理对策而排除了风险的情况下,请将详细内容填入备注栏。
2. 最终得分≥32分且满足1-4,2-5两个关键项符合,即为供应商信息安全风险评估通过,否则视为不通过。
4、
带
出
、
带
入
的
管
理
是 1
供应商信息安全风险评估表
供应商名称: 评估日期: 评估人:
项目 序号 评估项 规定
回
答
备注 得点
