文本内容:
安全管理人员
一、访谈概况被访人姓名访谈人访谈记录时间地址
二、访谈内容
1.公司的密钥的类型有哪些?
2.公司采用了哪些机制保护所有密钥,防止修改和破坏?
3.是否考虑所用签名算法的类型和质量,所用密钥的长度?(数字签名所用的密钥应与加密所用密钥不同)密钥管理机制是否基于相同的一套标准、程序和安全方法?
4.实施秘钥策略时,是否遵循相关国家应用密码技术的规定和限制?
5.用户密码是如何管理的?
6.系统特权账户是如何分配的?
7.生产系统部署了何种防病毒系统?用的是哪家厂商的产品?系统病毒库是否定期更新?
8.生产系统漏洞扫描和渗透性测试多久做一次?是外包的,还是内部人员执行的?如果是外包的,是否签订相应的保密协议和授权书?是否对外包人员使用的扫描软件进行限制并对操作行为进行日志监控?
9.对内外部扫描的这种行为,我们会进行日志监控吗?
10.办公电脑的使用遵循哪些安全要求?(登陆密码、屏保、硬件拆装、软件安装、防病毒更新)
11.对于员工自带的电脑是如何管理的?接入公司网络前是否要进行安全检查?
12.员工出差需耍外带电脑,审批流程如何?
13.离职人员电脑是否会格式化之后再交给新员工使用?
14.员工发生电脑遗失或失窃,会如何处理?
15.公司是否允许使用U盘等移动存储介质,移动存储介质是公司统一分发的还是员工自带的?移动存储介质在管理上遵循了哪些安全要求?
16.上海宝付是否有SOC日志收集平台吗?
17.系统开发是否遵循相应的安全开发流程及安全代码编写规范?会定期对代码进行审查
18.测试完毕后的测试账号都会删除吗?
19.系统有安全基线标准吗?会定期更新维护吗?参照哪些标准
20.部门有专门的共享文件夹吗?有没有用户访问的权限列表?
21.网络出口这里部署了哪些安全产品?是ALL inONE设备吗?是串联部署的吗?是否定期对IPS/IDS/WAF防护设备策略有效性进行评估?
22.系统开发阶段是否会按照安全编码规范来执行?公司是否有代码审计人员,对代码的安全性进行定期的审计?
23.系统开发上线前是否做安全测试?包括哪些方面?在项目管理中是否有信息安全方面的考虑?
24.是否有针对可移动设备的信息安全管理规范?
25.对远程工作是否有规范策略?
26.有无明确说明可以开展的工作、工作时间、可以保管的信息种类以及远程工作人员有权访问的内部系统和服务?
27.当结束雇佣关系、合同或协议时,所有相关员工、承包方和第三方用户是否都归还了所使用的公司的资产?
28.有没有根据机密程度和商业重要程度对数据和信息分类?
29.是否已建立了合适的信息标记规程?每份机密信息是否都有可以识别的标记或标识?
30.对不再使用的存储介质(如硬盘、磁盘)是否进行了安全妥善的处理?
31.是否对信息的传输过程中进行保护以防止非授权访问、滥用和破坏?
32.桌面清理和使用屏幕保护的明文规定,以保护信息?
33.是否规定安全证据收集的流程和方式(安全事件发生时,用户应明白怎样收集证据,包括将问题的征兆和屏幕上显示的消息记录下来,将该计算机隔离,并立刻将问题报告给网络安全管理人员)
34.信息处理设备是否进行了冗余部署?
35.信息系统的设计、操作、使用和管理中是否依据了成文、法规或合同安全的要求?
36.有没有相应的措施确保在使用软件和采用资料时严格遵守知识产权保护法?
37.记录是否按记录类型(会计记录、数据库数据和日志、网管日志、审计日志和操作程序等)进行分类,每种记录是否说明详细的保管时间和存储介质类型?
38.是否有专门的管理人员来负责数据保护?
39.是否所有员工都有数据保护的意识?
40.是否有相应的措施来确保加密控制的使用符合相应的国家法律、法规?
41.加密控制的使用是否符合相关的法律规程?有否寻求专业的法律咨询?
42.是否对整个的安全策略执行状况都进行定期的审查?
43.是不是所有管理者都会检查其责任范围内的行为是否被安全地被实行?
44.有没有经常核对信息系统的安全执行状况是否符合安全标准?
45.是否制定了主机和数据库用户账号的管理制度,对各个主机和数据库用户账号的人员、权限以及账号的认证和管理方式做出明确规定?
46.设备被弃用或报废之前,是否删除了其上存储的敏感信息,并使之不能恢复?、
47.员工是否遵守软件许可策略,禁止使用未被允许使用的软件或私下安装的软件,禁止使用盗版软件?
48.有无出台软件版权符合性策略,对合法使用软件和信息产品进行明确规定?
49.是否与每个可能访问、处理、存储组织信息、与组织进行通信或为组织提供IT基础设施组件的供应商建立并协商所有相关的信息安全要求?
50.是否明文规定未经授权,不允许将设备、信息或软件带离?
51.对系统审计工具的使用是否有适当的限制,以防止滥用?
52.对于新建信息系统和新版本升级系统,是否进行了系统安全测试?。
个人认证
优秀文档
获得点赞 0
