TISAX第一版审核要求
5 安全政策
TISAX认证
5.1 信息安全政策制定、发布和分发的程度如何?
(参考 ISO 27002:控制 5.1.1 和 5.1.2)
6 信息安全组织
6.1 公司内部如何组织信息安全?
(参考 ISO 27002:控制 6.1.3)
6.2 在与外部公司签约之前,是否对人员和组织风险进行了风险分析?
(参考 ISO 27002:控制 6.2.1)
6.3 与外部公司合作如何确保保密协议?
(参考 ISO 27002:控制 6.2.3)
7 资产管理
7.1 “公司的(实物和数字)资产如何盘点?
“
(参考 ISO 27002:控制 7.1.1)
7.2 《公司信息如何分类?
“
(参考 ISO 27002:控制 7.2.1)
8 人力资源安全
8.1 员工在多大程度上有义务遵守信息安全要求?
(参考 ISO 27002:控制 8.1.3)
8.2 如何对员工进行培训并使其了解处理有关信息及其处理的威胁?
(参考 ISO 27002:控制 8.2.1 和 8.2.2)
8.3 在就业变化的情况下,访问权限或授权在多大程度上被调整(授予/撤销权利)以及这些变化是如何记录的?
(参考 ISO 27002:控制 8.3.1 和 8.3.3)
9 物理和环境安全
9.1 如何定义安全区域以及如何保护它们?
(参考 ISO 27002:控制 9.1.1)
9.2 公司对物理威胁(例如火灾、地震等)的准备程度如何?
(参考 ISO 27002:控制 9.1.4)
9.3 公司内部的门禁管理是如何组织的?
(参考 ISO 27002:控制 9.1.6)
9.4 为保护已交付或已发货的货物采取了哪些预防措施?
(参考 ISO 27002:控制 9.1.6)
9.5 如何定义资源使用(包括清除、处置和回收)的过程?
(参考 ISO 27002:控制 9.2.5、9.2.6 和 9.2.7)
10 通信和运营管理
10.1 公司内部系统在多大程度上建立了变更管理,这些系统是最新的吗?
(参考 ISO 27002:控制 10.1.2)
10.2 开发和测试设施/系统与运营设施/系统的分离程度如何?
(参考 ISO 27002:控制 10.1.4)
10.3 外部公司提供的服务、报告和记录如何对信息安全进行监控和审计/检查?
(参考 ISO 27002:控制 10.2.2)
10.4 公司内部针对恶意软件(病毒、蠕虫等)的防护已开发到何种程度?
(参考 ISO 27002:控制 10.4.1)
10.5 本地防火墙和/或 HIDS/HIPS 软件在多大程度上安装在所有系统上?
(参考 ISO 27002:控制 10.4.1)
10.6 对活动内容(例如 ActiveX-Controls、Java-Applets)采取了何种程度的安全措施?
(参考 ISO 27002:控制 10.4.2)
10.7 如何创建和控制数据备份,定期测试恢复到什么程度?
(参考 ISO 27002:控制 10.5.1)
10.8 如何管理和控制网络以保护它们免受威胁?
(参考 ISO 27002:控制 10.6.1)
10.9 公司内部对调制解调器设备(如模拟、ISDN、DSL、UMTS、GPRS 等)的使用如何监管?
(参考 ISO 27002:控制 10.6.1)
10.10 网络服务(例如DNS、DHCP、VPN、MPLS、ERP、电子邮件、DMS……)的安全要求在多大程度上被定义和实施?
(参考 ISO 27002:控制 10.6.2)
10.11 网络服务(例如DNS、DHCP、VPN、MPLS、ERP、电子邮件、DMS……)的服务水平协议(SLA)在多大程度上完成?
(参考 ISO 27002:控制 10.6.2)
10.12 关于移动存储介质(例如磁带、USB 记忆棒、USB 硬盘驱动器、CD、DVD 等)处理的政策在多大程度上存在?
(参考 ISO 27002:控制 10.7.1)
10.13 安全处置不再需要的计算机媒体的流程在多大程度上存在?
(参考 ISO 27002:控制 10.7.2)
10.14 在物理运输包含机密信息的媒体(例如 CD、DVD、纸质文件)(例如 DHL、UPS)时,采取了何种程度的预防措施?
(参考 ISO 27002:控制 10.8.3)
10.15以电子方式交换机密信息时采取了 哪些预防措施?
(参考 ISO 27002:控制 10.8.4)
10.16 系统管理员和操作员的活动如何登录关键系统?
(参考 ISO 27002:控制 10.10.4)
10.17 流程的定义和实施在多大程度上满足了有关监控和记录信息系统使用情况的法律要求?
(参考 ISO 27002:控制 10.10.1、10.10.2、10.10.3 和 10.10.5)
11 访问控制
11.1 在多大程度上存在用户注册、更改和删除流程以确保对所有信息系统和服务的适当访问?
(参考 ISO 27002:控制 11.2.1)
11.2 如何授予和检查各种用例的用户和管理员权限?
(参考 ISO 27002:控制 11.2.2 和 11.2.4)
11.3 关于创建和处理个人密码的政策在多大程度上被定义?
(参考 ISO 27002:控制 11.3.1)
11.4 已在何种程度上定义了概述密码结构和复杂程度的政策,以及为使用和向用户提供密码的规则?
(参考 ISO 27002:控制 11.2.3)
11.5 离开工作区时对处理设备和文件有什么要求?
(参考 ISO 27002:控制 11.3.3)
11.6 对远程访问公司网络的政策和措施制定和实施到什么程度?
(参考 ISO 27002:控制 11.4.2)
11.7 对系统和基础设施组件诊断和配置端口的访问对技术网络访问进行了何种程度的监控?
(参考 ISO 27002:控制 11.4.4)
11.8 通过分段/分离,网络安全性提高到什么程度?
(参考 ISO 27002:控制 11.4.5)
11.9 IT系统的访问按照数据和信息的分类实施了多少用户认证?
(参考 ISO 27002:控制 11.5.2)
11.10 该政策在多大程度上参考了与移动计算机相关的风险?
(参考 ISO 27002:控制 11.7.1)
12 信息系统获取、开发和管理
12.1 使用加密(密码学)对信息进行适当保护的程度如何?
(参考 ISO 27002:控制 12.3.1)
12.2 在购买或开发软件时,对信息安全要求的考虑程度如何?
(参考 ISO 27002:控制 12.5.4)
12.3 对信息系统技术漏洞的信息进行及时评估的程度如何,对安全实施(补丁管理)采取了何种程度的适当措施?
(参考 ISO 27002:控制 12.6.1)
13 信息安全事件管理
13.1 公司内部信息安全事件是如何以及在哪里报告的?
(参考 ISO 27002:控制 13.1.1 和 13.1.2)
13.2 信息安全事件和漏洞的评估和处理程度如何?
(参考 ISO 27002:控制 13.2.1)
14 业务连续性管理
14.1 公司内部为发展和维护业务连续性(稳定业务的连续性)采取了何种措施?
(参考 ISO 27002:控制 14.1.1)
15 合规性
15.1 在何种程度上确保了有关知识产权(例如专利、软件开发和代码等)的法律要求?
(参考 ISO 27002:控制 15.1.2)
15.2 实施了哪些法规和措施以保护个人信息符合法律/合同法规(例如数据隐私法)?
(参考 ISO 27002:控制 15.1.4)
15.3 在多大程度上检查了组织部门是否符合公司安全政策和标准?
(参考 ISO 27002:控制 15.2.1)
15.4 对运营信息系统的安全审计(渗透和漏洞测试)进行了何种程度的精心策划、协调和执行?
(参考 ISO 27002:控制 15.2.2)
