范围 所需资料、文件 要求 1 公司层面控制 IT 部门架构图、IT 人员职责说明 1、 完整清晰的部门架构以及职员职责说明; IT 预算、策略和年度规划 (2005-2007 年) 2、 有完善的费用预算机制,有经过授权并正式签发的费用预算文件;有与公司战略相匹配的IT策略及每年的年度规划; IT 内部、IT 与业务部门、IT 与管理层之会议记录 3、 内部、与业务部门、与管理层之间的会议记录; 与第三方供货商之服务协议 (若 IT 服务外判) 4、 签订相关服务合同; 5、 完善的风险评估机制,或引进专业风险评估机构; IT 风险评估制度和报告 6、 提供数据流程图; 财务系统与其它系统间之数据流程图 7、 应建立内审机制并定期内审,以辅助外审,建议引 IT 内部审计报告和审计发现之跟进 进专业机构定期内审。 范围 所需资料、文件 要求 2 信息安全 信息安全制度、用户信息安全意识 信息技术安全规章制度 1、 制定完善的安全规章制度,并采取广泛的宣传措施将该制度灌输至每位公司职员。 令员工充份了解信息技术安全规章制度的措施 2、 规章制度写入员工手册并印发,新员工入职便能了解公司要求,并做定期培训,做好培训记录。 信息安全培训记录 范围 所需资料、文件 要求 物理安全 机房物理安全规章 1、物理要求:门禁系统、烟雾报警器(置于地板夹层或顶棚夹层)、监控、UPS、空调(接UPS)、干粉灭火 保安设施 (如门禁系统、访客记录) 器、防火防水装修材料; 2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁; 3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、密码长度8位以上、历史密码6次)、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面); 4、机房显眼处应有机房管理制度;
相关推荐:
loading