Professional Documents
Culture Documents
Phiếu Hỏi
Phiếu Hỏi
Các vấn đề bên trong và bên ngoài có liên quan đến 4.1
ISMS và tác động đến kết quả mong đợi của nó đã
được xác định chưa?
2. Nhu cầu và mong đợi của các bên quan tâm 4.2
Tổ chức đã xác định các bên quan tâm có liên quan 4.2 a)
đến ISMS chưa?
Các yêu cầu của các bên quan tâm đã được xác định, 4.2 b)
bao gồm các yêu cầu pháp lý, quy định và hợp đồng?
3. Phạm vi của ISMS 4.3
Các ranh giới và khả năng áp dụng của ISMS đã được 4.3
xác định để thiết lập phạm vi của nó, xem xét các vấn
đề bên ngoài và bên trong, các yêu cầu của các bên
quan tâm và các giao diện và phụ thuộc với các tổ
chức khác?
Phạm vi của ISMS được ghi lại? 4.3
4. Cam kết lãnh đạo và quản lý
Tổ chức cam kết lãnh đạo của tổ chức đối với ISMS 5.1
có được thể hiện bởi:
• Thiết lập các mục tiêu và chính sách an toàn thông 5.1 a, g
tin, xem xét định hướng chiến lược của tổ chức và
thúc đẩy cải tiến liên tục?
• Đảm bảo tích hợp các yêu cầu ISMS vào các quy 5.1 b
trình kinh doanh của mình?
• Đảm bảo các nguồn lực có sẵn cho ISMS, và chỉ đạo 5.1 c, e, h
và hỗ trợ các cá nhân, bao gồm cả quản lý, ai đóng
góp cho hiệu quả của nó?
• Truyền đạt tầm quan trọng của quản lý an toàn thông 5.1 d
tin hiệu quả và tuân thủ các yêu cầu của ISMS?
5. Chính sách an toàn thông tin
Có một chính sách an toàn thông tin được thiết lập là 5.2 a,b,c, d
phù hợp, đưa ra một khuôn khổ để thiết lập các mục
tiêu, và thể hiện cam kết đáp ứng các yêu cầu và cải
tiến liên tục?
Là chính sách được ghi lại và truyền đạt cho nhân 5.2 e, f, g
viên và các bên quan tâm có liên quan?
Các vai trò trong ISMS có được phân công và được 5.3
truyền đạt không?
Các trách nhiệm và quyền hạn về sự tuân thủ các yêu 5.3 a, b
cầu tiêu chuẩn và báo cáo về kết quả thực hiện ISMS
có được giao không?
Các vấn đề bên trong và bên ngoài, và các yêu cầu 6.1.1 a,b,c
của các bên quan tâm đã được xem xét để xác định
các rủi ro và cơ hội cần được giải quyết để đảm bảo
rằng ISMS đạt được kết quả của nó,
rằng các tác dụng không mong muốn được ngăn chặn
hoặc giảm bớt, và sự cải thiện liên tục đó có đạt được
không?
Các hành động để giải quyết các rủi ro và cơ hội đã 6.1.1 d,e
được lên kế hoạch và tích hợp vào các quy trình ISMS
và chúng có được đánh giá hiệu quả không?
Có một quy trình đánh giá rủi ro an toàn thông tin 6.1.2 a
thiết lập các tiêu chí để thực hiện đánh giá rủi ro an
toàn thông tin, bao gồm các tiêu chí chấp nhận rủi ro
đã được xác định?
Là quá trình đánh giá rủi ro an toàn thông tin có thể 6.1.2 b
lặp lại và nó có tạo ra kết quả phù hợp, hợp lệ và có
thể so sánh không?
Có phải quy trình đánh giá rủi ro an toàn thông tin xác 6.1.2 c
định các rủi ro liên quan đến mất tính toàn vẹn, tính
toàn vẹn và tính sẵn có của thông tin trong phạm vi
của ISMS và các chủ sở hữu rủi ro có nhận dạng được
không?
Trong việc thiết lập các mục tiêu của mình, tổ chức đã
xác định những gì cần phải được thực hiện, khi nào và
bởi ai?
11. Tài nguyên và năng lực của ISMS
Có một quy trình được xác định và ghi lại để xác định
năng lực cho các vai trò ISMS không?
Tổ chức đã xác định thông tin tài liệu cần thiết cho
hiệu quả của ISMS chưa?
Thông tin tài liệu có được kiểm soát sao cho có sẵn và
được bảo vệ đầy đủ, phân phối, lưu trữ, lưu giữ và
kiểm soát thay đổi, bao gồm các tài liệu có nguồn gốc
bên ngoài mà tổ chức yêu cầu cho ISMS không?
Là thông tin tài liệu được giữ lại như là bằng chứng
của kết quả giám sát và đo lường?
Các cuộc đánh giá được thực hiện theo một phương
pháp thích hợp và phù hợp với chương trình kiểm
toán dựa trên kết quả đánh giá rủi ro và kiểm toán
trước đó?
Là kết quả đánh giá được báo cáo cho quản lý, và có
được ghi lại thông tin về chương trình đánh giá và kết
quả đánh giá được giữ lại không?
Ban lãnh đạo cấp cao có thực hiện đánh giá định kỳ
về ISMS không?
Các kết quả của đánh giá quản lý được ghi lại, hành
động và truyền đạt cho các bên quan tâm là phù hợp?
Là thông tin tài liệu được giữ lại như là bằng chứng
về bản chất của sự không phù hợp, hành động được
thực hiện và kết quả?
19. Các biện pháp kiểm soát an toàn - nếu có thể,
dựa trên kết quả đánh giá rủi ro an toàn thông tin của
tổ chức
Có phải nhân viên phải tuân thủ các chính sách và quy
trình an toàn thông tin, được cung cấp nhận thức, giáo
dục và đào tạo, và có quy trình xử lý kỷ luật không?
Có hàng tồn kho tài sản liên quan đến xử lý thông tin
và thông tin, chủ sở hữu đã được chỉ định và các quy
tắc sử dụng tài sản được chấp nhận và trả lại tài sản
được xác định không?
Các quy trình vận hành có được ghi lại và các thay
đổi đối với tổ chức, quy trình kinh doanh và hệ thống
thông tin có được kiểm soát không?
Các mạng được quản lý, tách biệt khi cần thiết và
được kiểm soát để bảo vệ hệ thống thông tin và các
dịch vụ mạng có tuân theo thỏa thuận dịch vụ không?
Các yêu cầu an toàn thông tin cho các hệ thống thông
tin đã được xác định và thông tin có được truyền qua
các mạng công cộng và các giao dịch dịch vụ ứng
dụng được bảo vệ không?
Có tất cả các yêu cầu lập pháp, luật định, quy định và
hợp đồng và cách tiếp cận để đáp ứng các yêu cầu này
đã được xác định cho từng hệ thống thông tin và tổ
chức, bao gồm nhưng không giới hạn các thủ tục về
quyền sở hữu trí tuệ, bảo vệ hồ sơ, quyền riêng tư và
bảo vệ thông tin cá nhân và quy định kiểm soát mật
mã?