现状调研
首先:
- 业务及其特征、组织结构及其职责
- 组织的文化与管控模式
其次
- IT规划、IT制度文件、IT基础设施资料、IT应用系统资料、IT运维程序等
- 信息安全与相关的政策、策略、程序、记录及相关报告等
主要调研内容
现状
- 控制措施有没有
- 控制措施是否充分
- 控制措施是否有效
期望
调研的方式
1文档审查
2问卷调查
3人员访谈
- -覆盖面(高层、中层、基层)
- -关于访谈提纲
- 因人而异
- 与ISMS映射
4现场走查必要性
5技术评估
-网络架构、物理安全
-主机、应用的安全配置、权限、日志
-终端、智能设备管理
-漏洞扫描、渗透测试
其他注意事项
- 调研的范围与时长
- 调研内容不仅限于14个域114个控制箱,还有标准的正文
- 现场访谈的把握(消除对立性)
- 如何写访谈纪要(访谈过程中总结的问题)
- 要注意是否有补偿控制
- 关于调研报告的内容与形式
