成,那是否对第三方有过服务能力评价?(查看服务能力评价记录)4、抽查4份介质报废的审批及处置记录A.8.3.3物理介质传输1、组织制定的可移动介质管理程序中,对介质在传输过程中是否需要采取防护措施进行约定?2、验证移动介质的管理情况。(查看授权记录、介质承运方的评价记录、介质交接记录等)A.9访问控制A.9.1访问控制的业务要求A.9.1.1访问控制策略1、组织是否定义了访问控制管理程序?2、是否要求应定期根据业务和信息安全要求对访问控制策略进行评审?(查看评审记录)3、是否定义了组织物理环境的访问控制策略?4、组织是否在网络边界部署了访问控制设备,并启用了访问控制策略?5、网络连接是否设置了会话超时?时间是多久?6、网络连接是否设置了最大并发会话连接数限制、同一时间段内并发会话连接数限制?7、在网络边界,对网络流量和并发数是否进行监控?8、重要网段是否采用了防范地址欺骗的手段?9、对已设置敏感标识的信息资源,组织是否设置了严格的访问控制措施?10、组织是否在检测到重要系统完整性受到破坏后,具有恢复的措施?或在完整性即将收到破坏时,是否可以进行事前阻断?11、组织是否通过设定终端登录方式、网络地址范围等条件限制终端登陆?A.9.1.2网络服务的使用政策1、组织是否定义了网络访问、网络服务管理程序?2、检查组织定义的网络访问、网络服务管理策略和访问控制策略是否一致?3、查看访问授权记录4、组织是否对网络设备的端口进行梳理,禁用不必要的服务端口?5、组织是否定义了端口开放的审批制度?A.9.2用户访问管理A.9.2.1用户注册和注销1、组织是否定义了用户权限注册和注销的管理程序?2、用户ID是否唯一?是否有授权批准文件?3、抽样2份重要业务系统用户帐号开通审批记录4、抽样4份新员工帐号开通申请记录5、登录系统现场验证是否有非法账户和共用账户现象存在?6、是否有系统用户账户清单?
全文预览
