供应商信息安全基准检查表

调查表 供应商信息安全基准检查表（Ver1.9） 优先次序☆☆☆ 以下回答的内容,作为总公司「秘」信息管理。 优先次序☆☆ 不合适的情况下，通过另行采取管理对策而排除了风险的情况下，请将详细内容填入备注栏。 优先次序☆ 规定 回答 备注 得点 配点 ☆☆☆ 1-1 建立信息安全管理相关组织体制吗 3 是 3 3 ☆☆☆ 1-2 制定信息安全相关规则的书面文件吗 3 是 3 3 ☆☆☆ 1-3 对于组织内的信息安全实施项目，要明确责任人及相关任务和责任吗 2 是 2 2 1、明确机密信息 ☆☆☆ 2-1-1 制作本公司制定的机密信息以及利用该信息创造出的机密信息「信息资产清单」的管理列表，使机密信息明确化吗 3 是 3 3 ☆☆☆ 2-1-2 对于管理列表中的机密信息进行适当的安全管理吗 1 是 1 1 ☆☆☆ 2-1-3 由责任者对信息资产清单和情報以及管理的实际状况进行重审吗 2 是 2 2 2、对于交换机密信息的管理 ☆☆☆ 2-2-1 制作与供应商共享机密信息的委托对象等的管理列表吗 2 是 2 2 ☆☆☆ 2-2-2 与委托对象等签订包括如下规定的条款在内的保密 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 （或包括了保密条款的合同）吗 3 是 3 3 ☆☆☆ 　　a.)　守秘义务　 0 ☆☆☆ 　　b.)　成为保密对象的信息的范围 0 ☆☆☆ 　　c.)　保密义务期限(也包括无限期)　　　 0 ☆☆☆ 　　d.)　使用目的的限制 0 ☆☆☆ 　　e.)　访问者应限定为在业务上须了解该信息的人员 0 ☆☆☆ 　　f.)　对指定重要机密信息的管理 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 0 ☆☆☆ 　　g.)　限制对指定重要机密信息进行复制 0 ☆☆☆ 　　h.)　规定在保密期限期满后返还或废弃 0 ☆☆☆ 　　i.)　由本公司进行保密相关确认（提问和监查等）措施的规程 0 ☆☆☆ 　　j.)　违反合同时的措施（除了损害赔偿以外，还要加入可使停止在市场销售等的条款）　 0 ☆☆☆ k)　禁止擅自进行再委托 0 ☆☆☆ l)　禁止使用私人电脑处理业务 0 3、物理的管理 ☆☆☆ 2-2-3 与本公司和供应商一样，在供应商和委托对象等之间也要制定机密信息的交换相关规则吗 2 是 2 2 ☆☆☆ 　　a.)　由本公司交给供应商的信息，原则上，均作为内部信息处理（禁止对第三方公开）吗 ☆☆☆ 　　b.)　须交换和公开机密信息时，要事先取得本公司的认可后再实施吗 ☆☆☆ 　　c.)　以电子文件的形式发送和接收机密信息时，要实施加密吗 ☆☆ 2-2-4 对于供应商和委托对象等，要定期地实施信息安全的实际状况调查吗 1 是 1 1 ☆☆ 2-2-5 要记录供应商与委托对象等之间交接机密信息的情况吗 2 是 2 2 ☆☆ 　　a.)　发生了信息资产的交接时，要决定与对方交接的规则，制作协议书吗 ☆☆ 　　b.)　已进行了实际的通信（交接）记录并实施管理吗 ☆ 2-2-6 制定了信息的返还和回收的规则吗 2 是 2 2 ☆ 　　a.)　明确业务结束时的返还和回收的方法、期限及责任人了吗 ☆ 2-2-7 要基于规则和本社间实施交换、返还和回收了吗 2 是 2 2 ☆ 2-2-8 通过电子商务交易系统、图纸的交接系统等进行固定的信息交换时，双方之间应就步骤和运用方法等的保密对策达成协议并加以实施了吗 1 是 1 1 ☆ 　　a.)进行发信/接收，发送/收领及其通知的步骤 ☆ 　　b.)信息的记录/读取、包装以及传送相关方法 ☆ 　　c.)数据丢失后的责任以及保证 ☆ 2-3-1 为了能够限制无关人员进入公司区域、建筑物以及房间内而进行了区域区分了吗 1 是 1 1 ☆☆ 2-3-2 完善限制进入的物理结构了吗 1 是 1 1 ☆☆ 2-3-3 只许可须了解信息的人员进入吗 2 是 2 2 ☆☆ 　　a.)　仅限责任人判断为在业务上必要的人员/情况下，才允许入室吗 ☆☆ 　　b.)　取得出/入室两者或其中之一的日志吗 ☆ 2-3-4 必要时，须设置围墙、ID卡认证、监视摄像机、传感器等吗 1 是 1 1 ☆ ※例子 ☆ 　　　业务区域　：　入室管理通过ID卡认证取得日志。 ☆ 重要区域　：　利用监视摄像机监视入口处，出入室管理则通过ID卡认证取得日志。 ☆ 2-3-5 定期地对进出记录（包含摄象机图象）进行监查吗 1 是 1 1 ☆ 2-3-6 有区别员工和外来人员的方法吗 1 是 1 1 ☆ 　　a.)　员工和外来人员用名牌和ID卡进行区别。 ☆ 2-3-7 建立了仅限需要了解信息的人员访问机密信息的体制吗 1 是 1 1 ☆ 　　a.)　机密信息要上锁保管于文件柜中吗 ☆ 　　b.)　对试制品要进行数量管理，并将访问限制为最低限度吗 4、带出、带入的管理。 ☆☆☆ 2-4-1 禁止在业务目的以外将电脑、带摄象头的手提电话、PDA、音乐播放器、记忆媒体（SD卡、U盘等）带入处理机密信息的场所。 2 是 2 2 ☆☆☆ 　　　a.)　要带入时，须得到责任人的许可吗 ☆☆☆ 2-4-2 在工作中不得使用私人电脑。也禁止将私人电脑带入吗 1 是 1 1 ☆☆☆ 2-4-3 对于工作中需要使用的电子媒体和电脑，要制作管理表吗 1 是 1 1 ☆☆☆ 2-4-4 对于工作中需要使用的电子媒体和电脑，制作带出规则，并加以实施吗 3 是 3 3 ☆☆☆ 　a.)原则上，禁止带出电脑，对于带出的电脑要实施加密、设置多重密码、信息加密等 ☆ 2-4-5 决定记载有重要机密信息的纸张（文件）的废弃步骤。 2 是 2 2 ☆ 　　a.)对于机密资料，要用碎纸机进行裁切、溶解或烧毁。 ☆ 2-4-6 决定了机密信息以及机密信息载体（试作品）的废弃步骤吗 2 是 2 2 ☆ 　　a.)对于 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 信息等的技术载体，要进行破坏以无法读取信息吗 ☆ 　　b.)要与处理工业废品的企业签订保密合同吗 5、IT系统的使用者ID和密码的管理 ☆☆☆ 2-5-1 访问电子化信息时，每个人要使用自己单独的ID和密码，并取得谁访问了与本公司共享的机密信息的记录。 2 是 2 2 ☆ 2-5-2 制定了ID的发行规则吗 1 是 1 1 ☆ 　　a.)用户不与其他的用户共用ID吗 ☆ 　　b.)规定ID的发行步骤和许可责任人吗 ☆ 2-5-3 制定了密码的管理规则吗 1 是 1 1 ☆ 　a.)密码同时包含有英文和数字，在6个字符以上吗 ☆ 　b.)密码须定期地变更，至少要每30天变更一次吗 ☆ 　c.)不得将密码借给其他人吗 ☆ 2-5-4 要定期地实施ID重审吗 1 是 1 1 ☆ 　a.)对是否存在离职者的ID、临时使用的ID等、未被使用的ID以及不正当的ID要进行检查吗 6、电脑、服务器等IT系统的设置以及废弃的管理 ☆ 2-6-1 在与因特网之间设置合适的防火墙，将业务上必要的信息设备和电脑连接于安全的公司内部系统内吗 1 是 1 1 ☆ 2-6-2 已决定了设置IT系统时的手续吗 1 是 1 1 ☆☆☆ 2-6-3 已决定了IT系统的管理/使用规则吗 2 是 2 2 ☆☆☆ 　a.)信息要保管在服务器上，实行服务器的安全管理，而并非个人电脑里。 ☆☆☆ 保管业务用个人电脑情报的场合请根据下面的b.)~g.)进行对应。 ☆☆☆ b.)人员离开座位时，要将笔记本电脑上锁保管于办公桌的抽屉里、柜子等中。 ☆☆☆ c.)台式电脑等的固定式电脑，要用电脑锁固定在办公桌等的上面。 ☆☆☆ d.)带出的电脑内的数据要实施加密，在万一被盗时，可避免数据被读取。 ☆☆☆ e.)带出电脑期间，应随时带在身边。 ☆☆☆ f.)对BIOS、OS、屏幕保护程序设定密码。 ☆☆☆ g.)离开座位时，可锁屏，可把屏幕设置为在5分钟内无输入的状态下，可通过带密码的屏幕保护程序锁定屏幕。离开座位时，要锁定屏幕或退出系统。 ☆☆☆ 2-6-4 决定了IT系统的废弃和再使用规则吗（包含故障交换的场合） 2 是 2 2 ☆☆☆ a.)制定了将硬盘内的信息完全删除或进行物理破坏的规则吗 ☆☆☆ 2-6-5 服务器设置在了可确保安全的合适场所吗 1 是 1 1 ☆ 2-6-6 对于服务器管理场所的出入进行限制吗 1 是 1 1 ☆ a.)保管机密信息的服务器设置在实施了安全管理的区域，上锁管理于带门的架子上。此外，还进行与此同等的管理吗 7、非法程序的对策 ☆☆☆ 2-7-1 针对电脑病毒和非法程序，制定了相应的对策和规则吗 3 是 3 3 ☆☆☆ 　　由系统管理员（或提供单位）指定防病毒软件（杀毒软件）的种类和版本等，并加以引进吗 ☆☆☆ 2-7-2 实施了病毒和非法程序的对策和规则吗 2 是 2 2 ☆☆☆ 　　a.)使防病毒软件常驻于规定的各设备中，始终确保完全受保护的环境吗 ☆☆☆ 　　b.)设置为至少每天更新一次（推荐每隔一定时间进行自动更新）病毒定义吗 ☆☆☆ 　　c.)对于被保存的所有文件，进行每周扫描一次以上的设定吗 ☆☆ 2-7-3 制定有病毒对策实施状况的自我检查表和体制吗 1 是 1 1 ☆☆ 2-7-4 制定相应规则，以使受病毒的危害被控制在最小限度吗 1 是 1 1 ☆☆ 　　a.)包括感染病毒时的物理处理和报告、通知方法等吗 ☆☆☆ 2-7-5 禁止安装和使用PeertoPeer软件（Winny、Share等的文件交换软件）了吗 2 是 2 2 ☆☆ 2-7-6 定期确认是否安装了禁止软件吗 2 是 2 2 ☆☆ 　　a.)由信息安全责任人检查，或使用检测工具等吗 8、实施备份 ☆☆☆ 2-8-1 制定了备份的规则吗 2 是 2 2 ☆☆☆ a.)对于重要系统，研究了备份的必要性和频度吗 ☆☆☆ b.)确保了事业的可持续性吗 ☆☆ 2-8-2 按照规则定期地实施了备份吗 1 是 1 1 ☆ 2-8-3 制定备份数据的保管规则，并按照规则实施管理吗 1 是 1 1 ☆ 　　a.)要能够确认处理机密信息的信息系统的所有备份媒体均得以正确的管理吗 1、信息安全的启蒙、教育以及培训 ☆ 3-1-1 制定信息安全的教育计划吗 1 是 1 1 ☆ 　a.)关于信息安全，制定有进行员工教育的体制（录像、指导手册、研修等），且制定了教育计划吗 ☆ 3-1-2 对组织责任人或项目主管等的管理者定期实施安全教育，并整理好听讲记录吗 1 是 1 1 ☆☆☆ 3-1-3 对所有公司员工和派遣员工实施信息安全教育，此外，委托对象也应对委托进行业务的员工实施同样的信息安全教育，并制作听讲记录吗 1 是 1 1 ☆☆☆ 　a.)在入社、调入和升职等时，均实施信息安全教育以及定期教育吗 ☆☆☆ 　　　b.)在接收员工时以及接收后，均应适当实施吗 ☆ 3-1-4 制作对规则进行自我检查的检查表，由全员实施吗 2 是 2 2 ☆ 3-1-5 建立可对自我检查结果的不合格点进行改善的体制吗 1 是 1 1 ☆ 　　a.)组织责任人定期地确认自我检查结果，当出现不符合规定的事项时，要指导改善并记录吗 ☆ 3-1-6 自我检查表中加入了清理桌面（应注意整理整顿，禁止将机密文件放在桌上）、清理屏幕（离开座位时，应设定为不显示屏幕或启用带密码的屏幕保护程序）的规则吗　 1 是 1 1 2、与员工等签订誓约书 ☆☆☆ 3-2-1 就业规则中有关于保密的条款，取得员工签署的保密誓约书吗 1 是 1 1 ☆☆☆ 3-2-2 派遣员工在上岗前应取得保密誓约书吗 1 是 1 1 ☆☆☆ 　　a.)进行与公司员工等同等的保密管理，并对誓约书进行管理吗 ☆☆☆ 3-2-3 委托业务时，委托对象要取得员工签署的保密誓约书吗 2 是 2 2 ☆☆☆ 　　a.)委托对象要进行保密管理，并对誓约书进行管理吗 ☆☆ 4-1 设置了事故发生时的联络/处理的责任人，建立事故报告体制吗 1 是 1 1 ☆☆ a.)要建立相应的体制，以在发现信息安全上的问题或感觉到发生的危险时，或目击了事件事故或发现了事件事故的痕迹时，能够迅速向贵公司的信息管理责任人报告吗 ☆☆☆ 4-2 对于与本公司共享的机密信息，在发现了上述的问题以及事件事故或感觉到发生的危险时，要迅速向本公司通报吗 2 是 2 2 ☆☆☆ a.)规定了报告渠道、从事故发生到通报为止的时间等，并加以贯彻吗 ☆ 4-3 完备发生了信息安全事故时的处理手册，明确步骤了吗 1 是 1 1 ☆ a.)把握受害状况和使受害影响最小化的紧急处理了吗 ☆ b.)查明原因和暂定措施了吗 ☆ 　c.)应采取相应措施，以在信息泄露时可向该第三方报告等，可实现相关者能够进行自卫和相关处理了吗 ☆ 　d.)必要时，应进行宣传处理，向相关政府机关报告了吗 ☆ 4-4 记录事故的经过和处理的过程了吗 1 是 1 1 ☆ 4-5 要迅速实施防止事故再次发生的对策，并贯彻周知了吗 1 是 1 1 ☆☆☆ 5-1 规定了有组织的信息安全活动的自主检查内容吗 3 是 3 3 ☆☆☆ 　　a.)通过自主检查，应可以检查信息安全规则是否被遵守吗 ☆☆☆ 　　b.)包括附则检查表中的项目吗 ☆☆☆ 5-2 有组织地定期实施自主检查吗 2 是 2 2 ☆☆☆ 　a.)　每6个月实施1次以上的检查吗 ☆☆☆ 5-3 针对自主检查的结果、明确了的不符合事项，制定了改善计划了吗 2 是 2 2 ☆☆☆ 　　a.)由信息安全担当者制定包括改善内容、担当者和时期等在内的改善计划，取得信息安全责任人的认可后实施吗 合　　　计 100 100 100&C&F&C&P/&NページSheet1