فرم خود ارزیابی ISMS
موارد الزامی با علامت ستاره (*) مشخص شدهاند.
|
|
|
1
|
تاریخ تکمیل فرم:
|
|
|
|
2
|
نام سازمان:
|
|
|
|
3
|
نام کارشناس مربوطه:
|
|
|
|
4
|
سمت:
|
|
|
|
5
|
شماره تماس:
|
|
|
|
6
|
پست الکترونیکی:
|
|
|
|
7
|
1)آیا در سازمان شما بیانیه امنیت اطلاعات تدوین شده است؟
|
|
|
|
8
|
2)آیا در حوزه های مختلف امنیت اطلاعات سیاست های امنیتی تدوین شده است؟
|
|
|
|
9
|
3)آیا در حوزه های مختلف امنیت اطلاعات روشهای اجرایی مکتوب و مستند تدوین شده است؟
|
|
|
|
10
|
4)آیا فرآیندی برای بازنگری منظم و مستمر روشهای اجرایی حوزه امنیت اطلاعات وجود دارد؟
|
|
|
|
11
|
5)آیا سیاستهای امنیتی به صورت منظم و موثر به پرسنل اطلاع رسانی می شود؟
|
|
|
|
12
|
6)آیا سیاستهای امنیتی در ابتدای قرارداد پیمانکاران به آنها اطلاع رسانی می شود؟
|
|
|
|
13
|
7)آیا در سازمان شما تشکیلات امنیت اطلاعات وجود دارد؟
|
|
|
|
14
|
8)آیا مسئولیتها و وظایف حوزه امنیت اطلاعات به صورت شفاف تعریف شده است؟
|
|
|
|
15
|
9)آیا شورای راهبردی امنیت اطلاعات وجود دارد؟
|
|
|
|
16
|
10)آیا جلسات شورای راهبردی به صورت منظم و مستمر تشکیل می گردد؟
|
|
|
|
17
|
11)آیا در سازمان شما مکانیزمی برای ارتباط با نهادهای امنیت اطلاعات نظیر مرکز ماهر و مرکز افتا وجود دارد؟
|
|
|
|
18
|
12)آیا در سازمان شما اجازه دسترسی Remote پیمانکاران ممنوع شده است؟
|
|
|
|
19
|
13)در صورت مجاز بودن دسترسی Remote آیا الزاما از روشهای امن نظیر VPN استفاده می شود؟
|
|
|
|
20
|
14)آیا در زمان استخدام با محل های کاری قبل افراد تماس گرفته می شود؟
|
|
|
|
21
|
15)آیا در بدو استخدام از پرسنل تعهدنامه عدم افشای اطلاعات اخذ می گردد؟
|
|
|
|
22
|
16)آیا روال منظمی برای فرهنگ سازی و آموزش امنیت اطلاعات وجود دارد؟
|
|
|
|
23
|
17)آیا در رویه های انضباطی سازمان شما، به تخلفات امنیت اطلاعات و جرایم رایانه ای اشاره شده است؟
|
|
|
|
24
|
18)آیا در فرم تسویه حساب واحد پرسنل امضای واحد فناوری اطلاعات لحاظ شده است؟
|
|
|
|
25
|
19)آیا پیش از ترک پرسنل، کلیه دسترسی های شبکه ها و برنامه های کاربردی فرد لغو می گردد؟
|
|
|
|
26
|
20)آیا در سازمان شما، برنامه ای برای به روز رسانی دوره ای دارایی های اطلاعاتی وجود دارد؟
|
|
|
|
27
|
21)آیا در سازمان روالی برای طبقه بندی اطلاعات وجود دارد؟
|
|
|
|
28
|
22)آیا در سازمان روالی در خصوص نحوه برخورد با اطلاعات محرمانه، سری و ... وجود دارد؟
|
|
|
|
29
|
23)آیا پیش از تحویل سیستم های کامپیوتری به افراد دیگر، سیستم به شیوه ای امن فرمت می گردد؟
|
|
|
|
30
|
24)آیا پیش از امحاء کامپیوترها و سرورها، هارد آن ها بیرون آورده می شود؟
|
|
|
|
31
|
25)آیا ورود و خروج لپ تاپ به مجموعه شما کنترل می گردد؟
|
|
|
|
32
|
26)آیا درگاه های USB در مجموعه شما بسته شده است؟
|
|
|
|
33
|
27)آیا درگاه USB برای پرسنل در مجموعه شما بسته است؟
|
|
|
|
34
|
28)آیا در سازمان شما Port Security استقرار یافته است؟
|
|
|
|
35
|
29)آیا در سازمان شما خط مشی کنترل دسترسی وجود دارد؟
|
|
|
|
36
|
30)آیا روش اجرایی کنترل دسترسی به درستی پیاده سازی شده است؟
|
|
|
|
37
|
31)آیا سطح دسترسی افراد با توجه به پست سازمانی در سازمان تعریف شده است؟
|
|
|
|
38
|
32)آیا سیاستهای مدیریت کلمه عبور نظیر حداقل تعداد کاراکتر در شبکه پیاده سازی شده است؟
|
|
|
|
39
|
33)آیا سیاستهای مدیریت کلمه عبور نظیر لزوم رعایت پیچیدگی در شبکه پیاده سازی شده است؟
|
|
|
|
40
|
34)آیا دسترسی به سورس کد برنامه ها در سازمان شما محدود شده است؟
|
|
|
|
41
|
35)آیا وب سایتهای شرکت https هستند؟
|
|
|
|
42
|
36)آیا روی سوییچهای شرکت telnet بسته است؟
|
|
|
|
43
|
37)آیا تنظیمات امنیتی SSH انجام شده است؟
|
|
|
|
44
|
38)آیا اطلاعات در شبکه شما به صورت رمزشده منتقل می شود؟
|
|
|
|
45
|
39)آیا در سامانه اتوماسیون اداری شما امضای دیجیتال تعریف شده است؟
|
|
|
|
46
|
40)آیا ورودی های سازمان با دوربین کنترل می شود؟
|
|
|
|
47
|
41)آیا مرکز داده دارای سیستم کنترل دسترسی وجود دارد؟
|
|
|
|
48
|
42)آیا سیستم کنترل دسترسی مرکز داده دارای احراز هویت دوعامله می باشد؟
|
|
|
|
49
|
42)آیا سیستم کنترل دسترسی مرکز داده دارای احراز هویت دوعامله می باشد؟
|
|
|
|
50
|
43)آیا خروج از مرکز داده نیز دارای سیستم کنترل دسترسی است؟
|
|
|
|
51
|
44)آیا درون مرکز داده و ورود و خروج به آن با دوربین کنترل می شود؟
|
|
|
|
52
|
45)آیا مرکز داده دارای سیستم اطفاء اتوماتیک می باشد؟
|
|
|
|
53
|
46)آیا مرکز داده دارای سیستم سرمایش HVAC می باشد؟
|
|
|
|
54
|
47)آیا کلیه تجهیزات مرکز داده پشت UPS می باشند؟
|
|
|
|
55
|
48)آیا ساختمان شما دارای ژنراتور می باشد؟
|
|
|
|
56
|
49)آیا مسیر عبور کابل های برق و شبکه در مرکز داده از هم جداست؟
|
|
|
|
57
|
50)آیا در سازمان شما روش اجرایی نسخه پشتیبان وجود دارد؟
|
|
|
|
58
|
51)آیا نسخ پشتیبان در محلی خارج از اتاق سرور نگهداری می شود؟
|
|
|
|
59
|
52)آیا نسخ پشتیبان در محلی خارج از سازمان نگهداری می شود؟
|
|
|
|
60
|
53)آیا از سرویس دهنده های سازمان به صورت منظم Image تهیه می شود؟
|
|
|
|
61
|
54)آیا ابزاری برای مانیتورینگ در مجموعه شما استفاده می شود؟
|
|
|
|
62
|
55)آیا در مجموعه شما سرور هم زمان سازی (NTP) وجود دارد؟
|
|
|
|
63
|
56)آیا کلیه کلاینتها و سرورها دارای لایسنس آنتی ویروس می باشند؟
|
|
|
|
64
|
57)آیا همه سرورها به صورت منظیم Update های آنتی ویروس را دریافت می نمایند؟
|
|
|
|
65
|
58)آیا در سازمان شما روش اجرایی برای مدیریت تغییرات وجود دارد؟
|
|
|
|
66
|
59)آیا در سازمان شما روش اجرایی برای مدیریت ظرفیت وجود دارد؟
|
|
|
|
67
|
60)آیا در لبه اینترنت سازمان شما دیواره آتش (Firewall) وجود دارد؟
|
|
|
|
68
|
61)آیا بر سر مسیر سرویس دهنده های سازمان شما دیواره آتش وجود دارد؟
|
|
|
|
69
|
62)آیا شرکت دارای دیواره آتش برنامه کاربردی تحت وب (WAF) وجود دارد؟
|
|
|
|
70
|
63)آیا شرکت دارای سیستم مهاجم یاب (IDS) می باشد؟
|
|
|
|
71
|
64)آیا شبکه سازمان شما ناحیه بندی (Vlanning) شده است؟
|
|
|
|
72
|
65)آیا در مجموعه شما روال و رویه ای برای تبادل اطلاعات وجود دارد؟
|
|
|
|
73
|
66)آیا در سازمان شما روش اجرایی مستندی به منظور طراحی، تولید و توسعه برنامه های کاربردی وجود دارد؟
|
|
|
|
74
|
67)آیا در سازمان شما، به موازات نیازسنجی عملیاتی، نیازسنجی امنیتی نیز صورت می پذیرد؟
|
|
|
|
75
|
68)آیا در تدوین RFP های تولید برنامه های کاربردی ملاحظات امنیتی لحاظ می شود؟
|
|
|
|
76
|
69)آیا چک لیستی به منظور رعایت ملاحظات امنیتی در تولید برنامه های کاربردی وجود دارد؟
|
|
|
|
77
|
70)آیا نرم افزارها پیش از راه اندازی و استقرار مورد تست نفوذپذیری و ارزیابی امنیتی قرار می گیرند؟
|
|
|
|
78
|
71)آیا نرم افزارها پیش از عملیاتی شدن مورد تست پذیرش (تست کارایی، بار و ...) قرار می گیرند؟
|
|
|
|
79
|
72)آیا در قرارداد پیمانکاران سازمان، بندهای محافظت از امنیت اطلاعات قید می گردد؟
|
|
|
|
80
|
73)آیا از پیمانکاران تعهدنامه عدم افشای اطلاعات اخذ می گردد؟
|
|
|
|
81
|
74)آیا در قرارداد پیمانکاران سطح ارائه سرویس لحاظ می گردد؟
|
|
|
|
82
|
75)آیا برای همه قراردادهای فناوری اطلاعات، ناظر داخلی یا بیرونی تعیین می گردد؟
|
|
|
|
83
|
76)آیا ناظر قرارداد سطح ارائه سرویس (SLA) را کنترل می نماید؟
|
|
|
|
84
|
77)آیا در سازمان نرم افزار ثبت درخواستها (Help Desk) وجود دارد؟
|
|
|
|
85
|
78)آیا اکثریت درخواستها در این سامانه ثبت می شود؟
|
|
|
|
86
|
79)آیا روالی برای ثبت و پیگیری رخدادهای امنیتی وجود دارد؟
|
|
|
|
87
|
80)آیا در مجموعه شما کمیته ای با عنوان CERT یا کمیته حوادث و رخدادها وجود دارد؟
|
|
|
|
88
|
81)آیا پایگاه دانشی به منظور ثبت درس های گرفته شده از رخدادها وجود دارد؟
|
|
|
|
89
|
82)در هنگام وقوع رخدادهای امنیتی آیا در صورت نیاز روالی برای ارجاع به مراجع قانونی نظیر پلیس فتا و ... وجود دارد؟
|
|
|
|
90
|
83)آیا در شرکت شما، طرح تداوم کسب و کار تدوین شده است؟
|
|
|
|
91
|
84)آیا طرح فوق به تمام مخاطبین به شیوه ای مناسب اطلاع رسانی شده است؟
|
|
|
|
92
|
85)آیا طرح فوق مورد آزمایش و مانور قرار گرفته است؟
|
|
|
|
93
|
86)در صورت عدم وجود طرح تداوم کسب و کار، آیا برای شرایط انقطاع کسب و کار ملاحظات خاصی لحاظ شده است؟
|
|
|
|
94
|
87)آیا در سطح سوییچ Core شبکه افزونگی لحاظ شده است؟
|
|
|
|
95
|
88)آیا برای لینکهای ارتباطی بین ساختمان ها افزونگی لحاظ شده است؟
|
|
|
|
96
|
89)آیا برای سرویس دهنده ها افزونگی لحاظ شده است؟
|
|
|
|
97
|
90)آیا در سوییچینگ سطوح دیگر شبکه افزونگی لحاظ شده است؟
|
|
|
|
98
|
91)آیا لیستی از قوانین و بخش نامه های بالادستی در حوزه امنیت اطلاعات تدوین شده است؟
|
|
|
|
99
|
92)آیا اجرایی شدن قوانین به صورت مستمر، توسط مدیریت امنیت یا مدیر فناوری اطلاعات به صورت دوره ای و منظم پیگیری می شود؟
|
|
|
|
100
|
93)آیا برای محافظت از دارایی های معنوی در سازمان فرآیندی وجود دارد؟
|
|
|
|
101
|
94)آیا برای کنترل و محافظت از سوابق مختلف (فیزیکی/الکترونیکی) رویه ای وجود دارد؟
|
|
|
|
102
|
96)آیا روال و چک لیستی برای ارزیابی امنیتی سرورها در مجموعه شما وجود دارد؟
|
|
|
|
103
|
97)آیا روال و چک لیستی برای ارزیابی امنیتی سوییچ ها در مجموعه شما وجود دارد؟
|
|
|
|
104
|
98)آیا روال و چک لیستی برای ارزیابی امنیتی روترها در مجموعه شما وجود دارد؟
|
|
|
|
105
|
99)آیا روال و چک لیستی برای ارزیابی امنیتی رادیوها در مجموعه شما وجود دارد؟
|
|
|
|
106
|
100)آیا روال و چک لیستی برای ارزیابی امنیتی تجهیزات امنیتی در مجموعه شما وجود دارد؟
|
|
|
|
|
|
|
|
|
|
