内部のITポリシー全体のコピーは必要ありませんが、これに似たものを求めているのではないかと思います。誰かが、契約に関する十分な情報を取得して、提供する必要のある詳細と内容を決定する必要があります。私はジョセフに同意します-法律/コンプライアンスの理由で情報が必要な場合は、法的入力が必要です。
背景情報
1)あなたの従業員は米国外にいますか?
2)貴社は情報セキュリティポリシーを正式に文書化していますか?
3)情報とデータの処理と分類は、情報セキュリティポリシーの対象ですか?
4)勤務している州で現在取り組んでいる未解決の規制上の問題はありますか?はいの場合、説明してください。
一般的なセキュリティ
1)従業員と請負業者向けの情報セキュリティ意識向上トレーニングプログラムはありますか?
2)システムおよびアプリケーションへのアクセスを認証および許可するために、現在使用している方法は次のうちどれですか。
- オペレーティングシステムにより実行
- 商用製品で実行
- シングル・サインオン
- クライアント側のデジタル証明書
- その他の二要素認証
- 自家栽培
- 認証メカニズムがありません
3)従業員、請負業者、臨時雇用者、ベンダー、およびビジネスパートナーのアクセスを許可するのは誰ですか?
4)従業員(請負業者、臨時雇用者、ベンダーなどを含む)がネットワークにリモートアクセスできるようにしますか?
5)情報セキュリティインシデント対応計画はありますか?いいえの場合、情報セキュリティインシデントはどのように処理されますか?
6)社外への電子メールメッセージの内部情報または機密情報の取り扱いに対処するポリシーがありますか?
7)少なくとも1年に1度、情報セキュリティポリシーと標準を確認していますか?
8)会社の安全なエリアへの不正アクセスを防ぐために、どのような方法と物理的制御が実施されていますか?
- 鍵のかかった部屋のネットワークサーバー
- セキュリティID(アクセスカード、生体認証など)によって制限されるサーバーへの物理アクセス
- ビデオ監視
- サインインログと手順
- セキュリティバッジまたはIDカードは、セキュリティで保護された領域で常に表示されます
- 警備員
- なし
- その他、詳細を追加してください
9)すべての環境のパスワードポリシーを説明してください。すなわち。長さ、強度、老化
10)災害復旧(DR)計画はありますか?はいの場合、どのくらいの頻度でテストしますか?
11)事業継続(BC)計画はありますか?はいの場合、どのくらいの頻度でテストしますか?
12)要求された場合、テスト結果のコピー(BCおよびDR)を提供してくれますか?
アーキテクチャとシステムのレビュー
1)[会社]のデータおよび/またはアプリケーションは、専用サーバーまたは共有サーバーに保存および/または処理されますか?
2)共有サーバー上にある場合、[The Company]のデータは他社のデータからどのようにセグメント化されますか?
3)どのタイプの会社間接続が提供されますか?
- インターネット
- 専用/専用線(例、T1)
- ダイヤルアップ
- VPN(仮想プライベートネットワーク)
- ターミナルサービス
- なし
- その他、詳細を追加してください
4)このネットワーク接続は暗号化されますか?はいの場合、どの暗号化方式が使用されますか?
5)ソリューションを利用するために必要なクライアント側コード(ActiveXまたはJavaコードを含む)はありますか?はいの場合、説明してください。
6)Webサーバーへの外部ネットワークアクセスを制御するファイアウォールがありますか。いいえの場合、このサーバーはどこにありますか?
7)ネットワークには、アプリケーションへのインターネットアクセス用のDMZが含まれていますか?いいえの場合、これらのアプリケーションはどこにありますか?
8)組織は、サービス拒否の停止に備えて対策を講じていますか?これらの手順を説明してください
9)次の情報セキュリティレビュー/テストのいずれかを実行しますか
- 内部システム/ネットワークスキャン
- 内部管理された自己評価および/またはデューデリジェンスレビュー
- 内部コードレビュー/ピアレビュー
- 外部のサードパーティの侵入テスト/研究
- その他、詳細を入力してくださいこれらのテストはどのくらいの頻度で実行されますか?
10)組織内で積極的に使用されている情報セキュリティ慣行は次のうちどれですか
- アクセス制御リスト
- デジタル証明書-サーバー側
- デジタル証明書-クライアント側
- デジタル署名
- ネットワークベースの侵入検知/防止
- ホストベースの侵入検知/防止
- 侵入検知/防止署名ファイルのスケジュールされた更新
- 侵入監視24時間365日
- 継続的なウイルススキャン
- ウイルス署名ファイルのスケジュールされた更新
- 侵入研究および/またはテスト
- なし
11)オペレーティングシステムを強化または保護するための標準はありますか?
12)オペレーティングシステムにアップデートとホットフィックスを適用するスケジュールはありますか?いいえの場合、パッチと重要な更新を適用する時期と時期を決定する方法を教えてください
13)停電やネットワーク障害から保護するために、主要なトランザクションシステムに対して完全に冗長なシステムを維持していますか?
Webサーバー(該当する場合)
1)アプリケーション/データへのアクセスに使用されるURLは何ですか?
2)Webサーバーはどのオペレーティングシステムですか?(OS名、バージョン、サービスパック、またはパッチレベルを入力してください。)
3)Webサーバーソフトウェアとは何ですか?
アプリケーションサーバー(該当する場合)
1)アプリケーションサーバーはどのオペレーティングシステムですか?(OS名、バージョン、サービスパック、またはパッチレベルを入力してください。)
2)アプリケーションサーバーソフトウェアとは何ですか?
3)ロールベースのアクセス制御を使用していますか?はいの場合、アクセスレベルはどのようにロールに割り当てられますか?
4)適切な認可と職務分離が行われていることをどのように確認しますか?
5)アプリケーションはマルチレベルのユーザーアクセス/セキュリティを採用していますか?はいの場合、詳細を入力してください。
6)アプリケーションのアクティビティは、サードパーティのシステムまたはサービスによって監視されていますか?はいの場合、会社名とサービス名、および監視されている情報をお知らせください。
データベースサーバー(該当する場合)
1)データベースサーバーはどのオペレーティングシステムですか?(OS名、バージョン、サービスパック、またはパッチレベルを入力してください。)
2)どのデータベースサーバーソフトウェアが使用されていますか?
3)DBは複製されますか?
4)DBサーバーはクラスターの一部ですか?
5)[会社]のデータを他の会社から分離するために(もしあれば)何が行われますか?
6)[会社]のデータは、ディスクに保存されるときに暗号化されますか?はいの場合、暗号化方法を説明してください
7)ソースデータはどのようにキャプチャされますか?
8)データ整合性エラーはどのように処理されますか?
監査とログ
1)顧客アクセスをログオンしますか:
- ウェブサーバー?
- アプリケーションサーバー?
- データベースサーバー?
2)ログは見直されていますか?はいの場合、プロセスとレビューの頻度を説明してください。
3)監査ログとトランザクションログを維持および監視するためのシステムとリソースを提供していますか?はいの場合、どのログを保持し、どのくらいの期間保存しますか?
4)[The Company]が会社に関連するシステムログを確認できるようにしますか?
プライバシー
1)不要になったときに[会社]のデータを機密解除/削除/破棄するために使用されるプロセスと手順は何ですか?
2)いつでも誤ってまたは誤って顧客情報を開示しましたか?
はいの場合、その後どのような是正措置を実施しましたか?
3)請負業者(非従業員)は機密情報または機密情報にアクセスできますか?はいの場合、秘密保持契約に署名しましたか?
4)ネットワーク、システム、またはアプリケーションへのアクセスと保守を許可されているベンダーがありますか?はいの場合、これらのベンダーは、書面による契約の下で、機密性、経歴確認、および損失に対する保険/補償を規定していますか?
5)データはどのように分類および保護されますか?
操作
1)バックアップの頻度とレベルは何ですか?
2)バックアップのオンサイト保存期間はどのくらいですか?
3)バックアップはどの形式で保存されますか?
4)バックアップをオフサイトの場所に保存しますか?はいの場合、保存期間はどのくらいですか?
5)データバックアップを暗号化しますか?
6)有効な本番プログラムのみが実行されることをどのように確認しますか?