序号

类别

问题

可能答案

完成指引

评论

72

必须

是否有书面的信息技术系统安全政策？（可多选）

有书面政策，分配和移除访问权限，无相关程序

审查信息技术程序，查看是否要求维护和控制授权员工对系统的访问。设施采取的行动应与书面程序的要求紧密相符。

73

必须

设施的自动化系统是否为每个用户单独分配账户，并要求定期更改密码？（可多选）

有单独分配的账户，定期更改密码，无相关程序

审查要求，即信息技术系统的授权用户必须有单独分配的密码才能访问计算机终端。

74

应该

是否有书面程序和自动备份功能，以防止数据丢失？（可多选）

有书面程序，自动备份，手动备份，无相关程序

确定是否有方法对信息技术系统进行备份，以防止对业务重要的数据丢失。

75

应该

是否有自动化系统，用于监控和防止未经授权访问系统和 / 或电子数据的企图？

是，否

确定是否有方法识别并阻止非法访问信息技术系统的企图。

76

应该

有权访问计算机系统的员工是否了解并接受关于信息技术系统政策、程序和安全标准的培训？员工培训是否有记录并保留？（可多选）

员工接受培训，培训材料充分，培训有记录并保留，无相关程序

确定是否有计划，对使用系统的员工进行关于现有安全方法和控制措施的培训。培训应记录在培训日志或员工人事档案中。询问使用系统的员工对安全方法的了解情况。

77

应该

违反或滥用信息技术政策和程序的员工是否会受到纪律处分？

是，否

确定是否有计划，对违反信息技术安全程序的员工进行适当的纪律处分。