Họ không cần một bản sao của toàn bộ chính sách CNTT nội bộ của bạn nhưng tôi nghĩ rằng họ có thể đang theo một thứ tương tự như thế này - ai đó chắc chắn cần cung cấp cho bạn đủ thông tin về hợp đồng để xác định bạn cần cung cấp bao nhiêu chi tiết và về những gì. Tôi đồng ý với Joseph - nếu họ cần thông tin vì lý do pháp lý / tuân thủ, cần phải có đầu vào hợp pháp.
Thông tin lai lịch
1) Có nhân viên nào của bạn ở bên ngoài Hoa Kỳ không?
2) Công ty của bạn đã chính thức hóa và ghi lại các chính sách bảo mật thông tin chưa?
3) Việc xử lý và phân loại thông tin và dữ liệu có nằm trong chính sách bảo mật thông tin của bạn không?
4) Có bất kỳ vấn đề pháp lý nổi bật nào mà bạn hiện đang giải quyết ở (các) tiểu bang bạn hoạt động không? Nếu có, xin giải thích.
An ninh chung
1) Bạn có chương trình đào tạo nâng cao nhận thức bảo mật thông tin cho nhân viên và nhà thầu không?
2) Phương pháp nào sau đây để xác thực và cho phép truy cập vào hệ thống và ứng dụng của bạn hiện đang sử dụng:
- Thực hiện bởi hệ điều hành
- Thực hiện bởi sản phẩm thương mại
- Dấu hiệu duy nhất trên
- Chứng thư số phía khách hàng
- Xác thực hai yếu tố khác
- Trồng tại nhà
- Không có cơ chế xác thực tại chỗ
3) Ai cho phép truy cập cho nhân viên, nhà thầu, temps, nhà cung cấp và đối tác kinh doanh?
4) Bạn có cho phép nhân viên của mình (bao gồm nhà thầu, temps, nhà cung cấp, v.v.) có quyền truy cập từ xa vào mạng của bạn không?
5) Bạn có kế hoạch ứng phó sự cố an ninh thông tin không? Nếu không, sự cố bảo mật thông tin được xử lý như thế nào?
6) Bạn có chính sách giải quyết việc xử lý thông tin nội bộ hoặc bí mật trong tin nhắn email đến bên ngoài công ty của bạn không?
7) Bạn có xem lại các chính sách và tiêu chuẩn bảo mật thông tin của mình ít nhất hàng năm không?
8) Có những phương pháp và biện pháp kiểm soát vật lý nào để ngăn chặn truy cập trái phép vào các khu vực an toàn của công ty bạn?
- Máy chủ mạng trong phòng bị khóa
- Truy cập vật lý vào các máy chủ bị giới hạn bởi nhận dạng bảo mật (thẻ truy cập, sinh trắc học, v.v.)
- Video giám sát
- Đăng nhập và thủ tục đăng nhập
- Phù hiệu bảo mật hoặc thẻ ID có thể nhìn thấy mọi lúc trong khu vực an toàn
- Nhân viên bảo vệ
- không ai
- Khác, vui lòng cung cấp thêm chi tiết
9) Hãy mô tả chính sách mật khẩu của bạn cho tất cả các môi trường? I E. Chiều dài, sức mạnh và lão hóa
10) Bạn có kế hoạch khắc phục thảm họa (DR) không? Nếu có, bạn có thường xuyên kiểm tra nó không?
11) Bạn có kế hoạch kinh doanh liên tục (BC) không? Nếu có, bạn có thường xuyên kiểm tra nó không?
12) Bạn có cung cấp cho chúng tôi bản sao kết quả xét nghiệm của bạn (BC và DR) nếu được yêu cầu không?
Kiến trúc và đánh giá hệ thống
1) Dữ liệu và / hoặc ứng dụng của [Công ty] sẽ được lưu trữ và / hoặc xử lý trên máy chủ chuyên dụng hoặc dùng chung?
2) Nếu trên máy chủ dùng chung, dữ liệu của [Công ty] sẽ được phân đoạn từ dữ liệu của các công ty khác như thế nào?
3) Loại kết nối giữa công ty với công ty sẽ được cung cấp?
- Internet
- Đường dây riêng / cho thuê (ví dụ: T1)
- Quay sô
- VPN (Mạng riêng ảo)
- Dịch vụ đầu cuối
- không ai
- Khác, vui lòng cung cấp thêm chi tiết
4) Kết nối mạng này có được mã hóa không? Nếu có, phương thức mã hóa nào sẽ được sử dụng?
5) Có bất kỳ mã phía máy khách nào (bao gồm mã ActiveX hoặc mã Java) được yêu cầu để sử dụng giải pháp không? Nếu đồng ý, vui lòng mô tả hay chi tiết về nó.
6) Bạn có tường lửa để kiểm soát truy cập mạng bên ngoài vào (các) máy chủ web của mình không. Nếu không, máy chủ này nằm ở đâu?
7) Mạng của bạn có bao gồm DMZ để truy cập Internet vào các ứng dụng không? Nếu không, những ứng dụng này nằm ở đâu?
8) Tổ chức của bạn có thực hiện các bước để đảm bảo chống lại sự ngừng hoạt động của Dịch vụ không? Hãy mô tả các bước này
9) Bạn có thực hiện bất kỳ đánh giá / kiểm tra bảo mật thông tin nào sau đây không
- Quét hệ thống / mạng nội bộ
- Quản lý nội bộ tự đánh giá và / hoặc đánh giá thẩm định
- Đánh giá mã nội bộ / đánh giá ngang hàng
- Các nghiên cứu / nghiên cứu thâm nhập của bên thứ 3
- Khác, Vui lòng cung cấp chi tiết Tần suất các xét nghiệm này được thực hiện như thế nào?
10) Thực hành bảo mật thông tin nào sau đây đang được sử dụng tích cực trong tổ chức của bạn
- Danh sách kiểm soát truy cập
- Chứng thư số - Phía máy chủ
- Chứng thư số - Phía khách hàng
- Chữ ký số
- Phát hiện / ngăn chặn xâm nhập dựa trên mạng
- Phát hiện / ngăn chặn xâm nhập máy chủ
- Cập nhật theo lịch trình cho các tệp chữ ký phát hiện / ngăn chặn xâm nhập
- Giám sát xâm nhập 24x7
- Quét virus liên tục
- Cập nhật theo lịch trình cho các tập tin chữ ký virus
- Nghiên cứu thâm nhập và / hoặc xét nghiệm
- không ai
11) Bạn có tiêu chuẩn để làm cứng hoặc bảo vệ hệ điều hành của mình không?
12) Bạn có lịch trình áp dụng các bản cập nhật và sửa lỗi nóng cho hệ điều hành của mình không? Nếu không, vui lòng cho chúng tôi biết cách bạn xác định những gì và khi nào nên áp dụng các bản vá và cập nhật quan trọng
13) Để cung cấp bảo vệ khỏi sự cố mất điện hoặc mạng, bạn có duy trì các hệ thống dự phòng đầy đủ cho các hệ thống giao dịch quan trọng của mình không?
Máy chủ Web (nếu có)
1) URL nào sẽ được sử dụng để truy cập ứng dụng / dữ liệu?
2) Máy chủ web là (các) hệ điều hành nào? (Vui lòng cung cấp tên hệ điều hành, phiên bản và gói dịch vụ hoặc mức vá lỗi.)
3) Phần mềm máy chủ web là gì?
Máy chủ ứng dụng (nếu có)
1) Máy chủ ứng dụng (các) hệ điều hành nào? (Vui lòng cung cấp tên hệ điều hành, phiên bản và gói dịch vụ hoặc mức vá lỗi.)
2) Phần mềm máy chủ ứng dụng là gì?
3) Bạn đang sử dụng kiểm soát truy cập dựa trên vai trò? Nếu có, các cấp truy cập được gán cho vai trò như thế nào?
4) Làm thế nào để bạn đảm bảo rằng ủy quyền và phân biệt nhiệm vụ thích hợp được đưa ra?
5) Ứng dụng của bạn có sử dụng quyền truy cập / bảo mật đa cấp của người dùng không? Nếu có, xin vui lòng cung cấp chi tiết.
6) Các hoạt động trong ứng dụng của bạn có được giám sát bởi hệ thống hoặc dịch vụ của bên thứ ba không? Nếu có, vui lòng cung cấp cho chúng tôi tên công ty và dịch vụ và thông tin nào đang được theo dõi
Máy chủ cơ sở dữ liệu (nếu có)
1) Máy chủ cơ sở dữ liệu (các) hệ điều hành nào? (Vui lòng cung cấp tên hệ điều hành, phiên bản và gói dịch vụ hoặc mức vá lỗi.)
2) Phần mềm máy chủ cơ sở dữ liệu nào đang được sử dụng?
3) DB có được nhân rộng không?
4) Máy chủ DB có phải là một phần của cụm không?
5) Điều gì được thực hiện (nếu có) để cô lập dữ liệu của [Công ty] khỏi các công ty khác?
6) Dữ liệu của [Công ty] khi được lưu trữ trên đĩa có được mã hóa không? Nếu có, vui lòng mô tả phương thức mã hóa
7) Dữ liệu nguồn được thu thập như thế nào?
8) Lỗi toàn vẹn dữ liệu được xử lý như thế nào?
Kiểm toán và ghi nhật ký
1) Bạn có đăng nhập quyền truy cập của khách hàng vào:
- Máy chủ web?
- Máy chủ ứng dụng?
- Các máy chủ cơ sở dữ liệu?
2) Các bản ghi được xem xét? Nếu có, vui lòng giải thích quy trình và tần suất họ được xem xét?
3) Bạn có cung cấp hệ thống và tài nguyên để duy trì và giám sát nhật ký kiểm toán và nhật ký giao dịch không? Nếu có, nhật ký nào bạn giữ lại và bạn lưu trữ chúng trong bao lâu?
4) Bạn có cho phép [Công ty] xem xét nhật ký hệ thống của bạn khi chúng liên quan đến công ty chúng tôi không?
Riêng tư
1) Các quy trình và thủ tục được sử dụng để giải mật / xóa / loại bỏ dữ liệu của [Công ty] khi không còn cần thiết là gì?
2) Bạn có bất cứ lúc nào nhầm lẫn hoặc vô tình tiết lộ thông tin khách hàng không?
Nếu có, bạn đã thực hiện những biện pháp khắc phục nào?
3) Các nhà thầu (không phải nhân viên) có quyền truy cập vào thông tin nhạy cảm hoặc bí mật không? Nếu có, họ đã ký một thỏa thuận không tiết lộ?
4) Bạn có nhà cung cấp nào được phép truy cập và bảo trì mạng, hệ thống hoặc ứng dụng của mình không? Nếu có, các nhà cung cấp này theo hợp đồng bằng văn bản cung cấp bảo mật, kiểm tra lý lịch và bảo hiểm / bồi thường chống lại mất mát?
5) Dữ liệu của bạn được phân loại và bảo mật như thế nào?
Hoạt động
1) Tần suất và mức độ sao lưu của bạn là gì?
2) Thời gian duy trì tại chỗ của các bản sao lưu là gì?
3) Định dạng sao lưu của bạn được lưu trữ trong?
4) Bạn có lưu trữ bản sao lưu tại một địa điểm không? Nếu có, thời gian duy trì là gì?
5) Bạn có mã hóa sao lưu dữ liệu của bạn?
6) Làm thế nào để bạn đảm bảo rằng chỉ các chương trình sản xuất hợp lệ được thực thi?