Їм не потрібна копія всієї вашої внутрішньої політики в галузі ІТ, але я думаю, що вони можуть бути після чогось подібного до цього - хтось, безумовно, повинен отримати вам достатньо інформації про контракт, щоб визначити, скільки деталей потрібно надати та про що. Я погоджуюся з Джозефом - якщо їм потрібна інформація з юридичних причин / відповідності, вони повинні бути юридичними.
Довідкова інформація
1) Чи хтось із ваших співробітників знаходиться за межами США?
2) Чи існує ваша формалізована та задокументована політика захисту інформації?
3) Чи охороняється обробка та класифікація інформації та даних, що стосуються вашої політики захисту інформації?
4) Чи є якісь невирішені регуляторні проблеми, з якими ви зараз вирішуєте, у штаті, в якому ви працюєте? Якщо так, будь ласка, поясніть.
Загальна безпека
1) Чи є у вас програма навчання з інформаційної безпеки працівників та підрядників?
2) Який із перелічених нижче способів аутентифікації та авторизації доступу до ваших систем та додатків ви зараз використовуєте:
- Виконується операційною системою
- Виконується комерційним продуктом
- Одноразова реєстрація
- Цифрові сертифікати на стороні клієнта
- Інші двофакторні аутентифікації
- Домашнє вирощене
- Не існує механізму аутентифікації
3) Хто надає доступ працівникам, підрядникам, тимпонам, продавцям та діловим партнерам?
4) Чи дозволяєте ви своїм працівникам (включаючи підрядників, тимчасових працівників, постачальників тощо) віддалений доступ до ваших мереж?
5) Чи є у вас план реагування на інформаційну безпеку? Якщо ні, як розглядаються випадки інформаційної безпеки?
6) Чи існує у вас політика, яка стосується обробки внутрішньої чи конфіденційної інформації в електронних повідомленнях за межами вашої компанії?
7) Ви переглядаєте свої політики та стандарти інформаційної безпеки принаймні щорічно?
8) Які методи та фізичний контроль застосовуються для запобігання несанкціонованого доступу до безпечних зон вашої компанії?
- Мережеві сервери в замкнених приміщеннях
- Фізичний доступ до серверів, обмежений ідентифікацією безпеки (картки доступу, біометричні дані тощо)
- Відеомоніторинг
- Журнали та процедури входу
- Значки безпеки або посвідчення особи, які завжди видно у захищених місцях
- Охоронці
- Немає
- Інше, будь ласка, надайте додаткові дані
9) Будь ласка, опишіть свою політику паролів для всіх середовищ? Тобто Довжина, міцність і старіння
10) Чи є у вас план відновлення після аварій? Якщо так, то як часто ви її тестуєте?
11) Чи є у вас план безперервності бізнесу (BC)? Якщо так, то як часто ви її тестуєте?
12) Чи надасте нам копію результатів ваших тестів (BC та DR), якщо вимагається?
Огляд архітектури та системи
1) Чи будуть дані та / або додатки [Компанії] зберігатися та / або оброблятися на спеціалізованому або спільному сервері?
2) Якщо на спільному сервері, як сегментуватимуться дані [Компанії] від даних інших компаній?
3) Які види (типи) підключення компанії до компанії будуть надані?
- Інтернет
- Приватна / орендована лінія (наприклад, T1)
- Набір номера
- VPN (віртуальна приватна мережа)
- Служба терміналів
- Немає
- Інше, будь ласка, надайте додаткові дані
4) Чи буде зашифровано це підключення до мережі? Якщо так, то який метод (и) шифрування буде використовуватися?
5) Чи потрібен який-небудь код на стороні клієнта (включаючи ActiveX або Java-код), необхідний для використання рішення? Якщо так, будь ласка, опишіть.
6) Чи є у вас брандмауер (и) для контролю доступу до зовнішньої мережі до вашого веб-серверів. Якщо ні, то де цей сервер (и) знаходиться?
7) Чи включає ваша мережа DMZ для доступу в Інтернет до додатків? Якщо ні, то де розташовані ці програми?
8) Чи приймає ваша організація заходи щодо запобігання відмов від відмови у наданні послуг? Опишіть, будь ласка, ці кроки
9) Чи виконуєте ви будь-який із наведених нижче оглядів / тестів інформаційної безпеки
- Сканування внутрішньої системи / мережі
- Внутрішньо керовані самооцінки та / або огляди належної ретельності
- Внутрішні огляди коду / рецензії
- Зовнішні тести / дослідження на проникнення сторонніх виробників
- Інше, будь ласка, надайте детальну інформацію Як часто проводяться ці тести?
10) Які з перелічених нижче практик захисту інформації активно використовуються у вашій організації
- Списки контролю доступу
- Цифрові сертифікати - серверна сторона
- Цифрові сертифікати - сторона клієнта
- Цифрові підписи
- Мережеве виявлення / запобігання вторгнень
- Виявлення / запобігання вторгнень на основі хоста
- Заплановані оновлення файлів підписів на виявлення / запобігання вторгнень
- Моніторинг вторгнення 24x7
- Безперервне сканування вірусів
- Заплановані оновлення файлів підписів вірусів
- Проникнення та / або випробування
- Немає
11) Чи є у вас стандарти щодо загартовування чи закріплення операційних систем?
12) Чи є у вас графік застосування оновлень та гарячих виправлень до ваших операційних систем? Якщо ні, розкажіть, будь ласка, як ви визначаєте, що і коли застосовувати виправлення та критичні оновлення
13) Щоб забезпечити захист від відключення живлення або мережі, чи підтримуєте ви повністю надлишкові системи для ваших ключових транзакційних систем?
Веб-сервер (за наявності)
1) Яка URL-адреса, яка використовуватиметься для доступу до програми / даних?
2) Якою операційною системою є веб-сервер (и)? (Будь ласка, вкажіть ім’я ОС, версію та пакет оновлення або рівень виправлення.)
3) Що таке програмне забезпечення для веб-сервера?
Сервер додатків (якщо застосовується)
1) Яка операційна система (я) - це сервер (и) додатків? (Будь ласка, вкажіть ім’я ОС, версію та пакет оновлення або рівень виправлення.)
2) Що таке програмне забезпечення для сервера додатків?
3) Чи використовуєте ви керування доступом на основі ролей? Якщо так, то яким чином рівні доступу призначені для ролей?
4) Як Ви гарантуєте, що є відповідні повноваження та розділення обов'язків?
5) Чи використовує ваша програма багатоступеневий доступ / захист користувачів? Якщо так, будь ласка, надайте детальну інформацію.
6) Чи контролюється діяльність у вашій програмі стороною системою чи службою? Якщо так, будь ласка, вкажіть нам назву компанії та послуги та інформацію про те, що відстежуються
Сервер баз даних (якщо застосовується)
1) Яка операційна система (я) - це сервер (и) баз даних? (Будь ласка, вкажіть ім’я ОС, версію та пакет оновлення або рівень виправлення.)
2) Які серверні програми для баз даних використовуються?
3) Чи реплікується БД?
4) Чи є сервер БД частиною кластеру?
5) Що робиться (якщо щось робиться) для виділення даних [Компанії] від інших компаній?
6) Чи будуть зашифровані дані [Компанії], коли вони зберігаються на диску? Якщо так, то опишіть метод шифрування
7) Як фіксуються вихідні дані?
8) Як обробляються помилки цілісності даних?
Аудит та ведення журналів
1) Чи реєструєте ви доступ клієнта:
- Веб-сервер?
- Сервер додатків?
- Сервер бази даних?
2) Чи перевіряються журнали? Якщо так, то, будь ласка, поясніть процес та як часто вони переглядаються?
3) Чи надаєте системи та ресурси для ведення та моніторингу журналів аудиту та журналів транзакцій? Якщо так, то які журнали ви зберігаєте і як довго ви їх зберігаєте?
4) Чи дозволите ви [Компанії] переглянути ваші системні журнали, коли вони стосуються нашої компанії?
Конфіденційність
1) Які процеси та процедури використовуються для розсекречення / видалення / відкидання даних [Компанії], коли вони більше не потрібні?
2) Ви в будь-який момент помилково чи випадково розкрили інформацію про клієнта?
Якщо так, то які коригувальні заходи ви впровадили після цього?
3) Чи мають підрядники (не співробітники) доступ до конфіденційної або конфіденційної інформації? Якщо так, чи підписали вони договір про нерозголошення?
4) Чи є у вас постачальники, які мають право доступу та обслуговування ваших мереж, систем чи програм? Якщо так, то ці постачальники за письмовими договорами передбачають конфіденційність, довідкові перевірки та страхування / відшкодування збитків від збитків?
5) Як класифікуються та захищаються ваші дані?
Операції
1) Яка частота та рівень резервних копій?
2) Який термін зберігання резервних копій на місці?
3) У якому форматі зберігаються ваші резервні копії?
4) Чи зберігаєте ви резервні копії в місці, яке не знаходиться? Якщо так, то який термін зберігання?
5) Чи шифруєте ви резервні копії даних?
6) Як Ви гарантуєте, що виконуються лише діючі виробничі програми?