简答题

审核员在A公司审核时，发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说，因保安负责公司的物理区域安全，他们夜里以及节假日要值班和巡查所有区域，所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员，你将如何做？

使用微信搜索喵呜刷题，轻松应对考试！

答案：

应根据标准条款A11.1.2物理入口控制条款审核以下内容：（1）是否有形成文件的物理入口进出控制策略。并且包含针对公司每一部分物理区域的访问控制策略的内容？（2）访问控制策略是否基于业务和访问的安全要素进行过评审？（3）核实保安角色是否在访问控制策略中有明确规定？（4）保安的进出是否都在进入和离开时进行了日期记录。（5）对进出登记是否有保护机制，确保未发生过丢失、损毁情况。（6）应现场询问保安负、对外来人员或相关人员关注事项，是否有配带适宜的标识，宜伴有本公司人员。（7）应现场询问保安员，对安全区域或保密信息处理设施如何巡查、控制。在不必要的时候，任何外来人员不得进入或访间。（8）应现场询问保安员，是否发生过信息安全事件，是否与物理区域非授权进入有关？如有关，继续追踪处置过程，是否与事件管理流程相一致。（9）核实如何对保安进行背景调查，是否明确了其安全角色和职责？

解析：

【喵呜刷题小喵解析】在审核员发现A公司从保安公司聘用的保安的门卡可通行公司所有的门禁时，审核员应首先根据标准条款A11.1.2物理入口控制条款进行审核。审核员需要核实公司是否制定了形成文件的物理入口进出控制策略，并且该策略是否包含对公司所有物理区域的访问控制内容。此外，审核员还需要核实公司的访问控制策略是否基于业务和访问的安全要素进行过评审，以及保安角色是否在访问控制策略中有明确规定。在审核过程中，审核员还需要关注保安的进出记录，包括他们进入和离开的时间，以及这些记录是否得到了妥善保护，未发生过丢失、损毁情况。此外，审核员还需要现场询问保安员，了解他们是否对安全区域或保密信息处理设施进行了巡查和控制，以及他们是否对外来人员或相关人员进行了关注，并要求他们佩戴适宜的标识。审核员还需要关注公司是否对保安进行了背景调查，并明确了他们的安全角色和职责。这是确保保安能够胜任其工作的重要步骤，也是保护公司信息安全的关键环节。最后，审核员需要现场询问保安员，了解他们是否遇到过信息安全事件，这些事件是否与物理区域非授权进入有关。如果有关，审核员需要继续追踪处置过程，确保其与事件管理流程相一致。这是确保公司信息安全的重要环节，也是审核员需要关注的重要问题。

创作类型：

原创

本文链接：审核员在A公司审核时，发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！