2.4.安保（CRSAS认证标准理解）

2.4.1保护财产和人员

2.4.1.1.是否已建立一套管理系统，能够有效的识别 人员及访客出入受限区域?

条款理解：

1）、任何有效的控制方法，如保安、电子卡进入系统、登记进入等。

2）、受限区域应采取相应措施限制人员进入。

3）、参考"责任关怀安全守则",第3.1项。该指南可以帮助确定评估要点。

2.4.1.2.是否制定了书面程序，要求定期进行检查并 记录建筑物/场所安保方面的违规和漏洞?

条款理解：

检查定期检查表或安保检查表的可获得性和使用情况，验证事件报告及补救措施。

2.4.1.3.公司是否评估了未经授权进入公司场所、运 输设备、罐体清洗设施、储存区或现场信息 处理设施的风险?

条款理解：

必须定义并使用安保周界来保护包含敏感或关键信息和信息处理设施的区域(即存放IT服务器的房间)。

2.4.2.保护数字形式的数据

2.4.2.1.在过去的12个月内(作为最低的频率要求),是否进行过客户、产品及作业数据的 风险评估，并采取了减轻风险的措施?

条款理解：

1）、验证是否已进行风险评估。验证公司是否对数据采取了保护措施，例如EDI链接，互联网上的订单处理和客户订 单详细信息的使用。EDI(电子数据交换)是业务伙伴之间利用计算机以标准电子格式进行的商业文档交换。如果将此任务外包，则评估员需要求提供与供应商签订的合同，并检查是否涵盖了以下提到的主题。

2）、至少，必须考虑以下风险以保护数据：

a.黑客攻击

b.病毒软件(专门设计用于破坏或获得对计算机系统访问授权的软件)

c.移动设备(便携式计算机，平板电脑，移动电话等)上的业务信息安全性

2.4.2.2.是否有一份包含公司驾驶员机密数据的信息 技术资产清单?

条款理解：

资产包括硬件(任何可以保存数据的设备，如笔记本电脑、移动电话、照相机等)和处理信息的软件。这些资 产的清单必须被制定、维护并保持更新。场所外的设备和资产也必须包括在内。

2.4.2.3.对处理信息技术的资产是否有一个主动的维护计划?

条款理解：

维护计划必须根据供应商推荐的服务间隔和规格来设计。它应该包括硬件和软件。必须保留记录。

2.4.2.4.信息系统是否至少每年由独立审计师进行审 计，以确保所有规定的标准都得到满足?

条款理解：

可接受的审计的例子是那些与IS027001认证有关的审计或由保险IT审计师进行的审计。如果审计师是内部的，他/她应该是独立于IT系统的开发/维护。属于IT部门的内部审计师不被认为是独立的。

2.4.2.5.是否已建立一个书面程序文件，确保可以就 安保问题进行适当的沟通对话和信息交流?

条款理解：

1）、检查如何将安全威胁传达给雇员和承包商。该体系应包括在威胁等级发生变化时向雇员和管理层提供信息。 

2）、应建立一个与当地/国家执法机构交流信息的体系。参考“责任关怀安全守则“指南第5节。

2.4.2.6是否有对安保威胁/事件做出响应的书面程序文件?

条款理解：

检查安保事件/威胁的报告和行动计划。请参阅“责任关怀安保准则”指南第6节。