【2】明基醫(yī)院軟硬件資產(chǎn)管理調(diào)查問卷

1. 您的姓名

2. 您的部門

3. 您的職務(wù)

4. 您的辦公地點(diǎn)

南京蘇州

5. 貴院是否已制定覆蓋 IT 設(shè)備、系統(tǒng)、應(yīng)用程序和數(shù)據(jù)管理的文件化政策和實(shí)施程序?

是的，已有正式文件并定期更新，覆蓋資產(chǎn)清單、分類、責(zé)任分配、處置流程等是的，但覆蓋范圍有限，部分資產(chǎn)管理措施未形成文件正在制定中，但尚未實(shí)施沒有相關(guān)文件，依賴經(jīng)驗(yàn)或供應(yīng)商建議不清楚

6. 貴院是否制定了移動(dòng)設(shè)備（筆記本、平板、智能手機(jī)）及移動(dòng)存儲(chǔ)介質(zhì)（USB、外置硬盤、CD/DVD）的正確使用政策和程序?

是的，覆蓋使用、存儲(chǔ)、加密、丟失報(bào)告等全流程是的，但部分設(shè)備類型未覆蓋正在制定中沒有相關(guān)政策不清楚

7. 貴院是否保持所有 IT 資產(chǎn)（本地和云環(huán)境）準(zhǔn)確且最新的清單

是的，所有硬件、軟件、云應(yīng)用均登記并定期更新是的，部分關(guān)鍵資產(chǎn)有清單，但部分資產(chǎn)未包含，但覆蓋不完整是的，但是資產(chǎn)清單更新不及時(shí)沒有資產(chǎn)清單不清楚

8. 貴院的資產(chǎn)清單是否包含詳細(xì)特征信息（如名稱、所有者、IP、MAC、版本、功能描述、位置等）?

是的，所有資產(chǎn)均包含完整信息是的，但部分資產(chǎn)信息不完整，部分資產(chǎn)信息缺失沒有資產(chǎn)清單不清楚

9. 貴院是否為每個(gè) IT 資產(chǎn)指定了所有者，以明確責(zé)任?

是的，所有資產(chǎn)都有指定所有者是的，但部分資產(chǎn)未指定責(zé)任人僅關(guān)鍵資產(chǎn)指定了所有者沒有資產(chǎn)責(zé)任分配不清楚

10. 貴院是否根據(jù) IT 資產(chǎn)（硬件、軟件、數(shù)據(jù)）的業(yè)務(wù)重要性和敏感性將其分類?

是的，所有資產(chǎn)按重要性和敏感性分組是的，但部分資產(chǎn)分類不明確僅關(guān)鍵業(yè)務(wù)資產(chǎn)進(jìn)行了分類沒有資產(chǎn)分類不清楚

11. 貴院是否根據(jù)個(gè)人數(shù)據(jù)保護(hù)法規(guī)確定敏感數(shù)據(jù)，并根據(jù)監(jiān)管和運(yùn)營(yíng)要求確定關(guān)鍵業(yè)務(wù)數(shù)據(jù)?

是的，所有處理的數(shù)據(jù)均分類明確是的，但部分?jǐn)?shù)據(jù)分類不完整，僅部分?jǐn)?shù)據(jù)符合分類要求沒有數(shù)據(jù)分類或保護(hù)措施不清楚

12. 貴院是否對(duì)固定和便攜式設(shè)備在處置前實(shí)施安全處理流程，包括關(guān)鍵和個(gè)人數(shù)據(jù)刪除?

是的，所有設(shè)備均按流程安全刪除數(shù)據(jù)是的，但部分設(shè)備流程未嚴(yán)格執(zhí)行，部分設(shè)備存在安全刪除缺失沒有設(shè)備處置流程不清楚

13. 9. 貴院是否限制員工用于工作目的的自帶設(shè)備（筆記本、平板、智能手機(jī)）訪問關(guān)鍵或敏感系統(tǒng)?

是的，自帶設(shè)備無法訪問關(guān)鍵/敏感系統(tǒng)是的，但部分自帶設(shè)備存在訪問風(fēng)險(xiǎn)，部分員工自帶設(shè)備可訪問敏感系統(tǒng)不允許自帶設(shè)備（選擇“不適用”）不清楚

14. 貴院是否確保員工自帶設(shè)備只能通過與組織網(wǎng)絡(luò)分離的網(wǎng)絡(luò)訪問 Internet?

是的，網(wǎng)絡(luò)隔離嚴(yán)格執(zhí)行是的，但部分設(shè)備隔離不完善，部分自帶設(shè)備可直接訪問內(nèi)部網(wǎng)絡(luò)不允許自帶設(shè)備（選擇“不適用”）不清楚

15. 貴院的 IT 部門是否對(duì)員工自帶設(shè)備進(jìn)行了安全配置以滿足所需安全級(jí)別?

是的，所有自帶設(shè)備均進(jìn)行配置和管理是的，部分自帶設(shè)備未進(jìn)行安全配置不允許自帶設(shè)備（選擇“不適用”）不清楚

16. 貴院是否保持授權(quán)應(yīng)用程序和腳本在自帶或組織設(shè)備上的執(zhí)行控制?

是的，未經(jīng)批準(zhǔn)的應(yīng)用和腳本均禁止執(zhí)行是的，但部分設(shè)備存在繞過風(fēng)險(xiǎn)，僅部分設(shè)備控制沒有控制不清楚

17. 貴院是否使用自動(dòng)化發(fā)現(xiàn)工具掃描網(wǎng)絡(luò)，識(shí)別連接設(shè)備及其功能，定期更新資產(chǎn)庫存?

是的，工具覆蓋所有網(wǎng)絡(luò)設(shè)備并自動(dòng)更新庫存是的，但掃描頻率或覆蓋范圍有限偶爾使用發(fā)現(xiàn)工具沒有使用發(fā)現(xiàn)工具不清楚

18. 貴院是否監(jiān)控和檢測(cè)任何未經(jīng)授權(quán)的 IT 資產(chǎn)連接?

是的，實(shí)時(shí)檢測(cè)并報(bào)告異常設(shè)備是的，但監(jiān)控覆蓋有限偶爾檢測(cè)，缺乏制度沒有監(jiān)控機(jī)制不清楚

19. 貴院是否定期審查和更新 IT 資產(chǎn)清單和分類?

是的，定期審查并更新是的，但更新不及時(shí)偶爾更新，缺乏制度沒有審查或更新不清楚

20. 貴院是否提供培訓(xùn)或指南，確保員工了解 IT 資產(chǎn)的正確使用和管理流程?

是的，定期培訓(xùn)并提供操作指南是的，但培訓(xùn)頻率或覆蓋有限，部分員工接受培訓(xùn)沒有培訓(xùn)或指南不清楚

更多問卷復(fù)制此問卷