当前位置:文档之家 › 信息安全系统控制要求措施测量方法表

信息安全系统控制要求措施测量方法表

  • 格式:doc
  • 大小:136.50 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

ISMS【信息安全系列培训】【03】【体系框架】

ISMS【信息安全系列培训】【03】【体系框架】

3
2 规范性应用文件
2 规范性引用文件 下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最 新版本(包括任何修改)适用于本标准。 ISO/IEC 17799:2005,信息技术—安全技术—信息安全管理实用规则。
4
3 术语和定义 (续)
Байду номын сангаас
监视和 评审ISMS
受控的 信息安全
检查Check
2
1 范围
1 范围 1.1 总则 本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、 监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。 注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。 注2:ISO/IEC 17799提供了设计控制措施时可使用的实施指南。 1.2 应用 本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减。 为了满足风险接受准则所必须进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受。除非删 减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任,否则不能声称符合本标准。 注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与ISO 9001或者ISO 14001相关的),那么在大多数情况下,更可取 的是在这个现有的管理体系内满足本标准的要求。
8
4 信息安全管理体系(ISMS)

信息安全管理体系的实施过程

信息安全管理体系的实施过程

信息安全管理体系的实施过程信息安全管理体系是保障组织信息资产安全的重要手段,它通过一系列的步骤和措施确保组织的信息系统得到有效的保护。

本文将从规划、实施、运行和改进四个方面,详细介绍信息安全管理体系的实施过程。

一、规划阶段在规划阶段,组织需要明确信息安全管理体系的目标、范围、政策、风险评估和内外部要求等。

具体步骤包括:1. 确定目标:明确信息安全管理体系的目标,例如保护信息资产的完整性、保密性和可用性。

2. 确定范围:确定信息安全管理体系适用的组织范围,包括组织内外的信息系统和信息资产。

3. 制定政策:制定信息安全政策,明确组织对信息安全的要求和期望。

4. 进行风险评估:通过评估信息系统的威胁、弱点和潜在风险,确定信息安全管理体系的重点和优先级。

5. 分析内外部要求:考虑相关法律法规、标准和合同要求等外部要求,以及组织内部的安全需求和业务目标。

二、实施阶段在实施阶段,组织需要按照规划阶段确定的目标和要求,采取具体的措施来构建信息安全管理体系。

具体步骤包括:1. 建立组织结构:建立信息安全管理委员会、任命信息安全管理代表等,明确各个角色和职责。

2. 制定制度和程序:建立信息安全管理制度和相关的操作程序,包括对信息资产的分类、访问控制、数据备份等。

3. 资源配置:根据风险评估的结果,合理配置资源,包括人力、技术和设备等,以支持信息安全管理体系的实施。

4. 培训和意识提升:开展信息安全培训和宣传活动,提高员工对信息安全的认识和重视程度。

5. 实施控制措施:根据信息安全管理要求,采取适当的控制措施,以保护信息系统和信息资产的安全。

三、运行阶段在运行阶段,组织需要确保信息安全管理体系的有效运行和维护。

具体步骤包括:1. 监测和测量:建立信息安全管理的监测和测量机制,定期评估信息安全管理体系的有效性和合规性。

2. 风险管理:定期进行风险评估,及时处理潜在的信息安全风险和漏洞。

3. 事件响应:建立信息安全事件响应机制,对安全事件进行及时的处理和调查,防止类似事件再次发生。

ISO27001监视和测量管理程序

ISO27001监视和测量管理程序

文件制修订记录1、目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析,为策划、实施、持续改进管理体系提供依据。

2、适用范围本程序适用于公司控制措施衡量、法律法规符合性验证、安全目标、方针贯彻。

3、术语和定义引用ISO/IEC27001:2022标准及本公司信息安全手册中的术语和定义。

4、职责4.1管理运营部4.1.1负责信息安全控制措施有效性、安全方针和安全目标实现程度测量。

4.1.2负责识别与公司有关的法律法规,并检验是否满足。

4.2管理者代表4.2.1负责掌握信息安全管理体系的总体运行情况,并向最高管理者汇报,对最高管理者负责。

4.2.2收集、评审信息安全管理体系的有效性、充分性、适宜性的改进建议;4.3管理运营部4.3.1负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规,发布《信息安全法律法规清单》,对本程序的实施情况进行组织、监督和检查。

体系管理部负责法律法规的更新以及适用性的确认,并传达给各部门。

4.4采购保障部4.4.1负责每半年对各职能市场销售部门进行监视和测量,对各职能市场销售部门的监视和测量执行情况进行监督、检查和指导,为纠正和预防提供信息。

4.4.2负责收集的顾客信息安全满意程度信息,并进行汇总、分析和传递。

5、工作程序5.1法律符合性测量5.1.1法律识别由管理运营部负责每半年收集、更新与公司运营有关的信息安全法律法规,编制《信息安全法律法规清单》,解读法规要求,在制定公司信息安全规章制度时作为遵循条件之一,必要时对有关人员进行法律法规的理解培训。

有下列情况之一的,须进行相关的法律合规性评价活动:1)原有的法律法规发生变化或者有新的相关法律法规出台时;2)外部环境标准发生变化或者环境体系进行换版时;3)公司内部或者周边工作环境发生变化时;4)有新的设备或者设施投入使用前;5)一般情况下每年末进行相关的法律合规性评价工作。

各部门根据信息系统日常运行及检测记录,对控制效果、过程的符合性进行相应评价。

ISO27001文件-ISMS有效性测量方法指南

ISO27001文件-ISMS有效性测量方法指南

ISMS有效性测量方法指南(版本号:V1.0)ISMS有效性测量管理规定更改控制页目录1目的 (1)2范围 (1)3内容 (1)3.1测量数据的收集 (1)3.2体系有效性测量 (2)3.3测量结果的分析与总结 (2)4相关文件 (3)5相关记录 (3)6附录: (4)6.1附录1:《ISMS控制目标和检查内容列表》 (4)6.2附录2:《信息安全目标测量信息一览表》 (4)1目的为信息安全管理体系的测量和分析工作提供指导。

2范围适用于公司信息安全管理体系有效性测量和分析活动。

3内容3.1测量数据的收集通常采用以下几种方法收集用于测量的基础数据:日常检查、审计监控系统的回顾、信息安全事件的统计等。

1)日常检查内容要求:信息安全管理体系标准要求的11项控制目标和133项控制措施;公司制定的信息安全管理体系文件的各项管理规定。

日常检查的内容参考附录1《ISMS控制目标和检查内容列表》,每次检查的具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信息安全隐患程度决定。

具体检查情况应填写《日常检查记录表》。

频度要求:每月至少进行1次抽样日常检查。

2)审计监控系统回顾内容要求:系统管理员对各种日志系统、审计系统、监控系统等做抽样检查或定期回顾,要特别关注各种告警信息和错误日志等,以期发现违反和潜在违反信息安全策略的行为与事件。

审计监控系统时应填写《错误日志审核记录表》。

频度要求:每季度每个信息系统至少检查一次。

3)信息安全事件统计内容要求:接受来自公司内、外等各种渠道的信息安全事件报告,由信息安全经理负责根据实际情况填写《信息安全事件报告与处理单》,定期对各种信息安全事故进行分类统计。

频度要求:每季度进行一次。

4)信息安全意识活动内容要求:信息安全意识活动主要有:信息安全培训、信息安全调查问卷、信息安全考试等。

正式员工应积极参加公司组织的各种信息安全意识活动。

新员工在试用期内必须接受信息安全的相关文件培训。

信息安全技术 数据备份与恢复产品技术要求和测试评价方法

信息安全技术 数据备份与恢复产品技术要求和测试评价方法

信息安全技术数据备份与恢复产品技术要求和测试评价方法信息安全技术数据备份与恢复产品技术要求和测试评价方法1. 引言在当前数字化时代,大量的信息数据被生成和存储,而信息安全问题也随之成为一个备受关注的话题。

数据备份与恢复是信息安全的一项重要工作,它能保护企业和个人的重要数据免遭破坏、丢失或泄露。

本文将探讨信息安全技术中数据备份与恢复产品的技术要求和测试评价方法。

2. 数据备份与恢复的意义和挑战数据备份是指将重要数据复制到其他存储位置,以防止数据丢失的操作。

而数据恢复则是在数据丢失或损坏后,通过备份数据恢复到原始状态。

数据备份与恢复具有重要的意义:- 避免数据丢失风险:硬件故障、人为误操作、恶意软件攻击等意外情况都有可能导致数据丢失或损坏,数据备份可以减少这些风险。

- 提供灵活性和可靠性:备份数据可以用于恢复到最新或历史版本,从而提供了灵活性和可靠性。

- 防止勒索软件攻击:备份数据可以在勒索软件攻击后恢复数据而不必支付赎金。

然而,数据备份与恢复也面临一些挑战:- 数据量增长快:随着数据的日益庞大,传统备份与恢复方法可能无法满足需求。

- 数据一致性问题:备份和恢复的数据必须保持一致,以确保数据的完整性和准确性。

- 备份和恢复效率:备份和恢复需要尽可能高效,以减少停机时间和数据恢复的时间窗口。

3. 数据备份与恢复产品技术要求为了确保数据备份与恢复的有效性和安全性,数据备份与恢复产品需要满足以下技术要求:3.1 数据备份功能要求- 完全备份与增量备份:备份产品应支持完全备份和增量备份两种方式,以提高备份效率。

- 数据完整性验证:备份产品应支持备份数据的完整性验证,确保备份数据的准确性。

- 高效压缩与去重:备份产品应具备高效的压缩和去重功能,以减少备份数据的存储空间。

- 多备份策略:备份产品应支持多备份策略,如本地备份、异地备份和云备份等,以提供灵活的备份选项。

3.2 数据恢复功能要求- 多版本恢复:恢复产品应支持多版本恢复,允许用户选择恢复到最新或历史版本的数据。

ISOIEC27004-2009信息安全测量中文版

ISOIEC27004-2009信息安全测量中文版

信息技术—安全技术—信息安全管理—测量27004 N6614 (FCD)标准草案目录0 介绍 (4)0.1 概述 (4)0.2 管理层概述 (4)1 范围 (5)2 规范性引用 (5)3 术语和定义 (5)4 本标准的结构 (9)5 信息安全测量概述 (9)5.1 信息安全目标 (9)5.2 信息安全测量项目 (10)5.3 信息安全测量模型 (12)5.3.1 基本测度和测量方法 (13)5.3.2 导出测度和测量函数 (13)5.3.3 指标和分析模型 (14)5.3.4 测量结果和决策准则 (15)6. 管理职责 (15)6.1 概述 (15)6.2 资源管理 (16)6.3 测量培训,意识和能力 (16)7. 测度和测量开发 (16)7.1 概述 (16)7.2 测量范围识别 (16)7.3 信息需要识别 (17)7.4 对象识别 (18)7.5 测量开发和选择 (18)7.5.1 测量方法 (18)7.5.2 测量函数 (19)7.5.3 利益相关方 (19)7.5.4 属性选择和评审 (19)7.5.5 分析模型 (20)7.5.6 指标和报告格式 (20)7.5.7 决策准则 (20)7.6 测度证实 (21)7.7 数据收集、分析和报告 (21)7.8 记录 (22)8. 测量运行 (22)8.1 概述 (22)8.2 规程整合 (22)8.3 数据收集和处理 (23)9. 测量分析和报告 (23)9.1 概述 (23)9.2 分析数据和产生测量结果 (23)9.3 沟通结果 (24)10. 测量项目评价和改进 (25)10.1 概述 (25)10.2 识别测量项目的评价准则 (25)10.3 监控、评审与评价测量项目 (26)10.4 实施改进 (26)附录A (资料性附录)信息安全测量模板 (27)附录B (资料性附录)测度范例 (29)参考文献 (31)0 介绍0.1 概述本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。

ISO27001_主任审核员_教材

能反映营运目标的信息安全政策、目标及活动。 与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。 来自所有管理阶层的实际支持和承诺。 对信息安全要求、风险评鉴以及风险管理的深入了解。 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认
知。 资助信息安全管理活动。 提供适切的认知、训练及教育。 制定有效的信息安全事故管理过程。 实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。
Level 4–紀錄 紀錄活動實行以符合等級1、2和3文件要求的客觀 證據。可能是強制性的隱含在每個BS7799條款中。 例如:機房訪客登記簿、稽核記錄和存取授權… 等。
4.3 文件要求
4.3.2 文件管制 ISMS所需之文件應受保護和管制。應建立文件化程序,以 界定所需之管理措施,用以:
在文件發行前核准其適切性。 必要時,審查和更新並重新核准文件。 確保文件之變更與最新改訂狀況已予以識別。 確保在使用場所備有相關適用版次文件。 確保文件保持易於閱讀並容易識別。 確保有需要之人員均有文件可用,且依照其適用之傳遞、儲存及
建立一份ISMS政策。 確保建立各項ISMS目標及計畫。 為資訊安全建立角色與權責。 向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下
要求之權責,以及持續改進之需求。 提供充分資源以建立、實施、操作、監控、審查、維護與改進
ISMS。 決定可接風險之標準,以及可接受風險之等級。 確保實施內部ISMS稽核。 執行ISMS之管理階層審查。
組織 技術 企業目標及過程 已鑑別之威脅 控制措施實施有效性 外部事件,例如法律或法規環境之變化、合約責任之變化,以及社會
環境之變化。
在規劃期間執行內部ISMS稽核 內部ISMS稽核有時稱為第一方稽核,是由組織自己或其代表基於 內部目的所實施。

《信息系统物理安全技术要求》GB21052-2007

信息安全技术信息系统物理安全技术要求引言信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等方面,是信息系统安全运行的基本保障。

本标准提出的技术要求包括三方面:1)信息系统的配套部件、设备安全技术要求;2)信息系统所处物理环境的安全技术要求;3)保障信息系统可靠运行的物理安全技术要求。

设备物理安全、环境物理安全及系统物理安全的安全等级技术要求,确定了为保护信息系统安全运行所必须满足的基本的物理技术要求。

?本标准以GB17859-1999对于五个安全等级的划分为基础,依据GB/T20271-2006五个安全等级中对于物理安全技术的不同要求,结合当前我国计算机、网络和信息安全技术发展的具体情况,根据适度保护的原则,将物理安全技术等级分为五个不同级别,并对信息系统安全提出了物理安全技术方面的要求。

不同安全等级的物理安全平台为相对应安全等级的信息系统提供应有的物理安全保护能力。

第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护,第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护,第三级物理安全平台为第三级安全标记保护级提供较高程度的物理安全保护,第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护,第五级物理安全平台为第五级访问验证保护级提供最高程度的物理安全保护。

随着物理安全等级的依次提高,信息系统物理安全的可信度也随之增加,信息系统所面对的物理安全风险也逐渐减少。

本标准按照GB17859-1999的五个安全等级的划分,对每一级物理安全技术要求做详细的描述。

因第五级物理安全技术要求涉及最高程度物理安全技术,本标准略去相关内容。

附录A对物理安全相关概念进行了描述,并对物理安全技术等级划分进行了说明。

为清晰表示每一个安全等级比较低一级安全等级的物理安全技术要求的增加和增强,每一级的新增部分用“宋体加粗字”表示。

信息安全技术?信息系统物理安全技术要求1范围本标准规定了信息系统物理安全的分等级技术要求。

国家标准信息安全技术工业控制系统漏洞检测技术要求及测试评价

国家标准《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》(征求意见稿)编制说明一、工作简况1.1任务来源《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》是全国信息安全标准化技术委员会 2015年下达的信息安全国家标准制定项目,由北京匡恩网络科技有限责任公司中国电子技术标准化研究院承担,参与单位包括中国信息安全测评中心、中国电子技术标准化研究院、北京工业大学、中国科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。

1.2主要工作过程1.2015年5月到6月,联系各个参与单位,进行任务分工和任务组织;研究现有国内外工控安全相关标准,分析各自特点,学习借鉴。

2.2015年7月到8月调研国内工业控制系统安全现状,学习、研究、讨论国内外相关的标准及研究成果, 确定并编写总体框架。

3.2015.8-2015.12 编写标准初稿,在工作组内征求意见,根据组内意见进行修改。

4.2016年1月,向全国信息安全标准化技术委员会专家崔书昆老师和王立福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安3所等科研院所、长城网际等安全厂商征求意见,根据反馈意见多次修改。

5.2016年1月,标准编制组召开研讨会,根据专家在会上提出的修改意见对标准进行修改。

6.2016年5月,标准编制组在“工控系统信息安全标准和技术专题研讨会”介绍了标准草案,听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见对标准进行修改。

7.2016年6月,标准编制组召开专题研讨会介绍了标准草案,并根据专家在会上提出的修改意见对标准进行修改。

8.2016年10月,标准编制组在信安标委第2次会议周上介绍了标准草案,并根据专家在会前会上提出的修改意见对标准进行修改。

信息技术——安全技术——信息安全管理体系——要求

0.2 与其他管理体系的兼容性
本国际标准采用了通用的架构,具备与 ISO/IEC 标准体系相同的章节、相同的文本、 通用的条款,与附录 SL 中定义的 ISO/IEC 导则的第一部分也保持了一致。因此,本标准保 持了与其他管理体系标准的兼容性。
这种在附录 SL 中的通用定义方法,对于某组织只实施某一个管理体系项目而需要参考 两个或更多管理体系标准的情况是非常有用的。
国际标准是根据 ISO/IEC 导则第 2 部分的规则起草。 技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各成员团 体投票表决。国际标准草案需取得至少 75%参加表决成员团体的同意,才能作为国际标准正式发 布。 本文件中的某些内容有可能涉及一些专利权问题,对此应引起注意,ISO 不负责识别任何这 样的专利权问题。 本经过技术修订的第二版将取代(ISO/IEC 27001:2005)第一版。
4.1 理解组织及环境..................................................................1 4.2 理解相关方的需求和期望..........................................................1 4.3 明确信息安全管理体系的范围......................................................1 4.4 信息安全管理体系................................................................2 5 领导 ..................................................................................2 5.1 领导与承诺 .....................................................................2 5.2 方针 ...........................................................................2 5.3 组织角色、职责和权力............................................................2 6 计划 ..................................................................................3 6.1 处置风险和机遇的活动............................................................3 6.2 信息安全目标和实施计划..........................................................4 7 支持 ..................................................................................5 7.1 资源 ...........................................................................5 7.2 能力 ...........................................................................5 7.3 意识 ...........................................................................5 7.4 沟通 ...........................................................................5 7.5 文档信息 .......................................................................5 8 操作 ..................................................................................6 8.1 操作规划和控制..................................................................6 8.2 信息安全风险评估................................................................7 8.3 信息安全风险处置................................................................7 9 绩效评价 ..............................................................................7 9.1 监测、测量、分析和评价..........................................................7 9.2 内部审核 .......................................................................7 9.3 管理评审 .......................................................................8 10 改进 .................................................................................8 10.1 不符合情况和改正措施...........................................................8 10.2 持续改进 ......................................................................9 附录 A(引用)参考控制目标和控制措施 ...................................................10 参考书目............................................................................... 20
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检查、验证清空桌面和屏幕策略执行情况。
A.11.4网络访问控制
A.11.4.1使用网络服务的策略
查阅、验证使用网络服务的策略和执行情况。
A.11.4.2外部连接的用户鉴别
检查、验证对外部连接的用户鉴别措施。
A.11.4.3网络上的设备标识
检查网络上的设备标识。
A.11.4.4远程诊断和配置端口的保护
询问、验证对电子邮件等信息发送的安全保护措施
A.10.8.5业务信息系统
询问、验证对业务信息系统的安全保护措施。
A.10.9电子商务服务
A.10.9.1电子商务
询问、验证组织电子商务中的安全保护措施。
A.10.9.2在线交易
询问、验证组织在线交易中的安全保护措施。
A.10.9.3公共可用信息
询问、验证组织公共信息的安全保护措施。
访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
A.8.3.3撤销访问权
访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对系统和网络的访问权的处置情况。
A.9物理和环境安全
A.9.1安全区域
A.9.1.1物理安全边界
结合ISMS范围文件,访问相关部门,了解组织的物理边界控制,出入口控制,办公室防护等措施和执行情况。如调阅监控录像资料等。
A.7.1.2资产责任人
A.7.1.3资产的允许使用
访问组织信息安全管理机构或IT相关部门,了解对信息资产使用的控制。
A.7.2信息分类
A.7.2.1分类指南
访问组织信息安全管理机构或IT相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
A.7.2.2信息标记和处理
A.8人力资源安全
A.8.1任用之前
A.10.4.2控制移动代码
询问、验证移动代码控制措施的情况。
A.10.5备份
A.10.5.1信息备份
查阅备份策略等相关文件。抽查备份介质,并要求测试、验证。
A.10.6网络安全管理
A.10.6.1网络控制
访问IT等相关部门,验证网络控制措施情况。
A.10.6.2网络服务的安全
查阅网络服务协议等相关文件,验证网络服务中的安全要求是否被满足。
访问IT等相关部门,了解组织对新信息处理设施的管理流程。
A.6.1.5保密性协议
查阅组织与员工、外部相关方等签署的保密性或不泄露协议。
1.6与政府部门的联系
访问信息安全管理机构,询问与相关政府部门的联络情况。
A.6.1.7与特定利益集团的联系
访问信息安全管理机构,询问与相关信息安全专家、专业协会、学会等联络情况。
查阅、验证系统的故障日志。
A.10.10.6时钟同步
检查、验证时钟同步措施。
A.11访问控制
A.11.1访问控制的业务要求
A.11.1.1访问控制策略
查阅访问控制策略等相关文件。
A.11.2用户访问管理
A.11.2.1用户注册
查阅用户注册、注销的流程等相关文件。
A.11.2.2特殊权限管理
询问、验证超级用户等特殊权限的管理控制措施。
A.8.1.1角色和职责
审核信息安全角色和职责的分配和描述等相关文件
A.8.1.2审查
访问人力资源等相关部门,验证人员任用前的审查工作。
A.8.1.3任用条款和条件
查阅任用合同中的信息安全相关的任用条款
A.8.2任用中
A.8.2.1管理职责
访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
A.10.3系统规划和验收
A.10.3.1容量管理
查阅系统建设前的容量规划记录。
A.10.3.2系统验收
查阅系统建设完成时的验收标准和验收记录。
A.10.4防范恶意和移动代码
A.10.4.1控制恶意代码
检查计算机病毒等恶意代码防范软件,及代码库的更新情况。可以在众多电脑中抽查。查阅病毒等恶意代码事件记录。
A.6信息安全组织
A.6.1内部组织
A.6.1.1信息安全的管理承诺
结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
A.6.1.2信息安全协调
访问组织的信息安全管理机构,包括其职责。
A.6.1.3信息安全职责的分配
查阅信息安全职责分配或描述等方面的文件。
A.6.1.4信息处理设施的授权过程
访问组织信息安全管理机构或IT相关部门,了解对顾客访问组织的信息和信息处理设施的风险和控制状况。
A.6.2.3处理第三方协议中的安全问题
访问组织信息安全管理机构或IT相关部门,了解第三方协议中的安全要求的满足情况。
A.7资产管理
A.7.1对资产负责
A.7.1.1资产清单
审核组织的信息资产清单和关键信息资产清单
查阅、验证保护系统文件安全的控制措施。
A.10.8信息的交换
A.10.8.1信息交换策略和规程
查阅、验证组织的信息交换策略和规程等相关文件。
A.10.8.2交换协议
访问信息安全管理机构,查阅信息和软件交换协议。
A.10.8.3运输中的物理介质
询问、验证组织对运输中的物理介质的保护措施。
A.10.8.4电子消息发送
查阅信息安全事件管理程序等相关文件。
A.13.2.2对信息安全事故的总结
查阅信息安全事件学习和总结记录
A.13.2.3证据的收集
询问、验证事件处理过程中的证据收集的措施。
A.12.2.3消息完整性
询问是否有消息完整性的验证,查阅验证记录等。
A.12.2.4输出数据的验证
询问是否有输出数据的验证,查阅验证记录等。
A.12.3密码控制
A.12.3.1使用密码控制的策略
询问信息安全管理机构、IT等相关部门,是否使用密码控制。
A.12.3.2密钥管理
询问、验证密钥管理的措施。
A.8.2.2信息安全意识、教育和培训
查阅培训计划和培训记录。
A.8.2.3纪律处理过程
访问组织信息安全管理机构、人力资源等相关部门,以及查阅信息安全奖惩制度。
A.8.3任用的终止或变化
A.8.3.1终止职责
访问组织信息安全管理机构,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
A.8.3.2资产的归还
A.9.1.2物理入口控制
A.9.1.3办公室、房间和设备的安全保护
A.9.1.4外部和环境威胁的安全防护
询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.9.1.5在安全区域工作
询问、验证组织安全区域内的物理防护。
A.9.1.6公共访问、交接区安全
询问、验证组织公共访问、交接区内的防护措施
A.11.2.3用户口令管理
检查、验证用户口令的管理控制措施。
A.11.2.4用户访问权的复查
查阅用户访问权的复查、评审记录。
A.11.3用户职责
A.11.3.1口令使用
检查验证用户口令使用情况。
A.11.3.2无人值守的用户设备
询问、验证无人值守的用户设备的安全措施情况。
A.11.3.3清空桌面和屏幕策略
检查、验证联机时间的限制措施。
A.11.6应用和信息访问控制
A.11.6.1信息访问限制
检查、验证用户和支持人员对信息访问限制措施的有效性
A.11.6.2敏感系统隔离
询问、验证是否对不同安全要求的网络实行了物理隔离
A.11.7移动计算机和远程工作
A.11.7.1移动计算和通信
询问、验证移动计算和通信的安全措施
A.9.2设备安全
A.9.2.1设备安置和保护
询问、验证组织设备安置和保护措施。查阅机房管理规定等相关文件。
A.9.2.2支持性设施
询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。查阅机房温湿度记录等。
A.9.2.3布缆安全
询问IT等相关部门在布线方面是否符合相关国家标准,并验证。
A.11.7.2远程工作
A.12信息系统获取、开发和维护
A.12.1信息系统的安全需求
A.12.1.1安全要求分析和说明
查阅系统开发中安全需求分析和说明等相关文件
A.12.2应用中的正确处理
A.12.2.1输入数据的验证
询问是否有输入数据的验证,查阅验证记录等
A.12.2.2内部处理的控制
询问是否有内部处理的控制,查阅验证记录等。
A.10.10监视
A.10.10.1审计记录
查阅重要系统的日志信息。
A.10.10.2监视系统的使用
检查、验证监视系统的有效性。查阅监视系统日志等。
A.10.10.3日志信息的保护
询问、验证日志信息的包括措施。
A.10.10.4管理员和操作员日志
查阅、验证管理员和操作员日志。
A.10.10.5故障日志
访问IT、研发等部门,验证开发、测试和运行设施的分离状况。
A.10.2第三方服务交付管理
A.10.2.1服务交付
查阅第三方服务协议中的信息安全相关的要求和交付标准。
A.10.2.2第三方服务的监视和评审
查阅第三方服务的信息安全相关要求的监视和评审记录。
A.10.2.3第三方服务的变更管理
查阅第三方服务的信息安全要求的变更控制记录。
信息安全控制措施测量方法表
控制措施
测量方法
A.5安全方针
A.5.1信息安全方针
A.5.1.1信息安全方针文件
审核ISMS方针文件
访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
A.5.1.2信息安全方针的评审