信息安全控制措施测量程序文档格式.docx
- 文档编号:15320839
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:12
- 大小:20.27KB
信息安全控制措施测量程序文档格式.docx
《信息安全控制措施测量程序文档格式.docx》由会员分享,可在线阅读,更多相关《信息安全控制措施测量程序文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划;
根据测量计划,由内审小组和资讯部区分不同类型的控制措施,选择测量方法,编制详细的检查表;
针对系统测试方法,准备相应的系统工具;
按计划实施测量;
形成控制措施有效性测量报告(可以包含在内部审核报告中)。
6、相关文件和记录
信息安全控制措施检查表
信息安全控制措施测量方法参考表
控制措施
测量方法
A.5安全方针
A.5.1信息安全方针
A.5.1.1信息安全方针文件
审核ISMS方针文件
访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
A.5.1.2信息安全方针的评审
查阅ISMS方针文件的评审和修订记录。
A.6信息安全组织
A.6.1内部组织
A.6.1.1信息安全的管理承诺
结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
A.6.1.2信息安全协调
访问组织的信息安全管理机构,包括其职责。
A.6.1.3信息安全职责的分配
查阅信息安全职责分配或描述等方面的文件。
A.6.1.4信息处理设施的授权过程
访问IT等相关部门,了解组织对新信息处理设施的管理流程。
A.6.1.5保密性协议
查阅组织与员工、外部相关方等签署的保密性或不泄露协议。
A.6.1.6与政府部门的联系
访问信息安全管理机构,询问与相关政府部门的联络情况。
A.6.1.7与特定利益集团的联系
访问信息安全管理机构,询问与相关信息安全专家、专业协会、学会等联络情况。
A.6.1.8信息安全的独立评审
通过对内部审核、管理评审、第三方认证审核等的审核,验证组织信息安全独立评审情况。
A.6.2外部各方
A.6.2.1与外部各方相关风险的识别
访问组织信息安全管理机构或IT相关部门,了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。
A.6.2.2处理与顾客有关的安全问题
访问组织信息安全管理机构或IT相关部门,了解对顾客访问组织的信息和信息处理设施的风险和控制状况。
A.6.2.3处理第三方协议中的安全问题
访问组织信息安全管理机构或IT相关部门,了解第三方协议中的安全要求的满足情况。
A.7资产管理
A.7.1对资产负责
A.7.1.1资产清单
审核组织的信息资产清单和关键信息资产清单
A.7.1.2资产责任人
A.7.1.3资产的允许使用
访问组织信息安全管理机构或IT相关部门,了解对信息资产使用的控制。
A.7.2信息分类
A.7.2.1分类指南
访问组织信息安全管理机构或IT相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
A.7.2.2信息标记和处理
A.8人力资源安全
A.8.1任用之前
A.8.1.1角色和职责
审核信息安全角色和职责的分配和描述等相关文件
A.8.1.2审查
访问人力资源等相关部门,验证人员任用前的审查工作。
A.8.1.3任用条款和条件
查阅任用合同中的信息安全相关的任用条款
A.8.2任用中
A.8.2.1管理职责
访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
A.8.2.2信息安全意识、教育和培训
查阅培训计划和培训记录。
A.8.2.3纪律处理过程
访问组织信息安全管理机构、人力资源等相关部门,以及查阅信息安全奖惩制度。
A.8.3任用的终止或变化
A.8.3.1终止职责
访问组织信息安全管理机构,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
A.8.3.2资产的归还
访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
A.8.3.3撤销访问权
访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对系统和网络的访问权的处置情况。
A.9物理和环境安全
A.9.1安全区域
A.9.1.1物理安全边界
结合ISMS范围文件,访问相关部门,了解组织的物理边界控制,出入口控制,办公室防护等措施和执行情况。
如调阅监控录像资料等。
A.9.1.2物理入口控制
A.9.1.3办公室、房间和设备的安全保护
A.9.1.4外部和环境威胁的安全防护
询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.9.1.5在安全区域工作
询问、验证组织安全区域内的物理防护。
A.9.1.6公共访问、交接区安全
询问、验证组织公共访问、交接区内的防护措施
A.9.2设备安全
A.9.2.1设备安置和保护
询问、验证组织设备安置和保护措施。
查阅机房管理规定等相关文件。
A.9.2.2支持性设施
询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。
查阅机房温湿度记录等。
A.9.2.3布缆安全
询问IT等相关部门在布线方面是否符合相关国家标准,并验证。
A.9.2.4设备维护
询问、验证组织设备维护情况,查阅设备维护记录
A.9.2.5组织场所外的设备的安全
询问、验证组织对场所外的设备的安全保护措施。
A.9.2.6设备的安全处置或再利用
询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.9.2.7资产的移动
询问、验证对资产的移动的安全防护措施。
A.10通信和操作管理
A.10.1操作规程和职责
A.10.1.1文件化的操作规程
查阅相关设备操作程序文件,操作记录等。
A.10.1.2变更管理
查阅和验证信息系统的变更控制。
A.10.1.3责任分割
访问信息安全管理机构、IT等相关部门,验证责任分割状况。
如重要服务器的登录口令分2人保管等。
A.10.1.4开发、测试和运行设施分离
访问IT、研发等部门,验证开发、测试和运行设施的分离状况。
A.10.2第三方服务交付管理
A.10.2.1服务交付
查阅第三方服务协议中的信息安全相关的要求和交付标准。
A.10.2.2第三方服务的监视和评审
查阅第三方服务的信息安全相关要求的监视和评审记录。
A.10.2.3第三方服务的变更管理
查阅第三方服务的信息安全要求的变更控制记录。
A.10.3系统规划和验收
A.10.3.1容量管理
查阅系统建设前的容量规划记录。
A.10.3.2系统验收
查阅系统建设完成时的验收标准和验收记录。
A.10.4防范恶意和移动代码
A.10.4.1控制恶意代码
检查计算机病毒等恶意代码防范软件,及代码库的更新情况。
可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.10.4.2控制移动代码
询问、验证移动代码控制措施的情况。
A.10.5备份
A.10.5.1信息备份
查阅备份策略等相关文件。
抽查备份介质,并要求测试、验证。
A.10.6网络安全管理
A.10.6.1网络控制
访问IT等相关部门,验证网络控制措施情况。
A.10.6.2网络服务的安全
查阅网络服务协议等相关文件,验证网络服务中的安全要求是否被满足。
A.10.7介质处置
A.10.7.1可移动介质的管理
访问信息安全管理机构、IT等相关部门,验证对可移动介质的管理是否满足安全要求。
A.10.7.2介质的处置
访问信息安全管理机构、IT等相关部门,验证对介质的处置是否满足安全要求。
A.10.7.3信息处理规程
查阅、验证信息处理规程。
A.10.7.4系统文件安全
查阅、验证保护系统文件安全的控制措施。
A.10.8信息的交换
A.10.8.1信息交换策略和规程
查阅、验证组织的信息交换策略和规程等相关文件。
A.10.8.2交换协议
访问信息安全管理机构,查阅信息和软件交换协议。
A.10.8.3运输中的物理介质
询问、验证组织对运输中的物理介质的保护措施。
A.10.8.4电子消息发送
询问、验证对电子邮件等信息发送的安全保护措施
A.10.8.5业务信息系统
询问、验证对业务信息系统的安全保护措施。
A.10.9电子商务服务
A.10.9.1电子商务
询问、验证组织电子商务中的安全保护措施。
A.10.9.2在线交易
询问、验证组织在线交易中的安全保护措施。
A.10.9.3公共可用信息
询问、验证组织公共信息的安全保护措施。
A.10.10监视
A.10.10.1审计记录
查阅重要系统的日志信息。
A.10.10.2监视系统的使用
检查、验证监视系统的有效性。
查阅监视系统日志等。
A.10.10.3日志信息的保护
询问、验证日志信息的包括措施。
A.10.10.4管理员和操作员日志
查阅、验证管理员和操作员日志。
A.10.10.5故障日志
查阅、验证系统的故障日志。
A.10.10.6时钟同步
检查、验证时钟同步措施。
A.11访问控制
A.11.1访问控制的业务要求
A.11.1.1访问控制策略
查阅访问控制策略等相关文件。
A.11.2用户访问管理
A.11.2.1用户注册
查阅用户注册、注销的流程等相关文件。
A.11.2.2特殊权限管理
询问、验证超级用户等特殊权限的管理控制措施。
A.11.2.3用户口令管理
检查、验证用户口令的管理控制措施。
A.11.2.4用户访问权的复查
查阅用户访问权的复查、评审记录。
A.11.3用户职责
A.11.3.1口令使用
检查验证用户口令使用情况。
A.11.3.2无人值守的用户设备
询问、验证无人值守的用户设备的安全措施情况。
A.11.3.3清空桌面和屏幕策略
检查、验证清空桌面和屏幕策略执行情况。
A.11.4网络访问控制
A.11.4.1使用网络服务的策略
查阅、验证使用网络服务的策略和执行情况。
A.11.4.2外部连接的用户鉴别
检查、验证对外部连接的用户鉴别措施。
A.11.4.3网络上的设备标识
检查网络上的设备标识。
A.11.4.4远程诊断和配置端口的保护
检查、验证对网络设备上的远程诊断和配置端口的保护措施。
A.11.4.5网络隔离
检查、验证网络间服务、用户等的隔离措施,如划分子网等。
A.11.4.6网络连接控制
检查、验证网络连接控制措施。
A.11.4.7网络路由控制
检查、验证网络路由控制措
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 控制 措施 测量 程序