信息安全控制措施測量方法表.doc

信息安全控制措施測量方法表控制措施測量方法A.5 安全方針 A.5.1 信息安全方針A.5.1.1信息安全方針文件審核 ISMS方針文件訪問管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對ISMS方針和目標的理解和貫徹狀況。A.5.1.2信息安全方針的評審查閱 ISMS方針文件的評審和修訂記錄。A.6 信息安全組織A.6.1 內(nèi)部組織A.6.1.1 信息安全的管理承諾結(jié)合5.1管理承諾，訪問管理者（或管理者代表），判斷其對信息安全的承諾和支持是否到位。A.6.1.2 信息安全協(xié)調(diào)訪問組織的信息安全管理機構(gòu)，包括其職責。A.6.1.3 信息安全職責的分配查閱信息安全職責分配或描述等方面的文件。A.6.1.4 信息處理設(shè)施的授權(quán)過程訪問IT等相關(guān)部門，了解組織對新信息處理設(shè)施的管理流程。A.6.1.5 保密性協(xié)議查閱組織與員工、 外部相關(guān)方等簽署的保密性或不泄露協(xié)議。A.6.1.6 與政府部門的聯(lián)系 訪問信息安全管理機構(gòu)， 詢問與相關(guān)政府部門的聯(lián)絡(luò)情況。A.6.1.7 與特定利益集團的聯(lián)系訪問信息安全管理機構(gòu)，詢問與相關(guān)信息安全專家、專業(yè)協(xié)會、學會等聯(lián)絡(luò)情況。A.6.1.8 信息安全的獨立評審 通過對內(nèi)部審核、管理評審、第三方認證審核等的審核，驗證組織信息安全獨立評審情況。A.6.2外部各方A.6.2.1與外部各方相關(guān)風險的識別訪問組織信息安全管理機構(gòu)或IT相關(guān)部門，了解對外部各方訪問組織的信息和信息處理設(shè)施的風險和控制狀況。A.6.2.2處理與顧客有關(guān)的安全問題訪問組織信息安全管理機構(gòu)或IT相關(guān)部門，了解對顧客訪問組織的信息和信息處理設(shè)施的風險和控制狀況。A.6.2.3 處理第三方協(xié)議中的安全問題訪問組織信息安全管理機構(gòu)或 IT相關(guān)部門，了解第三方協(xié)議中的安全要求的滿足情況。A.7資產(chǎn)管理A.7.1對資產(chǎn)負責A.7.1.1 資產(chǎn)清單 審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.7.1.2 資產(chǎn)責任人A.7.1.3資產(chǎn)的允許使用訪問組織信息安全管理機構(gòu)或 IT相關(guān)部門，了解對信息資產(chǎn)使用的控制。A.7.2信息分類A.7.2.1 分類指南訪問組織信息安全管理機構(gòu)或 IT相關(guān)部門，了解組織信息資產(chǎn)的分類和標識情況，并在各部門進行驗證。A.7.2.2 信息標記和處理A.8人力資源安全A.8.1任用之前A.8.1.1 角色和職責審核信息安全角色和職責的分配和描述等相關(guān)文件A.8.1.2 審查訪問人力資源等相關(guān)部門， 驗證人員任用前的審查工作。A.8.1.3 任用條款和條件查閱任用合同中的信息安全相關(guān)的任用條款A.8.2 任用中A.8.2.1 管理職責訪問管理者（或管理者代表），驗證對員工提出的信息安全方面的要求。A.8.2.2 信息安全意識、教育和培訓查閱培訓計劃和培訓記錄。A.8.2.3 紀律處理過程訪問組織信息安全管理機構(gòu)、人力資源等相關(guān)部門，以及查閱信息安全獎懲制度。A.8.3 任用的終止或變化A.8.3.1 終止職責訪問組織信息安全管理機構(gòu)， 了解和驗證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。A.8.3.2 資產(chǎn)的歸還訪問組織IT等相關(guān)部門，了解和驗證組織的員工和第三方人員等在任用結(jié)束后，對領(lǐng)用資產(chǎn)的歸還情況。A.8.3.3 撤銷訪問權(quán)訪問組織 IT等相關(guān)部門，了解和驗證組織的員工和第三方人員等在任用結(jié)束后， 對系統(tǒng)和網(wǎng)絡(luò)的訪問權(quán)的處置情況。A.9物理和環(huán)境安全A.9.1安全區(qū)域A.9.1.1物理安全邊界結(jié)合ISMS范圍文件，訪問相關(guān)部門，了解組織的物理邊界控制，出入口控制，辦公室防護等措施和執(zhí)行情況。如調(diào)閱監(jiān)控錄像資料等。A.9.1.2物理入口控制A.9.1.3辦公室、房間和設(shè)備的安全保護A.9.1.4外部和環(huán)境威脅的安全防護詢問、驗證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。A.9.1.5 在安全區(qū)域工作詢問、驗證組織安全區(qū)域內(nèi)的物理防護。A.9.1.6 公共訪問、交接區(qū)安全詢問、驗證組織公共訪問、交接區(qū)內(nèi)的防護措施A.9.2設(shè)備安全A.9.2.1 設(shè)備安置和保護詢問、驗證組織設(shè)備安置和保護措施。查閱機房管理規(guī)定等相關(guān)文件。A.9.2.2 支持性設(shè)施詢問、驗證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運行情況。查閱機房溫濕度記錄等。A.9.2.3 布纜安全詢問IT等相關(guān)部門在布線方面是否符合相關(guān)國家標準，并驗證。A.9.2.4 設(shè)備維護詢問、驗證組織設(shè)備維護情況，查閱設(shè)備維護記錄A.9.2.5組織場所外的設(shè)備的安全詢問、驗證組織對場所外的設(shè)備的安全保護措施。A.9.2.6設(shè)備的安全處置或再利用詢問、驗證電腦等設(shè)備報廢后的處理流程，是否滿足規(guī)定的要求。A.9.2.7 資產(chǎn)的移動詢問、驗證對資產(chǎn)的移動的安全防護措施。A.10通信和操作管理A.10.1操作規(guī)程和職責A.10.1.1 文件化的操作規(guī)程 查閱相關(guān)設(shè)備操作程序文件，操作記錄等。A.10.1.2 變更管理 查閱和驗證信息系統(tǒng)的變更控制。A.10.1.3責任分割 訪問信息安全管理機構(gòu)、IT等相關(guān)部門，驗證責任分割狀況。如重要服務(wù)器的登錄口令分2人保管等。A.10.1.4開發(fā)、 測試和運行設(shè)施分離 訪問IT、研發(fā)等部門，驗證開發(fā)、測試和運行設(shè)施的分離狀況。A.10.2第三方服務(wù)交付管理A.10.2.1 服務(wù)交付 查閱第三方服務(wù)協(xié)議中的信息安全相關(guān)的要求和交付標準。A.10.2.2 第三方服務(wù)的監(jiān)視和評審查閱第三方服務(wù)的信息安全相關(guān)要求的監(jiān)視和評審記錄。A.10.2.3第三方服務(wù)的變更管理查閱第三方服務(wù)的信息安全要求的變更控制記錄。A.10.3系統(tǒng)規(guī)劃和驗收A.10.3.1 容量管理 查閱系統(tǒng)建設(shè)前的容量規(guī)劃記錄。A.10.3.2 系統(tǒng)驗收 查閱系統(tǒng)建設(shè)完成時的驗收標準和驗收記錄。A.10.4 防范惡意和移動代碼A.10.4.1 控制惡意代碼檢查計算機病毒等惡意代碼防范軟件， 及代碼庫的更新情況。可以在眾多電腦中抽查。查閱病毒等惡意代碼事件記錄。A.10.4.2 控制移動代碼 詢問、驗證移動代碼控制措施的情況。A.10.5備份A.10.5.1 信息備份 查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測試、驗證。A.10.6 網(wǎng)絡(luò)安全管理A.10.6.1 網(wǎng)絡(luò)控制訪問IT等相關(guān)部門，驗證網(wǎng)絡(luò)控制措施情況。A.10.6.2 網(wǎng)絡(luò)服務(wù)的安全查閱網(wǎng)絡(luò)服務(wù)協(xié)議等相關(guān)文件， 驗證網(wǎng)絡(luò)服務(wù)中的安全要求是否被滿足。A.10.7 介質(zhì)處置A.10.7.1 可移動介質(zhì)的管理 訪問信息安全管理機構(gòu)、IT等相關(guān)部門，驗證對可移動介質(zhì)的管理是否滿足安全要求。A.10.7.2 介質(zhì)的處置 訪問信息安全管理機構(gòu)、IT等相關(guān)部門，驗證對介質(zhì)的處置是否滿足安全要求。A.10.7.3 信息處理規(guī)程查閱、驗證信息處理規(guī)程。A.10.7.4 系統(tǒng)文件安全查閱、驗證保護系統(tǒng)文件安全的控制措施。A.10.8 信息的交換A.10.8.1 信息交換策略和規(guī)程 查閱、驗證組織的信息交換策略和規(guī)程等相關(guān)文件。A.10.8.2 交換協(xié)議 訪問信息安全管理機構(gòu)，查閱信息和軟件交換協(xié)議。A.10.8.3 運輸中的物理介質(zhì) 詢問、驗證組織對運輸中的物理介質(zhì)的保護措施。A.10.8.4 電子消息發(fā)送 詢問、驗證對電子郵件等信息發(fā)送的安全保護措施A.10.8.5 業(yè)務(wù)信息系統(tǒng) 詢問、驗證對業(yè)務(wù)信息系統(tǒng)的安全保護措施。A.10.9 電子商務(wù)服務(wù)A.10.9.1 電子商務(wù) 詢問、驗證組織電子商務(wù)中的安全保護措施。 A.10.9.2 在線交易 詢問、驗證組織在線交易中的安全保護措施。A.10.9.3 公共可用信息詢問、驗證組織公共信息的安全保護措施。A.10.10監(jiān)視A.10.10.1 審計記錄 查閱重要系統(tǒng)的日志信息。A.10.10.2 監(jiān)視系統(tǒng)的使用 檢查、 驗證監(jiān)視系統(tǒng)的有效性。 查閱監(jiān)視系統(tǒng)日志等。A.10.10.3 日志信息的保護 詢問、驗證日志信息的包括措施。A.10.10.4 管理員和操作員日志 查閱、驗證管理員和操作員日志。A.10.10.5 故障日志 查閱、驗證系統(tǒng)的故障日志。A.10.10.6 時鐘同步 檢查、驗證時鐘同步措施。A.11訪問控制A.11.1 訪問控制的業(yè)務(wù)要求A.11.1.1 訪問控制策略 查閱訪問控制策略等相關(guān)文件。A.11.2 用戶訪問管理A.11.2.1 用戶注冊 查閱用戶注冊、注銷的流程等相關(guān)文件。A.11.2.2 特殊權(quán)限管理 詢問、驗證超級用戶等特殊權(quán)限的管理控制措施。A.11.2.3 用戶口令管理 檢查、驗證用戶口令的管理控制措施。A.11.2.4 用戶訪問權(quán)的復查 查閱用戶訪問權(quán)的復查、評審記錄。A.11.3用戶職責A.11.3.1 口令使用 檢查驗證用戶口令使用情況。A.11.3.2 無人值守的用戶設(shè)備 詢問、驗證無人值守的用戶設(shè)備的安全措施情況。A.11.3.3 清空桌面和屏幕策略 檢查、驗證清空桌面和屏幕策略執(zhí)行情況。A.11.4網(wǎng)絡(luò)訪問控制A.11.4.1 使用網(wǎng)絡(luò)服務(wù)的策略查閱、驗證使用網(wǎng)絡(luò)服務(wù)的策略和執(zhí)行情況。A.11.4.2 外部連接的用戶鑒別檢查、驗證對外部連接的用戶鑒別措施。 A.11.4.3 網(wǎng)絡(luò)上的設(shè)備標識檢查網(wǎng)絡(luò)上的設(shè)備標識。A.11.4.4 遠程診斷和配置端口的保護 檢查、 驗證對網(wǎng)絡(luò)設(shè)備上的遠程診斷和配置端口的保護措施。A.11.4.5 網(wǎng)絡(luò)隔離檢查、驗證網(wǎng)絡(luò)間服務(wù)、用戶等的隔離措施，如劃分子網(wǎng)等。A.11.4.6 網(wǎng)絡(luò)連接控制檢查、驗證網(wǎng)絡(luò)連接控制措施。A.11.4.7 網(wǎng)絡(luò)路由控制 檢查、驗證網(wǎng)絡(luò)路由控制措施。A.11.5 操作系統(tǒng)訪問控制A.11.5.1 安全登錄程序檢查、驗證操作系統(tǒng)的安全登錄控制。A.11.5.2 用戶標識和鑒別檢查、驗證操作系統(tǒng)中的用戶管理。A.11.5.3 口令管理系統(tǒng)檢查、驗證操作系統(tǒng)的口令管理系統(tǒng)A.11.5.4 系統(tǒng)實用工具的使用 詢問、驗證對系統(tǒng)食用工具的使用情況A.11.5.5 會話超時檢查、驗證會話超時的設(shè)置。A.11.5.6 聯(lián)機時間的限制 檢查、驗證聯(lián)機時間的限制措施。A.11.6 應(yīng)用和信息訪問控制A.11.6.1信息訪問限制檢查、驗證用戶和支持人員對信息訪問限制措施的有效性A.11.6.2敏感系統(tǒng)隔離詢問、驗證是否對不同安全要求的網(wǎng)絡(luò)實行了物理隔離A.11.7移動計算機和遠程工作A.11.7.1移動計算和通信詢問、驗證移動計算和通信的安全措施A.11.7.2遠程工作A.12信息系統(tǒng)獲取、開發(fā)和維護A.12.1信息系統(tǒng)的安全需求A.12.1.1 安全要求分析和說明查閱系統(tǒng)開發(fā)中安全需求分析和說明等相關(guān)文件A.12.2 應(yīng)用中的正確處理A.12.2.1 輸入數(shù)據(jù)的驗證 詢問是否有輸入數(shù)據(jù)的驗證，查閱驗證記錄等A.12.2.2 內(nèi)部處理的控制 詢問是否有內(nèi)部處理的控制，查閱驗證記錄等。A.12.2.3 消息完整性 詢問是否有消息完整性的驗證，查閱驗證記錄等。A.12.2.4 輸出數(shù)據(jù)的驗證 詢問是否有輸出數(shù)據(jù)的驗證，查閱驗證記錄等。A.12.3 密碼控制A.12.3.1 使用密碼控制的策略 詢問信息安全管理機構(gòu)、IT等相關(guān)部門，是否使用密碼控制。A.12.3.2 密鑰管理 詢問、驗證密鑰管理的措施。A.12.4 系統(tǒng)文件安全A.12.4.1 運行軟件的控制 詢問、驗證對運行軟件的控制措施。A.12.4.2 系統(tǒng)測試數(shù)據(jù)的保護詢問對系統(tǒng)測試數(shù)據(jù)的包括措施。A.12.4.3 對程序源代碼的訪問控制 詢問、驗證對程序源代碼的訪問控制措施。A.12.5 開發(fā)過程和支持過程的安全A.12.5.1 變更控制規(guī)程 查閱變更控制等相關(guān)文件。A.12.5.2 操作系統(tǒng)變更后應(yīng)用的技術(shù)評審 查閱操作系統(tǒng)變更后對應(yīng)用的技術(shù)評審記錄。A.12.5.3 軟件包變更的限制 詢問對軟件包變更的限制措施。A.12.5.4 信息泄露 詢問防止信息泄露的措施。A.12.5.5 外包軟件開發(fā) 詢問、驗證對外包軟件開發(fā)的控制措施。A.12.6 技術(shù)脆弱性管理 A.12.6.1 技術(shù)脆弱性的控制 檢查、驗證技術(shù)脆弱性的控制措施。是否更新軟件補丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。A.13信息安全事故管理A.13.1報告信息安全事件和事故A.13.1.1 報告信息安全事件查閱信息安全事件報告記錄。A.13.1.2 報告安全弱點 查閱安全弱點報告記錄A.13.2 信息安全事故和改進的管理A.13.2.1 職責和程序 查閱信息安全事件管理程序等相關(guān)文件。A.13.2.2對信息安全事故的總結(jié)查閱信息安全事件學習和總結(jié)記錄A.13.2.3 證據(jù)的收集 詢問、驗證事件處理過程中的證據(jù)收集的措施。A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面A.14.1.1 業(yè)務(wù)連續(xù)性管理過程中包含的信息安全 查閱業(yè)務(wù)連續(xù)性管理等相關(guān)文件。A.14.1.2 業(yè)務(wù)連續(xù)性和風險評估 詢問、驗證組織是否實施了業(yè)務(wù)中斷的風險評估，包括中斷的事件、發(fā)生的概率和影響等。A.14.1.3 制定和實施包含信息安全的連續(xù)性計劃 查閱業(yè)務(wù)連續(xù)性計劃等相關(guān)文件。A.14.1.4 業(yè)務(wù)連續(xù)性計劃框架 查閱業(yè)務(wù)連續(xù)性計劃等相關(guān)文件。A.14.1.5 測試、保持和再評估業(yè)務(wù)連續(xù)性計劃 檢查、驗證組織對業(yè)務(wù)連續(xù)性計劃的測試、保持，查閱測試記錄等。A.15符合性A.15.1符合法律要求A.15.1.1可用法律的識別查閱組織識別的適用的信息安全法律法規(guī)。A.15.1.2 知識產(chǎn)權(quán)（IPR） 詢問、驗證組織知識產(chǎn)權(quán)保護措施。A.15.1.3 保護組織的記錄 詢問、查閱組織對相關(guān)記錄的保護措施。A.15.1.4 數(shù)據(jù)保護和個人信息的隱私詢問組織對數(shù)據(jù)和個人隱私的包括措施。A.15.1.5 防止濫用信息處理設(shè)施檢查、驗證組織防止濫用信息處理設(shè)施的措施。A.15.1.6 密碼控制措施的規(guī)則詢問、驗證組織密碼控制措施情況。A.15.2符合安全策略和標準，以及技術(shù)符合性A.15.2.1 符合安全策略和標準檢查、驗證員工遵守信息安全策略、規(guī)程等情況。A.15.2.2 技術(shù)符合性檢查 詢問、驗證組織是否定期進行技術(shù)符合性檢查，查閱檢查記錄等。A.15.3 信息系統(tǒng)審核考慮A.15.3.1 信息系統(tǒng)審計控制措施 詢問、驗證組織對信息系統(tǒng)審計的控制措施情況。A.15.3.2 信息系統(tǒng)審計工具的保護詢問、驗證組織對信息系統(tǒng)審計工具的保護措施。