信息安全控制措施测量程序.doc

《信息安全控制措施测量程序.doc》由会员分享，可在线阅读，更多相关《信息安全控制措施测量程序.doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全控制措施测量程序1目的 为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序，测量控制措施的有效性，制定本文件。 2适用范围 本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。 3参考文件 ISO/IEC27001:2005 信息安全管理体系要求 ISO/IEC27002:2005 信息安全管理实用规则 4职责和权限信息安全领导办公室负责本文件的建立和评审。内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。5相关活动5.1信息安全控制措施测量方法针对不同的控制措施，采用两类测量方法：观察验证和系统测试。 5.1.1观察验证用于组织类控制措施的有

2、效性测量，包括查验记录、访谈、观察和物理检查等； 5.1.2系统测试用于技术类控制措施的有效性测量，包括上机操作，或者通过使用专门的系统工具等。5.2信息安全控制措施测量流程信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划； 根据测量计划，由内审小组和资讯部区分不同类型的控制措施，选择测量方法，编制详细的检查表； 针对系统测试方法，准备相应的系统工具；按计划实施测量； 形成控制措施有效性测量报告（可以包含在内部审核报告中）。 6相关文件和记录信息安全控制措施检查表信息安全控制措施测量方法参考表 信息安全控制措施检查表信息安全控制措施测量方法参考表控制措施测量方法A.5 安全方针 A

3、.5.1 信息安全方针A.5.1.1信息安全方针文件审核 ISMS方针文件访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。A.5.1.2信息安全方针的评审查阅 ISMS方针文件的评审和修订记录。A.6 信息安全组织A.6.1 内部组织A.6.1.1 信息安全的管理承诺结合5.1管理承诺，访问管理者（或管理者代表），判断其对信息安全的承诺和支持是否到位。A.6.1.2 信息安全协调访问组织的信息安全管理机构，包括其职责。A.6.1.3 信息安全职责的分配查阅信息安全职责分配或描述等方面的文件。A.6.1.4 信息处理设施的授权过程访问IT等

4、相关部门，了解组织对新信息处理设施的管理流程。A.6.1.5 保密性协议查阅组织与员工、 外部相关方等签署的保密性或不泄露协议。A.6.1.6 与政府部门的联系 访问信息安全管理机构， 询问与相关政府部门的联络情况。A.6.1.7 与特定利益集团的联系访问信息安全管理机构，询问与相关信息安全专家、专业协会、学会等联络情况。A.6.1.8 信息安全的独立评审 通过对内部审核、管理评审、第三方认证审核等的审核，验证组织信息安全独立评审情况。A.6.2外部各方A.6.2.1与外部各方相关风险的识别访问组织信息安全管理机构或IT相关部门，了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。A.

5、6.2.2处理与顾客有关的安全问题访问组织信息安全管理机构或IT相关部门，了解对顾客访问组织的信息和信息处理设施的风险和控制状况。A.6.2.3 处理第三方协议中的安全问题访问组织信息安全管理机构或 IT相关部门，了解第三方协议中的安全要求的满足情况。A.7资产管理A.7.1对资产负责A.7.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单A.7.1.2 资产责任人A.7.1.3资产的允许使用访问组织信息安全管理机构或 IT相关部门，了解对信息资产使用的控制。A.7.2信息分类A.7.2.1 分类指南访问组织信息安全管理机构或 IT相关部门，了解组织信息资产的分类和标识情况，并在各部

6、门进行验证。A.7.2.2 信息标记和处理A.8人力资源安全A.8.1任用之前A.8.1.1 角色和职责审核信息安全角色和职责的分配和描述等相关文件A.8.1.2 审查访问人力资源等相关部门， 验证人员任用前的审查工作。A.8.1.3 任用条款和条件查阅任用合同中的信息安全相关的任用条款A.8.2 任用中A.8.2.1 管理职责访问管理者（或管理者代表），验证对员工提出的信息安全方面的要求。A.8.2.2 信息安全意识、教育和培训查阅培训计划和培训记录。A.8.2.3 纪律处理过程访问组织信息安全管理机构、人力资源等相关部门，以及查阅信息安全奖惩制度。A.8.3 任用的终止或变化A.8.3.1

7、 终止职责访问组织信息安全管理机构， 了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。A.8.3.2 资产的归还访问组织IT等相关部门，了解和验证组织的员工和第三方人员等在任用结束后，对领用资产的归还情况。A.8.3.3 撤销访问权访问组织 IT等相关部门，了解和验证组织的员工和第三方人员等在任用结束后， 对系统和网络的访问权的处置情况。A.9物理和环境安全A.9.1安全区域A.9.1.1物理安全边界结合ISMS范围文件，访问相关部门，了解组织的物理边界控制，出入口控制，办公室防护等措施和执行情况。如调阅监控录像资料等。A.9.1.2物理入口控制A.9.1.3办公室、房间和设备的

8、安全保护A.9.1.4外部和环境威胁的安全防护询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。A.9.1.5 在安全区域工作询问、验证组织安全区域内的物理防护。A.9.1.6 公共访问、交接区安全询问、验证组织公共访问、交接区内的防护措施A.9.2设备安全A.9.2.1 设备安置和保护询问、验证组织设备安置和保护措施。查阅机房管理规定等相关文件。A.9.2.2 支持性设施询问、验证组织支持性设施（例如供水、供电、温度调节等）的运行情况。查阅机房温湿度记录等。A.9.2.3 布缆安全询问IT等相关部门在布线方面是否符合相关国家标准，并验证。A.9.2.4 设备维护询问、验证组

9、织设备维护情况，查阅设备维护记录A.9.2.5组织场所外的设备的安全询问、验证组织对场所外的设备的安全保护措施。A.9.2.6设备的安全处置或再利用询问、验证电脑等设备报废后的处理流程，是否满足规定的要求。A.9.2.7 资产的移动询问、验证对资产的移动的安全防护措施。A.10通信和操作管理A.10.1操作规程和职责A.10.1.1 文件化的操作规程 查阅相关设备操作程序文件，操作记录等。A.10.1.2 变更管理 查阅和验证信息系统的变更控制。A.10.1.3责任分割 访问信息安全管理机构、IT等相关部门，验证责任分割状况。如重要服务器的登录口令分2人保管等。A.10.1.4开发、 测试和运

10、行设施分离 访问IT、研发等部门，验证开发、测试和运行设施的分离状况。A.10.2第三方服务交付管理A.10.2.1 服务交付 查阅第三方服务协议中的信息安全相关的要求和交付标准。A.10.2.2 第三方服务的监视和评审查阅第三方服务的信息安全相关要求的监视和评审记录。A.10.2.3第三方服务的变更管理查阅第三方服务的信息安全要求的变更控制记录。A.10.3系统规划和验收A.10.3.1 容量管理 查阅系统建设前的容量规划记录。A.10.3.2 系统验收 查阅系统建设完成时的验收标准和验收记录。A.10.4 防范恶意和移动代码A.10.4.1 控制恶意代码检查计算机病毒等恶意代码防范软件，

11、及代码库的更新情况。可以在众多电脑中抽查。查阅病毒等恶意代码事件记录。A.10.4.2 控制移动代码 询问、验证移动代码控制措施的情况。A.10.5备份A.10.5.1 信息备份 查阅备份策略等相关文件。抽查备份介质，并要求测试、验证。A.10.6 网络安全管理A.10.6.1 网络控制访问IT等相关部门，验证网络控制措施情况。A.10.6.2 网络服务的安全查阅网络服务协议等相关文件， 验证网络服务中的安全要求是否被满足。A.10.7 介质处置A.10.7.1 可移动介质的管理 访问信息安全管理机构、IT等相关部门，验证对可移动介质的管理是否满足安全要求。A.10.7.2 介质的处置 访问信

12、息安全管理机构、IT等相关部门，验证对介质的处置是否满足安全要求。A.10.7.3 信息处理规程查阅、验证信息处理规程。A.10.7.4 系统文件安全查阅、验证保护系统文件安全的控制措施。A.10.8 信息的交换A.10.8.1 信息交换策略和规程 查阅、验证组织的信息交换策略和规程等相关文件。A.10.8.2 交换协议 访问信息安全管理机构，查阅信息和软件交换协议。A.10.8.3 运输中的物理介质 询问、验证组织对运输中的物理介质的保护措施。A.10.8.4 电子消息发送 询问、验证对电子邮件等信息发送的安全保护措施A.10.8.5 业务信息系统 询问、验证对业务信息系统的安全保护措施。A

13、.10.9 电子商务服务A.10.9.1 电子商务 询问、验证组织电子商务中的安全保护措施。 A.10.9.2 在线交易 询问、验证组织在线交易中的安全保护措施。A.10.9.3 公共可用信息询问、验证组织公共信息的安全保护措施。A.10.10监视A.10.10.1 审计记录 查阅重要系统的日志信息。A.10.10.2 监视系统的使用 检查、 验证监视系统的有效性。 查阅监视系统日志等。A.10.10.3 日志信息的保护 询问、验证日志信息的包括措施。A.10.10.4 管理员和操作员日志 查阅、验证管理员和操作员日志。A.10.10.5 故障日志 查阅、验证系统的故障日志。A.10.10.6

14、 时钟同步 检查、验证时钟同步措施。A.11访问控制A.11.1 访问控制的业务要求A.11.1.1 访问控制策略 查阅访问控制策略等相关文件。A.11.2 用户访问管理A.11.2.1 用户注册 查阅用户注册、注销的流程等相关文件。A.11.2.2 特殊权限管理 询问、验证超级用户等特殊权限的管理控制措施。A.11.2.3 用户口令管理 检查、验证用户口令的管理控制措施。A.11.2.4 用户访问权的复查 查阅用户访问权的复查、评审记录。A.11.3用户职责A.11.3.1 口令使用 检查验证用户口令使用情况。A.11.3.2 无人值守的用户设备 询问、验证无人值守的用户设备的安全措施情况。

15、A.11.3.3 清空桌面和屏幕策略 检查、验证清空桌面和屏幕策略执行情况。A.11.4网络访问控制A.11.4.1 使用网络服务的策略查阅、验证使用网络服务的策略和执行情况。A.11.4.2 外部连接的用户鉴别检查、验证对外部连接的用户鉴别措施。 A.11.4.3 网络上的设备标识检查网络上的设备标识。A.11.4.4 远程诊断和配置端口的保护 检查、 验证对网络设备上的远程诊断和配置端口的保护措施。A.11.4.5 网络隔离检查、验证网络间服务、用户等的隔离措施，如划分子网等。A.11.4.6 网络连接控制检查、验证网络连接控制措施。A.11.4.7 网络路由控制 检查、验证网络路由控制措

16、施。A.11.5 操作系统访问控制A.11.5.1 安全登录程序检查、验证操作系统的安全登录控制。A.11.5.2 用户标识和鉴别检查、验证操作系统中的用户管理。A.11.5.3 口令管理系统检查、验证操作系统的口令管理系统A.11.5.4 系统实用工具的使用 询问、验证对系统食用工具的使用情况A.11.5.5 会话超时检查、验证会话超时的设置。A.11.5.6 联机时间的限制 检查、验证联机时间的限制措施。A.11.6 应用和信息访问控制A.11.6.1信息访问限制检查、验证用户和支持人员对信息访问限制措施的有效性A.11.6.2敏感系统隔离询问、验证是否对不同安全要求的网络实行了物理隔离A

17、.11.7移动计算机和远程工作A.11.7.1移动计算和通信询问、验证移动计算和通信的安全措施A.11.7.2远程工作A.12信息系统获取、开发和维护A.12.1信息系统的安全需求A.12.1.1 安全要求分析和说明查阅系统开发中安全需求分析和说明等相关文件A.12.2 应用中的正确处理A.12.2.1 输入数据的验证 询问是否有输入数据的验证，查阅验证记录等A.12.2.2 内部处理的控制 询问是否有内部处理的控制，查阅验证记录等。A.12.2.3 消息完整性 询问是否有消息完整性的验证，查阅验证记录等。A.12.2.4 输出数据的验证 询问是否有输出数据的验证，查阅验证记录等。A.12.3

18、 密码控制A.12.3.1 使用密码控制的策略 询问信息安全管理机构、IT等相关部门，是否使用密码控制。A.12.3.2 密钥管理 询问、验证密钥管理的措施。A.12.4 系统文件安全A.12.4.1 运行软件的控制 询问、验证对运行软件的控制措施。A.12.4.2 系统测试数据的保护询问对系统测试数据的包括措施。A.12.4.3 对程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。A.12.5 开发过程和支持过程的安全A.12.5.1 变更控制规程 查阅变更控制等相关文件。A.12.5.2 操作系统变更后应用的技术评审 查阅操作系统变更后对应用的技术评审记录。A.12.5.3 软件

19、包变更的限制 询问对软件包变更的限制措施。A.12.5.4 信息泄露 询问防止信息泄露的措施。A.12.5.5 外包软件开发 询问、验证对外包软件开发的控制措施。A.12.6 技术脆弱性管理 A.12.6.1 技术脆弱性的控制 检查、验证技术脆弱性的控制措施。是否更新软件补丁，可以利用脆弱性扫描等工具软件来获得审核证据。A.13信息安全事故管理A.13.1报告信息安全事件和事故A.13.1.1 报告信息安全事件查阅信息安全事件报告记录。A.13.1.2 报告安全弱点 查阅安全弱点报告记录A.13.2 信息安全事故和改进的管理A.13.2.1 职责和程序 查阅信息安全事件管理程序等相关文件。A.

20、13.2.2对信息安全事故的总结查阅信息安全事件学习和总结记录A.13.2.3 证据的收集 询问、验证事件处理过程中的证据收集的措施。A.14业务连续性管理A.14.1业务连续性管理的信息安全方面A.14.1.1 业务连续性管理过程中包含的信息安全 查阅业务连续性管理等相关文件。A.14.1.2 业务连续性和风险评估 询问、验证组织是否实施了业务中断的风险评估，包括中断的事件、发生的概率和影响等。A.14.1.3 制定和实施包含信息安全的连续性计划 查阅业务连续性计划等相关文件。A.14.1.4 业务连续性计划框架 查阅业务连续性计划等相关文件。A.14.1.5 测试、保持和再评估业务连续性计

21、划 检查、验证组织对业务连续性计划的测试、保持，查阅测试记录等。A.15符合性A.15.1符合法律要求A.15.1.1可用法律的识别查阅组织识别的适用的信息安全法律法规。A.15.1.2 知识产权（IPR） 询问、验证组织知识产权保护措施。A.15.1.3 保护组织的记录 询问、查阅组织对相关记录的保护措施。A.15.1.4 数据保护和个人信息的隐私询问组织对数据和个人隐私的包括措施。A.15.1.5 防止滥用信息处理设施检查、验证组织防止滥用信息处理设施的措施。A.15.1.6 密码控制措施的规则询问、验证组织密码控制措施情况。A.15.2符合安全策略和标准，以及技术符合性A.15.2.1 符合安全策略和标准检查、验证员工遵守信息安全策略、规程等情况。A.15.2.2 技术符合性检查 询问、验证组织是否定期进行技术符合性检查，查阅检查记录等。A.15.3 信息系统审核考虑A.15.3.1 信息系统审计控制措施 询问、验证组织对信息系统审计的控制措施情况。A.15.3.2 信息系统审计工具的保护询问、验证组织对信息系统审计工具的保护措施。