ISO27001文件-ISMS有效性測量方法指引

1、ISMS有效性測量方法指南（版本號：V1.1 ）ISMS有效性測量管理規(guī)定更改控制頁廳P版本號更改時間更改內(nèi)容描述填寫人編碼：NK-MS-MA-P04ISMS有效性測量方法指南目 錄1 目的12 范圍13 內(nèi)容13.1 測量數(shù)據(jù)的收集13.2 體系有效性測量23.3 測量結(jié)果的分析與總結(jié)24 相關(guān)文件35 相關(guān)記錄36 附錄：46.1 附錄1:ISMS控制目標和檢查內(nèi)容列表 46.2 附錄2:信息安全目標測量信息一覽表 4編碼:ISMS有效性測量方法指南1目的為信息安全管理體系的測量和分析工作提供指導。2范圍適用于公司信息安全管理體系有效性測量和分析活動。3內(nèi)容3.1測量數(shù)據(jù)的收集通常采用以下

2、幾種方法收集用于測量的基礎(chǔ)數(shù)據(jù)：日常檢查、審計監(jiān)控系統(tǒng)的 回顧、信息安全事件的統(tǒng)計等。1）日常檢查內(nèi)容要求：信息安全管理體系標準要求的11項控制目標和133項控制措施; 公司制定的信息安全管理體系文件的各項管理規(guī)定。日常檢查的內(nèi)容參考附錄1ISMS控制目標和檢查內(nèi)容列表，每次檢查的 具體內(nèi)容由信息安全經(jīng)理根據(jù)某一控制目標發(fā)生的信息安全事件多少或者潛在的信 息安全隱患程度決定。具體檢查情況應填寫日常檢查記錄表。頻度要求：每月至少進行1次抽樣日常檢查。2）審計監(jiān)控系統(tǒng)回顧內(nèi)容要求：系統(tǒng)管理員對各種日志系統(tǒng)、審計系統(tǒng)、監(jiān)控系統(tǒng)等做抽樣檢查 或定期回顧，要特別關(guān)注各種告警信息和錯誤日志等，以期發(fā)現(xiàn)違反

3、和潛在違反信 息安全策略的行為與事件。審計監(jiān)控系統(tǒng)時應填寫錯誤日志審核記錄表。頻度要求：每季度每個信息系統(tǒng)至少檢查一次。編碼:ISMS有效性測量方法指南3）信息安全事件統(tǒng)計內(nèi)容要求：接受來自公司內(nèi)、外等各種渠道的信息安全事件報告，由信息安 全經(jīng)理負責根據(jù)實際情況填寫信息安全事件報告與處理單，定期對各種信息安 全事故進行分類統(tǒng)計。頻度要求：每季度進行一次。4）信息安全意識活動內(nèi)容要求：信息安全意識活動主要有：信息安全培訓、信息安全調(diào)查問卷、信 息安全考試等。正式員工應積極參加公司組織的各種信息安全意識活動。新員工在試用期內(nèi)必須接受信息安全的相關(guān)文件培訓。頻度要求：每個部門每年至少組織一次專題信息

4、安全培訓活動；公司每年結(jié)合 體系運行情況設(shè)計一套體系運行情況綜合調(diào)查問卷；公司每半年組織一次全員信息 安全紙面考試。3.2 體系有效性測量信息安全經(jīng)理每季度應對本年度的信息安全指標進行測量，根據(jù)信息安全目 標測量信息一覽表，每季度初填寫信息安全有效性測量記錄表并于每季度的 前十天之內(nèi)由信息安全經(jīng)理公布上季度測量結(jié)果。3.3 測量結(jié)果的分析與總結(jié)測量的目的是為了判斷本年度信息安全目標的實現(xiàn)程度，因此當公司的信息安 全目標變動時，測量內(nèi)容會相應有所調(diào)整。每次管理評審之前，由信息安全經(jīng)理對本年度的 ISMS測量情況進行統(tǒng)計分 析，形成ISMS有效性測量報告，提交管理評審大會，以便對體系運行效果進 行

5、客觀、綜合的分析，從而提出體系改進的意見和建議。報告主要包含如下內(nèi)容：1）信息安全狀況綜述結(jié)合公司的信息安全目標，從以下幾方面來描述信息安全現(xiàn)狀：編碼：第2頁ISMS有效性測量方法指南? 內(nèi)部網(wǎng)絡中斷?大規(guī)模病毒爆發(fā)?重要信息設(shè)備丟失?機密信息泄露?用戶違規(guī)/獎勵情況?信息安全改進建議收集與受理情況2）原因分析造成信息安全現(xiàn)狀未達到公司預定的信息安全目標的原因主要有如下幾類： 安全控制措施不充分、規(guī)章制度執(zhí)行效果不佳、領(lǐng)導重視程度不夠、全員參與意 識不強等。3）改進措施針對信息安全現(xiàn)狀未達到公司目標的原因，結(jié)合公司的實際情況，制定改進 措施，并在下一年的體系測量中有重點地測量本年度體系運行的薄

6、弱環(huán)節(jié)。4相關(guān)文件«ISMS有效性測量管理規(guī)定5相關(guān)記錄日常檢查記錄表錯誤日志審核記錄表信息安全事件報告與處理單信息安全有效性測量記錄表ISMS有效性測量報告編碼:ISMS有效性測量方法指南6附錄：6.1 附錄1:ISMS控制目標和檢查內(nèi)容列表6.2 附錄2:信息安全目標測量信息一覽表（見下頁）編碼:ISMS有效性測量方法指南附錄1:ISMS控制目標和檢查內(nèi)容列表信息安全控制目標檢查內(nèi)容信息安全策略針對體系中提出的認為對體系進行調(diào)整的事項出現(xiàn)時，檢查對相關(guān) 規(guī)定做了是否做了適應性調(diào)整是否定期組織規(guī)章制度和操作流程的宣傳和培訓信息安全組織是否按照計劃的時間間隔開展信息安全獨立評審當發(fā)生

7、重大的信息安全變化時（信息安全控制目標控制措施策 略過程和程序），是臺開展信息安全獨立評審資產(chǎn)管理設(shè)備進出是否有登記？如果是轉(zhuǎn)移，有沒有轉(zhuǎn)移單？機房內(nèi)設(shè)備是否妥善安置？是否有隨意擺放情況？設(shè)備維護記錄是否完整？是否符合認證時間要求？設(shè)備臺帳是否完整？是否有報廢設(shè)備？如何處理？資產(chǎn)清單上列舉的所有資產(chǎn)，是否都明確了責任人或主責部門檢查資產(chǎn)清單是否涵蓋了公司所有與業(yè)務相關(guān)的重要信息資產(chǎn)負責RA工作的人員是否熟悉資產(chǎn)調(diào)查表？是否對其中的內(nèi)容都理 解？資產(chǎn)調(diào)查表是否能反應現(xiàn)實？人力資源管理員工對信息安全方針和組織架構(gòu)設(shè)置是否清楚并理解？員工是否知道自身信息安全責任？特別是保密職責？員工是否知道什么是信

8、息安全事件？ 一旦發(fā)生信息安全事件如何處 理？向哪里報告？有沒有記錄？員工是否接收過信息安全相關(guān)培訓？對培訓的評價如何？有什么建 議和希望？員工在入職、轉(zhuǎn)崗和離職時接受過怎樣的安全控制？是否有正確的 物品及系統(tǒng)帳號交接及清理？對員工的獎懲措施是否執(zhí)行是否與所有能涉及到公司信息資產(chǎn)的員工都簽署了保密協(xié)議物理與環(huán)境安全管 理對來訪人員是否登記對機房進出人員是否進行登記對帶出公司的設(shè)備、信息或軟件是否有登記對含有存儲介質(zhì)的設(shè)備，在銷毀前對所有敏感數(shù)據(jù)或授權(quán)軟件已經(jīng) 被刪除或安全重寫的工作進行檢查對重要工作設(shè)備（如機房電扇）是否進行定期檢查和正確維護，確 保其持續(xù)可用性和完整性網(wǎng)絡設(shè)施變更是含有變更記

9、錄？編碼:ISMS有效性測量方法指南通訊及操作管理對U盤等移動介質(zhì)使用是否按照規(guī)定？是否對重要數(shù)據(jù)做了備份？備份記錄如何？有沒有做過恢復測試？日志服務器工作是否止常？能否調(diào)看記錄的日志信息？是否有不按規(guī)定隨意使用無線上網(wǎng)的情況？個人電腦是否裝有防病毒軟件，并定期升級，保證每天都有最新的 病母庫是否有存在非法下載行為對數(shù)據(jù)資產(chǎn)是否根據(jù)規(guī)定要求進行備份是否及時監(jiān)控互聯(lián)網(wǎng)應用服務器、防火墻、入侵檢測設(shè)備的運行日 志、網(wǎng)絡流量、系統(tǒng)用戶訪問等情況。網(wǎng)絡訪問賬號的開通、審批及終止是否符合規(guī)定對發(fā)生的網(wǎng)絡信息系統(tǒng)黑客入侵和攻擊安全事件是否及時上報。是否定期對內(nèi)網(wǎng)、外網(wǎng)接入進行邊界掃描和漏洞掃描，并將掃描情

10、 況登記運行日志對應用控制處理設(shè)施及系統(tǒng)的變更是否經(jīng)過艾更審批對變更的內(nèi)容是否有記錄是否有未授權(quán)的人訪問、修改或使用信息資產(chǎn)開發(fā)、測試和運營設(shè)施是否分離測試環(huán)境中是否應用了敏感數(shù)據(jù)訪問控制當離開，位時，電腦是否鎖屏對不同的用戶訪問權(quán)限是否有了規(guī)定并執(zhí)行n主機系統(tǒng)、網(wǎng)絡設(shè)備、安全設(shè)備、應用系統(tǒng)、前端計算機系統(tǒng)、桌 面計算機系統(tǒng)是否存在多余用戶，是否及時清理。主機系統(tǒng)、網(wǎng)絡設(shè)備、安全設(shè)備等的超級用戶口令以及重要系統(tǒng)中 具有關(guān)鍵訪問權(quán)限用戶的口令是否曲專人設(shè)置與管理并定期更新， 超級用戶口令是否按要求保管。計算機用戶口令是否符合基本安全要求（包括口令長度、口令字符 復雜度、口令歷史、口令最大嘗試次數(shù)

11、，口令最長有效期組成等）信息系統(tǒng)的維護、 獲取和開發(fā)在軟件的計劃階段，是否編寫了安全需求和安全需求分析開發(fā)環(huán)境與運行環(huán)境是否分離安全技術(shù)方案內(nèi)容是否滿足有美安全規(guī)范和標準要求，是否按照規(guī) 定進行了評審項目組是否設(shè)立了安全員，并有效履行相應職責是否對安全有關(guān)的文檔的密級以及借閱使用人員進行了登記是否對源代碼及設(shè)計文檔等機密性文件進行了有效的保護編碼:ISMS有效性測量方法指南是否及時跟蹤和補救系統(tǒng)軟件廠商發(fā)布的系統(tǒng)安全漏洞，及時增打 安全補丁程序信息安全事件管理對信息安全事件是否及時進行報告并形成記錄是否有服務、器材或設(shè)備的丟失情況是否有未授權(quán)的人訪問、修改或使用信息資產(chǎn)是否出現(xiàn)了多臺機器中毒事

12、件，且在2個及以上工作日沒有被解決是否發(fā)生過郵件服務器宕機或郵件被拒收的情況是否發(fā)生開發(fā)服務器宕機，且1個以上工作仔能恢復機房的溫度有無超過限制有無公司設(shè)備被帶出且沒經(jīng)過授權(quán)和登記業(yè)務連續(xù)性管理UPS的采購計劃是否進行是否按規(guī)定進行備份，并有備份記錄對核心人員的激勵機制是否實施是否針對特定的規(guī)定對預期事件的發(fā)生給相關(guān)人員進行了培訓有無定期對業(yè)務影響情況進行分析，以預計潛在風險是否對供應商提供的設(shè)備實施了嚴格的檢查對向客戶提供運維的服務，是否進行了假設(shè)服務器宕機時的恢復演 習符合性正版軟件的采購計劃是否執(zhí)行是否定期對用戶使用的軟件進行符合性檢查是否對重要文件柜都上鎖是否在合同條款中對提出了個人信

13、息的數(shù)據(jù)保護和隱私保護是否存在未經(jīng)授權(quán)隨意掃描網(wǎng)絡的行為編碼:ISMS有效性測量方法指南附錄2:信息安全目標測量信息一覽表測量 指標預期目標名詞解釋衡量范圍測量 頻次數(shù)據(jù)來源計算公式數(shù)據(jù)采集途徑報告人受理人網(wǎng)絡內(nèi)網(wǎng)中斷時間內(nèi)網(wǎng)：公司內(nèi)部某年的1月1每季度信息安全年內(nèi)部網(wǎng)絡中公司內(nèi)部即時全體員信息安中斷 時間每年累計不超 過2天局域網(wǎng)；日-12月31日一次事件報告 與處理單斷時間=2每 個內(nèi)部網(wǎng)絡節(jié) 點網(wǎng)絡中斷的 時間通信工具告 知；電話告 知；口頭告知工、客戶、相關(guān) 方全經(jīng)理/ 網(wǎng)管/IT 負責人病毒大規(guī)模病毒爆大規(guī)模：超過20%在一周內(nèi)連續(xù)每季度信息安全在一周之內(nèi)累公司內(nèi)部即時全體員信息安入

14、侵 次數(shù)發(fā)每年不超過2次的內(nèi)網(wǎng)節(jié)點；發(fā)生一次事件報告 與處理單計病毒爆發(fā)的 機次超過內(nèi)網(wǎng) 總節(jié)點20%為 一次大規(guī)模病 毒爆發(fā)通信工具告 知；電話告 知；口頭告知工、客戶、相關(guān) 方全經(jīng)理/ 網(wǎng)管/軟 件負責 人信息 資產(chǎn) 丟失重要信息設(shè)備 丟失事件每年 不超過1起重要：資產(chǎn)的保 密性賦值3,或 者資產(chǎn)的完整性 賦值3公司的信息資 產(chǎn)、個人的信 息資產(chǎn)用于辦 公的、客戶的 信息資產(chǎn)供公 司員工使用的每季度 一次信息安全 事件報告 與處理單丟失人主動報 告、客戶投 訴、其他員工 檢舉等員工（含 各級領(lǐng) 導）、客 戶、相關(guān) 方信息安 全經(jīng)理/ 資產(chǎn)管 理員/丟 失人的 領(lǐng)導信息 泄密機密及絕密信 息泄漏事件每 年不超過2件機密：資產(chǎn)的保 密性賦值=3;絕密：資產(chǎn)的保 密性賦值=4公司的信息、 客戶的信息每季度 一次信息安全 事件報告 與處理單舉報、日志檢 查、行為監(jiān) 控、內(nèi)容監(jiān)控員工（含 各級領(lǐng) 導）、客 戶、相關(guān) 方、系統(tǒng) 管理員信息安 全經(jīng)理/ 部門經(jīng) 理/領(lǐng)導 層編碼:ISMS有效性測量方法指南安全 事件 投訴客戶針對信息 安全事件的投 訴每年不超過2次客戶：公司已有 的客戶、潛在的 客戶已經(jīng)結(jié)束的項 目、正在合作 的項目