信息安全控制措施測(cè)量方法表

1、.信息安全控制措施測(cè)量方法表控制措施測(cè)量方法A.5 安全方針信息安全方針信息安全方針文件審核 ISMS 方針文件訪問(wèn)管理者 （或管理者代表 ）、員工、或相關(guān)方人員（如必要），了解他們對(duì)ISMS 方針和目標(biāo)的理解和貫徹狀況 。信息安全方針的評(píng)審查閱 ISMS 方針文件的評(píng)審和修訂記錄。A.6 信息安全組織內(nèi)部組織A.6.1.1信息安全的管理承諾結(jié)合 5.1 管理承諾 ，訪問(wèn)管理者 （或管理者代表 ），判斷其對(duì)信息安全的承諾和支持是否到位 。A.6.1.2信息安全協(xié)調(diào)訪問(wèn)組織的信息安全管理機(jī)構(gòu) ，包括其職責(zé) 。A.6.1.3信息安全職責(zé)的分配查閱信息安全職責(zé)分配或描述等方面的文件 。A.6.1.4

2、信息處理設(shè)施的授權(quán)過(guò)程訪問(wèn) IT 等相關(guān)部門(mén) ，了解組織對(duì)新信息處理設(shè)施的管理流程。A.6.1.5保密性協(xié)議查閱組織與員工 、 外部相關(guān)方等簽署的保密性或不泄露協(xié)議 。A.6.1.6與政府部門(mén)的聯(lián)系訪問(wèn)信息安全管理機(jī)構(gòu) ， 詢(xún)問(wèn)與相關(guān)政府部門(mén)的聯(lián)絡(luò)情況。.專(zhuān)業(yè)學(xué)習(xí)資料.A.6.1.7與特定利益集團(tuán)的聯(lián)系訪問(wèn)信息安全管理機(jī)構(gòu) ，詢(xún)問(wèn)與相關(guān)信息安全專(zhuān)家 、專(zhuān)業(yè)協(xié)會(huì) 、學(xué)會(huì)等聯(lián)絡(luò)情況 。A.6.1.8信息安全的獨(dú)立評(píng)審?fù)ㄟ^(guò)對(duì)內(nèi)部審核 、管理評(píng)審 、第三方認(rèn)證審核等的審核，驗(yàn)證組織信息安全獨(dú)立評(píng)審情況 。A.6.2 外部各方A.6.2.1 與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT 相關(guān)部

3、門(mén) ，了解對(duì)外部各方訪問(wèn)組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。A.6.2.2 處理與顧客有關(guān)的安全問(wèn)題訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT 相關(guān)部門(mén) ，了解對(duì)顧客訪問(wèn)組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。A.6.2.3處理第三方協(xié)議中的安全問(wèn)訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT 相關(guān)部門(mén) ，了解第題三方協(xié)議中的安全要求的滿(mǎn)足情況 。A.7 資產(chǎn)管理A.7.1 對(duì)資產(chǎn)負(fù)責(zé)A.7.1.1資產(chǎn)清單審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.7.1.2資產(chǎn)責(zé)任人A.7.1.3 資產(chǎn)的允許使用訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT 相關(guān)部門(mén) ，了解對(duì)信息資產(chǎn)使用的控制 。A.7.2 信息分類(lèi)A.7.2.1分類(lèi)指南訪

4、問(wèn)組織信息安全管理機(jī)構(gòu)或IT 相關(guān)部門(mén) ，了解組A.7.2.2信息標(biāo)記和處理織信息資產(chǎn)的分類(lèi)和標(biāo)識(shí)情況，并在各部門(mén)進(jìn)行驗(yàn)證。.專(zhuān)業(yè)學(xué)習(xí)資料.A.8 人力資源安全任用之前A.8.1.1角色和職責(zé)審核信息安全角色和職責(zé)的分配和描述等相關(guān)文件A.8.1.2審查訪問(wèn)人力資源等相關(guān)部門(mén) ， 驗(yàn)證人員任用前的審查工作。A.8.1.3任用條款和條件查閱任用合同中的信息安全相關(guān)的任用條款任用中A.8.2.1管理職責(zé)訪問(wèn)管理者 （或管理者代表 ），驗(yàn)證對(duì)員工提出的信息安全方面的要求 。A.8.2.2信息安全意識(shí) 、教育和培訓(xùn)查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄 。A.8.2.3紀(jì)律處理過(guò)程訪問(wèn)組織信息安全管理機(jī)構(gòu) 、人力資源

5、等相關(guān)部門(mén) ，以及查閱信息安全獎(jiǎng)懲制度 。任用的終止或變化A.8.3.1終止職責(zé)訪問(wèn)組織信息安全管理機(jī)構(gòu) ， 了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求 。A.8.3.2資產(chǎn)的歸還訪問(wèn)組織 IT 等相關(guān)部門(mén) ，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后 ，對(duì)領(lǐng)用資產(chǎn)的歸還情況 。A.8.3.3撤銷(xiāo)訪問(wèn)權(quán)訪問(wèn)組織 IT 等相關(guān)部門(mén) ，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后 ， 對(duì)系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)權(quán)的處置情況 。A.9 物理和環(huán)境安全安全區(qū)域物理安全邊界結(jié)合 ISMS 范圍文件 ，訪問(wèn)相關(guān)部門(mén) ，了解組織的物.專(zhuān)業(yè)學(xué)習(xí)資料.A.9.1.2 物理入口控制理邊界控制 ，出

6、入口控制 ，辦公室防護(hù)等措施和執(zhí)行A.9.1.3辦公室、房間和設(shè)備的安全情況。 如調(diào)閱監(jiān)控錄像資料等 。保護(hù)A.9.1.4 外部和環(huán)境威脅的安全防護(hù)詢(xún)問(wèn)、驗(yàn)證組織防止火災(zāi) 、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況 。A.9.1.5在安全區(qū)域工作詢(xún)問(wèn)、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù) 。A.9.1.6公共訪問(wèn) 、交接區(qū)安全詢(xún)問(wèn)、驗(yàn)證組織公共訪問(wèn) 、交接區(qū)內(nèi)的防護(hù)措施設(shè)備安全A.9.2.1設(shè)備安置和保護(hù)詢(xún)問(wèn)、驗(yàn)證組織設(shè)備安置和保護(hù)措施 。查閱機(jī)房管理規(guī)定等相關(guān)文件 。A.9.2.2支持性設(shè)施詢(xún)問(wèn)、驗(yàn)證組織支持性設(shè)施 （例如供水 、供電、溫度調(diào)節(jié)等）的運(yùn)行情況 。查閱機(jī)房溫濕度記錄等 。A.9.2.

7、3布纜安全詢(xún)問(wèn) IT 等相關(guān)部門(mén)在布線方面是否符合相關(guān)國(guó)家標(biāo)準(zhǔn)，并驗(yàn)證。A.9.2.4設(shè)備維護(hù)詢(xún)問(wèn)、驗(yàn)證組織設(shè)備維護(hù)情況 ，查閱設(shè)備維護(hù)記錄A.9.2.5 組織場(chǎng)所外的設(shè)備的安全詢(xún)問(wèn)、驗(yàn)證組織對(duì)場(chǎng)所外的設(shè)備的安全保護(hù)措施 。A.9.2.6 設(shè)備的安全處置或再利用詢(xún)問(wèn)、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程 ，是否滿(mǎn)足規(guī)定的要求 。A.9.2.7資產(chǎn)的移動(dòng)詢(xún)問(wèn)、驗(yàn)證對(duì)資產(chǎn)的移動(dòng)的安全防護(hù)措施 。A.10 通信和操作管理操作規(guī)程和職責(zé)A.10.1.1文件化的操作規(guī)程查閱相關(guān)設(shè)備操作程序文件 ，操作記錄等 。A.10.1.2變更管理查閱和驗(yàn)證信息系統(tǒng)的變更控制 。.專(zhuān)業(yè)學(xué)習(xí)資料.A.10.1.3 責(zé)任分割訪

8、問(wèn)信息安全管理機(jī)構(gòu) 、IT 等相關(guān)部門(mén) ，驗(yàn)證責(zé)任分割狀況 。如重要服務(wù)器的登錄口令分 2 人保管等 。A.10.1.4開(kāi)發(fā)、 測(cè)試和運(yùn)行設(shè)施分訪問(wèn) IT、研發(fā)等部門(mén) ，驗(yàn)證開(kāi)發(fā) 、測(cè)試和運(yùn)行設(shè)施的離分離狀況 。A.10.2 第三方服務(wù)交付管理A.10.2.1服務(wù)交付查閱第三方服務(wù)協(xié)議中的信息安全相關(guān)的要求和交付標(biāo)準(zhǔn)。A.10.2.2第三方服務(wù)的監(jiān)視和評(píng)審查閱第三方服務(wù)的信息安全相關(guān)要求的監(jiān)視和評(píng)審記錄。A.10.2.3 第三方服務(wù)的變更管理查閱第三方服務(wù)的信息安全要求的變更控制記錄 。A.10.3 系統(tǒng)規(guī)劃和驗(yàn)收A.10.3.1容量管理查閱系統(tǒng)建設(shè)前的容量規(guī)劃記錄 。A.10.3.2系統(tǒng)驗(yàn)收

9、查閱系統(tǒng)建設(shè)完成時(shí)的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)收記錄 。防范惡意和移動(dòng)代碼A.10.4.1控制惡意代碼檢查計(jì)算機(jī)病毒等惡意代碼防范軟件， 及代碼庫(kù)的更新情況 。可以在眾多電腦中抽查 。 查閱病毒等惡意代碼事件記錄 。A.10.4.2控制移動(dòng)代碼詢(xún)問(wèn)、驗(yàn)證移動(dòng)代碼控制措施的情況 。備份信息備份查閱備份策略等相關(guān)文件。抽查備份介質(zhì) ，并要求測(cè)試、驗(yàn)證。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)控制訪問(wèn) IT 等相關(guān)部門(mén) ，驗(yàn)證網(wǎng)絡(luò)控制措施情況 。.專(zhuān)業(yè)學(xué)習(xí)資料.網(wǎng)絡(luò)服務(wù)的安全查閱網(wǎng)絡(luò)服務(wù)協(xié)議等相關(guān)文件， 驗(yàn)證網(wǎng)絡(luò)服務(wù)中的安全要求是否被滿(mǎn)足 。介質(zhì)處置A.10.7.1可移動(dòng)介質(zhì)的管理訪問(wèn)信息安全管理機(jī)構(gòu) 、IT 等相關(guān)部門(mén) ，驗(yàn)證對(duì)可移動(dòng)

10、介質(zhì)的管理是否滿(mǎn)足安全要求 。A.10.7.2介質(zhì)的處置訪問(wèn)信息安全管理機(jī)構(gòu) 、IT 等相關(guān)部門(mén) ，驗(yàn)證對(duì)介質(zhì)的處置是否滿(mǎn)足安全要求 。A.10.7.3信息處理規(guī)程查閱、驗(yàn)證信息處理規(guī)程 。A.10.7.4系統(tǒng)文件安全查閱、驗(yàn)證保護(hù)系統(tǒng)文件安全的控制措施 。信息的交換A.10.8.1信息交換策略和規(guī)程查閱、驗(yàn)證組織的信息交換策略和規(guī)程等相關(guān)文件。A.10.8.2交換協(xié)議訪問(wèn)信息安全管理機(jī)構(gòu) ，查閱信息和軟件交換協(xié)議 。A.10.8.3運(yùn)輸中的物理介質(zhì)詢(xún)問(wèn)、驗(yàn)證組織對(duì)運(yùn)輸中的物理介質(zhì)的保護(hù)措施。A.10.8.4電子消息發(fā)送詢(xún)問(wèn)、驗(yàn)證對(duì)電子郵件等信息發(fā)送的安全保護(hù)措施A.10.8.5業(yè)務(wù)信息系統(tǒng)詢(xún)

11、問(wèn)、驗(yàn)證對(duì)業(yè)務(wù)信息系統(tǒng)的安全保護(hù)措施 。電子商務(wù)服務(wù)A.10.9.1電子商務(wù)詢(xún)問(wèn)、驗(yàn)證組織電子商務(wù)中的安全保護(hù)措施。A.10.9.2在線交易詢(xún)問(wèn)、驗(yàn)證組織在線交易中的安全保護(hù)措施。A.10.9.3公共可用信息詢(xún)問(wèn)、驗(yàn)證組織公共信息的安全保護(hù)措施 。監(jiān)視A.10.10.1審計(jì)記錄查閱重要系統(tǒng)的日志信息 。A.10.10.2監(jiān)視系統(tǒng)的使用檢查、 驗(yàn)證監(jiān)視系統(tǒng)的有效性 。 查閱監(jiān)視系統(tǒng)日志等。.專(zhuān)業(yè)學(xué)習(xí)資料.日志信息的保護(hù)管理員和操作員日志故障日志時(shí)鐘同步A.11 訪問(wèn)控制訪問(wèn)控制的業(yè)務(wù)要求訪問(wèn)控制策略用戶(hù)訪問(wèn)管理用戶(hù)注冊(cè)特殊權(quán)限管理用戶(hù)口令管理用戶(hù)訪問(wèn)權(quán)的復(fù)查用戶(hù)職責(zé)口令使用無(wú)人值守的用戶(hù)設(shè)備清空

12、桌面和屏幕策略網(wǎng)絡(luò)訪問(wèn)控制使用網(wǎng)絡(luò)服務(wù)的策略外部連接的用戶(hù)鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)遠(yuǎn)程診斷和配置端口的保護(hù)網(wǎng)絡(luò)隔離詢(xún)問(wèn)、驗(yàn)證日志信息的包括措施。查閱、驗(yàn)證管理員和操作員日志。查閱、驗(yàn)證系統(tǒng)的故障日志 。檢查、驗(yàn)證時(shí)鐘同步措施 。查閱訪問(wèn)控制策略等相關(guān)文件。查閱用戶(hù)注冊(cè) 、注銷(xiāo)的流程等相關(guān)文件 。詢(xún)問(wèn)、驗(yàn)證超級(jí)用戶(hù)等特殊權(quán)限的管理控制措施。檢查、驗(yàn)證用戶(hù)口令的管理控制措施。查閱用戶(hù)訪問(wèn)權(quán)的復(fù)查 、評(píng)審記錄 。檢查驗(yàn)證用戶(hù)口令使用情況。詢(xún)問(wèn)、驗(yàn)證無(wú)人值守的用戶(hù)設(shè)備的安全措施情況。檢查、驗(yàn)證清空桌面和屏幕策略執(zhí)行情況。查閱、驗(yàn)證使用網(wǎng)絡(luò)服務(wù)的策略和執(zhí)行情況。檢查、驗(yàn)證對(duì)外部連接的用戶(hù)鑒別措施。檢查網(wǎng)絡(luò)上

13、的設(shè)備標(biāo)識(shí) 。檢查、驗(yàn)證對(duì)網(wǎng)絡(luò)設(shè)備上的遠(yuǎn)程診斷和配置端口的保護(hù)措施 。檢查、驗(yàn)證網(wǎng)絡(luò)間服務(wù) 、用戶(hù)等的隔離措施 ，如劃分.專(zhuān)業(yè)學(xué)習(xí)資料.子網(wǎng)等。A.11.4.6網(wǎng)絡(luò)連接控制檢查、驗(yàn)證網(wǎng)絡(luò)連接控制措施 。A.11.4.7網(wǎng)絡(luò)路由控制檢查、驗(yàn)證網(wǎng)絡(luò)路由控制措施 。A.11.5操作系統(tǒng)訪問(wèn)控制A.11.5.1安全登錄程序檢查、驗(yàn)證操作系統(tǒng)的安全登錄控制 。A.11.5.2用戶(hù)標(biāo)識(shí)和鑒別檢查、驗(yàn)證操作系統(tǒng)中的用戶(hù)管理 。A.11.5.3口令管理系統(tǒng)檢查、驗(yàn)證操作系統(tǒng)的口令管理系統(tǒng)A.11.5.4系統(tǒng)實(shí)用工具的使用詢(xún)問(wèn)、驗(yàn)證對(duì)系統(tǒng)食用工具的使用情況A.11.5.5會(huì)話超時(shí)檢查、驗(yàn)證會(huì)話超時(shí)的設(shè)置 。A.

14、11.5.6聯(lián)機(jī)時(shí)間的限制檢查、驗(yàn)證聯(lián)機(jī)時(shí)間的限制措施 。A.11.6應(yīng)用和信息訪問(wèn)控制A.11.6.1 信息訪問(wèn)限制檢查、驗(yàn)證用戶(hù)和支持人員對(duì)信息訪問(wèn)限制措施的有效性A.11.6.2 敏感系統(tǒng)隔離詢(xún)問(wèn)、驗(yàn)證是否對(duì)不同安全要求的網(wǎng)絡(luò)實(shí)行了物理隔離A.11.7 移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作A.11.7.1 移動(dòng)計(jì)算和通信詢(xún)問(wèn)、驗(yàn)證移動(dòng)計(jì)算和通信的安全措施A.11.7.2 遠(yuǎn)程工作A.12 信息系統(tǒng)獲取 、開(kāi)發(fā)和維護(hù)A.12.1 信息系統(tǒng)的安全需求A.12.1.1安全要求分析和說(shuō)明查閱系統(tǒng)開(kāi)發(fā)中安全需求分析和說(shuō)明等相關(guān)文件A.12.2應(yīng)用中的正確處理A.12.2.1輸入數(shù)據(jù)的驗(yàn)證詢(xún)問(wèn)是否有輸入數(shù)據(jù)的驗(yàn)證

15、，查閱驗(yàn)證記錄等.專(zhuān)業(yè)學(xué)習(xí)資料.A.12.2.2內(nèi)部處理的控制詢(xún)問(wèn)是否有內(nèi)部處理的控制 ，查閱驗(yàn)證記錄等 。A.12.2.3消息完整性詢(xún)問(wèn)是否有消息完整性的驗(yàn)證 ，查閱驗(yàn)證記錄等 。A.12.2.4輸出數(shù)據(jù)的驗(yàn)證詢(xún)問(wèn)是否有輸出數(shù)據(jù)的驗(yàn)證 ，查閱驗(yàn)證記錄等 。A.12.3密碼控制A.12.3.1使用密碼控制的策略詢(xún)問(wèn)信息安全管理機(jī)構(gòu) 、IT 等相關(guān)部門(mén) ，是否使用密碼控制。A.12.3.2密鑰管理詢(xún)問(wèn)、驗(yàn)證密鑰管理的措施 。A.12.4系統(tǒng)文件安全A.12.4.1運(yùn)行軟件的控制詢(xún)問(wèn)、驗(yàn)證對(duì)運(yùn)行軟件的控制措施 。A.12.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)詢(xún)問(wèn)對(duì)系統(tǒng)測(cè)試數(shù)據(jù)的包括措施 。A.12.4.3對(duì)程

16、序源代碼的訪問(wèn)控制詢(xún)問(wèn)、驗(yàn)證對(duì)程序源代碼的訪問(wèn)控制措施 。A.12.5開(kāi)發(fā)過(guò)程和支持過(guò)程的安全A.12.5.1變更控制規(guī)程查閱變更控制等相關(guān)文件 。A.12.5.2操作系統(tǒng)變更后應(yīng)用的技查閱操作系統(tǒng)變更后對(duì)應(yīng)用的技術(shù)評(píng)審記錄 。術(shù)評(píng)審A.12.5.3軟件包變更的限制詢(xún)問(wèn)對(duì)軟件包變更的限制措施 。A.12.5.4信息泄露詢(xún)問(wèn)防止信息泄露的措施 。A.12.5.5外包軟件開(kāi)發(fā)詢(xún)問(wèn)、驗(yàn)證對(duì)外包軟件開(kāi)發(fā)的控制措施 。A.12.6技術(shù)脆弱性管理A.12.6.1技術(shù)脆弱性的控制檢查、驗(yàn)證技術(shù)脆弱性的控制措施 。 是否更新軟件補(bǔ)丁，可以利用脆弱性掃描等工具軟件來(lái)獲得審核證據(jù)。A.13 信息安全事故管理.專(zhuān)業(yè)

17、學(xué)習(xí)資料.A.13.1 報(bào)告信息安全事件和事故A.13.1.1報(bào)告信息安全事件查閱信息安全事件報(bào)告記錄 。A.13.1.2報(bào)告安全弱點(diǎn)查閱安全弱點(diǎn)報(bào)告記錄信息安全事故和改進(jìn)的管理A.13.2.1職責(zé)和程序查閱信息安全事件管理程序等相關(guān)文件 。A.13.2.2 對(duì)信息安全事故的總結(jié)查閱信息安全事件學(xué)習(xí)和總結(jié)記錄A.13.2.3證據(jù)的收集詢(xún)問(wèn)、驗(yàn)證事件處理過(guò)程中的證據(jù)收集的措施 。A.14 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理的信息安全方面業(yè)務(wù)連續(xù)性管理過(guò)程中包查閱業(yè)務(wù)連續(xù)性管理等相關(guān)文件。含的信息安全A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估詢(xún)問(wèn)、驗(yàn)證組織是否實(shí)施了業(yè)務(wù)中斷的風(fēng)險(xiǎn)評(píng)估，包括中斷的事件 、發(fā)生的

18、概率和影響等 。A.14.1.3制定和實(shí)施包含信息安全查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件 。的連續(xù)性計(jì)劃A.14.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件 。A.14.1.5測(cè)試、保持和再評(píng)估業(yè)務(wù)檢查、驗(yàn)證組織對(duì)業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、保持，查連續(xù)性計(jì)劃閱測(cè)試記錄等 。A.15 符合性A.15.1 符合法律要求A.15.1.1 可用法律的識(shí)別查閱組織識(shí)別的適用的信息安全法律法規(guī)。A.15.1.2知識(shí)產(chǎn)權(quán) （ IPR）詢(xún)問(wèn)、驗(yàn)證組織知識(shí)產(chǎn)權(quán)保護(hù)措施 。A.15.1.3保護(hù)組織的記錄詢(xún)問(wèn)、查閱組織對(duì)相關(guān)記錄的保護(hù)措施 。.專(zhuān)業(yè)學(xué)習(xí)資料.A.15.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的詢(xún)問(wèn)組織對(duì)數(shù)據(jù)和個(gè)人隱私的包括措施