信息安全控制措施測(cè)量方法表

1、德信誠培訓(xùn)網(wǎng)信息安全控制措施測(cè)量方法表控制措施測(cè)量方法A.5 安全方針 A.5.1 信息安全方針A.5.1.1信息安全方針文件審核 ISMS方針文件訪問管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對(duì)ISMS方針和目標(biāo)的理解和貫徹狀況。A.5.1.2信息安全方針的評(píng)審查閱 ISMS方針文件的評(píng)審和修訂記錄。A.6 信息安全組織A.6.1 內(nèi)部組織A.6.1.1 信息安全的管理承諾結(jié)合5.1管理承諾，訪問管理者（或管理者代表），判斷其對(duì)信息安全的承諾和支持是否到位。A.6.1.2 信息安全協(xié)調(diào)訪問組織的信息安全管理機(jī)構(gòu)，包括其職責(zé)。A.6.1.3 信息安全職責(zé)的分配查閱信息安全職

2、責(zé)分配或描述等方面的文件。A.6.1.4 信息處理設(shè)施的授權(quán)過程訪問IT等相關(guān)部門，了解組織對(duì)新信息處理設(shè)施的管理流程。A.6.1.5 保密性協(xié)議查閱組織與員工、 外部相關(guān)方等簽署的保密性或不泄露協(xié)議。A.6.1.6 與政府部門的聯(lián)系 訪問信息安全管理機(jī)構(gòu)， 詢問與相關(guān)政府部門的聯(lián)絡(luò)情況。A.6.1.7 與特定利益集團(tuán)的聯(lián)系訪問信息安全管理機(jī)構(gòu)，詢問與相關(guān)信息安全專家、專業(yè)協(xié)會(huì)、學(xué)會(huì)等聯(lián)絡(luò)情況。A.6.1.8 信息安全的獨(dú)立評(píng)審 通過對(duì)內(nèi)部審核、管理評(píng)審、第三方認(rèn)證審核等的審核，驗(yàn)證組織信息安全獨(dú)立評(píng)審情況。A.6.2外部各方A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別訪問組織信息安全管理機(jī)構(gòu)或IT

3、相關(guān)部門，了解對(duì)外部各方訪問組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。A.6.2.2處理與顧客有關(guān)的安全問題訪問組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門，了解對(duì)顧客訪問組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。A.6.2.3 處理第三方協(xié)議中的安全問題訪問組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門，了解第三方協(xié)議中的安全要求的滿足情況。A.7資產(chǎn)管理A.7.1對(duì)資產(chǎn)負(fù)責(zé)A.7.1.1 資產(chǎn)清單 審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.7.1.2 資產(chǎn)責(zé)任人A.7.1.3資產(chǎn)的允許使用訪問組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門，了解對(duì)信息資產(chǎn)使用的控制。A.7.2信息分類A.7.2.1 分類指南訪問組織信

4、息安全管理機(jī)構(gòu)或 IT相關(guān)部門，了解組織信息資產(chǎn)的分類和標(biāo)識(shí)情況，并在各部門進(jìn)行驗(yàn)證。A.7.2.2 信息標(biāo)記和處理A.8人力資源安全A.8.1任用之前A.8.1.1 角色和職責(zé)審核信息安全角色和職責(zé)的分配和描述等相關(guān)文件A.8.1.2 審查訪問人力資源等相關(guān)部門， 驗(yàn)證人員任用前的審查工作。A.8.1.3 任用條款和條件查閱任用合同中的信息安全相關(guān)的任用條款A(yù).8.2 任用中A.8.2.1 管理職責(zé)訪問管理者（或管理者代表），驗(yàn)證對(duì)員工提出的信息安全方面的要求。A.8.2.2 信息安全意識(shí)、教育和培訓(xùn)查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄。A.8.2.3 紀(jì)律處理過程訪問組織信息安全管理機(jī)構(gòu)、人力資源等相關(guān)

5、部門，以及查閱信息安全獎(jiǎng)懲制度。A.8.3 任用的終止或變化A.8.3.1 終止職責(zé)訪問組織信息安全管理機(jī)構(gòu)， 了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。A.8.3.2 資產(chǎn)的歸還訪問組織IT等相關(guān)部門，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后，對(duì)領(lǐng)用資產(chǎn)的歸還情況。A.8.3.3 撤銷訪問權(quán)訪問組織 IT等相關(guān)部門，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后， 對(duì)系統(tǒng)和網(wǎng)絡(luò)的訪問權(quán)的處置情況。A.9物理和環(huán)境安全A.9.1安全區(qū)域A.9.1.1物理安全邊界結(jié)合ISMS范圍文件，訪問相關(guān)部門，了解組織的物理邊界控制，出入口控制，辦公室防護(hù)等措施和執(zhí)行情況。如調(diào)閱監(jiān)

6、控錄像資料等。A.9.1.2物理入口控制A.9.1.3辦公室、房間和設(shè)備的安全保護(hù)A.9.1.4外部和環(huán)境威脅的安全防護(hù)詢問、驗(yàn)證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。A.9.1.5 在安全區(qū)域工作詢問、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù)。A.9.1.6 公共訪問、交接區(qū)安全詢問、驗(yàn)證組織公共訪問、交接區(qū)內(nèi)的防護(hù)措施A.9.2設(shè)備安全A.9.2.1 設(shè)備安置和保護(hù)詢問、驗(yàn)證組織設(shè)備安置和保護(hù)措施。查閱機(jī)房管理規(guī)定等相關(guān)文件。A.9.2.2 支持性設(shè)施詢問、驗(yàn)證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運(yùn)行情況。查閱機(jī)房溫濕度記錄等。A.9.2.3 布纜安全詢問IT等相關(guān)部門在

7、布線方面是否符合相關(guān)國家標(biāo)準(zhǔn)，并驗(yàn)證。A.9.2.4 設(shè)備維護(hù)詢問、驗(yàn)證組織設(shè)備維護(hù)情況，查閱設(shè)備維護(hù)記錄A.9.2.5組織場(chǎng)所外的設(shè)備的安全詢問、驗(yàn)證組織對(duì)場(chǎng)所外的設(shè)備的安全保護(hù)措施。A.9.2.6設(shè)備的安全處置或再利用詢問、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程，是否滿足規(guī)定的要求。A.9.2.7 資產(chǎn)的移動(dòng)詢問、驗(yàn)證對(duì)資產(chǎn)的移動(dòng)的安全防護(hù)措施。A.10通信和操作管理A.10.1操作規(guī)程和職責(zé)A.10.1.1 文件化的操作規(guī)程 查閱相關(guān)設(shè)備操作程序文件，操作記錄等。A.10.1.2 變更管理 查閱和驗(yàn)證信息系統(tǒng)的變更控制。A.10.1.3責(zé)任分割 訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證責(zé)任分割

8、狀況。如重要服務(wù)器的登錄口令分2人保管等。A.10.1.4開發(fā)、 測(cè)試和運(yùn)行設(shè)施分離 訪問IT、研發(fā)等部門，驗(yàn)證開發(fā)、測(cè)試和運(yùn)行設(shè)施的分離狀況。A.10.2第三方服務(wù)交付管理A.10.2.1 服務(wù)交付 查閱第三方服務(wù)協(xié)議中的信息安全相關(guān)的要求和交付標(biāo)準(zhǔn)。A.10.2.2 第三方服務(wù)的監(jiān)視和評(píng)審查閱第三方服務(wù)的信息安全相關(guān)要求的監(jiān)視和評(píng)審記錄。A.10.2.3第三方服務(wù)的變更管理查閱第三方服務(wù)的信息安全要求的變更控制記錄。A.10.3系統(tǒng)規(guī)劃和驗(yàn)收A.10.3.1 容量管理 查閱系統(tǒng)建設(shè)前的容量規(guī)劃記錄。A.10.3.2 系統(tǒng)驗(yàn)收 查閱系統(tǒng)建設(shè)完成時(shí)的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)收記錄。A.10.4 防范惡意和

9、移動(dòng)代碼A.10.4.1 控制惡意代碼檢查計(jì)算機(jī)病毒等惡意代碼防范軟件， 及代碼庫的更新情況?？梢栽诒姸嚯娔X中抽查。查閱病毒等惡意代碼事件記錄。A.10.4.2 控制移動(dòng)代碼 詢問、驗(yàn)證移動(dòng)代碼控制措施的情況。A.10.5備份A.10.5.1 信息備份 查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測(cè)試、驗(yàn)證。A.10.6 網(wǎng)絡(luò)安全管理A.10.6.1 網(wǎng)絡(luò)控制訪問IT等相關(guān)部門，驗(yàn)證網(wǎng)絡(luò)控制措施情況。A.10.6.2 網(wǎng)絡(luò)服務(wù)的安全查閱網(wǎng)絡(luò)服務(wù)協(xié)議等相關(guān)文件， 驗(yàn)證網(wǎng)絡(luò)服務(wù)中的安全要求是否被滿足。A.10.7 介質(zhì)處置A.10.7.1 可移動(dòng)介質(zhì)的管理 訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)

10、證對(duì)可移動(dòng)介質(zhì)的管理是否滿足安全要求。A.10.7.2 介質(zhì)的處置 訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證對(duì)介質(zhì)的處置是否滿足安全要求。A.10.7.3 信息處理規(guī)程查閱、驗(yàn)證信息處理規(guī)程。A.10.7.4 系統(tǒng)文件安全查閱、驗(yàn)證保護(hù)系統(tǒng)文件安全的控制措施。A.10.8 信息的交換A.10.8.1 信息交換策略和規(guī)程 查閱、驗(yàn)證組織的信息交換策略和規(guī)程等相關(guān)文件。A.10.8.2 交換協(xié)議 訪問信息安全管理機(jī)構(gòu)，查閱信息和軟件交換協(xié)議。A.10.8.3 運(yùn)輸中的物理介質(zhì) 詢問、驗(yàn)證組織對(duì)運(yùn)輸中的物理介質(zhì)的保護(hù)措施。A.10.8.4 電子消息發(fā)送 詢問、驗(yàn)證對(duì)電子郵件等信息發(fā)送的安全保護(hù)措施

11、A.10.8.5 業(yè)務(wù)信息系統(tǒng) 詢問、驗(yàn)證對(duì)業(yè)務(wù)信息系統(tǒng)的安全保護(hù)措施。A.10.9 電子商務(wù)服務(wù)A.10.9.1 電子商務(wù) 詢問、驗(yàn)證組織電子商務(wù)中的安全保護(hù)措施。 A.10.9.2 在線交易 詢問、驗(yàn)證組織在線交易中的安全保護(hù)措施。A.10.9.3 公共可用信息詢問、驗(yàn)證組織公共信息的安全保護(hù)措施。A.10.10監(jiān)視A.10.10.1 審計(jì)記錄 查閱重要系統(tǒng)的日志信息。A.10.10.2 監(jiān)視系統(tǒng)的使用 檢查、 驗(yàn)證監(jiān)視系統(tǒng)的有效性。 查閱監(jiān)視系統(tǒng)日志等。A.10.10.3 日志信息的保護(hù) 詢問、驗(yàn)證日志信息的包括措施。A.10.10.4 管理員和操作員日志 查閱、驗(yàn)證管理員和操作員日志。

12、A.10.10.5 故障日志 查閱、驗(yàn)證系統(tǒng)的故障日志。A.10.10.6 時(shí)鐘同步 檢查、驗(yàn)證時(shí)鐘同步措施。A.11訪問控制A.11.1 訪問控制的業(yè)務(wù)要求A.11.1.1 訪問控制策略 查閱訪問控制策略等相關(guān)文件。A.11.2 用戶訪問管理A.11.2.1 用戶注冊(cè) 查閱用戶注冊(cè)、注銷的流程等相關(guān)文件。A.11.2.2 特殊權(quán)限管理 詢問、驗(yàn)證超級(jí)用戶等特殊權(quán)限的管理控制措施。A.11.2.3 用戶口令管理 檢查、驗(yàn)證用戶口令的管理控制措施。A.11.2.4 用戶訪問權(quán)的復(fù)查 查閱用戶訪問權(quán)的復(fù)查、評(píng)審記錄。A.11.3用戶職責(zé)A.11.3.1 口令使用 檢查驗(yàn)證用戶口令使用情況。A.11

13、.3.2 無人值守的用戶設(shè)備 詢問、驗(yàn)證無人值守的用戶設(shè)備的安全措施情況。A.11.3.3 清空桌面和屏幕策略 檢查、驗(yàn)證清空桌面和屏幕策略執(zhí)行情況。A.11.4網(wǎng)絡(luò)訪問控制A.11.4.1 使用網(wǎng)絡(luò)服務(wù)的策略查閱、驗(yàn)證使用網(wǎng)絡(luò)服務(wù)的策略和執(zhí)行情況。A.11.4.2 外部連接的用戶鑒別檢查、驗(yàn)證對(duì)外部連接的用戶鑒別措施。 A.11.4.3 網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)檢查網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)。A.11.4.4 遠(yuǎn)程診斷和配置端口的保護(hù) 檢查、 驗(yàn)證對(duì)網(wǎng)絡(luò)設(shè)備上的遠(yuǎn)程診斷和配置端口的保護(hù)措施。A.11.4.5 網(wǎng)絡(luò)隔離檢查、驗(yàn)證網(wǎng)絡(luò)間服務(wù)、用戶等的隔離措施，如劃分子網(wǎng)等。A.11.4.6 網(wǎng)絡(luò)連接控制檢查、驗(yàn)證

14、網(wǎng)絡(luò)連接控制措施。A.11.4.7 網(wǎng)絡(luò)路由控制 檢查、驗(yàn)證網(wǎng)絡(luò)路由控制措施。A.11.5 操作系統(tǒng)訪問控制A.11.5.1 安全登錄程序檢查、驗(yàn)證操作系統(tǒng)的安全登錄控制。A.11.5.2 用戶標(biāo)識(shí)和鑒別檢查、驗(yàn)證操作系統(tǒng)中的用戶管理。A.11.5.3 口令管理系統(tǒng)檢查、驗(yàn)證操作系統(tǒng)的口令管理系統(tǒng)A.11.5.4 系統(tǒng)實(shí)用工具的使用 詢問、驗(yàn)證對(duì)系統(tǒng)食用工具的使用情況A.11.5.5 會(huì)話超時(shí)檢查、驗(yàn)證會(huì)話超時(shí)的設(shè)置。A.11.5.6 聯(lián)機(jī)時(shí)間的限制 檢查、驗(yàn)證聯(lián)機(jī)時(shí)間的限制措施。A.11.6 應(yīng)用和信息訪問控制A.11.6.1信息訪問限制檢查、驗(yàn)證用戶和支持人員對(duì)信息訪問限制措施的有效性A.

15、11.6.2敏感系統(tǒng)隔離詢問、驗(yàn)證是否對(duì)不同安全要求的網(wǎng)絡(luò)實(shí)行了物理隔離A.11.7移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作A.11.7.1移動(dòng)計(jì)算和通信詢問、驗(yàn)證移動(dòng)計(jì)算和通信的安全措施A.11.7.2遠(yuǎn)程工作A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)A.12.1信息系統(tǒng)的安全需求A.12.1.1 安全要求分析和說明查閱系統(tǒng)開發(fā)中安全需求分析和說明等相關(guān)文件A.12.2 應(yīng)用中的正確處理A.12.2.1 輸入數(shù)據(jù)的驗(yàn)證 詢問是否有輸入數(shù)據(jù)的驗(yàn)證，查閱驗(yàn)證記錄等A.12.2.2 內(nèi)部處理的控制 詢問是否有內(nèi)部處理的控制，查閱驗(yàn)證記錄等。A.12.2.3 消息完整性 詢問是否有消息完整性的驗(yàn)證，查閱驗(yàn)證記錄等。A.12.2.

16、4 輸出數(shù)據(jù)的驗(yàn)證 詢問是否有輸出數(shù)據(jù)的驗(yàn)證，查閱驗(yàn)證記錄等。A.12.3 密碼控制A.12.3.1 使用密碼控制的策略 詢問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，是否使用密碼控制。A.12.3.2 密鑰管理 詢問、驗(yàn)證密鑰管理的措施。A.12.4 系統(tǒng)文件安全A.12.4.1 運(yùn)行軟件的控制 詢問、驗(yàn)證對(duì)運(yùn)行軟件的控制措施。A.12.4.2 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)詢問對(duì)系統(tǒng)測(cè)試數(shù)據(jù)的包括措施。A.12.4.3 對(duì)程序源代碼的訪問控制 詢問、驗(yàn)證對(duì)程序源代碼的訪問控制措施。A.12.5 開發(fā)過程和支持過程的安全A.12.5.1 變更控制規(guī)程 查閱變更控制等相關(guān)文件。A.12.5.2 操作系統(tǒng)變更后應(yīng)用

17、的技術(shù)評(píng)審 查閱操作系統(tǒng)變更后對(duì)應(yīng)用的技術(shù)評(píng)審記錄。A.12.5.3 軟件包變更的限制 詢問對(duì)軟件包變更的限制措施。A.12.5.4 信息泄露 詢問防止信息泄露的措施。A.12.5.5 外包軟件開發(fā) 詢問、驗(yàn)證對(duì)外包軟件開發(fā)的控制措施。A.12.6 技術(shù)脆弱性管理 A.12.6.1 技術(shù)脆弱性的控制 檢查、驗(yàn)證技術(shù)脆弱性的控制措施。是否更新軟件補(bǔ)丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。A.13信息安全事故管理A.13.1報(bào)告信息安全事件和事故A.13.1.1 報(bào)告信息安全事件查閱信息安全事件報(bào)告記錄。A.13.1.2 報(bào)告安全弱點(diǎn) 查閱安全弱點(diǎn)報(bào)告記錄A.13.2 信息安全事故和改進(jìn)的

18、管理A.13.2.1 職責(zé)和程序 查閱信息安全事件管理程序等相關(guān)文件。A.13.2.2對(duì)信息安全事故的總結(jié)查閱信息安全事件學(xué)習(xí)和總結(jié)記錄A.13.2.3 證據(jù)的收集 詢問、驗(yàn)證事件處理過程中的證據(jù)收集的措施。A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面A.14.1.1 業(yè)務(wù)連續(xù)性管理過程中包含的信息安全 查閱業(yè)務(wù)連續(xù)性管理等相關(guān)文件。A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估 詢問、驗(yàn)證組織是否實(shí)施了業(yè)務(wù)中斷的風(fēng)險(xiǎn)評(píng)估，包括中斷的事件、發(fā)生的概率和影響等。A.14.1.3 制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃 查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件。A.14.1.4 業(yè)務(wù)連續(xù)性計(jì)劃框架 查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件。A.14.1.5 測(cè)試、保持和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃 檢查、驗(yàn)證組織對(duì)業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、保持，查閱測(cè)試記錄等。A.15符合性A.15.1符合法律要求A.15.1.1可用法律的識(shí)別查閱組織識(shí)別的適用的信息安全法律法規(guī)。A.15.1.2 知識(shí)產(chǎn)權(quán)（IPR） 詢問、驗(yàn)證組織知識(shí)產(chǎn)權(quán)保護(hù)措施。A.15.1.3 保護(hù)組織的記錄 詢問、查閱組織對(duì)相關(guān)記錄的保護(hù)措施。A.15.1.4 數(shù)據(jù)保護(hù)和個(gè)人信息的隱私詢問組織對(duì)數(shù)據(jù)和個(gè)人隱私的包括措施。A.1