信息安全控制措施測量方法表

1、.信息安全控制措施測量方法表控制措施測量方法A.5 安全方針信息安全方針信息安全方針文件審核 ISMS 方針文件訪問管理者 （或管理者代表 ）、員工、或相關(guān)方人員（如必要），了解他們對ISMS 方針和目標的理解和貫徹狀況 。信息安全方針的評審查閱 ISMS 方針文件的評審和修訂記錄。A.6 信息安全組織內(nèi)部組織A.6.1.1信息安全的管理承諾結(jié)合 5.1 管理承諾 ，訪問管理者 （或管理者代表 ），判斷其對信息安全的承諾和支持是否到位 。A.6.1.2信息安全協(xié)調(diào)訪問組織的信息安全管理機構(gòu) ，包括其職責 。A.6.1.3信息安全職責的分配查閱信息安全職責分配或描述等方面的文件 。A.6.1.4

2、信息處理設施的授權(quán)過程訪問 IT 等相關(guān)部門 ，了解組織對新信息處理設施的管理流程。A.6.1.5保密性協(xié)議查閱組織與員工 、 外部相關(guān)方等簽署的保密性或不泄露協(xié)議 。A.6.1.6與政府部門的聯(lián)系訪問信息安全管理機構(gòu) ， 詢問與相關(guān)政府部門的聯(lián)絡情況。.專業(yè)學習資料.A.6.1.7與特定利益集團的聯(lián)系訪問信息安全管理機構(gòu) ，詢問與相關(guān)信息安全專家 、專業(yè)協(xié)會 、學會等聯(lián)絡情況 。A.6.1.8信息安全的獨立評審通過對內(nèi)部審核 、管理評審 、第三方認證審核等的審核，驗證組織信息安全獨立評審情況 。A.6.2 外部各方A.6.2.1 與外部各方相關(guān)風險的識別訪問組織信息安全管理機構(gòu)或IT 相關(guān)部

3、門 ，了解對外部各方訪問組織的信息和信息處理設施的風險和控制狀況。A.6.2.2 處理與顧客有關(guān)的安全問題訪問組織信息安全管理機構(gòu)或IT 相關(guān)部門 ，了解對顧客訪問組織的信息和信息處理設施的風險和控制狀況。A.6.2.3處理第三方協(xié)議中的安全問訪問組織信息安全管理機構(gòu)或IT 相關(guān)部門 ，了解第題三方協(xié)議中的安全要求的滿足情況 。A.7 資產(chǎn)管理A.7.1 對資產(chǎn)負責A.7.1.1資產(chǎn)清單審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.7.1.2資產(chǎn)責任人A.7.1.3 資產(chǎn)的允許使用訪問組織信息安全管理機構(gòu)或IT 相關(guān)部門 ，了解對信息資產(chǎn)使用的控制 。A.7.2 信息分類A.7.2.1分類指南訪

4、問組織信息安全管理機構(gòu)或IT 相關(guān)部門 ，了解組A.7.2.2信息標記和處理織信息資產(chǎn)的分類和標識情況，并在各部門進行驗證。.專業(yè)學習資料.A.8 人力資源安全任用之前A.8.1.1角色和職責審核信息安全角色和職責的分配和描述等相關(guān)文件A.8.1.2審查訪問人力資源等相關(guān)部門 ， 驗證人員任用前的審查工作。A.8.1.3任用條款和條件查閱任用合同中的信息安全相關(guān)的任用條款任用中A.8.2.1管理職責訪問管理者 （或管理者代表 ），驗證對員工提出的信息安全方面的要求 。A.8.2.2信息安全意識 、教育和培訓查閱培訓計劃和培訓記錄 。A.8.2.3紀律處理過程訪問組織信息安全管理機構(gòu) 、人力資源

5、等相關(guān)部門 ，以及查閱信息安全獎懲制度 。任用的終止或變化A.8.3.1終止職責訪問組織信息安全管理機構(gòu) ， 了解和驗證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求 。A.8.3.2資產(chǎn)的歸還訪問組織 IT 等相關(guān)部門 ，了解和驗證組織的員工和第三方人員等在任用結(jié)束后 ，對領用資產(chǎn)的歸還情況 。A.8.3.3撤銷訪問權(quán)訪問組織 IT 等相關(guān)部門 ，了解和驗證組織的員工和第三方人員等在任用結(jié)束后 ， 對系統(tǒng)和網(wǎng)絡的訪問權(quán)的處置情況 。A.9 物理和環(huán)境安全安全區(qū)域物理安全邊界結(jié)合 ISMS 范圍文件 ，訪問相關(guān)部門 ，了解組織的物.專業(yè)學習資料.A.9.1.2 物理入口控制理邊界控制 ，出

6、入口控制 ，辦公室防護等措施和執(zhí)行A.9.1.3辦公室、房間和設備的安全情況。 如調(diào)閱監(jiān)控錄像資料等 。保護A.9.1.4 外部和環(huán)境威脅的安全防護詢問、驗證組織防止火災 、洪水、地震、爆炸和其他形式的災害的防范情況 。A.9.1.5在安全區(qū)域工作詢問、驗證組織安全區(qū)域內(nèi)的物理防護 。A.9.1.6公共訪問 、交接區(qū)安全詢問、驗證組織公共訪問 、交接區(qū)內(nèi)的防護措施設備安全A.9.2.1設備安置和保護詢問、驗證組織設備安置和保護措施 。查閱機房管理規(guī)定等相關(guān)文件 。A.9.2.2支持性設施詢問、驗證組織支持性設施 （例如供水 、供電、溫度調(diào)節(jié)等）的運行情況 。查閱機房溫濕度記錄等 。A.9.2.

7、3布纜安全詢問 IT 等相關(guān)部門在布線方面是否符合相關(guān)國家標準，并驗證。A.9.2.4設備維護詢問、驗證組織設備維護情況 ，查閱設備維護記錄A.9.2.5 組織場所外的設備的安全詢問、驗證組織對場所外的設備的安全保護措施 。A.9.2.6 設備的安全處置或再利用詢問、驗證電腦等設備報廢后的處理流程 ，是否滿足規(guī)定的要求 。A.9.2.7資產(chǎn)的移動詢問、驗證對資產(chǎn)的移動的安全防護措施 。A.10 通信和操作管理操作規(guī)程和職責A.10.1.1文件化的操作規(guī)程查閱相關(guān)設備操作程序文件 ，操作記錄等 。A.10.1.2變更管理查閱和驗證信息系統(tǒng)的變更控制 。.專業(yè)學習資料.A.10.1.3 責任分割訪

8、問信息安全管理機構(gòu) 、IT 等相關(guān)部門 ，驗證責任分割狀況 。如重要服務器的登錄口令分 2 人保管等 。A.10.1.4開發(fā)、 測試和運行設施分訪問 IT、研發(fā)等部門 ，驗證開發(fā) 、測試和運行設施的離分離狀況 。A.10.2 第三方服務交付管理A.10.2.1服務交付查閱第三方服務協(xié)議中的信息安全相關(guān)的要求和交付標準。A.10.2.2第三方服務的監(jiān)視和評審查閱第三方服務的信息安全相關(guān)要求的監(jiān)視和評審記錄。A.10.2.3 第三方服務的變更管理查閱第三方服務的信息安全要求的變更控制記錄 。A.10.3 系統(tǒng)規(guī)劃和驗收A.10.3.1容量管理查閱系統(tǒng)建設前的容量規(guī)劃記錄 。A.10.3.2系統(tǒng)驗收

9、查閱系統(tǒng)建設完成時的驗收標準和驗收記錄 。防范惡意和移動代碼A.10.4.1控制惡意代碼檢查計算機病毒等惡意代碼防范軟件， 及代碼庫的更新情況 ?？梢栽诒姸嚯娔X中抽查 。 查閱病毒等惡意代碼事件記錄 。A.10.4.2控制移動代碼詢問、驗證移動代碼控制措施的情況 。備份信息備份查閱備份策略等相關(guān)文件。抽查備份介質(zhì) ，并要求測試、驗證。網(wǎng)絡安全管理網(wǎng)絡控制訪問 IT 等相關(guān)部門 ，驗證網(wǎng)絡控制措施情況 。.專業(yè)學習資料.網(wǎng)絡服務的安全查閱網(wǎng)絡服務協(xié)議等相關(guān)文件， 驗證網(wǎng)絡服務中的安全要求是否被滿足 。介質(zhì)處置A.10.7.1可移動介質(zhì)的管理訪問信息安全管理機構(gòu) 、IT 等相關(guān)部門 ，驗證對可移動

10、介質(zhì)的管理是否滿足安全要求 。A.10.7.2介質(zhì)的處置訪問信息安全管理機構(gòu) 、IT 等相關(guān)部門 ，驗證對介質(zhì)的處置是否滿足安全要求 。A.10.7.3信息處理規(guī)程查閱、驗證信息處理規(guī)程 。A.10.7.4系統(tǒng)文件安全查閱、驗證保護系統(tǒng)文件安全的控制措施 。信息的交換A.10.8.1信息交換策略和規(guī)程查閱、驗證組織的信息交換策略和規(guī)程等相關(guān)文件。A.10.8.2交換協(xié)議訪問信息安全管理機構(gòu) ，查閱信息和軟件交換協(xié)議 。A.10.8.3運輸中的物理介質(zhì)詢問、驗證組織對運輸中的物理介質(zhì)的保護措施。A.10.8.4電子消息發(fā)送詢問、驗證對電子郵件等信息發(fā)送的安全保護措施A.10.8.5業(yè)務信息系統(tǒng)詢

11、問、驗證對業(yè)務信息系統(tǒng)的安全保護措施 。電子商務服務A.10.9.1電子商務詢問、驗證組織電子商務中的安全保護措施。A.10.9.2在線交易詢問、驗證組織在線交易中的安全保護措施。A.10.9.3公共可用信息詢問、驗證組織公共信息的安全保護措施 。監(jiān)視A.10.10.1審計記錄查閱重要系統(tǒng)的日志信息 。A.10.10.2監(jiān)視系統(tǒng)的使用檢查、 驗證監(jiān)視系統(tǒng)的有效性 。 查閱監(jiān)視系統(tǒng)日志等。.專業(yè)學習資料.日志信息的保護管理員和操作員日志故障日志時鐘同步A.11 訪問控制訪問控制的業(yè)務要求訪問控制策略用戶訪問管理用戶注冊特殊權(quán)限管理用戶口令管理用戶訪問權(quán)的復查用戶職責口令使用無人值守的用戶設備清空

12、桌面和屏幕策略網(wǎng)絡訪問控制使用網(wǎng)絡服務的策略外部連接的用戶鑒別網(wǎng)絡上的設備標識遠程診斷和配置端口的保護網(wǎng)絡隔離詢問、驗證日志信息的包括措施。查閱、驗證管理員和操作員日志。查閱、驗證系統(tǒng)的故障日志 。檢查、驗證時鐘同步措施 。查閱訪問控制策略等相關(guān)文件。查閱用戶注冊 、注銷的流程等相關(guān)文件 。詢問、驗證超級用戶等特殊權(quán)限的管理控制措施。檢查、驗證用戶口令的管理控制措施。查閱用戶訪問權(quán)的復查 、評審記錄 。檢查驗證用戶口令使用情況。詢問、驗證無人值守的用戶設備的安全措施情況。檢查、驗證清空桌面和屏幕策略執(zhí)行情況。查閱、驗證使用網(wǎng)絡服務的策略和執(zhí)行情況。檢查、驗證對外部連接的用戶鑒別措施。檢查網(wǎng)絡上

13、的設備標識 。檢查、驗證對網(wǎng)絡設備上的遠程診斷和配置端口的保護措施 。檢查、驗證網(wǎng)絡間服務 、用戶等的隔離措施 ，如劃分.專業(yè)學習資料.子網(wǎng)等。A.11.4.6網(wǎng)絡連接控制檢查、驗證網(wǎng)絡連接控制措施 。A.11.4.7網(wǎng)絡路由控制檢查、驗證網(wǎng)絡路由控制措施 。A.11.5操作系統(tǒng)訪問控制A.11.5.1安全登錄程序檢查、驗證操作系統(tǒng)的安全登錄控制 。A.11.5.2用戶標識和鑒別檢查、驗證操作系統(tǒng)中的用戶管理 。A.11.5.3口令管理系統(tǒng)檢查、驗證操作系統(tǒng)的口令管理系統(tǒng)A.11.5.4系統(tǒng)實用工具的使用詢問、驗證對系統(tǒng)食用工具的使用情況A.11.5.5會話超時檢查、驗證會話超時的設置 。A.

14、11.5.6聯(lián)機時間的限制檢查、驗證聯(lián)機時間的限制措施 。A.11.6應用和信息訪問控制A.11.6.1 信息訪問限制檢查、驗證用戶和支持人員對信息訪問限制措施的有效性A.11.6.2 敏感系統(tǒng)隔離詢問、驗證是否對不同安全要求的網(wǎng)絡實行了物理隔離A.11.7 移動計算機和遠程工作A.11.7.1 移動計算和通信詢問、驗證移動計算和通信的安全措施A.11.7.2 遠程工作A.12 信息系統(tǒng)獲取 、開發(fā)和維護A.12.1 信息系統(tǒng)的安全需求A.12.1.1安全要求分析和說明查閱系統(tǒng)開發(fā)中安全需求分析和說明等相關(guān)文件A.12.2應用中的正確處理A.12.2.1輸入數(shù)據(jù)的驗證詢問是否有輸入數(shù)據(jù)的驗證

15、，查閱驗證記錄等.專業(yè)學習資料.A.12.2.2內(nèi)部處理的控制詢問是否有內(nèi)部處理的控制 ，查閱驗證記錄等 。A.12.2.3消息完整性詢問是否有消息完整性的驗證 ，查閱驗證記錄等 。A.12.2.4輸出數(shù)據(jù)的驗證詢問是否有輸出數(shù)據(jù)的驗證 ，查閱驗證記錄等 。A.12.3密碼控制A.12.3.1使用密碼控制的策略詢問信息安全管理機構(gòu) 、IT 等相關(guān)部門 ，是否使用密碼控制。A.12.3.2密鑰管理詢問、驗證密鑰管理的措施 。A.12.4系統(tǒng)文件安全A.12.4.1運行軟件的控制詢問、驗證對運行軟件的控制措施 。A.12.4.2系統(tǒng)測試數(shù)據(jù)的保護詢問對系統(tǒng)測試數(shù)據(jù)的包括措施 。A.12.4.3對程

16、序源代碼的訪問控制詢問、驗證對程序源代碼的訪問控制措施 。A.12.5開發(fā)過程和支持過程的安全A.12.5.1變更控制規(guī)程查閱變更控制等相關(guān)文件 。A.12.5.2操作系統(tǒng)變更后應用的技查閱操作系統(tǒng)變更后對應用的技術(shù)評審記錄 。術(shù)評審A.12.5.3軟件包變更的限制詢問對軟件包變更的限制措施 。A.12.5.4信息泄露詢問防止信息泄露的措施 。A.12.5.5外包軟件開發(fā)詢問、驗證對外包軟件開發(fā)的控制措施 。A.12.6技術(shù)脆弱性管理A.12.6.1技術(shù)脆弱性的控制檢查、驗證技術(shù)脆弱性的控制措施 。 是否更新軟件補丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。A.13 信息安全事故管理.專業(yè)

17、學習資料.A.13.1 報告信息安全事件和事故A.13.1.1報告信息安全事件查閱信息安全事件報告記錄 。A.13.1.2報告安全弱點查閱安全弱點報告記錄信息安全事故和改進的管理A.13.2.1職責和程序查閱信息安全事件管理程序等相關(guān)文件 。A.13.2.2 對信息安全事故的總結(jié)查閱信息安全事件學習和總結(jié)記錄A.13.2.3證據(jù)的收集詢問、驗證事件處理過程中的證據(jù)收集的措施 。A.14 業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理的信息安全方面業(yè)務連續(xù)性管理過程中包查閱業(yè)務連續(xù)性管理等相關(guān)文件。含的信息安全A.14.1.2業(yè)務連續(xù)性和風險評估詢問、驗證組織是否實施了業(yè)務中斷的風險評估，包括中斷的事件 、發(fā)生的

18、概率和影響等 。A.14.1.3制定和實施包含信息安全查閱業(yè)務連續(xù)性計劃等相關(guān)文件 。的連續(xù)性計劃A.14.1.4業(yè)務連續(xù)性計劃框架查閱業(yè)務連續(xù)性計劃等相關(guān)文件 。A.14.1.5測試、保持和再評估業(yè)務檢查、驗證組織對業(yè)務連續(xù)性計劃的測試、保持，查連續(xù)性計劃閱測試記錄等 。A.15 符合性A.15.1 符合法律要求A.15.1.1 可用法律的識別查閱組織識別的適用的信息安全法律法規(guī)。A.15.1.2知識產(chǎn)權(quán) （ IPR）詢問、驗證組織知識產(chǎn)權(quán)保護措施 。A.15.1.3保護組織的記錄詢問、查閱組織對相關(guān)記錄的保護措施 。.專業(yè)學習資料.A.15.1.4數(shù)據(jù)保護和個人信息的詢問組織對數(shù)據(jù)和個人隱私的包括措施