《信息安全控制措施測量方法表.doc》由會員分享，可在線閱讀，更多相關《信息安全控制措施測量方法表.doc（9頁珍藏版）》請在裝配圖網上搜索。

信息安全控制措施測量方法表 控制措施 測量方法 A.5 安全方針 A.5.1 信息安全方針 A.5.1.1信息安全方針文件 審核 ISMS方針文件 訪問管理者（或管理者代表）、員工、或相關方人員（如必要），了解他們對ISMS方針和目標的理解和貫徹狀況。 A.5.1.2信息安全方針的評審 查閱 ISMS方針文件的評審和修訂記錄。 A.6 信息安全組織 A.6.1 內部組織 A.6.1.1 信息安全的管理承諾 結合5.1管理承諾，訪問管理者（或管理者代表），判斷其對信息安全的承諾和支持是否到位。 A.6.1.2 信息安全協(xié)調 訪問組織的信息安全管理機構，包括其職責。 A.6.1.3 信息安全職責的分配 查閱信息安全職責分配或描述等方面的文件。 A.6.1.4 信息處理設施的授權過程 訪問IT等相關部門，了解組織對新信息處理設施的管理流程。 A.6.1.5 保密性協(xié)議 查閱組織與員工、 外部相關方等簽署的保密性或不泄露協(xié)議。 A.6.1.6 與政府部門的聯(lián)系 訪問信息安全管理機構， 詢問與相關政府部門的聯(lián)絡情況。 A.6.1.7 與特定利益集團的聯(lián)系 訪問信息安全管理機構，詢問與相關信息安全專家、專業(yè)協(xié)會、學會等聯(lián)絡情況。 A.6.1.8 信息安全的獨立評審 通過對內部審核、管理評審、第三方認證審核等的審核，驗證組織信息安全獨立評審情況。 A.6.2外部各方 A.6.2.1與外部各方相關風險的識別 訪問組織信息安全管理機構或IT相關部門，了解對外部各方訪問組織的信息和信息處理設施的風險和控制狀況。 A.6.2.2處理與顧客有關的安全問題 訪問組織信息安全管理機構或IT相關部門，了解對顧客訪問組織的信息和信息處理設施的風險和控制狀況。 A.6.2.3 處理第三方協(xié)議中的安全問題 訪問組織信息安全管理機構或 IT相關部門，了解第三方協(xié)議中的安全要求的滿足情況。 A.7資產管理 A.7.1對資產負責 A.7.1.1 資產清單 審核組織的信息資產清單和關鍵信息資產清單 A.7.1.2 資產責任人 A.7.1.3資產的允許使用 訪問組織信息安全管理機構或 IT相關部門，了解對信息資產使用的控制。 A.7.2信息分類 A.7.2.1 分類指南 訪問組織信息安全管理機構或 IT相關部門，了解組織信息資產的分類和標識情況，并在各部門進行驗證。 A.7.2.2 信息標記和處理 A.8人力資源安全 A.8.1任用之前 A.8.1.1 角色和職責 審核信息安全角色和職責的分配和描述等相關文件 A.8.1.2 審查 訪問人力資源等相關部門， 驗證人員任用前的審查工作。 A.8.1.3 任用條款和條件 查閱任用合同中的信息安全相關的任用條款 A.8.2 任用中 A.8.2.1 管理職責 訪問管理者（或管理者代表），驗證對員工提出的信息安全方面的要求。 A.8.2.2 信息安全意識、教育和培訓 查閱培訓計劃和培訓記錄。 A.8.2.3 紀律處理過程 訪問組織信息安全管理機構、人力資源等相關部門，以及查閱信息安全獎懲制度。 A.8.3 任用的終止或變化 A.8.3.1 終止職責 訪問組織信息安全管理機構， 了解和驗證組織的員工和第三方人員等在任用結束后的信息安全要求。 A.8.3.2 資產的歸還 訪問組織IT等相關部門，了解和驗證組織的員工和第三方人員等在任用結束后，對領用資產的歸還情況。 A.8.3.3 撤銷訪問權 訪問組織 IT等相關部門，了解和驗證組織的員工和第三方人員等在任用結束后， 對系統(tǒng)和網絡的訪問權的處置情況。 A.9物理和環(huán)境安全 A.9.1安全區(qū)域 A.9.1.1物理安全邊界 結合ISMS范圍文件，訪問相關部門，了解組織的物理邊界控制，出入口控制，辦公室防護等措施和執(zhí)行情況。如調閱監(jiān)控錄像資料等。 A.9.1.2物理入口控制 A.9.1.3辦公室、房間和設備的安全保護 A.9.1.4外部和環(huán)境威脅的安全防護 詢問、驗證組織防止火災、洪水、地震、爆炸和其他形式的災害的防范情況。 A.9.1.5 在安全區(qū)域工作 詢問、驗證組織安全區(qū)域內的物理防護。 A.9.1.6 公共訪問、交接區(qū)安全 詢問、驗證組織公共訪問、交接區(qū)內的防護措施 A.9.2設備安全 A.9.2.1 設備安置和保護 詢問、驗證組織設備安置和保護措施。查閱機房管理規(guī)定等相關文件。 A.9.2.2 支持性設施 詢問、驗證組織支持性設施（例如供水、供電、溫度調節(jié)等）的運行情況。查閱機房溫濕度記錄等。 A.9.2.3 布纜安全 詢問IT等相關部門在布線方面是否符合相關國家標準，并驗證。 A.9.2.4 設備維護 詢問、驗證組織設備維護情況，查閱設備維護記錄 A.9.2.5組織場所外的設備的安全 詢問、驗證組織對場所外的設備的安全保護措施。 A.9.2.6設備的安全處置或再利用 詢問、驗證電腦等設備報廢后的處理流程，是否滿足規(guī)定的要求。 A.9.2.7 資產的移動 詢問、驗證對資產的移動的安全防護措施。 A.10通信和操作管理 A.10.1操作規(guī)程和職責 A.10.1.1 文件化的操作規(guī)程 查閱相關設備操作程序文件，操作記錄等。 A.10.1.2 變更管理 查閱和驗證信息系統(tǒng)的變更控制。 A.10.1.3責任分割 訪問信息安全管理機構、IT等相關部門，驗證責任分割狀況。如重要服務器的登錄口令分2人保管等。 A.10.1.4開發(fā)、 測試和運行設施分離 訪問IT、研發(fā)等部門，驗證開發(fā)、測試和運行設施的分離狀況。 A.10.2第三方服務交付管理 A.10.2.1 服務交付 查閱第三方服務協(xié)議中的信息安全相關的要求和交付標準。 A.10.2.2 第三方服務的監(jiān)視和評審 查閱第三方服務的信息安全相關要求的監(jiān)視和評審記錄。 A.10.2.3第三方服務的變更管理 查閱第三方服務的信息安全要求的變更控制記錄。 A.10.3系統(tǒng)規(guī)劃和驗收 A.10.3.1 容量管理 查閱系統(tǒng)建設前的容量規(guī)劃記錄。 A.10.3.2 系統(tǒng)驗收 查閱系統(tǒng)建設完成時的驗收標準和驗收記錄。 A.10.4 防范惡意和移動代碼 A.10.4.1 控制惡意代碼 檢查計算機病毒等惡意代碼防范軟件， 及代碼庫的更新情況。可以在眾多電腦中抽查。查閱病毒等惡意代碼事件記錄。 A.10.4.2 控制移動代碼 詢問、驗證移動代碼控制措施的情況。 A.10.5備份 A.10.5.1 信息備份 查閱備份策略等相關文件。抽查備份介質，并要求測試、驗證。 A.10.6 網絡安全管理 A.10.6.1 網絡控制 訪問IT等相關部門，驗證網絡控制措施情況。 A.10.6.2 網絡服務的安全 查閱網絡服務協(xié)議等相關文件， 驗證網絡服務中的安全要求是否被滿足。 A.10.7 介質處置 A.10.7.1 可移動介質的管理 訪問信息安全管理機構、IT等相關部門，驗證對可移動介質的管理是否滿足安全要求。 A.10.7.2 介質的處置 訪問信息安全管理機構、IT等相關部門，驗證對介質的處置是否滿足安全要求。 A.10.7.3 信息處理規(guī)程 查閱、驗證信息處理規(guī)程。 A.10.7.4 系統(tǒng)文件安全 查閱、驗證保護系統(tǒng)文件安全的控制措施。 A.10.8 信息的交換 A.10.8.1 信息交換策略和規(guī)程 查閱、驗證組織的信息交換策略和規(guī)程等相關文件。 A.10.8.2 交換協(xié)議 訪問信息安全管理機構，查閱信息和軟件交換協(xié)議。 A.10.8.3 運輸中的物理介質 詢問、驗證組織對運輸中的物理介質的保護措施。 A.10.8.4 電子消息發(fā)送 詢問、驗證對電子郵件等信息發(fā)送的安全保護措施 A.10.8.5 業(yè)務信息系統(tǒng) 詢問、驗證對業(yè)務信息系統(tǒng)的安全保護措施。 A.10.9 電子商務服務 A.10.9.1 電子商務 詢問、驗證組織電子商務中的安全保護措施。 A.10.9.2 在線交易 詢問、驗證組織在線交易中的安全保護措施。 A.10.9.3 公共可用信息 詢問、驗證組織公共信息的安全保護措施。 A.10.10監(jiān)視 A.10.10.1 審計記錄 查閱重要系統(tǒng)的日志信息。 A.10.10.2 監(jiān)視系統(tǒng)的使用 檢查、 驗證監(jiān)視系統(tǒng)的有效性。 查閱監(jiān)視系統(tǒng)日志等。 A.10.10.3 日志信息的保護 詢問、驗證日志信息的包括措施。 A.10.10.4 管理員和操作員日志 查閱、驗證管理員和操作員日志。 A.10.10.5 故障日志 查閱、驗證系統(tǒng)的故障日志。 A.10.10.6 時鐘同步 檢查、驗證時鐘同步措施。 A.11訪問控制 A.11.1 訪問控制的業(yè)務要求 A.11.1.1 訪問控制策略 查閱訪問控制策略等相關文件。 A.11.2 用戶訪問管理 A.11.2.1 用戶注冊 查閱用戶注冊、注銷的流程等相關文件。 A.11.2.2 特殊權限管理 詢問、驗證超級用戶等特殊權限的管理控制措施。 A.11.2.3 用戶口令管理 檢查、驗證用戶口令的管理控制措施。 A.11.2.4 用戶訪問權的復查 查閱用戶訪問權的復查、評審記錄。 A.11.3用戶職責 A.11.3.1 口令使用 檢查驗證用戶口令使用情況。 A.11.3.2 無人值守的用戶設備 詢問、驗證無人值守的用戶設備的安全措施情況。 A.11.3.3 清空桌面和屏幕策略 檢查、驗證清空桌面和屏幕策略執(zhí)行情況。 A.11.4網絡訪問控制 A.11.4.1 使用網絡服務的策略 查閱、驗證使用網絡服務的策略和執(zhí)行情況。 A.11.4.2 外部連接的用戶鑒別 檢查、驗證對外部連接的用戶鑒別措施。 A.11.4.3 網絡上的設備標識 檢查網絡上的設備標識。 A.11.4.4 遠程診斷和配置端口的保護 檢查、 驗證對網絡設備上的遠程診斷和配置端口的保護措施。 A.11.4.5 網絡隔離 檢查、驗證網絡間服務、用戶等的隔離措施，如劃分子網等。 A.11.4.6 網絡連接控制 檢查、驗證網絡連接控制措施。 A.11.4.7 網絡路由控制 檢查、驗證網絡路由控制措施。 A.11.5 操作系統(tǒng)訪問控制 A.11.5.1 安全登錄程序 檢查、驗證操作系統(tǒng)的安全登錄控制。 A.11.5.2 用戶標識和鑒別 檢查、驗證操作系統(tǒng)中的用戶管理。 A.11.5.3 口令管理系統(tǒng) 檢查、驗證操作系統(tǒng)的口令管理系統(tǒng) A.11.5.4 系統(tǒng)實用工具的使用 詢問、驗證對系統(tǒng)食用工具的使用情況 A.11.5.5 會話超時 檢查、驗證會話超時的設置。 A.11.5.6 聯(lián)機時間的限制 檢查、驗證聯(lián)機時間的限制措施。 A.11.6 應用和信息訪問控制 A.11.6.1信息訪問限制 檢查、驗證用戶和支持人員對信息訪問限制措施的有效性 A.11.6.2敏感系統(tǒng)隔離 詢問、驗證是否對不同安全要求的網絡實行了物理隔離 A.11.7移動計算機和遠程工作 A.11.7.1移動計算和通信 詢問、驗證移動計算和通信的安全措施 A.11.7.2遠程工作 A.12信息系統(tǒng)獲取、開發(fā)和維護 A.12.1信息系統(tǒng)的安全需求 A.12.1.1 安全要求分析和說明 查閱系統(tǒng)開發(fā)中安全需求分析和說明等相關文件 A.12.2 應用中的正確處理 A.12.2.1 輸入數(shù)據(jù)的驗證 詢問是否有輸入數(shù)據(jù)的驗證，查閱驗證記錄等 A.12.2.2 內部處理的控制 詢問是否有內部處理的控制，查閱驗證記錄等。 A.12.2.3 消息完整性 詢問是否有消息完整性的驗證，查閱驗證記錄等。 A.12.2.4 輸出數(shù)據(jù)的驗證 詢問是否有輸出數(shù)據(jù)的驗證，查閱驗證記錄等。 A.12.3 密碼控制 A.12.3.1 使用密碼控制的策略 詢問信息安全管理機構、IT等相關部門，是否使用密碼控制。 A.12.3.2 密鑰管理 詢問、驗證密鑰管理的措施。 A.12.4 系統(tǒng)文件安全 A.12.4.1 運行軟件的控制 詢問、驗證對運行軟件的控制措施。 A.12.4.2 系統(tǒng)測試數(shù)據(jù)的保護 詢問對系統(tǒng)測試數(shù)據(jù)的包括措施。 A.12.4.3 對程序源代碼的訪問控制 詢問、驗證對程序源代碼的訪問控制措施。 A.12.5 開發(fā)過程和支持過程的安全 A.12.5.1 變更控制規(guī)程 查閱變更控制等相關文件。 A.12.5.2 操作系統(tǒng)變更后應用的技術評審 查閱操作系統(tǒng)變更后對應用的技術評審記錄。 A.12.5.3 軟件包變更的限制 詢問對軟件包變更的限制措施。 A.12.5.4 信息泄露 詢問防止信息泄露的措施。 A.12.5.5 外包軟件開發(fā) 詢問、驗證對外包軟件開發(fā)的控制措施。 A.12.6 技術脆弱性管理 A.12.6.1 技術脆弱性的控制 檢查、驗證技術脆弱性的控制措施。是否更新軟件補丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。 A.13信息安全事故管理 A.13.1報告信息安全事件和事故 A.13.1.1 報告信息安全事件 查閱信息安全事件報告記錄。 A.13.1.2 報告安全弱點 查閱安全弱點報告記錄 A.13.2 信息安全事故和改進的管理 A.13.2.1 職責和程序 查閱信息安全事件管理程序等相關文件。 A.13.2.2對信息安全事故的總結 查閱信息安全事件學習和總結記錄 A.13.2.3 證據(jù)的收集 詢問、驗證事件處理過程中的證據(jù)收集的措施。 A.14業(yè)務連續(xù)性管理 A.14.1業(yè)務連續(xù)性管理的信息安全方面 A.14.1.1 業(yè)務連續(xù)性管理過程中包含的信息安全 查閱業(yè)務連續(xù)性管理等相關文件。 A.14.1.2 業(yè)務連續(xù)性和風險評估 詢問、驗證組織是否實施了業(yè)務中斷的風險評估，包括中斷的事件、發(fā)生的概率和影響等。 A.14.1.3 制定和實施包含信息安全的連續(xù)性計劃 查閱業(yè)務連續(xù)性計劃等相關文件。 A.14.1.4 業(yè)務連續(xù)性計劃框架 查閱業(yè)務連續(xù)性計劃等相關文件。 A.14.1.5 測試、保持和再評估業(yè)務連續(xù)性計劃 檢查、驗證組織對業(yè)務連續(xù)性計劃的測試、保持，查閱測試記錄等。 A.15符合性 A.15.1符合法律要求 A.15.1.1可用法律的識別 查閱組織識別的適用的信息安全法律法規(guī)。 A.15.1.2 知識產權（IPR） 詢問、驗證組織知識產權保護措施。 A.15.1.3 保護組織的記錄 詢問、查閱組織對相關記錄的保護措施。 A.15.1.4 數(shù)據(jù)保護和個人信息的隱私 詢問組織對數(shù)據(jù)和個人隱私的包括措施。 A.15.1.5 防止濫用信息處理設施 檢查、驗證組織防止濫用信息處理設施的措施。 A.15.1.6 密碼控制措施的規(guī)則 詢問、驗證組織密碼控制措施情況。 A.15.2符合安全策略和標準，以及技術符合性 A.15.2.1 符合安全策略和標準 檢查、驗證員工遵守信息安全策略、規(guī)程等情況。 A.15.2.2 技術符合性檢查 詢問、驗證組織是否定期進行技術符合性檢查，查閱 檢查記錄等。 A.15.3 信息系統(tǒng)審核考慮 A.15.3.1 信息系統(tǒng)審計控制措施 詢問、驗證組織對信息系統(tǒng)審計的控制措施情況。 A.15.3.2 信息系統(tǒng)審計工具的保護 詢問、驗證組織對信息系統(tǒng)審計工具的保護措施。