返回
信息安全控制措施测量程序

信息安全控制措施测量程序

ID:37686089

大小:195.00 KB

页数:8页

时间:2019-05-28

信息安全控制措施测量程序_第1页
信息安全控制措施测量程序_第2页
信息安全控制措施测量程序_第3页
信息安全控制措施测量程序_第4页
信息安全控制措施测量程序_第5页
资源描述:

《信息安全控制措施测量程序》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全控制措施测量程序1目的为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序,测量控制措施的有效性,制定本文件。2适用范围本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。3参考文件ISO/IEC27001:2005信息安全管理体系要求ISO/IEC27002:2005信息安全管理实用规则4职责和权限信息安全领导办公室负责本文件的建立和评审。内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。5相关活动5.1信息安全控制措施测量方法针对不同的控制措施,采用两类测量方法:观察验证和系统测试。5.1.1观察验证用于组织

2、类控制措施的有效性测量,包括查验记录、访谈、观察和物理检查等;5.1.2系统测试用于技术类控制措施的有效性测量,包括上机操作,或者通过使用专门的系统工具等。5.2信息安全控制措施测量流程信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划;根据测量计划,由内审小组和资讯部区分不同类型的控制措施,选择测量方法,编制详细的检查表;针对系统测试方法,准备相应的系统工具;按计划实施测量;形成控制措施有效性测量报告(可以包含在内部审核报告中)。6相关文件和记录信息安全控制措施检查表信息安全控制措施测量方法参考表信息安全控制措施检查表信息安全控制措施测量方法参考表

3、控制措施测量方法A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件审核ISMS方针文件访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。A.5.1.2信息安全方针的评审查阅ISMS方针文件的评审和修订记录。A.6信息安全组织A.6.1内部组织A.6.1.1信息安全的管理承诺结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。A.6.1.2信息安全协调访问组织的信息安全管理机构,包括其职责。A.6.1.3信息安全职责的分配查阅信息安全职责分配或描述等方面的文件

4、。A.6.1.4信息处理设施的授权过程访问IT等相关部门,了解组织对新信息处理设施的管理流程。A.6.1.5保密性协议查阅组织与员工、外部相关方等签署的保密性或不泄露协议。A.6.1.6与政府部门的联系访问信息安全管理机构,询问与相关政府部门的联络情况。A.6.1.7与特定利益集团的联系访问信息安全管理机构,询问与相关信息安全专家、专业协会、学会等联络情况。A.6.1.8信息安全的独立评审通过对内部审核、管理评审、第三方认证审核等的审核,验证组织信息安全独立评审情况。A.6.2外部各方A.6.2.1与外部各方相关风险的识别访问组织信息安全管理机构或IT相关部门

5、,了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。A.6.2.2处理与顾客有关的安全问题访问组织信息安全管理机构或IT相关部门,了解对顾客访问组织的信息和信息处理设施的风险和控制状况。A.6.2.3处理第三方协议中的安全问题访问组织信息安全管理机构或IT相关部门,了解第三方协议中的安全要求的满足情况。A.7资产管理A.7.1对资产负责A.7.1.1资产清单审核组织的信息资产清单和关键信息资产清单A.7.1.2资产责任人A.7.1.3资产的允许使用访问组织信息安全管理机构或IT相关部门,了解对信息资产使用的控制。A.7.2信息分类A.7.2.1分类指

6、南访问组织信息安全管理机构或IT相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。A.7.2.2信息标记和处理A.8人力资源安全A.8.1任用之前A.8.1.1角色和职责审核信息安全角色和职责的分配和描述等相关文件A.8.1.2审查访问人力资源等相关部门,验证人员任用前的审查工作。A.8.1.3任用条款和条件查阅任用合同中的信息安全相关的任用条款A.8.2任用中A.8.2.1管理职责访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。A.8.2.2信息安全意识、教育和培训查阅培训计划和培训记录。A.8.2.3纪律处理过程访问组织信息安

7、全管理机构、人力资源等相关部门,以及查阅信息安全奖惩制度。A.8.3任用的终止或变化A.8.3.1终止职责访问组织信息安全管理机构,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。A.8.3.2资产的归还访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。A.8.3.3撤销访问权访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对系统和网络的访问权的处置情况。A.9物理和环境安全A.9.1安全区域A.9.1.1物理安全边界结合ISMS范围文件,访问相关部门,了解组织的物理边界控制,出

8、入口控制,办公室防护等措施和执行情况。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。