ISO27000及等保管理要求三级控制点对照表Word文件下载.docx
《ISO27000及等保管理要求三级控制点对照表Word文件下载.docx》由会员分享,可在线阅读,更多相关《ISO27000及等保管理要求三级控制点对照表Word文件下载.docx(174页珍藏版)》请在冰点文库上搜索。
安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程,评审记录。
b)应对安全管理活动中的各类管理内容建立安全管理制度;
c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程;
d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
7.2.1.2 制定和发布(G3)
a)应指定或授权专门的部门或人员负责安全管理制度的制定;
a)应访谈安全主管,询问安全管理制度是否在信息安全领导小组或委员会的总体负责下统一制定,参与制定人员有哪些;
b)应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和评审方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定;
c)应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容;
d)应检查管理制度评审记录,查看是否有相关人员的评审意见;
e)应检查安全管理制度文档,查看是否注明适用和发布范围,是否有版本标识,是否有管理层的签字或盖章;
查看各项制度文档格式是否统一;
f)应检查安全管理制度的收发登记记录,查看收发是否符合规定程序和发布范围要求。
安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度,收发登记记录。
b)安全管理制度应具有统一的格式,并进行版本控制;
c)应组织相关人员对制定的安全管理制度进行论证和审定;
d)安全管理制度应通过正式、有效的方式发布;
e)安全管理制度应注明发布范围,并对收发文进行登记。
7.2.1.3 评审和修订(G3)
a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;
a)应访谈安全主管,询问是否定期对安全管理制度进行评审,由何部门/何人负责;
b)应访谈管理人员(负责定期评审、修订和日常维护的人员),询问定期对安全管理制度的评审、修订情况和日常维护情况,评审周期多长,评审、修订程序如何,维护措施如何;
c)应访谈管理人员(负责人员),询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行审定,对需要改进的制度是否进行修订;
d)应检查安全管理制度评审记录,查看记录日期与评审周期是否一致;
如果对制度做过修订,检查是否有修订版本的安全管理制度;
e)应检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时对安全管理制度进行审定的记录;
f)应检查是否具有需要定期修订的安全管理制度列表,查看列表是否注明评审周期;
g)应检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单。
A.5.1.2审查信息安全政策
信息安全政策应在规划期间内或有重大变更发生时加以审查,以确保其持续的适用性、适切性及有效性。
安全主管,管理人员,安全管理制度列表,评审记录,安全管理制度对应负责人或负责部门的清单。
b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
7.2.2 安全管理机构
7.2.2.1 岗位设置(G3)
a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
a)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任;
b)应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工作的职能部门);
机构内部门设置情况如何,是否明确各部门职责分工;
c)应访谈安全主管,询问是否设立安全管理各个方面的负责人,设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等重要岗位),是否明确各个岗位的职责分工;
d)应访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员,询问其岗位职责包括哪些内容;
e)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统等各个方面;
查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等各个岗位,各个岗位的职责范围是否清晰、明确;
查看文件是否明确各个岗位人员应具有的技能要求;
f)应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书;
g)应检查信息安全管理委员会职责文件,查看是否明确描述委员会的职责和其最高领导岗位的职责;
h)应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录(如会议记录/纪要和信息安全工作决策文档等)。
A.6信息安全组织
A.6.1.3信息安全职责的分派
安全主管,安全管理某方面的负责人,领导小组日常管理工作的负责人,系统管理员,网络管理员,安全员,部门、岗位职责文件,委任授权书,工作记录。
b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;
c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;
A.6.1.1管理阶层对信息安全的承诺
管理阶层应在组织内藉由清楚的指示、展现的承诺、明确的分派以及确认信息安全职责,积极地支持安全。
d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
A.6.1.2信息安全协调合作
信息安全活动应由组织内具有相关角色与工作功能之不同部门的代表协调合作。
7.2.2.2 人员配备(G3)
a)应配备一定数量的系统管理员、网络管理员、安全管理员等;
a)应访谈安全主管,询问各个安全管理岗位人员(按照岗位职责文件询问,包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员)配备情况,包括数量、专职还是兼职等;
b)应访谈安全主管,询问对哪些关键岗位实行定期轮岗,定期轮岗情况如何,轮岗周期多长,轮岗手续如何;
c)应检查人员配备要求管理文档,查看是否明确应配备哪些安全管理人员,是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员并明确应配备专职的安全员;
查看是否明确对哪些关键岗位(应有列表)实行定期轮岗并明确轮岗周期、轮岗手续等相关内容;
d)应检查管理人员名单,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员的信息,确认安全员是否是专职人员。
安全主管,人员配备要求管理文档,管理人员名单。
b)应配备专职安全管理员,不可兼任;
c)关键事务岗位应配备多人共同管理。
7.2.2.3 授权和审批(G3)
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
a)应访谈安全主管,询问其是否规定对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权;
询问是否定期审查、更新审批项目,审查周期多长;
b)应访谈关键活动的批准人,询问其对关键活动的审批范围包括哪些(如网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问,重要管理制度的制定和发布,人员的配备、培训,产品的采购,第三方人员的访问、管理,与合作单位的合作项目等),审批程序如何;
c)应检查授权管理文件,查看文件是否包含需审批事项列表,列表是否明确审批事项和双重审批事项、审批部门、批准人及审批程序等(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批,哪些关键活动应经过哪些部门双重审批等),文件是否说明应定期审查、更新需审批的项目和审查周期等;
d)应检查经双重审批的文档,查看是否具有双重批准人的签字和审批部门的盖章;
e)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致;
f)应检查审查记录,查看记录日期是否与审查周期一致;
g)应检查是否具有对不再适用的权限及时取消授权的记录。
安全主管,关键活动的批准人,授权管理文件,审批文档,审批记录,审查记录,消除授权记录。
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
A.6.1.4信息处理设施的授权过程
新信息处理设施的管理阶层授权过程应被界定与实施。
A.6.1.5保密协议
应鉴别与定期审查反映组织对信息保护需求的机密性或不可公开协议的各项要求。
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
d)应记录审批过程并保存审批文档。
7.2.2.4 沟通和合作(G3)
a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;
a)应访谈安全主管,询问是否建立与外单位(公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等),与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制,与外单位和其他部门有哪些合作内容,沟通、合作方式有哪些;
b)应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施,参加会议的部门和人员有哪些,会议结果如何;
信息安全领导小组或者安全管理委员会是否定期召开例会;
c)应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;
d)应访谈安全管理人员(从系统管理员和安全员等人员中抽查),询问其与外单位人员,与组织机构内其他部门人员,与内部各部门管理人员之间的沟通方式和主要沟通内容有哪些;
e)应检查部门间协调会议文件或会议记录,查看是否有会议内容、会议时间、参加人员和结果等的描述;
f)应检查安全工作会议文件或会议记录,查看是否有会议内容、会议时间、参加人员和会议结果等的描述;
g)应检查信息安全领导小组或者安全管理委员会定期例会会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述;
h)应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等,是否说明外联单位的联系人和联系方式等内容;
i)应检查是否具有安全顾问名单或者聘请安全顾问的证明文件,查看由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录,是否具有由安全顾问签字的相关建议。
安全主管,安全管理人员,会议文件,会议记录,外联单位说明文档,安全顾问名单。
b)应加强与兄弟单位、公安机关、电信公司的合作与沟通;
c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
A.6.2.3说明第三方契约的安全要求
凡涉及存取、处理、通讯或管理组织的信息或信息处理设施,或在信息处理设施上附加产品或服务者,应在与第三方之协议中涵盖所有相关的安全要求。
d)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
A.6.1.6与主管机关的联系
A.6.2.1鉴别与外部团体有关的风险
a)应与有关的主管机关维持适当联系。
B)组织营运过程中涉及外部团体的组织信息与信息处理设施之风险,应在核准外部团体存取前被加以鉴别,并实施适当的控制措施。
e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
A.6.1.7与特殊利害团体的联系
应与特殊利害团体或其它安全论坛专家及专业协会维持适当联系。
7.2.2.5 审核和检查(G3)
a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
a)应访谈安全主管,询问是否组织人员定期对信息系统进行安全检查,检查周期多长,是否定期分析、评审异常行为的审计记录;
b)应访谈安全员,询问安全检查包含哪些内容,检查人员有哪些,检查程序是否按照系统相关策略和要求进行,是否制定安全检查表格实施安全检查,检查结果如何,是否对检查结果进行通报,通报形式、范围如何;
c)应检查安全检查制度文档,查看文档是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,是否包括用户账号情况、系统漏洞情况、系统审计情况等;
d)应检查安全检查报告,查看报告日期与检查周期是否一致,报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述;
e)应检查安全检查过程记录,查看记录的检查程序与文件要求是否一致;
f)应检查审计分析报告,查看报告日期与检查周期是否一致,报告中是否有分析人员、异常问题和分析结果等的描述,是否对发现的问题提出相应的措施;
g)应检查是否具有安全检查表格。
A.6.1.8独立的信息安全审查
应在规划的期间内或发生安全实施上有重大变更时,独立审查组织管理信息安全的方案与其实施(例如:
信息安全的控制目标、控制措施、政策、过程及程序)。
安全主管,安全员,安全检查制度,安全检查报告,审计分析报告,安全检查过程记录,安全检查表格。
b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
A.6.2.2处理顾客事务的安全说明
在给予客户存取组织信息或资产前,所有已鉴别的安全要求应被提出说明
7.2.3 人员安全管理
7.2.3.1 人员录用(G3)
a)应指定或授权专门的部门或人员负责人员录用;
a)应访谈人事负责人,询问在人员录用时对人员条件有哪些要求,目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作;
b)应访谈人事工作人员,询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,录用后是否与其签署保密协议,是否对其说明工作职责;
c)应访谈人事负责人,询问对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全安全协议,是否定期对关键岗位人员进行信用审查,审查周期多长;
d)应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等;
e)应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等;
f)应检查技能考核文档或记录,查看是否记录考核内容和考核结果等;
g)应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容;
h)应检查岗位安全协议,查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容;
i)应检查信用审查记录,查看是否记录了审查内容和审查结果等,查看审查时间与审查周期是否一致。
A.8
人力资源安全
A.8.1.1角色与职责
A.8.2.1管理职责
聘雇人员、承包商及第三方使用者的安全角色与职责,应依照组织的信息安全政策加以界定与文件化。
管理阶层应要求聘雇人员、承包商及第三方使用者,依照组织已制定的政策与程序应用于安全事宜。
人事负责人,人事工作人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议,岗位安全协议,审查记录。
b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;
A.8.1.2筛选
应依照相关法律、法规及伦理,并兼顾营运要求之相称性、被存取信息的分类及所理解的风险,对所有聘雇之应征者、承包商及第三方使用者,进行背景查证核对
c)应签署保密协议;
A.8.1.3聘雇条款
身为契约义务的一方,聘雇人员、承包商及第三方使用者应同意并签署其聘雇契约的条款,该契约应陈述其与组织对信息安全的职责。
d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
7.2.3.2 人员离岗(G3)
a)应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;
a)应访谈安全主管,询问是否及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等;
b)应访谈人事工作人员,询问调离手续包括哪些,是否要求调离人员承诺相关保密义务后方可离开;
c)应检查人员离岗的管理文档,查看是否规定了调离手续和离岗要求等;
d)应检查是否具有交还身份证件和设备等的记录;
e)应检查保密承诺文档,查看是否有调离人员的签字。
A.8.3.1终止职责
执行聘雇终止或变更的职责应清楚的界定与指派。
安全主管,人事工作人员,人员离岗管理文档,保密承诺文档。
b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
A.8.3.2资产的归还
所有聘雇人员、承包商及第三方使用者在其聘雇、契约或协议终止时,应归还其拥有的所有组织资产。
c)应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
A.8.3.3存取权限的移除
所有聘雇人员、承包商及第三方使用者对信息与信息处理设施的存取权限,在其聘雇、契约或协议终止时,或因变更而调整时,均应予以移除。
7.2.3.3 人员考核(G3)
a)应定期对各个岗位的人员进行安全技能及安全认知的考核;
a)应访谈安全主管,询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核;
b)应访谈人事工作人员,询问对各个岗位人员的考核情况,考核周期多长,考核内容有哪些;
询问对人员的安全审查情况,审查人员是否包含所有岗位人员,审查内容有哪些(如操作行为、社会关系、社交活动等),是否全面;
c)应访谈人事工作人员,询问对违背安全策略和规定的人员有哪些惩戒措施;
d)应检查考核记录,查看记录的考核人员是否包括各个岗位的人员,考核内容是否包含安全知识、安全技能等;
查看记录日期与考核周期是否一致。
A.8.2.2信息安全认知、教育及训练
组织所有聘雇人员、相关的承包商及第三方使用者均应接受与其工作功能相关之适切认知训练,以及组织政策与程序定期更新的内容。
安全主管,人事工作人员,人员考核记录。
a)如果7.2.3.3.4b)被访谈人员表述审查内容包含社会关系、社交活动、操作行为等各个方面,则该项为肯定;
b)如果7.2.3.3.4c)被访谈人员表述与文件描述一致,则该项为肯定;
c)7.2.3.3.4a)-d)均为肯定,则信息系统符合本单元测评项要求。
b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;
c)应对考核结果进行记录并保存。
7.2.3.4 安全意识教育和培训(G3)
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
a)应访谈安全主管,询问是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训,以什么形式进行,效果如何;
b)应访谈安全员、系统管理员、网络管理员和数据库管理员,考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度;
c)应检查安全教育和培训计划文档,查看是否具有不同岗位的培训计划;
查看计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等;
d)应检查是否具有安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述;
查看记录与培训计划是否一致。
安全主管,安全员,系统管理员,网络管理员,数据库管理员,培训计划,培训记录。
a)如果7.2.3.4.4b)访谈人员能够表述清楚询问内容,且安全职责、惩戒措施和岗位操作规程表述与文件描述一致,则该项为肯定;
b)7.2.3.4.4a)-d)均为肯定,则信息系统符合本单元测评项要求。
b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
A.8.2.3惩罚过程
对违反安全的聘雇人员,应有正式的惩罚过程。
c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;
A.8.2.2
d)应对安全教育和培训的情况和结果进行记录并归档保存。
7.2.3.5 外部人员访问管理(G3)
a)应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案;
a)应访谈安全主管,询问对第三方人员(如向系统提供服务的系统软、硬件维护人员,业务合作伙伴、评估人员等)的访问采取哪些管理措施,是否要求第三方人员访问前与机构签署安全责任合同书或保密协议;
b)应访谈安全管理人员,询问对第三方人员访问重要区域(如访问主机房、重要服
升级会员 