有效性測量實施計劃

有效性測量實施計劃一、目的本文件主要目的是實施的信息安全控制措施測量的職責、方法和程序，測量控制措施的有效性，為公司領(lǐng)導的工作安排和決策提供參考。二、適用范圍本文件適用于公司管理體系運行中所涉及的部門、業(yè)務和人員。三、職責和權(quán)限信息安全小組負責本文件的建立和評審。內(nèi)部審核小組等相關(guān)部門和人員按照本文件的要求執(zhí)行。四、測量方法4.1針對不同的內(nèi)容，采用兩類測量方法：觀察驗證和系統(tǒng)工具檢測。4.2測量流程根據(jù)測量計劃，由內(nèi)審小組區(qū)分不同類型的控制措施，選擇測量方法，編制詳細的測量檢查表。五、有效性測量周期一般情況有效性測量每半年進行一次。當實際需要時可以臨時進行有效性測量。六、有效性測量結(jié)果匯報與審批軟件部應將有效性測量結(jié)果匯報給管理者代表進行審核，由最高管理者進行審批。附表1控制措施測量方法A.5安全方針A.5.1信息安全方針A.5.1.1信息安全方針文件審核ISMS方針文件訪問管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對ISMS方針和目標的理解和貫徹狀況。A.5.1.2信息安全方針的評審查閱ISMS方針文件的評審和修訂記錄。A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責查閱信息安全職責分配或描述等方面的文件。A.6.1.2責任分割訪問組織的信息安全管理機構(gòu)，包括其職責。A.6.1.3與政府部門的聯(lián)系訪問信息安全管理機構(gòu)，詢問與相關(guān)信息安全專家、專業(yè)協(xié)會、學會等聯(lián)絡(luò)情況。A.6.1.4與特定相關(guān)方的聯(lián)系訪問信息安全管理機構(gòu)，詢問與相關(guān)政府部門的聯(lián)絡(luò)情況。A.6.1.5項目管理中的信息安全查閱風險評估A.6.2移動設(shè)備和遠程工作A.6.2.1移動設(shè)備策略查閱相關(guān)管理程序A.6.2.2遠程工作訪問遠程工作日至處理或存儲的信息A.7人力資源安全A.7.1任用前A.7.1.1審查審核組織的人力資源要求A.7.1.2任用條款及條件查看相關(guān)用工合同A.7.2任用中A.7.2.1管理職責訪問管理者（或管理者代表），驗證對員工提出的信息安全方面的要求。A.7.2.2信息安全意識、教育和培訓查閱培訓計劃和培訓記錄。A.7.2.3紀律處理過程訪問組織信息安全管理機構(gòu)、人力資源等相關(guān)部門，以及查閱信息安全獎懲制度。A.7.3任用的終止或變化A.7.3.1任用職責的終止或變更訪問組織信息安全管理機構(gòu)，了解和驗證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。A.8資產(chǎn)管理A.8.1資產(chǎn)職責A.8.1.1資產(chǎn)清單審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.8.1.2資產(chǎn)責任主體A.8.1.3資產(chǎn)的可接受使用訪問組織信息安全管理機構(gòu)或IT相關(guān)部門，了解對信息資產(chǎn)使用的控制。A.8.1.4資產(chǎn)歸還查閱歸還清單A.8.2信息分級A.8.2.1信息的分級訪問組織信息安全管理機構(gòu)或IT相關(guān)部門，了解組織信息資產(chǎn)的分類和標識情況，并在各部門進行驗證。A.8.2.2信息的標記A.8.2.3資產(chǎn)的處理A.8.3介質(zhì)處理A.8.3.1移動介質(zhì)的管理訪問信息安全管理機構(gòu)、IT等相關(guān)部門，驗證對可移動介質(zhì)的管理是否滿足安全要求。A.8.3.2介質(zhì)的處置訪問信息安全管理機構(gòu)、IT等相關(guān)部門，驗證對介質(zhì)的處置是否滿足安全要求。A.8.3.3物理介質(zhì)的轉(zhuǎn)移查閱相關(guān)記錄A.9訪問控制A.9.1訪問控制的業(yè)務要求A.9.1.1訪問控制策略查閱訪問控制策略等相關(guān)文件。A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務的訪問查閱訪問服務記錄A.9.2用戶訪問管理A.9.2.1用戶注冊和注銷查閱用戶注冊、注銷的流程等相關(guān)文件。A.9.2.2用戶訪問配置檢查、驗證用戶口令的管理控制措施。A.9.2.3特殊訪問權(quán)限管理詢問、驗證超級用戶等特殊權(quán)限的管理控制措施。A.9.2.4用戶的秘密鑒別信息管理查閱秘密鑒別信息記錄。A.9.2.5用戶訪問權(quán)限的復查查閱用戶訪問權(quán)的復查、評審記錄。A.9.2.6訪問權(quán)限的移除或調(diào)整查詢員工和外部用戶對信息和信息處理設(shè)施訪問記錄A.9.3用戶職責A.9.3.1秘密鑒別信息的使用檢查驗證用戶口令使用情況。A.9.4系統(tǒng)和應用訪問控制A.9.4.1信息訪問限制檢查、驗證操作系統(tǒng)的訪問登錄控制A.9.4.2安全登錄規(guī)程檢查、驗證操作系統(tǒng)的安全登錄控制。A.9.4.3口令管理系統(tǒng)檢查、驗證操作系統(tǒng)的口令管理系統(tǒng)A.9.4.4特權(quán)實用程序的使用查閱應用控制措施A.9.4.5程序源代碼的訪問控制檢查、驗程序源代碼的訪問記錄A.10.密碼A.10.1密碼控制A.10.1.1使用密碼控制的策略詢問信息安全管理機構(gòu)、IT等相關(guān)部門，是否使用密碼控制。A.10.1.2密鑰管理詢問、驗證密鑰管理的措施。A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全邊界結(jié)合ISMS范圍文件，訪問相關(guān)部門，了解組織的物理邊界控制，出入口控制，辦公室防護等措施和執(zhí)行情況。如調(diào)閱監(jiān)控錄像資料等。A.11.1.2物理入口控制A.11.1.3辦公室、房間和設(shè)施的安全保護A.11.1.4外部和環(huán)境威脅的安全防護詢問、驗證組織防止火災、洪水、地震、爆炸和其他形式的災害的防范情況。A.11.1.5在安全區(qū)域工作詢問、驗證組織安全區(qū)域內(nèi)的物理防護。A.11.1.6交接區(qū)詢問、驗證組織公共訪問、交接區(qū)內(nèi)的防護措施A.11.2設(shè)備A.11.2.1設(shè)備安置和保護詢問、驗證組織設(shè)備安置和保護措施。查閱機房管理規(guī)定等相關(guān)文件。A.11.2.2支持性設(shè)施詢問、驗證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運行情況。查閱機房溫濕度記錄等。A.11.2.3布纜安全詢問IT等相關(guān)部門在布線方面是否符合相關(guān)國家標準，并驗證。A.11.2.4設(shè)備維護詢問、驗證組織設(shè)備維護情況，查閱設(shè)備維護記錄。A.11.2.5資產(chǎn)的移動詢問、驗證對資產(chǎn)的移動的安全防護措施。A.11.2.6組織場所外的設(shè)備與資產(chǎn)安全詢問、驗證組織對場所外的設(shè)備的安全保護措施。A.11.2.7設(shè)備的安全處置或再利用詢問、驗證電腦等設(shè)備報廢后的處理流程，是否滿足規(guī)定的要求。A.11.2.8無人值守的用戶設(shè)備查詢相關(guān)記錄A.11.2.9清空桌面和屏幕策略查看相關(guān)電腦A.12操作安全A.12.1操作規(guī)程和職責A.12.1.1文件化的操作規(guī)程查閱相關(guān)設(shè)備操作程序文件，操作記錄等。A.12.1.2變更管理查閱和驗證信息系統(tǒng)的變更控制。A.12.1.3容量管理查詢驗證容量管理記錄A.12.1.4開發(fā)、測試和運行環(huán)境的分離訪問IT、研發(fā)等部門，驗證開發(fā)、測試和運行設(shè)施的分離狀況。A.12.2惡意代碼防范A.12.2.1惡意代碼的控制檢查計算機病毒等惡意代碼防范軟件，及代碼庫的更新情況?？梢栽诒姸嚯娔X中抽查。查閱病毒等惡意代碼事件記錄。A.12.3備份A.12.3.1信息備份查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測試、驗證。A.12.4日志和監(jiān)視A.12.4.1事態(tài)日志查閱系統(tǒng)的事態(tài)日志信息。A.12.4.2日志信息的保護詢問、驗證日志信息的包括措施。A.12.4.3管理員和操作員日志查閱、驗證管理員和操作員日志。A.12.4.4時鐘同步檢查、驗證時鐘同步措施。A.12.5運行軟件控制A.12.5.1運行系統(tǒng)的軟件安裝檢查運行系統(tǒng)軟件安裝控制規(guī)程A.12.6技術(shù)脆弱性管理A.12.6.1技術(shù)脆弱性的管理檢查、驗證技術(shù)脆弱性的控制措施。是否更新軟件補丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。A.12.6.2軟件安裝限制查看用戶安裝軟件的規(guī)則A.12.7信息系統(tǒng)審計的考慮A.12.7.1信息系統(tǒng)審計的控制詢問、驗證組織對信息系統(tǒng)審計的控制措施情況A.13通信安全A.13.1網(wǎng)絡(luò)安全管理A.13.1.1網(wǎng)絡(luò)控制詢問控制網(wǎng)絡(luò)以保護系統(tǒng)A.13.1.2網(wǎng)絡(luò)服務的安全查看網(wǎng)絡(luò)協(xié)議A.13.1.3網(wǎng)絡(luò)隔離查閱隔離信息服務、用戶及信息系統(tǒng)A.13.2信息傳輸A.13.2.1信息傳輸策略和規(guī)程查閱傳輸策略、規(guī)程和控制措施A.13.2.2信息傳輸協(xié)議查看傳輸協(xié)議A.13.2.3電子消息發(fā)送查閱傳輸策略、規(guī)程和控制措施A.13.2.4保密或不泄露協(xié)議查看保密協(xié)議A.14系統(tǒng)獲取、開發(fā)和維護A.14.1信息系統(tǒng)的安全要求A.14.1.1信息安全要求分析和說明查看信息系統(tǒng)的要求中應包括信息安全相關(guān)要求A.14.1.2公共網(wǎng)絡(luò)上應用服務的安全保護查閱公共網(wǎng)絡(luò)上的應用服務A.14.2開發(fā)和支持過程中的安全A.14.2.1安全的開發(fā)策略A.14.2.2系統(tǒng)變更控制規(guī)程查閱變更控制等相關(guān)文件。A.14.2.3運行平臺變更后對應用的技術(shù)評審查閱操作運行平臺變更后對應用的技術(shù)評審記錄。A.14.2.4軟件包變更的限制詢問對軟件包變更的限制措施。A.14.2.5安全的系統(tǒng)工程原則查閱軟件和系統(tǒng)開發(fā)規(guī)則A.14.2.6安全的開發(fā)環(huán)境查詢安全開發(fā)環(huán)境A.14.2.8系統(tǒng)安全測試進行安全測試A.14.2.9系統(tǒng)驗收測試查詢驗收測試方案和相關(guān)準則A.14.3測試數(shù)據(jù)A.14.3.1測試數(shù)據(jù)的保護A.15供應商關(guān)系A(chǔ).15.1供應商關(guān)系中的信息安全A.15.1.1供應商關(guān)系的信息安全策略查看與供應商信息安全要求A.15.1.2在供應商協(xié)議中解決安全查看供應商相關(guān)的信息安全要求A.15.1.3信息與通信技術(shù)供應鏈查詢供應鏈相關(guān)的信息安全風險處理要求A.15.2供應商服務交付管理A.15.2.1供應商服務的監(jiān)視和評審查看供應商服務交付記錄A.15.2.2供應商服務的變更管理查閱和驗證信息系統(tǒng)的變更控制。A.16信息安全事件管理A.16.1信息安全事件的管理和改進A.16.1.1職責和規(guī)程查閱信息安全事件管理程序等相關(guān)文件。A.16.1.2報告信息安全事態(tài)查閱信息安全事件報告記錄A.16.1.3報告信息安全弱點查閱安全弱點報告記錄A.16.1.4信息安全事態(tài)的評估和決策查看信息安全事態(tài)評估記錄A.16.1.5信息安全事件的響應查看響應信息安全事件規(guī)程A.16.1.6從信息安全事件中學習查閱信息安全事件學習和總結(jié)記錄A.16.1.7證據(jù)的收集詢問、驗證事件處理過程中的證據(jù)收集的措施。A.17業(yè)務連續(xù)性管理的信息安全方面A.17.1信息安全的連續(xù)性A.17.1.1規(guī)劃信息安全連續(xù)性查閱連續(xù)性管理等相關(guān)文件。A.17.1.2實施信息安全連續(xù)性查閱連續(xù)性管理等相關(guān)文件。A.17.1.3驗證、評審和評價信息安全連續(xù)性檢查、驗證組織對業(yè)務連續(xù)性計劃的測試、保持，查閱測試記錄等。A.17.2冗余A.17.2.1信息處理設(shè)施的可用性查閱信息處理設(shè)施相關(guān)文件A.18符合性A.18.1符合法律和合同要求A.18.1.1可用的法律和合同要求的識別查閱組織識別的適用的信息安全法律法規(guī)。A.18.1.2知識產(chǎn)權(quán)詢問、驗證組織