信息安全控制措施测量方法表..docVIP

信息安全控制措施测量方法表 控制措施 测量方法 A.5 安全方针 A.5.1 信息安全方针 A.5.1.1信息安全方针文件 审核 ISMS方针文件 访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。 A.5.1.2信息安全方针的评审 查阅 ISMS方针文件的评审和修订记录。 A.6 信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全的管理承诺 结合5.1管理承诺，访问管理者（或管理者代表），判断其对信息安全的承诺和支持是否到位。 A.6.1.2 信息安全协调 访问组织的信息安全管理机构，包括其职责。 A.6.1.3 信息安全职责的分配 查阅信息安全职责分配或描述等方面的文件。 A.6.1.4 信息处理设施的授权过程 访问IT等相关部门，了解组织对新信息处理设施的管理流程。 A.6.1.5 保密性协议 查阅组织与员工、 外部相关方等签署的保密性或不泄露协议。 A.6.1.6 与政府部门的联系 访问信息安全管理机构， 询问与相关政府部门的联络情况。 A.6.1.7 与特定利益集团的联系 访问信息安全管理机构，询问与相关信息安全专家、专业协会、学会等联络情况。 A.6.1.8 信息安全的独立评审 通过对内部审核、管理评审、第三方认证审核等的审核，验证组织信息安全独立评审情况。