信息安全控制措施测量程序..docVIP

信息安全控制措施测量程序 1 目的 为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序，测量控制措施的有效性，制定本文件。 2 适用范围 本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。 3 参考文件 ISO/IEC27001:2005 信息安全管理体系要求 ISO/IEC27002:2005 信息安全管理实用规则 4 职责和权限 信息安全领导办公室负责本文件的建立和评审。 内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。 5 相关活动 5.1 信息安全控制措施测量方法 针对不同的控制措施，采用两类测量方法：观察验证和系统测试。 5.1.1 观察验证 用于组织类控制措施的有效性测量，包括查验记录、访谈、观察和物理检查等； 5.1.2 系统测试 用于技术类控制措施的有效性测量，包括上机操作，或者通过使用专门的系统工具等。 5.2 信息安全控制措施测量流程 信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划； 根据测量计划，由内审小组和资讯部区分不同类型的控制措施，选择测量方法，编制详细的检查表； 针对系统测试方法，准备相应的系统工具； 按计划实施测量； 形成控制措施有效性测量报告（可以包含在内部审核报告中）。 6 相关文件和记录 信息安全控制措施检查表 信息安全控制措施测量方法参