信息安全控制措施测量方法表.doc

信息安全控制措施测量方法表 控制措施 测量方法 A.5 安全方针 A.5.1 信息安全方针 A.5.1.1信息安全方针文件 审核 ISMS方针文件 访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。 A.5.1.2信息安全方针的评审 查阅 ISMS方针文件的评审和修订记录。 A.6 信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全的管理承诺 结合5.1管理承诺，访问管理者（或管理者代表），判断其对信息安全的承诺和支持是否到位。 A.6.1.2 信息安全协调 访问组织的信息安全管理机构，包括其职责。 A.6.1.3 信息安全职责的分配 查阅信息安全职责分配或描述等方面的文件。 A.6.1.4 信息处理设施的授权过程 访问IT等相关部门，了解组织对新信息处理设施的管理流程。 A.6.1.5 保密性协议 查阅组织与员工、 外部相关方等签署的保密性或不泄露协议。 A.6.1.6 与政府部门的联系 访问信息安全管理机构， 询问与相关政府部门的联络情况。 A.6.1.7 与特定利益集团的联系 访问信息安全管理机构，询问与相关信息安全专家、专业协会、学会等联络情况。 A.6.1.8 信息安全的独立评审 通过对内部审核、管理评审、第三方认证审核等的审核，验证组织信息安全独立评审情况。 A.6.2外部各方 A.6.2.1与外部各方相关风险的识别 访问组织信息安全管理机构或IT相关部门，了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。 A.6.2.2处理与顾客有关的安全问题 访问组织信息安全管理机构或IT相关部门，了解对顾客访问组织的信息和信息处理设施的风险和控制状况。 A.6.2.3 处理第三方协议中的安全问题 访问组织信息安全管理机构或 IT相关部门，了解第三方协议中的安全要求的满足情况。 A.7资产管理 A.7.1对资产负责 A.7.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单 A.7.1.2 资产责任人 A.7.1.3资产的允许使用 访问组织信息安全管理机构或 IT相关部门，了解对信息资产使用的控制。 A.7.2信息分类 A.7.2.1 分类指南 访问组织信息安全管理机构或 IT相关部门，了解组织信息资产的分类和标识情况，并在各部门进行验证。 A.7.2.2 信息标记和处理 A.8人力资源安全 A.8.1任用之前 A.8.1.1 角色和职责 审核信息安全角色和职责的分配和描述等相关文件 A.8.1.2 审查 访问人力资源等相关部门， 验证人员任用前的审查工作。 A.8.1.3 任用条款和条件 查阅任用合同中的信息安全相关的任用条款 A.8.2 任用中 A.8.2.1 管理职责 访问管理者（或管理者代表），验证对员工提出的信息安全方面的要求。 A.8.2.2 信息安全意识、教育和培训 查阅培训计划和培训记录。 A.8.2.3 纪律处理过程 访问组织信息安全管理机构、人力资源等相关部门，以及查阅信息安全奖惩制度。 A.8.3 任用的终止或变化 A.8.3.1 终止职责 访问组织信息安全管理机构， 了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。 A.8.3.2 资产的归还 访问组织IT等相关部门，了解和验证组织的员工和第三方人员等在任用结束后，对领用资产的归还情况。 A.8.3.3 撤销访问权 访问组织 IT等相关部门，了解和验证组织的员工和第三方人员等在任用结束后， 对系统和网络的访问权的处置情况。 A.9物理和环境安全 A.9.1安全区域 A.9.1.1物理安全边界 结合ISMS范围文件，访问相关部门，了解组织的物理边界控制，出入口控制，办公室防护等措施和执行情况。如调阅监控录像资料等。 A.9.1.2物理入口控制 A.9.1.3办公室、房间和设备的安全保护 A.9.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。 A.9.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。 A.9.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施 A.9.2设备安全 A.9.2.1 设备安置和保护 询问、验证组织设备安置和保护措施。查阅机房管理规定等相关文件。 A.9.2.2 支持性设施 询问、验证组织支持性设施（例如供水、供电、温度调节等）的运行情况。查阅机房温湿度记录等。 A.9.2.3 布缆安全 询问IT等相关部门在布线方面是否符合相关国家标准，并验证。 A.9.2.4 设备维护 询问、验证组织设备维护情况，查阅设备维护记录