信息安全制措施测量程序.doc

信息安全控制措施测量程序 1 目的 为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序，测量控制措施的有效性，制定本文件。 2 适用范围 本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。 3 参考文件 ISO/IEC27001:2005 信息安全管理体系要求 ISO/IEC27002:2005 信息安全管理实用规则 4 职责和权限 信息安全领导办公室负责本文件的建立和评审。 内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。 5 相关活动 5.1 信息安全控制措施测量方法 针对不同的控制措施，采用两类测量方法：观察验证和系统测试。 5.1.1 观察验证 用于组织类控制措施的有效性测量，包括查验记录、访谈、观察和物理检查等； 5.1.2 系统测试 用于技术类控制措施的有效性测量，包括上机操作，或者通过使用专门的系统工具等。 5.2 信息安全控制措施测量流程 信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划； 根据测量计划，由内审小组和资讯部区分不同类型的控制措施，选择测量方法，编制详细的检查表； 针对系统测试方法，准备相应的系统工具； 按计划实施测量； 形成控制措施有效性测量报告（可以包含在内部审核报告中）。 6 相关文件和记录 信息安全控制措施检查表 信息安全控制措施测量方法参考表 信息安全控制措施检查表  信息安全控制措施测量方法参考表 控制措施 测量方法 A.5 安全方针 A.5.1 信息安全方针 A.5.1.1信息安全方针文件 审核 ISMS方针文件 访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。 A.5.1.2信息安全方针的评审 查阅 ISMS方针文件的评审和修订记录。 A.6 信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全的管理承诺 结合5.1管理承诺，访问管理者（或管理者代表），判断其对信息安全的承诺和支持是否到位。 A.6.1.2 信息安全协调 访问组织的信息安全管理机构，包括其职责。 A.6.1.3 信息安全职责的分配 查阅信息安全职责分配或描述等方面的文件。 A.6.1.4 信息处理设施的授权过程 访问IT等相关部门，了解组织对新信息处理设施的管理流程。 A.6.1.5 保密性协议 查阅组织与员工、 外部相关方等签署的保密性或不泄露协议。 A.6.1.6 与政府部门的联系 访问信息安全管理机构， 询问与相关政府部门的联络情况。 A.6.1.7 与特定利益集团的联系 访问信息安全管理机构，询问与相关信息安全专家、专业协会、学会等联络情况。 A.6.1.8 信息安全的独立评审 通过对内部审核、管理评审、第三方认证审核等的审核，验证组织信息安全独立评审情况。 A.6.2外部各方 A.6.2.1与外部各方相关风险的识别 访问组织信息安全管理机构或IT相关部门，了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。 A.6.2.2处理与顾客有关的安全问题 访问组织信息安全管理机构或IT相关部门，了解对顾客访问组织的信息和信息处理设施的风险和控制状况。 A.6.2.3 处理第三方协议中的安全问题 访问组织信息安全管理机构或 IT相关部门，了解第三方协议中的安全要求的满足情况。 A.7资产管理 A.7.1对资产负责 A.7.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单 A.7.1.2 资产责任人 A.7.1.3资产的允许使用 访问组织信息安全管理机构或 IT相关部门，了解对信息资产使用的控制。 A.7.2信息分类 A.7.2.1 分类指南 访问组织信息安全管理机构或 IT相关部门，了解组织信息资产的分类和标识情况，并在各部门进行验证。 A.7.2.2 信息标记和处理 A.8人力资源安全 A.8.1任用之前 A.8.1.1 角色和职责 审核信息安全角色和职责的分配和描述等相关文件 A.8.1.2 审查 访问人力资源等相关部门， 验证人员任用前的审查工作。 A.8.1.3 任用条款和条件 查阅任用合同中的信息安全相关的任用条款 A.8.2 任用中 A.8.2.1 管理职责 访问管理者（或管理者代表），验证对员工提出的信息安全方面的要求。 A.8.2.2 信息安全意识、教育和培训 查阅培训计划和培训记录。 A.8.2.3 纪律处理过程 访问组织信息安全管理机构、人力资源等相关部门，以及查阅信息安全奖惩制度。 A.8.3 任用的终止或变化 A.8.3.1 终止职责 访问组织信息安全管理机构， 了解和验证组织的员工和第三方人员等在任用结束后的信息