及等保管理要求(三级)控制点对照表.docxVIP

ISO27001-2003——等级保护三级要求对照 项目 等保分类 等保三级控制点 分类 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目 标、范围、原则和安全框 架等； 应对安全管理活动中的各类管理内容建立安全管 7.2.1.1 理制度；  ISO2700 等保控制目标 ISO27000 控制点 ISO27000 控制目标 调查方式 调查结果 00 分类 a) 应访谈安全主管，询问机构的制度体系 信息安全政策文件应由管 是否由安全政策、安全策略、管理制度、操 A.5.1.1 信息安全政 理阶层核准，并公布与传 作规程等构成，是否定期对安全管理制度体 策文件 达给所有聘雇人员与相关 系进行评审，评审周期多长； 外部团体。 b) 应检查信息安全工作的总体方针、政策 访谈，检查。 性文件和安全策略文件，查看文件是否明确 安全主管，总 机构安全工作的总体目标、范围、方针、原 体方针、政策 则、责任等，是否明确信息系统的安全策 性文件和安全 A.5.1 信息 7.2.1 管理制度 安全 （G3 ） 管理 制度 7.2.1.2 制定和发  应对要求管理人员或操作人员执行的日常管理操作建立操作规程； 应形成由安全策略、管 理制度、操作规程等构成的全面的信息安全管理制度体系。 应指定或授权专门的部门或人员负责安全管理制度的制定；  略； 策略文件，安 c) 应检查