ISO27000及等保管理要求(三级)控制点对照表.pdfVIP

等保及ISO27000控制点对照表 项目 等保分 等保三级控制点 等保控制目标 ISO270000分类 ISO27000控制点 分类 类 a) 应制定信息安全工作的总体方 a) 应访谈安全主管，询问机构的制度体系是 针和安全策略，说明机构安全工 否由安全政策、安全策略、管理制度、操作规 A.5.1.1信息安全政策文件 作的总体目标、范围、原则和安 程等构成，是否定期对安全管理制度体系进行 全框架等； 评审，评审周期多长； b) 应对安全管理活动中的各类管 b) 应检查信息安全工作的总体方针、政策性 7.2.1.1 理内容建立安全管理制度； 文件和安全策略文件，查看文件是否明确机构 管理制 A.5.1信息安全政 安全工作的总体目标、范围、方针、原则、责 度 c) 应对要求管理人员或操作人员 策 任等，是否明确信息系统的安全策略； （G3） 执行的日常管理操作建立操作规 c) 应检查安全管理制度清单，查看是否覆盖 程； 物理、网络、主机系统、数据、应用、管理等 d) 应形成由安全策略、管理制度 层面； 、操作规程等构成的全面的信息 d) 应检查是否具有重要管理操作的操作规 安全管理制度体系。 程，如系统维护手册和用户操作规程等； a) 应访谈安全主管，询问安全管理制度是否 a) 应指定或授权专门的部门或人 在信息安全领导小组或委员会的总体负责下统 员负责安全管理制度的制定； 一制定，参与制定人员有哪些； b) 应访谈安全主管，询问安全管理制度的制 b) 安全管理制度应具有统一的格 定程序，是否对制定的安全管理制度进行论证 式，并进行版本控制； 和审定，论证和评审方式如何（如召开评审会 7.2.1.2 、函审、内部审核等），是否按照统一的格式 制定和 c) 应组织相关人员对制定的安全 标准或要求制定； 7.2. 发布 管理制度进行论证和审定； c) 应检查制度制定和发布要求管理文档，查 1 （G3） 看文档是否说明安全管理制度的制定和发布程 安全 d) 安全管理制度应通过正式、有 序、格式要求及版本编号等相关内容； 管理 效的方式发布； d) 应检查管理制度评审记录，查看是否有相 制度 关人员的评审意见； e) 安全管理制度应注明发布范 e) 应检查安全管理制度文档，查看是否注明 围，并对收发文进行登记。 适用和发布范围，是否有版本标识，是否有管 理层的签字或盖章；查看各项制度文档格式是 第1页共1页 a) 应访谈安全主管，询问是否定期对安全管 理制度进行评审，由何部门/何人负责；