ISO27001文件-ISMS有效性測(cè)量方法指引

1、ISMS有效性測(cè)量方法指南（版本號(hào)：V1.1 ）ISMS有效性測(cè)量管理規(guī)定更改控制頁(yè)廳P版本號(hào)更改時(shí)間更改內(nèi)容描述填寫人編碼：NK-MS-MA-P04ISMS有效性測(cè)量方法指南目 錄1 目的12 范圍13 內(nèi)容13.1 測(cè)量數(shù)據(jù)的收集13.2 體系有效性測(cè)量23.3 測(cè)量結(jié)果的分析與總結(jié)24 相關(guān)文件35 相關(guān)記錄36 附錄：46.1 附錄1:ISMS控制目標(biāo)和檢查內(nèi)容列表 46.2 附錄2:信息安全目標(biāo)測(cè)量信息一覽表 4編碼:ISMS有效性測(cè)量方法指南1目的為信息安全管理體系的測(cè)量和分析工作提供指導(dǎo)。2范圍適用于公司信息安全管理體系有效性測(cè)量和分析活動(dòng)。3內(nèi)容3.1測(cè)量數(shù)據(jù)的收集通常采用以下

2、幾種方法收集用于測(cè)量的基礎(chǔ)數(shù)據(jù)：日常檢查、審計(jì)監(jiān)控系統(tǒng)的 回顧、信息安全事件的統(tǒng)計(jì)等。1）日常檢查內(nèi)容要求：信息安全管理體系標(biāo)準(zhǔn)要求的11項(xiàng)控制目標(biāo)和133項(xiàng)控制措施; 公司制定的信息安全管理體系文件的各項(xiàng)管理規(guī)定。日常檢查的內(nèi)容參考附錄1ISMS控制目標(biāo)和檢查內(nèi)容列表，每次檢查的 具體內(nèi)容由信息安全經(jīng)理根據(jù)某一控制目標(biāo)發(fā)生的信息安全事件多少或者潛在的信 息安全隱患程度決定。具體檢查情況應(yīng)填寫日常檢查記錄表。頻度要求：每月至少進(jìn)行1次抽樣日常檢查。2）審計(jì)監(jiān)控系統(tǒng)回顧內(nèi)容要求：系統(tǒng)管理員對(duì)各種日志系統(tǒng)、審計(jì)系統(tǒng)、監(jiān)控系統(tǒng)等做抽樣檢查 或定期回顧，要特別關(guān)注各種告警信息和錯(cuò)誤日志等，以期發(fā)現(xiàn)違反

3、和潛在違反信 息安全策略的行為與事件。審計(jì)監(jiān)控系統(tǒng)時(shí)應(yīng)填寫錯(cuò)誤日志審核記錄表。頻度要求：每季度每個(gè)信息系統(tǒng)至少檢查一次。編碼:ISMS有效性測(cè)量方法指南3）信息安全事件統(tǒng)計(jì)內(nèi)容要求：接受來(lái)自公司內(nèi)、外等各種渠道的信息安全事件報(bào)告，由信息安 全經(jīng)理負(fù)責(zé)根據(jù)實(shí)際情況填寫信息安全事件報(bào)告與處理單，定期對(duì)各種信息安 全事故進(jìn)行分類統(tǒng)計(jì)。頻度要求：每季度進(jìn)行一次。4）信息安全意識(shí)活動(dòng)內(nèi)容要求：信息安全意識(shí)活動(dòng)主要有：信息安全培訓(xùn)、信息安全調(diào)查問(wèn)卷、信 息安全考試等。正式員工應(yīng)積極參加公司組織的各種信息安全意識(shí)活動(dòng)。新員工在試用期內(nèi)必須接受信息安全的相關(guān)文件培訓(xùn)。頻度要求：每個(gè)部門每年至少組織一次專題信息

4、安全培訓(xùn)活動(dòng)；公司每年結(jié)合 體系運(yùn)行情況設(shè)計(jì)一套體系運(yùn)行情況綜合調(diào)查問(wèn)卷；公司每半年組織一次全員信息 安全紙面考試。3.2 體系有效性測(cè)量信息安全經(jīng)理每季度應(yīng)對(duì)本年度的信息安全指標(biāo)進(jìn)行測(cè)量，根據(jù)信息安全目 標(biāo)測(cè)量信息一覽表，每季度初填寫信息安全有效性測(cè)量記錄表并于每季度的 前十天之內(nèi)由信息安全經(jīng)理公布上季度測(cè)量結(jié)果。3.3 測(cè)量結(jié)果的分析與總結(jié)測(cè)量的目的是為了判斷本年度信息安全目標(biāo)的實(shí)現(xiàn)程度，因此當(dāng)公司的信息安 全目標(biāo)變動(dòng)時(shí)，測(cè)量?jī)?nèi)容會(huì)相應(yīng)有所調(diào)整。每次管理評(píng)審之前，由信息安全經(jīng)理對(duì)本年度的 ISMS測(cè)量情況進(jìn)行統(tǒng)計(jì)分 析，形成ISMS有效性測(cè)量報(bào)告，提交管理評(píng)審大會(huì)，以便對(duì)體系運(yùn)行效果進(jìn) 行

5、客觀、綜合的分析，從而提出體系改進(jìn)的意見(jiàn)和建議。報(bào)告主要包含如下內(nèi)容：1）信息安全狀況綜述結(jié)合公司的信息安全目標(biāo)，從以下幾方面來(lái)描述信息安全現(xiàn)狀：編碼：第2頁(yè)ISMS有效性測(cè)量方法指南? 內(nèi)部網(wǎng)絡(luò)中斷?大規(guī)模病毒爆發(fā)?重要信息設(shè)備丟失?機(jī)密信息泄露?用戶違規(guī)/獎(jiǎng)勵(lì)情況?信息安全改進(jìn)建議收集與受理情況2）原因分析造成信息安全現(xiàn)狀未達(dá)到公司預(yù)定的信息安全目標(biāo)的原因主要有如下幾類： 安全控制措施不充分、規(guī)章制度執(zhí)行效果不佳、領(lǐng)導(dǎo)重視程度不夠、全員參與意 識(shí)不強(qiáng)等。3）改進(jìn)措施針對(duì)信息安全現(xiàn)狀未達(dá)到公司目標(biāo)的原因，結(jié)合公司的實(shí)際情況，制定改進(jìn) 措施，并在下一年的體系測(cè)量中有重點(diǎn)地測(cè)量本年度體系運(yùn)行的薄

6、弱環(huán)節(jié)。4相關(guān)文件«ISMS有效性測(cè)量管理規(guī)定5相關(guān)記錄日常檢查記錄表錯(cuò)誤日志審核記錄表信息安全事件報(bào)告與處理單信息安全有效性測(cè)量記錄表ISMS有效性測(cè)量報(bào)告編碼:ISMS有效性測(cè)量方法指南6附錄：6.1 附錄1:ISMS控制目標(biāo)和檢查內(nèi)容列表6.2 附錄2:信息安全目標(biāo)測(cè)量信息一覽表（見(jiàn)下頁(yè)）編碼:ISMS有效性測(cè)量方法指南附錄1:ISMS控制目標(biāo)和檢查內(nèi)容列表信息安全控制目標(biāo)檢查內(nèi)容信息安全策略針對(duì)體系中提出的認(rèn)為對(duì)體系進(jìn)行調(diào)整的事項(xiàng)出現(xiàn)時(shí)，檢查對(duì)相關(guān) 規(guī)定做了是否做了適應(yīng)性調(diào)整是否定期組織規(guī)章制度和操作流程的宣傳和培訓(xùn)信息安全組織是否按照計(jì)劃的時(shí)間間隔開(kāi)展信息安全獨(dú)立評(píng)審當(dāng)發(fā)生

7、重大的信息安全變化時(shí)（信息安全控制目標(biāo)控制措施策 略過(guò)程和程序），是臺(tái)開(kāi)展信息安全獨(dú)立評(píng)審資產(chǎn)管理設(shè)備進(jìn)出是否有登記？如果是轉(zhuǎn)移，有沒(méi)有轉(zhuǎn)移單？機(jī)房?jī)?nèi)設(shè)備是否妥善安置？是否有隨意擺放情況？設(shè)備維護(hù)記錄是否完整？是否符合認(rèn)證時(shí)間要求？設(shè)備臺(tái)帳是否完整？是否有報(bào)廢設(shè)備？如何處理？資產(chǎn)清單上列舉的所有資產(chǎn)，是否都明確了責(zé)任人或主責(zé)部門檢查資產(chǎn)清單是否涵蓋了公司所有與業(yè)務(wù)相關(guān)的重要信息資產(chǎn)負(fù)責(zé)RA工作的人員是否熟悉資產(chǎn)調(diào)查表？是否對(duì)其中的內(nèi)容都理 解？資產(chǎn)調(diào)查表是否能反應(yīng)現(xiàn)實(shí)？人力資源管理員工對(duì)信息安全方針和組織架構(gòu)設(shè)置是否清楚并理解？員工是否知道自身信息安全責(zé)任？特別是保密職責(zé)？員工是否知道什么是信

8、息安全事件？ 一旦發(fā)生信息安全事件如何處 理？向哪里報(bào)告？有沒(méi)有記錄？員工是否接收過(guò)信息安全相關(guān)培訓(xùn)？對(duì)培訓(xùn)的評(píng)價(jià)如何？有什么建 議和希望？員工在入職、轉(zhuǎn)崗和離職時(shí)接受過(guò)怎樣的安全控制？是否有正確的 物品及系統(tǒng)帳號(hào)交接及清理？對(duì)員工的獎(jiǎng)懲措施是否執(zhí)行是否與所有能涉及到公司信息資產(chǎn)的員工都簽署了保密協(xié)議物理與環(huán)境安全管 理對(duì)來(lái)訪人員是否登記對(duì)機(jī)房進(jìn)出人員是否進(jìn)行登記對(duì)帶出公司的設(shè)備、信息或軟件是否有登記對(duì)含有存儲(chǔ)介質(zhì)的設(shè)備，在銷毀前對(duì)所有敏感數(shù)據(jù)或授權(quán)軟件已經(jīng) 被刪除或安全重寫的工作進(jìn)行檢查對(duì)重要工作設(shè)備（如機(jī)房電扇）是否進(jìn)行定期檢查和正確維護(hù)，確 保其持續(xù)可用性和完整性網(wǎng)絡(luò)設(shè)施變更是含有變更記

9、錄？編碼:ISMS有效性測(cè)量方法指南通訊及操作管理對(duì)U盤等移動(dòng)介質(zhì)使用是否按照規(guī)定？是否對(duì)重要數(shù)據(jù)做了備份？備份記錄如何？有沒(méi)有做過(guò)恢復(fù)測(cè)試？日志服務(wù)器工作是否止常？能否調(diào)看記錄的日志信息？是否有不按規(guī)定隨意使用無(wú)線上網(wǎng)的情況？個(gè)人電腦是否裝有防病毒軟件，并定期升級(jí)，保證每天都有最新的 病母庫(kù)是否有存在非法下載行為對(duì)數(shù)據(jù)資產(chǎn)是否根據(jù)規(guī)定要求進(jìn)行備份是否及時(shí)監(jiān)控互聯(lián)網(wǎng)應(yīng)用服務(wù)器、防火墻、入侵檢測(cè)設(shè)備的運(yùn)行日 志、網(wǎng)絡(luò)流量、系統(tǒng)用戶訪問(wèn)等情況。網(wǎng)絡(luò)訪問(wèn)賬號(hào)的開(kāi)通、審批及終止是否符合規(guī)定對(duì)發(fā)生的網(wǎng)絡(luò)信息系統(tǒng)黑客入侵和攻擊安全事件是否及時(shí)上報(bào)。是否定期對(duì)內(nèi)網(wǎng)、外網(wǎng)接入進(jìn)行邊界掃描和漏洞掃描，并將掃描情

10、 況登記運(yùn)行日志對(duì)應(yīng)用控制處理設(shè)施及系統(tǒng)的變更是否經(jīng)過(guò)艾更審批對(duì)變更的內(nèi)容是否有記錄是否有未授權(quán)的人訪問(wèn)、修改或使用信息資產(chǎn)開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施是否分離測(cè)試環(huán)境中是否應(yīng)用了敏感數(shù)據(jù)訪問(wèn)控制當(dāng)離開(kāi)，位時(shí)，電腦是否鎖屏對(duì)不同的用戶訪問(wèn)權(quán)限是否有了規(guī)定并執(zhí)行n主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、前端計(jì)算機(jī)系統(tǒng)、桌 面計(jì)算機(jī)系統(tǒng)是否存在多余用戶，是否及時(shí)清理。主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的超級(jí)用戶口令以及重要系統(tǒng)中 具有關(guān)鍵訪問(wèn)權(quán)限用戶的口令是否曲專人設(shè)置與管理并定期更新， 超級(jí)用戶口令是否按要求保管。計(jì)算機(jī)用戶口令是否符合基本安全要求（包括口令長(zhǎng)度、口令字符 復(fù)雜度、口令歷史、口令最大嘗試次數(shù)

11、，口令最長(zhǎng)有效期組成等）信息系統(tǒng)的維護(hù)、 獲取和開(kāi)發(fā)在軟件的計(jì)劃階段，是否編寫了安全需求和安全需求分析開(kāi)發(fā)環(huán)境與運(yùn)行環(huán)境是否分離安全技術(shù)方案內(nèi)容是否滿足有美安全規(guī)范和標(biāo)準(zhǔn)要求，是否按照規(guī) 定進(jìn)行了評(píng)審項(xiàng)目組是否設(shè)立了安全員，并有效履行相應(yīng)職責(zé)是否對(duì)安全有關(guān)的文檔的密級(jí)以及借閱使用人員進(jìn)行了登記是否對(duì)源代碼及設(shè)計(jì)文檔等機(jī)密性文件進(jìn)行了有效的保護(hù)編碼:ISMS有效性測(cè)量方法指南是否及時(shí)跟蹤和補(bǔ)救系統(tǒng)軟件廠商發(fā)布的系統(tǒng)安全漏洞，及時(shí)增打 安全補(bǔ)丁程序信息安全事件管理對(duì)信息安全事件是否及時(shí)進(jìn)行報(bào)告并形成記錄是否有服務(wù)、器材或設(shè)備的丟失情況是否有未授權(quán)的人訪問(wèn)、修改或使用信息資產(chǎn)是否出現(xiàn)了多臺(tái)機(jī)器中毒事

12、件，且在2個(gè)及以上工作日沒(méi)有被解決是否發(fā)生過(guò)郵件服務(wù)器宕機(jī)或郵件被拒收的情況是否發(fā)生開(kāi)發(fā)服務(wù)器宕機(jī)，且1個(gè)以上工作仔能恢復(fù)機(jī)房的溫度有無(wú)超過(guò)限制有無(wú)公司設(shè)備被帶出且沒(méi)經(jīng)過(guò)授權(quán)和登記業(yè)務(wù)連續(xù)性管理UPS的采購(gòu)計(jì)劃是否進(jìn)行是否按規(guī)定進(jìn)行備份，并有備份記錄對(duì)核心人員的激勵(lì)機(jī)制是否實(shí)施是否針對(duì)特定的規(guī)定對(duì)預(yù)期事件的發(fā)生給相關(guān)人員進(jìn)行了培訓(xùn)有無(wú)定期對(duì)業(yè)務(wù)影響情況進(jìn)行分析，以預(yù)計(jì)潛在風(fēng)險(xiǎn)是否對(duì)供應(yīng)商提供的設(shè)備實(shí)施了嚴(yán)格的檢查對(duì)向客戶提供運(yùn)維的服務(wù)，是否進(jìn)行了假設(shè)服務(wù)器宕機(jī)時(shí)的恢復(fù)演 習(xí)符合性正版軟件的采購(gòu)計(jì)劃是否執(zhí)行是否定期對(duì)用戶使用的軟件進(jìn)行符合性檢查是否對(duì)重要文件柜都上鎖是否在合同條款中對(duì)提出了個(gè)人信

13、息的數(shù)據(jù)保護(hù)和隱私保護(hù)是否存在未經(jīng)授權(quán)隨意掃描網(wǎng)絡(luò)的行為編碼:ISMS有效性測(cè)量方法指南附錄2:信息安全目標(biāo)測(cè)量信息一覽表測(cè)量 指標(biāo)預(yù)期目標(biāo)名詞解釋衡量范圍測(cè)量 頻次數(shù)據(jù)來(lái)源計(jì)算公式數(shù)據(jù)采集途徑報(bào)告人受理人網(wǎng)絡(luò)內(nèi)網(wǎng)中斷時(shí)間內(nèi)網(wǎng)：公司內(nèi)部某年的1月1每季度信息安全年內(nèi)部網(wǎng)絡(luò)中公司內(nèi)部即時(shí)全體員信息安中斷 時(shí)間每年累計(jì)不超 過(guò)2天局域網(wǎng)；日-12月31日一次事件報(bào)告 與處理單斷時(shí)間=2每 個(gè)內(nèi)部網(wǎng)絡(luò)節(jié) 點(diǎn)網(wǎng)絡(luò)中斷的 時(shí)間通信工具告 知；電話告 知；口頭告知工、客戶、相關(guān) 方全經(jīng)理/ 網(wǎng)管/IT 負(fù)責(zé)人病毒大規(guī)模病毒爆大規(guī)模：超過(guò)20%在一周內(nèi)連續(xù)每季度信息安全在一周之內(nèi)累公司內(nèi)部即時(shí)全體員信息安入

14、侵 次數(shù)發(fā)每年不超過(guò)2次的內(nèi)網(wǎng)節(jié)點(diǎn)；發(fā)生一次事件報(bào)告 與處理單計(jì)病毒爆發(fā)的 機(jī)次超過(guò)內(nèi)網(wǎng) 總節(jié)點(diǎn)20%為 一次大規(guī)模病 毒爆發(fā)通信工具告 知；電話告 知；口頭告知工、客戶、相關(guān) 方全經(jīng)理/ 網(wǎng)管/軟 件負(fù)責(zé) 人信息 資產(chǎn) 丟失重要信息設(shè)備 丟失事件每年 不超過(guò)1起重要：資產(chǎn)的保 密性賦值3,或 者資產(chǎn)的完整性 賦值3公司的信息資 產(chǎn)、個(gè)人的信 息資產(chǎn)用于辦 公的、客戶的 信息資產(chǎn)供公 司員工使用的每季度 一次信息安全 事件報(bào)告 與處理單丟失人主動(dòng)報(bào) 告、客戶投 訴、其他員工 檢舉等員工（含 各級(jí)領(lǐng) 導(dǎo)）、客 戶、相關(guān) 方信息安 全經(jīng)理/ 資產(chǎn)管 理員/丟 失人的 領(lǐng)導(dǎo)信息 泄密機(jī)密及絕密信 息泄漏事件每 年不超過(guò)2件機(jī)密：資產(chǎn)的保 密性賦值=3;絕密：資產(chǎn)的保 密性賦值=4公司的信息、 客戶的信息每季度 一次信息安全 事件報(bào)告 與處理單舉報(bào)、日志檢 查、行為監(jiān) 控、內(nèi)容監(jiān)控員工（含 各級(jí)領(lǐng) 導(dǎo)）、客 戶、相關(guān) 方、系統(tǒng) 管理員信息安 全經(jīng)理/ 部門經(jīng) 理/領(lǐng)導(dǎo) 層編碼:ISMS有效性測(cè)量方法指南安全 事件 投訴客戶針對(duì)信息 安全事件的投 訴每年不超過(guò)2次客戶：公司已有 的客戶、潛在的 客戶已經(jīng)結(jié)束的項(xiàng) 目、正在合作 的項(xiàng)目