有效性測量實(shí)施計(jì)劃

有效性測量實(shí)施計(jì)劃一、目的本文件主要目的是實(shí)施的信息安全控制措施測量的職責(zé)、方法和程序，測量控制措施的有效性，為公司領(lǐng)導(dǎo)的工作安排和決策提供參考。二、適用范圍本文件適用于公司管理體系運(yùn)行中所涉及的部門、業(yè)務(wù)和人員。三、職責(zé)和權(quán)限信息安全小組負(fù)責(zé)本文件的建立和評審。內(nèi)部審核小組等相關(guān)部門和人員按照本文件的要求執(zhí)行。四、測量方法4.1針對不同的內(nèi)容，采用兩類測量方法：觀察驗(yàn)證和系統(tǒng)工具檢測。4.2測量流程根據(jù)測量計(jì)劃，由內(nèi)審小組區(qū)分不同類型的控制措施，選擇測量方法，編制詳細(xì)的測量檢查表。五、有效性測量周期一般情況有效性測量每半年進(jìn)行一次。當(dāng)實(shí)際需要時(shí)可以臨時(shí)進(jìn)行有效性測量。六、有效性測量結(jié)果匯報(bào)與審批軟件部應(yīng)將有效性測量結(jié)果匯報(bào)給管理者代表進(jìn)行審核，由最高管理者進(jìn)行審批。附表1控制措施測量方法A.5安全方針A.5.1信息安全方針A.5.1.1信息安全方針文件審核ISMS方針文件訪問管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對ISMS方針和目標(biāo)的理解和貫徹狀況。A.5.1.2信息安全方針的評審查閱ISMS方針文件的評審和修訂記錄。A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責(zé)查閱信息安全職責(zé)分配或描述等方面的文件。A.6.1.2責(zé)任分割訪問組織的信息安全管理機(jī)構(gòu)，包括其職責(zé)。A.6.1.3與政府部門的聯(lián)系訪問信息安全管理機(jī)構(gòu)，詢問與相關(guān)信息安全專家、專業(yè)協(xié)會(huì)、學(xué)會(huì)等聯(lián)絡(luò)情況。A.6.1.4與特定相關(guān)方的聯(lián)系訪問信息安全管理機(jī)構(gòu)，詢問與相關(guān)政府部門的聯(lián)絡(luò)情況。A.6.1.5項(xiàng)目管理中的信息安全查閱風(fēng)險(xiǎn)評估A.6.2移動(dòng)設(shè)備和遠(yuǎn)程工作A.6.2.1移動(dòng)設(shè)備策略查閱相關(guān)管理程序A.6.2.2遠(yuǎn)程工作訪問遠(yuǎn)程工作日至處理或存儲(chǔ)的信息A.7人力資源安全A.7.1任用前A.7.1.1審查審核組織的人力資源要求A.7.1.2任用條款及條件查看相關(guān)用工合同A.7.2任用中A.7.2.1管理職責(zé)訪問管理者（或管理者代表），驗(yàn)證對員工提出的信息安全方面的要求。A.7.2.2信息安全意識(shí)、教育和培訓(xùn)查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄。A.7.2.3紀(jì)律處理過程訪問組織信息安全管理機(jī)構(gòu)、人力資源等相關(guān)部門，以及查閱信息安全獎(jiǎng)懲制度。A.7.3任用的終止或變化A.7.3.1任用職責(zé)的終止或變更訪問組織信息安全管理機(jī)構(gòu)，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。A.8資產(chǎn)管理A.8.1資產(chǎn)職責(zé)A.8.1.1資產(chǎn)清單審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.8.1.2資產(chǎn)責(zé)任主體A.8.1.3資產(chǎn)的可接受使用訪問組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門，了解對信息資產(chǎn)使用的控制。A.8.1.4資產(chǎn)歸還查閱歸還清單A.8.2信息分級(jí)A.8.2.1信息的分級(jí)訪問組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門，了解組織信息資產(chǎn)的分類和標(biāo)識(shí)情況，并在各部門進(jìn)行驗(yàn)證。A.8.2.2信息的標(biāo)記A.8.2.3資產(chǎn)的處理A.8.3介質(zhì)處理A.8.3.1移動(dòng)介質(zhì)的管理訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證對可移動(dòng)介質(zhì)的管理是否滿足安全要求。A.8.3.2介質(zhì)的處置訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證對介質(zhì)的處置是否滿足安全要求。A.8.3.3物理介質(zhì)的轉(zhuǎn)移查閱相關(guān)記錄A.9訪問控制A.9.1訪問控制的業(yè)務(wù)要求A.9.1.1訪問控制策略查閱訪問控制策略等相關(guān)文件。A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問查閱訪問服務(wù)記錄A.9.2用戶訪問管理A.9.2.1用戶注冊和注銷查閱用戶注冊、注銷的流程等相關(guān)文件。A.9.2.2用戶訪問配置檢查、驗(yàn)證用戶口令的管理控制措施。A.9.2.3特殊訪問權(quán)限管理詢問、驗(yàn)證超級(jí)用戶等特殊權(quán)限的管理控制措施。A.9.2.4用戶的秘密鑒別信息管理查閱秘密鑒別信息記錄。A.9.2.5用戶訪問權(quán)限的復(fù)查查閱用戶訪問權(quán)的復(fù)查、評審記錄。A.9.2.6訪問權(quán)限的移除或調(diào)整查詢員工和外部用戶對信息和信息處理設(shè)施訪問記錄A.9.3用戶職責(zé)A.9.3.1秘密鑒別信息的使用檢查驗(yàn)證用戶口令使用情況。A.9.4系統(tǒng)和應(yīng)用訪問控制A.9.4.1信息訪問限制檢查、驗(yàn)證操作系統(tǒng)的訪問登錄控制A.9.4.2安全登錄規(guī)程檢查、驗(yàn)證操作系統(tǒng)的安全登錄控制。A.9.4.3口令管理系統(tǒng)檢查、驗(yàn)證操作系統(tǒng)的口令管理系統(tǒng)A.9.4.4特權(quán)實(shí)用程序的使用查閱應(yīng)用控制措施A.9.4.5程序源代碼的訪問控制檢查、驗(yàn)程序源代碼的訪問記錄A.10.密碼A.10.1密碼控制A.10.1.1使用密碼控制的策略詢問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，是否使用密碼控制。A.10.1.2密鑰管理詢問、驗(yàn)證密鑰管理的措施。A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全邊界結(jié)合ISMS范圍文件，訪問相關(guān)部門，了解組織的物理邊界控制，出入口控制，辦公室防護(hù)等措施和執(zhí)行情況。如調(diào)閱監(jiān)控錄像資料等。A.11.1.2物理入口控制A.11.1.3辦公室、房間和設(shè)施的安全保護(hù)A.11.1.4外部和環(huán)境威脅的安全防護(hù)詢問、驗(yàn)證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。A.11.1.5在安全區(qū)域工作詢問、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù)。A.11.1.6交接區(qū)詢問、驗(yàn)證組織公共訪問、交接區(qū)內(nèi)的防護(hù)措施A.11.2設(shè)備A.11.2.1設(shè)備安置和保護(hù)詢問、驗(yàn)證組織設(shè)備安置和保護(hù)措施。查閱機(jī)房管理規(guī)定等相關(guān)文件。A.11.2.2支持性設(shè)施詢問、驗(yàn)證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運(yùn)行情況。查閱機(jī)房溫濕度記錄等。A.11.2.3布纜安全詢問IT等相關(guān)部門在布線方面是否符合相關(guān)國家標(biāo)準(zhǔn)，并驗(yàn)證。A.11.2.4設(shè)備維護(hù)詢問、驗(yàn)證組織設(shè)備維護(hù)情況，查閱設(shè)備維護(hù)記錄。A.11.2.5資產(chǎn)的移動(dòng)詢問、驗(yàn)證對資產(chǎn)的移動(dòng)的安全防護(hù)措施。A.11.2.6組織場所外的設(shè)備與資產(chǎn)安全詢問、驗(yàn)證組織對場所外的設(shè)備的安全保護(hù)措施。A.11.2.7設(shè)備的安全處置或再利用詢問、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程，是否滿足規(guī)定的要求。A.11.2.8無人值守的用戶設(shè)備查詢相關(guān)記錄A.11.2.9清空桌面和屏幕策略查看相關(guān)電腦A.12操作安全A.12.1操作規(guī)程和職責(zé)A.12.1.1文件化的操作規(guī)程查閱相關(guān)設(shè)備操作程序文件，操作記錄等。A.12.1.2變更管理查閱和驗(yàn)證信息系統(tǒng)的變更控制。A.12.1.3容量管理查詢驗(yàn)證容量管理記錄A.12.1.4開發(fā)、測試和運(yùn)行環(huán)境的分離訪問IT、研發(fā)等部門，驗(yàn)證開發(fā)、測試和運(yùn)行設(shè)施的分離狀況。A.12.2惡意代碼防范A.12.2.1惡意代碼的控制檢查計(jì)算機(jī)病毒等惡意代碼防范軟件，及代碼庫的更新情況?？梢栽诒姸嚯娔X中抽查。查閱病毒等惡意代碼事件記錄。A.12.3備份A.12.3.1信息備份查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測試、驗(yàn)證。A.12.4日志和監(jiān)視A.12.4.1事態(tài)日志查閱系統(tǒng)的事態(tài)日志信息。A.12.4.2日志信息的保護(hù)詢問、驗(yàn)證日志信息的包括措施。A.12.4.3管理員和操作員日志查閱、驗(yàn)證管理員和操作員日志。A.12.4.4時(shí)鐘同步檢查、驗(yàn)證時(shí)鐘同步措施。A.12.5運(yùn)行軟件控制A.12.5.1運(yùn)行系統(tǒng)的軟件安裝檢查運(yùn)行系統(tǒng)軟件安裝控制規(guī)程A.12.6技術(shù)脆弱性管理A.12.6.1技術(shù)脆弱性的管理檢查、驗(yàn)證技術(shù)脆弱性的控制措施。是否更新軟件補(bǔ)丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。A.12.6.2軟件安裝限制查看用戶安裝軟件的規(guī)則A.12.7信息系統(tǒng)審計(jì)的考慮A.12.7.1信息系統(tǒng)審計(jì)的控制詢問、驗(yàn)證組織對信息系統(tǒng)審計(jì)的控制措施情況A.13通信安全A.13.1網(wǎng)絡(luò)安全管理A.13.1.1網(wǎng)絡(luò)控制詢問控制網(wǎng)絡(luò)以保護(hù)系統(tǒng)A.13.1.2網(wǎng)絡(luò)服務(wù)的安全查看網(wǎng)絡(luò)協(xié)議A.13.1.3網(wǎng)絡(luò)隔離查閱隔離信息服務(wù)、用戶及信息系統(tǒng)A.13.2信息傳輸A.13.2.1信息傳輸策略和規(guī)程查閱傳輸策略、規(guī)程和控制措施A.13.2.2信息傳輸協(xié)議查看傳輸協(xié)議A.13.2.3電子消息發(fā)送查閱傳輸策略、規(guī)程和控制措施A.13.2.4保密或不泄露協(xié)議查看保密協(xié)議A.14系統(tǒng)獲取、開發(fā)和維護(hù)A.14.1信息系統(tǒng)的安全要求A.14.1.1信息安全要求分析和說明查看信息系統(tǒng)的要求中應(yīng)包括信息安全相關(guān)要求A.14.1.2公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)查閱公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.2開發(fā)和支持過程中的安全A.14.2.1安全的開發(fā)策略A.14.2.2系統(tǒng)變更控制規(guī)程查閱變更控制等相關(guān)文件。A.14.2.3運(yùn)行平臺(tái)變更后對應(yīng)用的技術(shù)評審查閱操作運(yùn)行平臺(tái)變更后對應(yīng)用的技術(shù)評審記錄。A.14.2.4軟件包變更的限制詢問對軟件包變更的限制措施。A.14.2.5安全的系統(tǒng)工程原則查閱軟件和系統(tǒng)開發(fā)規(guī)則A.14.2.6安全的開發(fā)環(huán)境查詢安全開發(fā)環(huán)境A.14.2.8系統(tǒng)安全測試進(jìn)行安全測試A.14.2.9系統(tǒng)驗(yàn)收測試查詢驗(yàn)收測試方案和相關(guān)準(zhǔn)則A.14.3測試數(shù)據(jù)A.14.3.1測試數(shù)據(jù)的保護(hù)A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系中的信息安全A.15.1.1供應(yīng)商關(guān)系的信息安全策略查看與供應(yīng)商信息安全要求A.15.1.2在供應(yīng)商協(xié)議中解決安全查看供應(yīng)商相關(guān)的信息安全要求A.15.1.3信息與通信技術(shù)供應(yīng)鏈查詢供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)處理要求A.15.2供應(yīng)商服務(wù)交付管理A.15.2.1供應(yīng)商服務(wù)的監(jiān)視和評審查看供應(yīng)商服務(wù)交付記錄A.15.2.2供應(yīng)商服務(wù)的變更管理查閱和驗(yàn)證信息系統(tǒng)的變更控制。A.16信息安全事件管理A.16.1信息安全事件的管理和改進(jìn)A.16.1.1職責(zé)和規(guī)程查閱信息安全事件管理程序等相關(guān)文件。A.16.1.2報(bào)告信息安全事態(tài)查閱信息安全事件報(bào)告記錄A.16.1.3報(bào)告信息安全弱點(diǎn)查閱安全弱點(diǎn)報(bào)告記錄A.16.1.4信息安全事態(tài)的評估和決策查看信息安全事態(tài)評估記錄A.16.1.5信息安全事件的響應(yīng)查看響應(yīng)信息安全事件規(guī)程A.16.1.6從信息安全事件中學(xué)習(xí)查閱信息安全事件學(xué)習(xí)和總結(jié)記錄A.16.1.7證據(jù)的收集詢問、驗(yàn)證事件處理過程中的證據(jù)收集的措施。A.17業(yè)務(wù)連續(xù)性管理的信息安全方面A.17.1信息安全的連續(xù)性A.17.1.1規(guī)劃信息安全連續(xù)性查閱連續(xù)性管理等相關(guān)文件。A.17.1.2實(shí)施信息安全連續(xù)性查閱連續(xù)性管理等相關(guān)文件。A.17.1.3驗(yàn)證、評審和評價(jià)信息安全連續(xù)性檢查、驗(yàn)證組織對業(yè)務(wù)連續(xù)性計(jì)劃的測試、保持，查閱測試記錄等。A.17.2冗余A.17.2.1信息處理設(shè)施的可用性查閱信息處理設(shè)施相關(guān)文件A.18符合性A.18.1符合法律和合同要求A.18.1.1可用的法律和合同要求的識(shí)別查閱組織識(shí)別的適用的信息安全法律法規(guī)。A.18.1.2知識(shí)產(chǎn)權(quán)詢問、驗(yàn)證組織