《信息安全控制措施測(cè)量方法表.doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全控制措施測(cè)量方法表.doc（9頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

信息安全控制措施測(cè)量方法表 控制措施 測(cè)量方法 A.5 安全方針 A.5.1 信息安全方針 A.5.1.1信息安全方針文件 審核 ISMS方針文件 訪問管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對(duì)ISMS方針和目標(biāo)的理解和貫徹狀況。 A.5.1.2信息安全方針的評(píng)審 查閱 ISMS方針文件的評(píng)審和修訂記錄。 A.6 信息安全組織 A.6.1 內(nèi)部組織 A.6.1.1 信息安全的管理承諾 結(jié)合5.1管理承諾，訪問管理者（或管理者代表），判斷其對(duì)信息安全的承諾和支持是否到位。 A.6.1.2 信息安全協(xié)調(diào) 訪問組織的信息安全管理機(jī)構(gòu)，包括其職責(zé)。 A.6.1.3 信息安全職責(zé)的分配 查閱信息安全職責(zé)分配或描述等方面的文件。 A.6.1.4 信息處理設(shè)施的授權(quán)過程 訪問IT等相關(guān)部門，了解組織對(duì)新信息處理設(shè)施的管理流程。 A.6.1.5 保密性協(xié)議 查閱組織與員工、 外部相關(guān)方等簽署的保密性或不泄露協(xié)議。 A.6.1.6 與政府部門的聯(lián)系 訪問信息安全管理機(jī)構(gòu)， 詢問與相關(guān)政府部門的聯(lián)絡(luò)情況。 A.6.1.7 與特定利益集團(tuán)的聯(lián)系 訪問信息安全管理機(jī)構(gòu)，詢問與相關(guān)信息安全專家、專業(yè)協(xié)會(huì)、學(xué)會(huì)等聯(lián)絡(luò)情況。 A.6.1.8 信息安全的獨(dú)立評(píng)審 通過對(duì)內(nèi)部審核、管理評(píng)審、第三方認(rèn)證審核等的審核，驗(yàn)證組織信息安全獨(dú)立評(píng)審情況。 A.6.2外部各方 A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別 訪問組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門，了解對(duì)外部各方訪問組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。 A.6.2.2處理與顧客有關(guān)的安全問題 訪問組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門，了解對(duì)顧客訪問組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。 A.6.2.3 處理第三方協(xié)議中的安全問題 訪問組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門，了解第三方協(xié)議中的安全要求的滿足情況。 A.7資產(chǎn)管理 A.7.1對(duì)資產(chǎn)負(fù)責(zé) A.7.1.1 資產(chǎn)清單 審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單 A.7.1.2 資產(chǎn)責(zé)任人 A.7.1.3資產(chǎn)的允許使用 訪問組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門，了解對(duì)信息資產(chǎn)使用的控制。 A.7.2信息分類 A.7.2.1 分類指南 訪問組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門，了解組織信息資產(chǎn)的分類和標(biāo)識(shí)情況，并在各部門進(jìn)行驗(yàn)證。 A.7.2.2 信息標(biāo)記和處理 A.8人力資源安全 A.8.1任用之前 A.8.1.1 角色和職責(zé) 審核信息安全角色和職責(zé)的分配和描述等相關(guān)文件 A.8.1.2 審查 訪問人力資源等相關(guān)部門， 驗(yàn)證人員任用前的審查工作。 A.8.1.3 任用條款和條件 查閱任用合同中的信息安全相關(guān)的任用條款 A.8.2 任用中 A.8.2.1 管理職責(zé) 訪問管理者（或管理者代表），驗(yàn)證對(duì)員工提出的信息安全方面的要求。 A.8.2.2 信息安全意識(shí)、教育和培訓(xùn) 查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄。 A.8.2.3 紀(jì)律處理過程 訪問組織信息安全管理機(jī)構(gòu)、人力資源等相關(guān)部門，以及查閱信息安全獎(jiǎng)懲制度。 A.8.3 任用的終止或變化 A.8.3.1 終止職責(zé) 訪問組織信息安全管理機(jī)構(gòu)， 了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。 A.8.3.2 資產(chǎn)的歸還 訪問組織IT等相關(guān)部門，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后，對(duì)領(lǐng)用資產(chǎn)的歸還情況。 A.8.3.3 撤銷訪問權(quán) 訪問組織 IT等相關(guān)部門，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后， 對(duì)系統(tǒng)和網(wǎng)絡(luò)的訪問權(quán)的處置情況。 A.9物理和環(huán)境安全 A.9.1安全區(qū)域 A.9.1.1物理安全邊界 結(jié)合ISMS范圍文件，訪問相關(guān)部門，了解組織的物理邊界控制，出入口控制，辦公室防護(hù)等措施和執(zhí)行情況。如調(diào)閱監(jiān)控錄像資料等。 A.9.1.2物理入口控制 A.9.1.3辦公室、房間和設(shè)備的安全保護(hù) A.9.1.4外部和環(huán)境威脅的安全防護(hù) 詢問、驗(yàn)證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。 A.9.1.5 在安全區(qū)域工作 詢問、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù)。 A.9.1.6 公共訪問、交接區(qū)安全 詢問、驗(yàn)證組織公共訪問、交接區(qū)內(nèi)的防護(hù)措施 A.9.2設(shè)備安全 A.9.2.1 設(shè)備安置和保護(hù) 詢問、驗(yàn)證組織設(shè)備安置和保護(hù)措施。查閱機(jī)房管理規(guī)定等相關(guān)文件。 A.9.2.2 支持性設(shè)施 詢問、驗(yàn)證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運(yùn)行情況。查閱機(jī)房溫濕度記錄等。 A.9.2.3 布纜安全 詢問IT等相關(guān)部門在布線方面是否符合相關(guān)國(guó)家標(biāo)準(zhǔn)，并驗(yàn)證。 A.9.2.4 設(shè)備維護(hù) 詢問、驗(yàn)證組織設(shè)備維護(hù)情況，查閱設(shè)備維護(hù)記錄 A.9.2.5組織場(chǎng)所外的設(shè)備的安全 詢問、驗(yàn)證組織對(duì)場(chǎng)所外的設(shè)備的安全保護(hù)措施。 A.9.2.6設(shè)備的安全處置或再利用 詢問、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程，是否滿足規(guī)定的要求。 A.9.2.7 資產(chǎn)的移動(dòng) 詢問、驗(yàn)證對(duì)資產(chǎn)的移動(dòng)的安全防護(hù)措施。 A.10通信和操作管理 A.10.1操作規(guī)程和職責(zé) A.10.1.1 文件化的操作規(guī)程 查閱相關(guān)設(shè)備操作程序文件，操作記錄等。 A.10.1.2 變更管理 查閱和驗(yàn)證信息系統(tǒng)的變更控制。 A.10.1.3責(zé)任分割 訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證責(zé)任分割狀況。如重要服務(wù)器的登錄口令分2人保管等。 A.10.1.4開發(fā)、 測(cè)試和運(yùn)行設(shè)施分離 訪問IT、研發(fā)等部門，驗(yàn)證開發(fā)、測(cè)試和運(yùn)行設(shè)施的分離狀況。 A.10.2第三方服務(wù)交付管理 A.10.2.1 服務(wù)交付 查閱第三方服務(wù)協(xié)議中的信息安全相關(guān)的要求和交付標(biāo)準(zhǔn)。 A.10.2.2 第三方服務(wù)的監(jiān)視和評(píng)審 查閱第三方服務(wù)的信息安全相關(guān)要求的監(jiān)視和評(píng)審記錄。 A.10.2.3第三方服務(wù)的變更管理 查閱第三方服務(wù)的信息安全要求的變更控制記錄。 A.10.3系統(tǒng)規(guī)劃和驗(yàn)收 A.10.3.1 容量管理 查閱系統(tǒng)建設(shè)前的容量規(guī)劃記錄。 A.10.3.2 系統(tǒng)驗(yàn)收 查閱系統(tǒng)建設(shè)完成時(shí)的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)收記錄。 A.10.4 防范惡意和移動(dòng)代碼 A.10.4.1 控制惡意代碼 檢查計(jì)算機(jī)病毒等惡意代碼防范軟件， 及代碼庫(kù)的更新情況?？梢栽诒姸嚯娔X中抽查。查閱病毒等惡意代碼事件記錄。 A.10.4.2 控制移動(dòng)代碼 詢問、驗(yàn)證移動(dòng)代碼控制措施的情況。 A.10.5備份 A.10.5.1 信息備份 查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測(cè)試、驗(yàn)證。 A.10.6 網(wǎng)絡(luò)安全管理 A.10.6.1 網(wǎng)絡(luò)控制 訪問IT等相關(guān)部門，驗(yàn)證網(wǎng)絡(luò)控制措施情況。 A.10.6.2 網(wǎng)絡(luò)服務(wù)的安全 查閱網(wǎng)絡(luò)服務(wù)協(xié)議等相關(guān)文件， 驗(yàn)證網(wǎng)絡(luò)服務(wù)中的安全要求是否被滿足。 A.10.7 介質(zhì)處置 A.10.7.1 可移動(dòng)介質(zhì)的管理 訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證對(duì)可移動(dòng)介質(zhì)的管理是否滿足安全要求。 A.10.7.2 介質(zhì)的處置 訪問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，驗(yàn)證對(duì)介質(zhì)的處置是否滿足安全要求。 A.10.7.3 信息處理規(guī)程 查閱、驗(yàn)證信息處理規(guī)程。 A.10.7.4 系統(tǒng)文件安全 查閱、驗(yàn)證保護(hù)系統(tǒng)文件安全的控制措施。 A.10.8 信息的交換 A.10.8.1 信息交換策略和規(guī)程 查閱、驗(yàn)證組織的信息交換策略和規(guī)程等相關(guān)文件。 A.10.8.2 交換協(xié)議 訪問信息安全管理機(jī)構(gòu)，查閱信息和軟件交換協(xié)議。 A.10.8.3 運(yùn)輸中的物理介質(zhì) 詢問、驗(yàn)證組織對(duì)運(yùn)輸中的物理介質(zhì)的保護(hù)措施。 A.10.8.4 電子消息發(fā)送 詢問、驗(yàn)證對(duì)電子郵件等信息發(fā)送的安全保護(hù)措施 A.10.8.5 業(yè)務(wù)信息系統(tǒng) 詢問、驗(yàn)證對(duì)業(yè)務(wù)信息系統(tǒng)的安全保護(hù)措施。 A.10.9 電子商務(wù)服務(wù) A.10.9.1 電子商務(wù) 詢問、驗(yàn)證組織電子商務(wù)中的安全保護(hù)措施。 A.10.9.2 在線交易 詢問、驗(yàn)證組織在線交易中的安全保護(hù)措施。 A.10.9.3 公共可用信息 詢問、驗(yàn)證組織公共信息的安全保護(hù)措施。 A.10.10監(jiān)視 A.10.10.1 審計(jì)記錄 查閱重要系統(tǒng)的日志信息。 A.10.10.2 監(jiān)視系統(tǒng)的使用 檢查、 驗(yàn)證監(jiān)視系統(tǒng)的有效性。 查閱監(jiān)視系統(tǒng)日志等。 A.10.10.3 日志信息的保護(hù) 詢問、驗(yàn)證日志信息的包括措施。 A.10.10.4 管理員和操作員日志 查閱、驗(yàn)證管理員和操作員日志。 A.10.10.5 故障日志 查閱、驗(yàn)證系統(tǒng)的故障日志。 A.10.10.6 時(shí)鐘同步 檢查、驗(yàn)證時(shí)鐘同步措施。 A.11訪問控制 A.11.1 訪問控制的業(yè)務(wù)要求 A.11.1.1 訪問控制策略 查閱訪問控制策略等相關(guān)文件。 A.11.2 用戶訪問管理 A.11.2.1 用戶注冊(cè) 查閱用戶注冊(cè)、注銷的流程等相關(guān)文件。 A.11.2.2 特殊權(quán)限管理 詢問、驗(yàn)證超級(jí)用戶等特殊權(quán)限的管理控制措施。 A.11.2.3 用戶口令管理 檢查、驗(yàn)證用戶口令的管理控制措施。 A.11.2.4 用戶訪問權(quán)的復(fù)查 查閱用戶訪問權(quán)的復(fù)查、評(píng)審記錄。 A.11.3用戶職責(zé) A.11.3.1 口令使用 檢查驗(yàn)證用戶口令使用情況。 A.11.3.2 無人值守的用戶設(shè)備 詢問、驗(yàn)證無人值守的用戶設(shè)備的安全措施情況。 A.11.3.3 清空桌面和屏幕策略 檢查、驗(yàn)證清空桌面和屏幕策略執(zhí)行情況。 A.11.4網(wǎng)絡(luò)訪問控制 A.11.4.1 使用網(wǎng)絡(luò)服務(wù)的策略 查閱、驗(yàn)證使用網(wǎng)絡(luò)服務(wù)的策略和執(zhí)行情況。 A.11.4.2 外部連接的用戶鑒別 檢查、驗(yàn)證對(duì)外部連接的用戶鑒別措施。 A.11.4.3 網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí) 檢查網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)。 A.11.4.4 遠(yuǎn)程診斷和配置端口的保護(hù) 檢查、 驗(yàn)證對(duì)網(wǎng)絡(luò)設(shè)備上的遠(yuǎn)程診斷和配置端口的保護(hù)措施。 A.11.4.5 網(wǎng)絡(luò)隔離 檢查、驗(yàn)證網(wǎng)絡(luò)間服務(wù)、用戶等的隔離措施，如劃分子網(wǎng)等。 A.11.4.6 網(wǎng)絡(luò)連接控制 檢查、驗(yàn)證網(wǎng)絡(luò)連接控制措施。 A.11.4.7 網(wǎng)絡(luò)路由控制 檢查、驗(yàn)證網(wǎng)絡(luò)路由控制措施。 A.11.5 操作系統(tǒng)訪問控制 A.11.5.1 安全登錄程序 檢查、驗(yàn)證操作系統(tǒng)的安全登錄控制。 A.11.5.2 用戶標(biāo)識(shí)和鑒別 檢查、驗(yàn)證操作系統(tǒng)中的用戶管理。 A.11.5.3 口令管理系統(tǒng) 檢查、驗(yàn)證操作系統(tǒng)的口令管理系統(tǒng) A.11.5.4 系統(tǒng)實(shí)用工具的使用 詢問、驗(yàn)證對(duì)系統(tǒng)食用工具的使用情況 A.11.5.5 會(huì)話超時(shí) 檢查、驗(yàn)證會(huì)話超時(shí)的設(shè)置。 A.11.5.6 聯(lián)機(jī)時(shí)間的限制 檢查、驗(yàn)證聯(lián)機(jī)時(shí)間的限制措施。 A.11.6 應(yīng)用和信息訪問控制 A.11.6.1信息訪問限制 檢查、驗(yàn)證用戶和支持人員對(duì)信息訪問限制措施的有效性 A.11.6.2敏感系統(tǒng)隔離 詢問、驗(yàn)證是否對(duì)不同安全要求的網(wǎng)絡(luò)實(shí)行了物理隔離 A.11.7移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作 A.11.7.1移動(dòng)計(jì)算和通信 詢問、驗(yàn)證移動(dòng)計(jì)算和通信的安全措施 A.11.7.2遠(yuǎn)程工作 A.12信息系統(tǒng)獲取、開發(fā)和維護(hù) A.12.1信息系統(tǒng)的安全需求 A.12.1.1 安全要求分析和說明 查閱系統(tǒng)開發(fā)中安全需求分析和說明等相關(guān)文件 A.12.2 應(yīng)用中的正確處理 A.12.2.1 輸入數(shù)據(jù)的驗(yàn)證 詢問是否有輸入數(shù)據(jù)的驗(yàn)證，查閱驗(yàn)證記錄等 A.12.2.2 內(nèi)部處理的控制 詢問是否有內(nèi)部處理的控制，查閱驗(yàn)證記錄等。 A.12.2.3 消息完整性 詢問是否有消息完整性的驗(yàn)證，查閱驗(yàn)證記錄等。 A.12.2.4 輸出數(shù)據(jù)的驗(yàn)證 詢問是否有輸出數(shù)據(jù)的驗(yàn)證，查閱驗(yàn)證記錄等。 A.12.3 密碼控制 A.12.3.1 使用密碼控制的策略 詢問信息安全管理機(jī)構(gòu)、IT等相關(guān)部門，是否使用密碼控制。 A.12.3.2 密鑰管理 詢問、驗(yàn)證密鑰管理的措施。 A.12.4 系統(tǒng)文件安全 A.12.4.1 運(yùn)行軟件的控制 詢問、驗(yàn)證對(duì)運(yùn)行軟件的控制措施。 A.12.4.2 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù) 詢問對(duì)系統(tǒng)測(cè)試數(shù)據(jù)的包括措施。 A.12.4.3 對(duì)程序源代碼的訪問控制 詢問、驗(yàn)證對(duì)程序源代碼的訪問控制措施。 A.12.5 開發(fā)過程和支持過程的安全 A.12.5.1 變更控制規(guī)程 查閱變更控制等相關(guān)文件。 A.12.5.2 操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審 查閱操作系統(tǒng)變更后對(duì)應(yīng)用的技術(shù)評(píng)審記錄。 A.12.5.3 軟件包變更的限制 詢問對(duì)軟件包變更的限制措施。 A.12.5.4 信息泄露 詢問防止信息泄露的措施。 A.12.5.5 外包軟件開發(fā) 詢問、驗(yàn)證對(duì)外包軟件開發(fā)的控制措施。 A.12.6 技術(shù)脆弱性管理 A.12.6.1 技術(shù)脆弱性的控制 檢查、驗(yàn)證技術(shù)脆弱性的控制措施。是否更新軟件補(bǔ)丁，可以利用脆弱性掃描等工具軟件來獲得審核證據(jù)。 A.13信息安全事故管理 A.13.1報(bào)告信息安全事件和事故 A.13.1.1 報(bào)告信息安全事件 查閱信息安全事件報(bào)告記錄。 A.13.1.2 報(bào)告安全弱點(diǎn) 查閱安全弱點(diǎn)報(bào)告記錄 A.13.2 信息安全事故和改進(jìn)的管理 A.13.2.1 職責(zé)和程序 查閱信息安全事件管理程序等相關(guān)文件。 A.13.2.2對(duì)信息安全事故的總結(jié) 查閱信息安全事件學(xué)習(xí)和總結(jié)記錄 A.13.2.3 證據(jù)的收集 詢問、驗(yàn)證事件處理過程中的證據(jù)收集的措施。 A.14業(yè)務(wù)連續(xù)性管理 A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面 A.14.1.1 業(yè)務(wù)連續(xù)性管理過程中包含的信息安全 查閱業(yè)務(wù)連續(xù)性管理等相關(guān)文件。 A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估 詢問、驗(yàn)證組織是否實(shí)施了業(yè)務(wù)中斷的風(fēng)險(xiǎn)評(píng)估，包括中斷的事件、發(fā)生的概率和影響等。 A.14.1.3 制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃 查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件。 A.14.1.4 業(yè)務(wù)連續(xù)性計(jì)劃框架 查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件。 A.14.1.5 測(cè)試、保持和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃 檢查、驗(yàn)證組織對(duì)業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、保持，查閱測(cè)試記錄等。 A.15符合性 A.15.1符合法律要求 A.15.1.1可用法律的識(shí)別 查閱組織識(shí)別的適用的信息安全法律法規(guī)。 A.15.1.2 知識(shí)產(chǎn)權(quán)（IPR） 詢問、驗(yàn)證組織知識(shí)產(chǎn)權(quán)保護(hù)措施。 A.15.1.3 保護(hù)組織的記錄 詢問、查閱組織對(duì)相關(guān)記錄的保護(hù)措施。 A.15.1.4 數(shù)據(jù)保護(hù)和個(gè)人信息的隱私 詢問組織對(duì)數(shù)據(jù)和個(gè)人隱私的包括措施。 A.15.1.5 防止濫用信息處理設(shè)施 檢查、驗(yàn)證組織防止濫用信息處理設(shè)施的措施。 A.15.1.6 密碼控制措施的規(guī)則 詢問、驗(yàn)證組織密碼控制措施情況。 A.15.2符合安全策略和標(biāo)準(zhǔn)，以及技術(shù)符合性 A.15.2.1 符合安全策略和標(biāo)準(zhǔn) 檢查、驗(yàn)證員工遵守信息安全策略、規(guī)程等情況。 A.15.2.2 技術(shù)符合性檢查 詢問、驗(yàn)證組織是否定期進(jìn)行技術(shù)符合性檢查，查閱 檢查記錄等。 A.15.3 信息系統(tǒng)審核考慮 A.15.3.1 信息系統(tǒng)審計(jì)控制措施 詢問、驗(yàn)證組織對(duì)信息系統(tǒng)審計(jì)的控制措施情況。 A.15.3.2 信息系統(tǒng)審計(jì)工具的保護(hù) 詢問、驗(yàn)證組織對(duì)信息系統(tǒng)審計(jì)工具的保護(hù)措施。