《信息安全控制措施測(cè)量方法表.doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全控制措施測(cè)量方法表.doc（9頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

信息安全控制措施測(cè)量方法表 控制措施 測(cè)量方法 A.5 安全方針 A.5.1 信息安全方針 A.5.1.1信息安全方針文件 審核 ISMS方針文件 訪問(wèn)管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對(duì)ISMS方針和目標(biāo)的理解和貫徹狀況。 A.5.1.2信息安全方針的評(píng)審 查閱 ISMS方針文件的評(píng)審和修訂記錄。 A.6 信息安全組織 A.6.1 內(nèi)部組織 A.6.1.1 信息安全的管理承諾 結(jié)合5.1管理承諾，訪問(wèn)管理者（或管理者代表），判斷其對(duì)信息安全的承諾和支持是否到位。 A.6.1.2 信息安全協(xié)調(diào) 訪問(wèn)組織的信息安全管理機(jī)構(gòu)，包括其職責(zé)。 A.6.1.3 信息安全職責(zé)的分配 查閱信息安全職責(zé)分配或描述等方面的文件。 A.6.1.4 信息處理設(shè)施的授權(quán)過(guò)程 訪問(wèn)IT等相關(guān)部門(mén)，了解組織對(duì)新信息處理設(shè)施的管理流程。 A.6.1.5 保密性協(xié)議 查閱組織與員工、 外部相關(guān)方等簽署的保密性或不泄露協(xié)議。 A.6.1.6 與政府部門(mén)的聯(lián)系 訪問(wèn)信息安全管理機(jī)構(gòu)， 詢(xún)問(wèn)與相關(guān)政府部門(mén)的聯(lián)絡(luò)情況。 A.6.1.7 與特定利益集團(tuán)的聯(lián)系 訪問(wèn)信息安全管理機(jī)構(gòu)，詢(xún)問(wèn)與相關(guān)信息安全專(zhuān)家、專(zhuān)業(yè)協(xié)會(huì)、學(xué)會(huì)等聯(lián)絡(luò)情況。 A.6.1.8 信息安全的獨(dú)立評(píng)審 通過(guò)對(duì)內(nèi)部審核、管理評(píng)審、第三方認(rèn)證審核等的審核，驗(yàn)證組織信息安全獨(dú)立評(píng)審情況。 A.6.2外部各方 A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別 訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解對(duì)外部各方訪問(wèn)組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。 A.6.2.2處理與顧客有關(guān)的安全問(wèn)題 訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解對(duì)顧客訪問(wèn)組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。 A.6.2.3 處理第三方協(xié)議中的安全問(wèn)題 訪問(wèn)組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門(mén)，了解第三方協(xié)議中的安全要求的滿(mǎn)足情況。 A.7資產(chǎn)管理 A.7.1對(duì)資產(chǎn)負(fù)責(zé) A.7.1.1 資產(chǎn)清單 審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單 A.7.1.2 資產(chǎn)責(zé)任人 A.7.1.3資產(chǎn)的允許使用 訪問(wèn)組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門(mén)，了解對(duì)信息資產(chǎn)使用的控制。 A.7.2信息分類(lèi) A.7.2.1 分類(lèi)指南 訪問(wèn)組織信息安全管理機(jī)構(gòu)或 IT相關(guān)部門(mén)，了解組織信息資產(chǎn)的分類(lèi)和標(biāo)識(shí)情況，并在各部門(mén)進(jìn)行驗(yàn)證。 A.7.2.2 信息標(biāo)記和處理 A.8人力資源安全 A.8.1任用之前 A.8.1.1 角色和職責(zé) 審核信息安全角色和職責(zé)的分配和描述等相關(guān)文件 A.8.1.2 審查 訪問(wèn)人力資源等相關(guān)部門(mén)， 驗(yàn)證人員任用前的審查工作。 A.8.1.3 任用條款和條件 查閱任用合同中的信息安全相關(guān)的任用條款 A.8.2 任用中 A.8.2.1 管理職責(zé) 訪問(wèn)管理者（或管理者代表），驗(yàn)證對(duì)員工提出的信息安全方面的要求。 A.8.2.2 信息安全意識(shí)、教育和培訓(xùn) 查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄。 A.8.2.3 紀(jì)律處理過(guò)程 訪問(wèn)組織信息安全管理機(jī)構(gòu)、人力資源等相關(guān)部門(mén)，以及查閱信息安全獎(jiǎng)懲制度。 A.8.3 任用的終止或變化 A.8.3.1 終止職責(zé) 訪問(wèn)組織信息安全管理機(jī)構(gòu)， 了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。 A.8.3.2 資產(chǎn)的歸還 訪問(wèn)組織IT等相關(guān)部門(mén)，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后，對(duì)領(lǐng)用資產(chǎn)的歸還情況。 A.8.3.3 撤銷(xiāo)訪問(wèn)權(quán) 訪問(wèn)組織 IT等相關(guān)部門(mén)，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后， 對(duì)系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)權(quán)的處置情況。 A.9物理和環(huán)境安全 A.9.1安全區(qū)域 A.9.1.1物理安全邊界 結(jié)合ISMS范圍文件，訪問(wèn)相關(guān)部門(mén)，了解組織的物理邊界控制，出入口控制，辦公室防護(hù)等措施和執(zhí)行情況。如調(diào)閱監(jiān)控錄像資料等。 A.9.1.2物理入口控制 A.9.1.3辦公室、房間和設(shè)備的安全保護(hù) A.9.1.4外部和環(huán)境威脅的安全防護(hù) 詢(xún)問(wèn)、驗(yàn)證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。 A.9.1.5 在安全區(qū)域工作 詢(xún)問(wèn)、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù)。 A.9.1.6 公共訪問(wèn)、交接區(qū)安全 詢(xún)問(wèn)、驗(yàn)證組織公共訪問(wèn)、交接區(qū)內(nèi)的防護(hù)措施 A.9.2設(shè)備安全 A.9.2.1 設(shè)備安置和保護(hù) 詢(xún)問(wèn)、驗(yàn)證組織設(shè)備安置和保護(hù)措施。查閱機(jī)房管理規(guī)定等相關(guān)文件。 A.9.2.2 支持性設(shè)施 詢(xún)問(wèn)、驗(yàn)證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運(yùn)行情況。查閱機(jī)房溫濕度記錄等。 A.9.2.3 布纜安全 詢(xún)問(wèn)IT等相關(guān)部門(mén)在布線方面是否符合相關(guān)國(guó)家標(biāo)準(zhǔn)，并驗(yàn)證。 A.9.2.4 設(shè)備維護(hù) 詢(xún)問(wèn)、驗(yàn)證組織設(shè)備維護(hù)情況，查閱設(shè)備維護(hù)記錄 A.9.2.5組織場(chǎng)所外的設(shè)備的安全 詢(xún)問(wèn)、驗(yàn)證組織對(duì)場(chǎng)所外的設(shè)備的安全保護(hù)措施。 A.9.2.6設(shè)備的安全處置或再利用 詢(xún)問(wèn)、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程，是否滿(mǎn)足規(guī)定的要求。 A.9.2.7 資產(chǎn)的移動(dòng) 詢(xún)問(wèn)、驗(yàn)證對(duì)資產(chǎn)的移動(dòng)的安全防護(hù)措施。 A.10通信和操作管理 A.10.1操作規(guī)程和職責(zé) A.10.1.1 文件化的操作規(guī)程 查閱相關(guān)設(shè)備操作程序文件，操作記錄等。 A.10.1.2 變更管理 查閱和驗(yàn)證信息系統(tǒng)的變更控制。 A.10.1.3責(zé)任分割 訪問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，驗(yàn)證責(zé)任分割狀況。如重要服務(wù)器的登錄口令分2人保管等。 A.10.1.4開(kāi)發(fā)、 測(cè)試和運(yùn)行設(shè)施分離 訪問(wèn)IT、研發(fā)等部門(mén)，驗(yàn)證開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施的分離狀況。 A.10.2第三方服務(wù)交付管理 A.10.2.1 服務(wù)交付 查閱第三方服務(wù)協(xié)議中的信息安全相關(guān)的要求和交付標(biāo)準(zhǔn)。 A.10.2.2 第三方服務(wù)的監(jiān)視和評(píng)審 查閱第三方服務(wù)的信息安全相關(guān)要求的監(jiān)視和評(píng)審記錄。 A.10.2.3第三方服務(wù)的變更管理 查閱第三方服務(wù)的信息安全要求的變更控制記錄。 A.10.3系統(tǒng)規(guī)劃和驗(yàn)收 A.10.3.1 容量管理 查閱系統(tǒng)建設(shè)前的容量規(guī)劃記錄。 A.10.3.2 系統(tǒng)驗(yàn)收 查閱系統(tǒng)建設(shè)完成時(shí)的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)收記錄。 A.10.4 防范惡意和移動(dòng)代碼 A.10.4.1 控制惡意代碼 檢查計(jì)算機(jī)病毒等惡意代碼防范軟件， 及代碼庫(kù)的更新情況?？梢栽诒姸嚯娔X中抽查。查閱病毒等惡意代碼事件記錄。 A.10.4.2 控制移動(dòng)代碼 詢(xún)問(wèn)、驗(yàn)證移動(dòng)代碼控制措施的情況。 A.10.5備份 A.10.5.1 信息備份 查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測(cè)試、驗(yàn)證。 A.10.6 網(wǎng)絡(luò)安全管理 A.10.6.1 網(wǎng)絡(luò)控制 訪問(wèn)IT等相關(guān)部門(mén)，驗(yàn)證網(wǎng)絡(luò)控制措施情況。 A.10.6.2 網(wǎng)絡(luò)服務(wù)的安全 查閱網(wǎng)絡(luò)服務(wù)協(xié)議等相關(guān)文件， 驗(yàn)證網(wǎng)絡(luò)服務(wù)中的安全要求是否被滿(mǎn)足。 A.10.7 介質(zhì)處置 A.10.7.1 可移動(dòng)介質(zhì)的管理 訪問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，驗(yàn)證對(duì)可移動(dòng)介質(zhì)的管理是否滿(mǎn)足安全要求。 A.10.7.2 介質(zhì)的處置 訪問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，驗(yàn)證對(duì)介質(zhì)的處置是否滿(mǎn)足安全要求。 A.10.7.3 信息處理規(guī)程 查閱、驗(yàn)證信息處理規(guī)程。 A.10.7.4 系統(tǒng)文件安全 查閱、驗(yàn)證保護(hù)系統(tǒng)文件安全的控制措施。 A.10.8 信息的交換 A.10.8.1 信息交換策略和規(guī)程 查閱、驗(yàn)證組織的信息交換策略和規(guī)程等相關(guān)文件。 A.10.8.2 交換協(xié)議 訪問(wèn)信息安全管理機(jī)構(gòu)，查閱信息和軟件交換協(xié)議。 A.10.8.3 運(yùn)輸中的物理介質(zhì) 詢(xún)問(wèn)、驗(yàn)證組織對(duì)運(yùn)輸中的物理介質(zhì)的保護(hù)措施。 A.10.8.4 電子消息發(fā)送 詢(xún)問(wèn)、驗(yàn)證對(duì)電子郵件等信息發(fā)送的安全保護(hù)措施 A.10.8.5 業(yè)務(wù)信息系統(tǒng) 詢(xún)問(wèn)、驗(yàn)證對(duì)業(yè)務(wù)信息系統(tǒng)的安全保護(hù)措施。 A.10.9 電子商務(wù)服務(wù) A.10.9.1 電子商務(wù) 詢(xún)問(wèn)、驗(yàn)證組織電子商務(wù)中的安全保護(hù)措施。 A.10.9.2 在線交易 詢(xún)問(wèn)、驗(yàn)證組織在線交易中的安全保護(hù)措施。 A.10.9.3 公共可用信息 詢(xún)問(wèn)、驗(yàn)證組織公共信息的安全保護(hù)措施。 A.10.10監(jiān)視 A.10.10.1 審計(jì)記錄 查閱重要系統(tǒng)的日志信息。 A.10.10.2 監(jiān)視系統(tǒng)的使用 檢查、 驗(yàn)證監(jiān)視系統(tǒng)的有效性。 查閱監(jiān)視系統(tǒng)日志等。 A.10.10.3 日志信息的保護(hù) 詢(xún)問(wèn)、驗(yàn)證日志信息的包括措施。 A.10.10.4 管理員和操作員日志 查閱、驗(yàn)證管理員和操作員日志。 A.10.10.5 故障日志 查閱、驗(yàn)證系統(tǒng)的故障日志。 A.10.10.6 時(shí)鐘同步 檢查、驗(yàn)證時(shí)鐘同步措施。 A.11訪問(wèn)控制 A.11.1 訪問(wèn)控制的業(yè)務(wù)要求 A.11.1.1 訪問(wèn)控制策略 查閱訪問(wèn)控制策略等相關(guān)文件。 A.11.2 用戶(hù)訪問(wèn)管理 A.11.2.1 用戶(hù)注冊(cè) 查閱用戶(hù)注冊(cè)、注銷(xiāo)的流程等相關(guān)文件。 A.11.2.2 特殊權(quán)限管理 詢(xún)問(wèn)、驗(yàn)證超級(jí)用戶(hù)等特殊權(quán)限的管理控制措施。 A.11.2.3 用戶(hù)口令管理 檢查、驗(yàn)證用戶(hù)口令的管理控制措施。 A.11.2.4 用戶(hù)訪問(wèn)權(quán)的復(fù)查 查閱用戶(hù)訪問(wèn)權(quán)的復(fù)查、評(píng)審記錄。 A.11.3用戶(hù)職責(zé) A.11.3.1 口令使用 檢查驗(yàn)證用戶(hù)口令使用情況。 A.11.3.2 無(wú)人值守的用戶(hù)設(shè)備 詢(xún)問(wèn)、驗(yàn)證無(wú)人值守的用戶(hù)設(shè)備的安全措施情況。 A.11.3.3 清空桌面和屏幕策略 檢查、驗(yàn)證清空桌面和屏幕策略執(zhí)行情況。 A.11.4網(wǎng)絡(luò)訪問(wèn)控制 A.11.4.1 使用網(wǎng)絡(luò)服務(wù)的策略 查閱、驗(yàn)證使用網(wǎng)絡(luò)服務(wù)的策略和執(zhí)行情況。 A.11.4.2 外部連接的用戶(hù)鑒別 檢查、驗(yàn)證對(duì)外部連接的用戶(hù)鑒別措施。 A.11.4.3 網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí) 檢查網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)。 A.11.4.4 遠(yuǎn)程診斷和配置端口的保護(hù) 檢查、 驗(yàn)證對(duì)網(wǎng)絡(luò)設(shè)備上的遠(yuǎn)程診斷和配置端口的保護(hù)措施。 A.11.4.5 網(wǎng)絡(luò)隔離 檢查、驗(yàn)證網(wǎng)絡(luò)間服務(wù)、用戶(hù)等的隔離措施，如劃分子網(wǎng)等。 A.11.4.6 網(wǎng)絡(luò)連接控制 檢查、驗(yàn)證網(wǎng)絡(luò)連接控制措施。 A.11.4.7 網(wǎng)絡(luò)路由控制 檢查、驗(yàn)證網(wǎng)絡(luò)路由控制措施。 A.11.5 操作系統(tǒng)訪問(wèn)控制 A.11.5.1 安全登錄程序 檢查、驗(yàn)證操作系統(tǒng)的安全登錄控制。 A.11.5.2 用戶(hù)標(biāo)識(shí)和鑒別 檢查、驗(yàn)證操作系統(tǒng)中的用戶(hù)管理。 A.11.5.3 口令管理系統(tǒng) 檢查、驗(yàn)證操作系統(tǒng)的口令管理系統(tǒng) A.11.5.4 系統(tǒng)實(shí)用工具的使用 詢(xún)問(wèn)、驗(yàn)證對(duì)系統(tǒng)食用工具的使用情況 A.11.5.5 會(huì)話(huà)超時(shí) 檢查、驗(yàn)證會(huì)話(huà)超時(shí)的設(shè)置。 A.11.5.6 聯(lián)機(jī)時(shí)間的限制 檢查、驗(yàn)證聯(lián)機(jī)時(shí)間的限制措施。 A.11.6 應(yīng)用和信息訪問(wèn)控制 A.11.6.1信息訪問(wèn)限制 檢查、驗(yàn)證用戶(hù)和支持人員對(duì)信息訪問(wèn)限制措施的有效性 A.11.6.2敏感系統(tǒng)隔離 詢(xún)問(wèn)、驗(yàn)證是否對(duì)不同安全要求的網(wǎng)絡(luò)實(shí)行了物理隔離 A.11.7移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作 A.11.7.1移動(dòng)計(jì)算和通信 詢(xún)問(wèn)、驗(yàn)證移動(dòng)計(jì)算和通信的安全措施 A.11.7.2遠(yuǎn)程工作 A.12信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) A.12.1信息系統(tǒng)的安全需求 A.12.1.1 安全要求分析和說(shuō)明 查閱系統(tǒng)開(kāi)發(fā)中安全需求分析和說(shuō)明等相關(guān)文件 A.12.2 應(yīng)用中的正確處理 A.12.2.1 輸入數(shù)據(jù)的驗(yàn)證 詢(xún)問(wèn)是否有輸入數(shù)據(jù)的驗(yàn)證，查閱驗(yàn)證記錄等 A.12.2.2 內(nèi)部處理的控制 詢(xún)問(wèn)是否有內(nèi)部處理的控制，查閱驗(yàn)證記錄等。 A.12.2.3 消息完整性 詢(xún)問(wèn)是否有消息完整性的驗(yàn)證，查閱驗(yàn)證記錄等。 A.12.2.4 輸出數(shù)據(jù)的驗(yàn)證 詢(xún)問(wèn)是否有輸出數(shù)據(jù)的驗(yàn)證，查閱驗(yàn)證記錄等。 A.12.3 密碼控制 A.12.3.1 使用密碼控制的策略 詢(xún)問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，是否使用密碼控制。 A.12.3.2 密鑰管理 詢(xún)問(wèn)、驗(yàn)證密鑰管理的措施。 A.12.4 系統(tǒng)文件安全 A.12.4.1 運(yùn)行軟件的控制 詢(xún)問(wèn)、驗(yàn)證對(duì)運(yùn)行軟件的控制措施。 A.12.4.2 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù) 詢(xún)問(wèn)對(duì)系統(tǒng)測(cè)試數(shù)據(jù)的包括措施。 A.12.4.3 對(duì)程序源代碼的訪問(wèn)控制 詢(xún)問(wèn)、驗(yàn)證對(duì)程序源代碼的訪問(wèn)控制措施。 A.12.5 開(kāi)發(fā)過(guò)程和支持過(guò)程的安全 A.12.5.1 變更控制規(guī)程 查閱變更控制等相關(guān)文件。 A.12.5.2 操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審 查閱操作系統(tǒng)變更后對(duì)應(yīng)用的技術(shù)評(píng)審記錄。 A.12.5.3 軟件包變更的限制 詢(xún)問(wèn)對(duì)軟件包變更的限制措施。 A.12.5.4 信息泄露 詢(xún)問(wèn)防止信息泄露的措施。 A.12.5.5 外包軟件開(kāi)發(fā) 詢(xún)問(wèn)、驗(yàn)證對(duì)外包軟件開(kāi)發(fā)的控制措施。 A.12.6 技術(shù)脆弱性管理 A.12.6.1 技術(shù)脆弱性的控制 檢查、驗(yàn)證技術(shù)脆弱性的控制措施。是否更新軟件補(bǔ)丁，可以利用脆弱性?huà)呙璧裙ぞ哕浖?lái)獲得審核證據(jù)。 A.13信息安全事故管理 A.13.1報(bào)告信息安全事件和事故 A.13.1.1 報(bào)告信息安全事件 查閱信息安全事件報(bào)告記錄。 A.13.1.2 報(bào)告安全弱點(diǎn) 查閱安全弱點(diǎn)報(bào)告記錄 A.13.2 信息安全事故和改進(jìn)的管理 A.13.2.1 職責(zé)和程序 查閱信息安全事件管理程序等相關(guān)文件。 A.13.2.2對(duì)信息安全事故的總結(jié) 查閱信息安全事件學(xué)習(xí)和總結(jié)記錄 A.13.2.3 證據(jù)的收集 詢(xún)問(wèn)、驗(yàn)證事件處理過(guò)程中的證據(jù)收集的措施。 A.14業(yè)務(wù)連續(xù)性管理 A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面 A.14.1.1 業(yè)務(wù)連續(xù)性管理過(guò)程中包含的信息安全 查閱業(yè)務(wù)連續(xù)性管理等相關(guān)文件。 A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估 詢(xún)問(wèn)、驗(yàn)證組織是否實(shí)施了業(yè)務(wù)中斷的風(fēng)險(xiǎn)評(píng)估，包括中斷的事件、發(fā)生的概率和影響等。 A.14.1.3 制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃 查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件。 A.14.1.4 業(yè)務(wù)連續(xù)性計(jì)劃框架 查閱業(yè)務(wù)連續(xù)性計(jì)劃等相關(guān)文件。 A.14.1.5 測(cè)試、保持和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃 檢查、驗(yàn)證組織對(duì)業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、保持，查閱測(cè)試記錄等。 A.15符合性 A.15.1符合法律要求 A.15.1.1可用法律的識(shí)別 查閱組織識(shí)別的適用的信息安全法律法規(guī)。 A.15.1.2 知識(shí)產(chǎn)權(quán)（IPR） 詢(xún)問(wèn)、驗(yàn)證組織知識(shí)產(chǎn)權(quán)保護(hù)措施。 A.15.1.3 保護(hù)組織的記錄 詢(xún)問(wèn)、查閱組織對(duì)相關(guān)記錄的保護(hù)措施。 A.15.1.4 數(shù)據(jù)保護(hù)和個(gè)人信息的隱私 詢(xún)問(wèn)組織對(duì)數(shù)據(jù)和個(gè)人隱私的包括措施。 A.15.1.5 防止濫用信息處理設(shè)施 檢查、驗(yàn)證組織防止濫用信息處理設(shè)施的措施。 A.15.1.6 密碼控制措施的規(guī)則 詢(xún)問(wèn)、驗(yàn)證組織密碼控制措施情況。 A.15.2符合安全策略和標(biāo)準(zhǔn)，以及技術(shù)符合性 A.15.2.1 符合安全策略和標(biāo)準(zhǔn) 檢查、驗(yàn)證員工遵守信息安全策略、規(guī)程等情況。 A.15.2.2 技術(shù)符合性檢查 詢(xún)問(wèn)、驗(yàn)證組織是否定期進(jìn)行技術(shù)符合性檢查，查閱 檢查記錄等。 A.15.3 信息系統(tǒng)審核考慮 A.15.3.1 信息系統(tǒng)審計(jì)控制措施 詢(xún)問(wèn)、驗(yàn)證組織對(duì)信息系統(tǒng)審計(jì)的控制措施情況。 A.15.3.2 信息系統(tǒng)審計(jì)工具的保護(hù) 詢(xún)問(wèn)、驗(yàn)證組織對(duì)信息系統(tǒng)審計(jì)工具的保護(hù)措施。