《ISO27000及等保管理要求三级控制点对照表.docx》由会员分享,可在线阅读,更多相关《ISO27000及等保管理要求三级控制点对照表.docx(20页珍藏版)》请在第一文库网上搜索。
1、IS027000及等保管理要求(三级)控制点对照表h)应检查岗位安全协议,查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容;i)应检查信用审查记录,查看是否记录了审查内容和审查结果等,查看审查时间与审查周期是否一致。a)应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b)应取回各种身份证件、7.2.3.2人员离岗(G3)C)应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。钥匙、徽章等以及机构提供的软硬件设备;a)应访谈安全主管,问询是否及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等;b)应访谈人事工作人
2、员,问询调离手续包括哪些,是否要求调离人员承诺相关保密义务后方可离开;c)应检查人员离岗的管理文档,查看是否规定了调离手续和离岗要求等;d)应检查是否具有交还身份证件和设备等的记录;e)应检查保密承诺文档,查看是否有调离人员的签字。a)应访谈安全主管,问询是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核;b)应访谈人事工作人员,问询对各个岗位人b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;员的考核情况,考核周期多长,考核内容有哪些;问询对人员的安全审查情况,审查人员是否包含所有岗位人员,审查内容有哪些A.8.2.2信息安全认知、教育及训练A.8.3.3存取权限的移除.8.
3、3.2资产的归还执行聘雇终止或者变更的职责应清晰的界定与指派。所有聘雇人员、承包商及第三方使用者在其聘雇、契约或者协议终止时,应归还其拥有的所有组织资产。所有聘雇人员、承包商及第三方使用者对信息与信息处理设施的存取权限,在其聘雇、契约或者协议终止时,或者因变更而调整时,均应予以移除。组织所有聘雇人员、相关的承包商及第三方使用者均应接受与其工作功能相关之适切认知训练,以及组织政策与程序定期更新的内容。a)如果访谈,检查。安全主管,人事工作人员,人员考核记录。7.2.3.3.4b)被访谈人员表述审查内容包含社会关系、社交活动、操作行为等各个方面,则该项为A.8.3.1终止职责访谈,检查。安全主管,
4、人事工作人员,人员离岗管理文档,保密承诺文档。a)应定期对各个岗位的人员进行安全技能及安全认7.2.3.3知的考核;人员考核(G3)(如操作行为、社会关系、社交活动等),是否全面;C)应访谈人事工作人员,问询对违背安全策略和规定的人员有哪些惩戒措施;C)应对考核结果进行记录并保存。d)应检查考核记录,查看记录的考核人员是否包括各个岗位的人员,考核内容是否包含安全知识、安全技能等;查看记录日期与考核周期是否一致。肯定;b)如果7.2.3.3.4c)被访谈人员表述与文件描述一致,则该项为肯定;c)7.2.3.3.4a)-均为肯定,则信息系统符合本单元测评项要求。a)应对各类人员进行安全意识教育、岗
5、位技能培训和相关安全技术培训;b)应对安全责任和惩戒措施进行书面规定并告知相7.2.3.4安全意识教育和培训(G3)关人员,对违反违背安全策a)应访谈安全主管,问询是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训,以什么形式进行,效果如何;b)应访谈安全员、系统管理员、网络管理员和数据库管理员,考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理A.8.2.3惩罚过程对违反安全的聘雇人员,应有正式的惩罚过程。访谈,检查。安全主管,安全员,系统管理员,网络管理员,数据库A.8.2.2管理员,培训计划,培训记录。a)如果7.2.3.4.4b)访谈人员能够表述清晰问询内容,
6、且安全职责、惩戒措施和岗位操作规程表述与文件描述一致,则该项为肯定;b)7.2.3.4.4a)-均为肯定,则信息系统符合本单元测评项要求。略和规定的人员进行惩戒;解程度;C)应对定期安全教育和培训进行书面规定,针对不同C)应检查安全教育和培训计划文档,查看是否具有不同岗位的培训计划;查看计划是否岗位制定不同的培训计划,明确了培训目的、培训方式、培训对象、培对信息安全基础知识、岗位操作规程等进行培训;d)应对安全教育和培训的情况和结果进行记录并归档保存。训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等;d)应检查是否具有安全教育和培训记录,查看记录是否有培训人员、培训内
7、容、培训结果等的描述;查看记录与培训计划是否一致。a)应访谈安全主管,问询对第三方人员(如向系统提供服务的系统软、硬件维护人员,业务合作火伴、评估人员等)的访问采取哪a)应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或者监督,并登记备案;些管理措施,是否要求第三方人员访问前与机构签署安全责任合同书或者保密协议;b)应访谈安全管理人员,问询对第三方人员访问重要区域(如访问主机房、重要服务器或者设备、保密文档等)采取哪些措施,是否经有关负责人书面批准,是否由专人全程陪同或者监督,是否进行记录并备案管理;C)应检查安全责任合同书或者保密协议,查看7.2.3.5外部人员访问管理(G
8、3)是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等。d)应检查第三方人员访问管理文档,查看是否明确第三方人员包括哪些人员,允许第三方人员访问的范围(区域、系统、设备、信b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。息等内容),第三方人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),第三方人员进入的访问控制(由专人全程陪同或者监督等)和第三方人员的离开条件等;e)应检查第三方人员访问重要区域批准文档,查看是否有第三方人员访问重要区域的书面申请,是否有批准人允许访问的批准签字等;f)应检查第三方人员访问重要区域的登记A.1
9、0.2.1服务递送在第三方服务递送协议内所包含的安全控制措施、服务界定及递送等级应确保被第三方加以实施、操作及维持。访谈,检查。安全主管,安全管理人员,安全责任合同书或者保密协议,第三方人员访问管理文档,访问批准文档,登记记录。记录,查看记录是否描述了第三方人员访问重要区域的进入时间、离开时间、访问区域、访问设备或者信息及陪同人等信息。A.10.2.2第三方服务的监督与审查应定期监督与审查由第三方所提供的服务、报告及纪录,并应定期执行稽核。服务条款的变更,包括维持A.10.2.3第三方服务的变更管理与改进现有的信息安全政策、程序及控制措施均应加以管理,并考虑所涉营运系统与过程的重要性以及风险的
10、重新评鉴。a)应明确信息系统的边界7.2.4系统建设管理7.2.4.1系统定级(G3)和安全保护等级;a)应访谈安全主管,问询划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导,是否对其进行明确描访谈,检查。安全主管,系统划分文档,系统定级文档,专家论证文档,系统属a)7.2.4.1.4a)没有上级主管部门的,如果有安全主管的批准,则该项为肯定;b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;述;是否组织相关部门和有关安全技术专家对定级结果进行论证和审定,定级结果是否获得了相关部门(如上级主管部门)的批准;C)应组织相关部门和有关安全技术专家对信息系统定
11、级结果的合理性和正确性进行论证和审定;b)应检查系统划分文档,查看文档是否明确描述信息系统划分的方法和理由;C)应检查系统定级文档,查看文档是否给出信息系统的安全保护等级,是否明确描述确定信息系统为某个安全保护等级的方法和理由,是否给出安全等级保护措施组成S某AyGz值;查看定级结果是否有相关部门的批准盖章;性说明文档。d)应确保信息系统的定级结果经过相关部门的批准。d)应检查专家论证文档,查看是否有专家对定级结果的论证意见;e)应检查系统属性说明文档,查看文档是否明确了系统使命、业务、网络、硬件、软件、数据、边界、人员等。a)应访谈安全主管,问询是否授权专门的部a)对新信息系统之营运要求A.
12、12.1.1安全要求分析与规格A.12.6技术脆弱性管理声明,或者对现有信息系统的提升,应规定安全控制措施要求。B)降低因所使用之已发布技术的脆弱性所导致的风险。访谈,检查。安全主管,系统建设负责人,总体安全策略文档,安全技术框架,安全管理策略文档,总体建a)应根据系统的安全保护等级选择基本安全措施,并7.2.4.2依据风险分析的结果补充安全方案设计(G3)b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和和调整安全措施;门对信息系统的安全建设进行总体规划,由何部门/何人负责;b)应访谈系统建设负责人,问询是否制定近期和远期的安全建设工作计划,是否根据系统的安全级别选择基本
13、安全措施,是否依据风险分析的结果补充和调整安全措施,做过哪些调整;C)应访谈系统建设负责人,问询是否根据信息系统的等级划分情况,统一考虑安全保障设规划书,详细设计方案,专家论证文远期的安全建设工作计划;体系的总体安全策略、安全技术框架、安全C)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设管理策略、总体建设规划和详细设计方案等;d)应访谈系统建设负责人,问询是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定,并经过管理部门的档,维护记录。计方案,并形成配套文件;批准;d)应
14、组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全e)应访谈系统建设负责人,问询是否根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、A.12.2应用系统的正确处理防止应用系统内信息的错误、遗失、未授权修改或者误用。管理策略、总体建设规划、总体建设规划、详细设计方案等相关配套文详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才干正式实施;件,维护周期多长;f)应检查系统的安全建设工作计划,查看文件是否明确了统的近期安全建设计划和远期安全建设计划;g)应检查系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设
15、计方案等配套文件,查看各个文件是否有机e)应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。构管理层的批准;h)应检查专家论证文档,查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见;i)应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或者修订版本,查看记录日期与维护周期是否一致。a)应访谈安全主管,问询是否有专门的部门a)应确保安全产品采购和使用符合国家的有关规定;负责产品的采购
16、,由何部门负责;b)应访谈系统建设负责人,问询系统信息安全产品的采购情况,采购产品前是否预先对产品进行选型测试确定产品的候选范围,是否有产品采购清单指导产品采购,采购过程b)应确保密码产品采购和使用符合国家密码主管部门的要求;如何控制,是否定期审定和更新候选产品名单,审定周期多长;C)应访谈系统建设负责人,问询系统是否采用了密码产品,密码产品的使用是否符合国家密码主管部门的要求;7.2.4.3产品采购和使用(G3)C)应指定或者授权专门的部门负责产品的采购;d)应检查产品采购管理制度,查看内容是否明确采购过程的控制方法(如采购前对产品做选型测试,明确需要的产品性能指标,确定产品的候选范围,通过招投标方式确定采购产品等)和人员行为准则等方面;e)应检查系统使用的有关信息安全产品(边界安全设备、重要服务器操作系统、数据库等)是否符合国家的有关规定;d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。f)应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定,例如商用密码管理条例规定任何单位只能