资源预览内容
第1页 / 共42页
第2页 / 共42页
第3页 / 共42页
第4页 / 共42页
第5页 / 共42页
第6页 / 共42页
第7页 / 共42页
第8页 / 共42页
第9页 / 共42页
第10页 / 共42页
亲,该文档总共42页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
ISO27001-2003等级保护三级要求对照项目分类等保分类等保三级控制点等保控制目标ISO270000分类ISO27000控制点ISO27000控制目标调查方式调查结果7.2.1 安全管理制度7.2.1.1 管理制度(G3)a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;a) 应访谈安全主管,询问机构的制度体系是否由安全政策、安全策略、管理制度、操作规程等构成,是否定期对安全管理制度体系进行评审,评审周期多长;b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等,是否明确信息系统的安全策略;c) 应检查安全管理制度清单,查看是否覆盖物理、网络、主机系统、数据、应用、管理等层面;d) 应检查是否具有重要管理操作的操作规程,如系统维护手册和用户操作规程等;e) 应检查是否具有安全管理制度体系的评审记录,查看记录日期与评审周期是否一致,是否记录了相关人员的评审意见。A.5.1信息安全政策A.5.1.1信息安全政策文件信息安全政策文件应由管理阶层核准,并公布与传达给所有聘雇人员与相关外部团体。访谈,检查。安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程,评审记录。b) 应对安全管理活动中的各类管理内容建立安全管理制度;c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程;d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。7.2.1.2 制定和发布(G3)a) 应指定或授权专门的部门或人员负责安全管理制度的制定;a) 应访谈安全主管,询问安全管理制度是否在信息安全领导小组或委员会的总体负责下统一制定,参与制定人员有哪些;b) 应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和评审方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定;c) 应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容;d) 应检查管理制度评审记录,查看是否有相关人员的评审意见;e) 应检查安全管理制度文档,查看是否注明适用和发布范围,是否有版本标识,是否有管理层的签字或盖章;查看各项制度文档格式是否统一;f) 应检查安全管理制度的收发登记记录,查看收发是否符合规定程序和发布范围要求。访谈,检查。安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度,收发登记记录。b) 安全管理制度应具有统一的格式,并进行版本控制;c) 应组织相关人员对制定的安全管理制度进行论证和审定;d) 安全管理制度应通过正式、有效的方式发布;e) 安全管理制度应注明发布范围,并对收发文进行登记。7.2.1.3 评审和修订(G3)a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;a) 应访谈安全主管,询问是否定期对安全管理制度进行评审,由何部门/何人负责;b) 应访谈管理人员(负责定期评审、修订和日常维护的人员),询问定期对安全管理制度的评审、修订情况和日常维护情况,评审周期多长,评审、修订程序如何,维护措施如何;c) 应访谈管理人员(负责人员),询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行审定,对需要改进的制度是否进行修订;d) 应检查安全管理制度评审记录,查看记录日期与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度;e) 应检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时对安全管理制度进行审定的记录;f) 应检查是否具有需要定期修订的安全管理制度列表,查看列表是否注明评审周期;g) 应检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单。A.5.1.2审查信息安全政策信息安全政策应在规划期间内或有重大变更发生时加以审查,以确保其持续的适用性、适切性及有效性。访谈,检查。安全主管,管理人员,安全管理制度列表,评审记录,安全管理制度对应负责人或负责部门的清单。b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。7.2.2 安全管理机构7.2.2.1 岗位设置(G3)a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;a) 应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任;b) 应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工作的职能部门);机构内部门设置情况如何,是否明确各部门职责分工;c) 应访谈安全主管,询问是否设立安全管理各个方面的负责人,设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等重要岗位),是否明确各个岗位的职责分工;d) 应访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员,询问其岗位职责包括哪些内容;e) 应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统等各个方面;查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等各个岗位,各个岗位的职责范围是否清晰、明确;查看文件是否明确各个岗位人员应具有的技能要求;f) 应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书;g) 应检查信息安全管理委员会职责文件,查看是否明确描述委员会的职责和其最高领导岗位的职责;h) 应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录(如会议记录/纪要和信息安全工作决策文档等)。A.6信息安全组织A.6.1.3信息安全职责的分派访谈,检查。安全主管,安全管理某方面的负责人,领导小组日常管理工作的负责人,系统管理员,网络管理员,安全员,部门、岗位职责文件,委任授权书,工作记录。b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;A.6.1.1管理阶层对信息安全的承诺管理阶层应在组织内藉由清楚的指示、展现的承诺、明确的分派以及确认信息安全职责,积极地支持安全。d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。A.6.1.2信息安全协调合作信息安全活动应由组织内具有相关角色与工作功能之不同部门的代表协调合作。7.2.2.2 人员配备(G3)a) 应配备一定数量的系统管理员、网络管理员、安全管理员等;a) 应访谈安全主管,询问各个安全管理岗位人员(按照岗位职责文件询问,包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员)配备情况,包括数量、专职还是兼职等;b) 应访谈安全主管,询问对哪些关键岗位实行定期轮岗,定期轮岗情况如何,轮岗周期多长,轮岗手续如何;c) 应检查人员配备要求管理文档,查看是否明确应配备哪些安全管理人员,是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员并明确应配备专职的安全员;查看是否明确对哪些关键岗位(应有列表)实行定期轮岗并明确轮岗周期、轮岗手续等相关内容;d) 应检查管理人员名单,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员的信息,确认安全员是否是专职人员。访谈,检查。安全主管,人员配备要求管理文档,管理人员名单。b) 应配备专职安全管理员,不可兼任;c) 关键事务岗位应配备多人共同管理。7.2.2.3 授权和审批(G3)a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;a) 应访谈安全主管,询问其是否规定对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权;询问是否定期审查、更新审批项目,审查周期多长;b) 应访谈关键活动的批准人,询问其对关键活动的审批范围包括哪些(如网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问,重要管理制度的制定和发布,人员的配备、培训,产品的采购,第三方人员的访问、管理,与合作单位的合作项目等),审批程序如何;c) 应检查授权管理文件,查看文件是否包含需审批事项列表,列表是否明确审批事项和双重审批事项、审批部门、批准人及审批程序等(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批,哪些关键活动应经过哪些部门双重审批等),文件是否说明应定期审查、更新需审批的项目和审查周期等;d) 应检查经双重审批的文档,查看是否具有双重批准人的签字和审批部门的盖章;e) 应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致;f) 应检查审查记录,查看记录日期是否与审查周期一致;g) 应检查是否具有对不再适用的权限及时取消授权的记录。访谈,检查。安全主管,关键活动的批准人,授权管理文件,审批文档,审批记录,审查记录,消除授权记录。b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;A.6.1.4信息处理设施的授权过程新信息处理设施的管理阶层授权过程应被界定与实施。A.6.1.5保密协议应鉴别与定期审查反映组织对信息保护需求的机密性或不可公开协议的各项要求。c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;d) 应记录审批过程并保存审批文档。7.2.2.4 沟通和合作(G3)a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;a) 应访谈安全主管,询问是否建立与外单位(公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等),与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制,与外单位和其他部门有哪些合作内容,沟通、合作方式有哪些;b) 应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施,参加会议的部门和人员有哪些,会议结果如何;信息安全领导小组或者安全管理委员会是否定期召开例会;c) 应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;d) 应访谈安全管理人员(从系统管理员和安全员等人员中抽查),询问其与外单位人员,与组织机构内其他部门人员,与
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号