ISO27000及等保管理要求（三级）控制点对照表

ISO27001-2003——等级保护三级要求对照 项目分类 等保分类 等保三级控制点 a) 应制定信息安全工作的总体方针和安全策略，说明等保控制目标 a) 应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作A.5.1.1信息安全政策文件 ISO270000分类 ISO27000控制点 ISO27000控制目标 信息安全政策文件应由管理阶层核准，并公布与传达给所有聘雇人员与相关外部团体。 访谈，检查。 安全主管，总体方针、政策A.5.1信息安全政策 性文件和安全策略文件，安全管理制度清单，操作规程，评审记录。 调查方式 调查结果 机构安全工作的总体目标、规程等构成，是否定期对安全管理制度体系范围、原则和安全框架等； 进行评审，评审周期多长； b) 应对安全管理活动中的各类管理内容建立安全管7.2.1.1 管理制度7.2.1 安全管理制度 d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 （G3） 理制度； c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等，是否明确信息系统的安全策略； c) 应检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用、管理等层面； d) 应检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等； e) 应检查是否具有安全管理制度体系的评审记录，查看记录日期与评审周期是否一致，是否记录了相关人员的评审意见。 a) 应指定或授权专门的部7.2.1.2 制定和发布（G3） 门或人员负责安全管理制度的制定； b) 安全管理制度应具有统一的格式，并进行版本控制； a) 应访谈安全主管，询问安全管理制度是否在信息安全领导小组或委员会的总体负责下统一制定，参与制定人员有哪些； b) 应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和评审方式如何（如召开评 访谈，检查。 安全主管，制度制定和发布要求管理文 档，评审记录， 安全管理制 c) 应组织相关人员对制定的安全管理制度进行论证和审定； d) 安全管理制度应通过正式、有效的方式发布； 审会、函审、内部审核等），是否按照统一的格式标准或要求制定； c) 应检查制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容； d) 应检查管理制度评审记录，查看是否有相关人员的评审意见； e) 应检查安全管理制度文档，查看是否注明 度，收发登记记录。 e) 安全管理制度应注明发布范围，并对收发文进行登记。 适用和发布范围，是否有版本标识，是否有管理层的签字或盖章；查看各项制度文档格式是否统一； f) 应检查安全管理制度的收发登记记录，查看收发是否符合规定程序和发布范围要求。 a) 应访谈安全主管，询问是否定期对安全管访谈，检查。 信息安全政策应在规划期 A.5.1.2审查信息安全政策 间内或有重大变更发生时加以审查，以确保其持续的适用性、适切性及有效性。 安全主管，管理人员，安全管理制度列表，评审记录，安全管理制度对应负责人或 a) 信息安全领导小组应负7.2.1.3 责定期组织相关部门和相评审和修关人员对安全管理制度体理制度进行评审，由何部门/何人负责； b) 应访谈管理人员（负责定期评审、修订和日常维护的人员），询问定期对安全管理制度的评审、修订情况和日常维护情况，评审周期多长，评审、修订程序如何，维护措施如何； 订（G3） 系的合理性和适用性进行审定； c) 应访谈管理人员（负责人员），询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行审定，对需要改进的制度是否进行修订； d) 应检查安全管理制度评审记录，查看记录b) 应定期或不定期对安全日期与评审周期是否一致；如果对制度做过 负责部门的清单。 管理制度进行检查和审定，修订，检查是否有修订版本的安全管理制度； 对存在不足或需要改进的安全管理制度进行修订。 e) 应检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时对安全管理制度进行审定的记录； f) 应检查是否具有需要定期修订的安全管理制度列表，查看列表是否注明评审周期； g) 应检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单。 a) 应设立信息安全管理工7.2.2.1 作的职能部门，设立安全主岗位设臵（G3） 管、安全管理各个方面的负责人岗位，并定义各负责人的职责； a) 应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任； b) 应访谈安全主管，询问是否设立专职的安全管理机构（即信息安全管理工作的职能部 访谈，检查。 安全主管，安A.6信息安全组织 A.6.1.3信息安全职责的分派 全管理某方面的负责人，领导小组日常管理工作的负责 7.2.2 安全管理机构 b) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责； 门）；机构内部门设臵情况如何，是否明确各部门职责分工； c) 应访谈安全主管，询问是否设立安全管理各个方面的负责人，设臵了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理阶层应在组织内藉由A.6.1.1管理阶层对信息安全的承诺 清楚的指示、展现的承诺、明确的分派以及确认信息安全职责，积极地支持安全。 人，系统管理员，网络管理员，安全员，部门、岗位职责文件，委任授权书，工作记录。 c) 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权； 员等重要岗位），是否明确各个岗位的职责分工； d) 应访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员，询问其岗位职责包括哪些内容； e) 应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设臵安全主管、安全管理各个方面的d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 信息安全活动应由组织内A.6.1.2信息安全协调合作 具有相关角色与工作功能之不同部门的代表协调合作。 负责人、机房管理员、系统管理员、网络管理员、安全员等各个岗位，各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求； f) 应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书； g) 应检查信息安全管理委员会职责文件，查看是否明确描述委员会的职责和其最高领导岗位的职责； h) 应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录（如会议记录/纪要和信息安全工作决策文档等）。 a) 应访谈安全主管，询问各个安全管理岗位a) 应配备一定数量的系统管理员、网络管理员、安全管理员等； 人员（按照岗位职责文件询问，包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等； b) 应访谈安全主管，询问对哪些关键岗位实b) 应配备专职安全管理员，不可兼任； 7.2.2.2 人员配备（G3） 行定期轮岗，定期轮岗情况如何，轮岗周期多长，轮岗手续如何； c) 应检查人员配备要求管理文档，查看是否明确应配备哪些安全管理人员，是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员并明确应配备专职的安全员；查看是否明确对哪些关c) 关键事务岗位应配备多人共同管理。 键岗位（应有列表）实行定期轮岗并明确轮岗周期、轮岗手续等相关内容； d) 应检查管理人员名单，查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员的信息，确认安全员是否是专职人员。 访谈，检查。 安全主管，人员配备要求管理文档，管理人员名单。

a) 应访谈安全主管，询问其是否规定对信息a) 应根据各个部门和岗位系统中的关键活动进行审批，审批部门是何 的职责明确授权审批事项、部门，批准人是何人，他们的审批活动是否审批部门和批准人等； 得到授权；询问是否定期审查、更新审批项b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度； 目，审查周期多长； b) 应访谈关键活动的批准人，询问其对关键活动的审批范围包括哪些（如网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问，重要管理制度的制定和发布，人员的配备、培训，产品的采购，第三方人员的访问、管理，与合作单位的合作项目等），审批程序如何； c) 应检查授权管理文件，查看文件是否包含 需审批事项列表，列表是否明确审批事项和双重审批事项、审批部门、批准人及审批程序等（如列表说明哪些事项应经过信息安全c) 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息； 领导小组审批，哪些事项应经过安全管理机构审批，哪些关键活动应经过哪些部门双重审批等），文件是否说明应定期审查、更新需审批的项目和审查周期等； d) 应检查经双重审批的文档，查看是否具有双重批准人的签字和审批部门的盖章； d) 应记录审批过程并保存审批文档。 e) 应检查关键活动的审批过程记录，查看记录的审批程序与文件要求是否一致； f) 应检查审查记录，查看记录日期是否与审查周期一致； A.6.1.5保密协议 应鉴别与定期审查反映组织对信息保护需求的机密性或不可公开协议的各项要求。 A.6.1.4信息处理设施的授权过程 新信息处理设施的管理阶层授权过程应被界定与实施。 访谈，检查。 安全主管，关键活动的批准人，授权管理文件，审批文档，审批记录，审查记录，消除授权记录。 7.2.2.3 授权和审批（G3） g) 应检查是否具有对不再适用的权限及时取消授权的记录。 a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题； a) 应访谈安全主管，询问是否建立与外单位（公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等），与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制，与外单位和其他部门有哪些合作内容，沟通、合作方式有哪些； b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通； 7.2.2.4 沟通和合作（G3） c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通； b) 应访谈安全主管，询问是否召开过部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题，安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；信息安全领导小组或者安全管理委员会是否定期召开例会； c) 应访谈安全主管，询问是否聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等； d) 应访谈安全管理人员（从系统管理员和安A.6.2.3说明第三方契约的安全要求 凡涉及存取、处理、通讯或管理组织的信息或信息处理设施，或在信息处理设施上附加产品或服务者，应在与第三方之协议中涵盖所有相关的安全要求。 a)应与有关的主管机关维持A.6.1.6与主管机关的联系 A.6.2.1鉴别与外部团体有关的风险 适当联系。 B)组织营运过程中涉及外部团体的组织信息与信息处理设施之风险，应在核准外部团体存取前被加以鉴 访谈，检查。 安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档，安全顾问名单。 d) 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息； 全员等人员中抽查），询问其与外单位人员，与组织机构内其他部门人员，与内部各部门管理人员之间的沟通方式和主要沟通内容有哪些； e) 应检查部门间协调会议文件或会议记录， 查看是否有会议内容、会议时间、参加人员和结果等的描述； f) 应检查安全工作会议文件或会议记录，查看是否有会议内容、会议时间、参加人员和会议结果等的描述； g) 应检查信息安全领导小组或者安全管理委员会定期例会会议文件或会议记录，查看是否有会议内容、会议时间、参加人员、会议结果等的描述； h) 应检查外联单位说明文档，查看外联单位e) 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。 是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等，是否说明外联单位的联系人和联系方式等内容； i) 应检查是否具有安全顾问名单或者聘请安全顾问的证明文件，查看由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录，是否具有由安全顾问签字的相关建议。 7.2.2.5 审核和检查（G3） a) 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； a) 应访谈安全主管，询问是否组织人员定期对信息系统进行安全检查，检查周期多长，是否定期分析、评审异常行为的审计记录； b) 应访谈安全员，询问安全检查包含哪些内A.6.1.8独立的信息安全审查 A.6.1.7与特殊利害团体的联系 别，并实施适当的控制措施。 应与特殊利害团体或其它安全论坛专家及专业协会维持适当联系。 应在规划的期间内或发生安全实施上有重大变更时，独立审查组织管理信息安全的方案与其实施（例如：访谈，检查。 安全主管，安全员，安全检查制度，安全 b) 应由内部人员或上级单容，检查人员有哪些，检查程序是否按照系信息安全的控制目标、控制检查报告，审位定期进行全面安全检查，统相关策略和要求进行，是否制定安全检查检查内容包括现有安全技术措施的有效性、安全配臵与安全策略的一致性、安全管理制度的执行情况等； c) 应制定安全检查表格实施安全检查，汇总安全检查表格实施安全检查，检查结果如何，是否对检查结果进行通报，通报形式、范围如何； c) 应检查安全检查制度文档，查看文档是否规定检查内容、检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性、安全配臵与安全策略的一致性、安全管措施、政策、过程及程序）。 计分析报告，安全检查过程记录，安全检查表格。 数据，形成安全检查报告，理制度的执行情况等，是否包括用户账号情并对安全检查结果进行通报； 况、系统漏洞情况、系统审计情况等； d) 应检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 描述； e) 应检查安全检查过程记录，查看记录的检查程序与文件要求是否一致； f) 应检查审计分析报告，查看报告日期与检查周期是否一致，报告中是否有分析人员、异常问题和分析结果等的描述，是否对发现的问题提出相应的措施； g) 应检查是否具有安全检查表格。 A.6.2.2处理顾客事务的安全说明 在给予客户存取组织信息或资产前，所有已鉴别的安全要求应被提出说明 a) 应访谈人事负责人，询问在人员录用时对人员条件有哪些要求，目前录用的安全管理和技术人员是否有能力完成与其职责相对应a) 应指定或授权专门的部门或人员负责人员录用； 的工作； b) 应访谈人事工作人员，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，录用后是否与其签署保密协议，是否b) 应严格规范人员录用过程，对被录用人的身份、背7.2.3 人员安全管理 景、专业资格和资质等进行7.2.3.1 审查，对其所具有的技术技人员录用（G3） c) 应签署保密协议； 能进行考核； 对其说明工作职责； c) 应访谈人事负责人，询问对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全安全协议，是否定期对关键岗位人员进行信用审查，审查周期多长； d) 应检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等； e) 应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录，查看是否记录审查内容和审d) 应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。 查结果等； f) 应检查技能考核文档或记录，查看是否记录考核内容和考核结果等； g) 应检查保密协议，查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容； A.8.1.3聘雇条款 A.8 人力资源安全 A.8.1.2筛选 A.8.1.1角色与职责 A.8.2.1管理职责 聘雇人员、承包商及第三方使用者的安全角色与职责，应依照组织的信息安全政策加以界定与文件化。 管理阶层应要求聘雇人员、承包商及第三方使用者，依照组织已制定的政策与程序应用于安全事宜。 应依照相关法律、法规及伦理，并兼顾营运要求之相称性、被存取信息的分类及所理解的风险，对所有聘雇之应征者、承包商及第三方使用者，进行背景查证核对 访谈，检查。 人事负责人，人事工作人员，人员录用要求管理文档，人员审查文档或记录，考核文档或记录，保密协议， 岗位安全协身为契约义务的一方，聘雇人员、承包商及第三方使用者应同意并签署其聘雇契约的条款，该契约应陈述其与组织对信息安全的职责。 议，审查记录。

h) 应检查岗位安全协议，查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容； i) 应检查信用审查记录，查看是否记录了审查内容和审查结果等，查看审查时间与审查周期是否一致。 a) 应严格规范人员离岗过程，及时终止离岗员工的所有访问权限； b) 应取回各种身份证件、7.2.3.2 人员离岗（G3） c) 应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。 钥匙、徽章等以及机构提供的软硬件设备； a) 应访谈安全主管，询问是否及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等； b) 应访谈人事工作人员，询问调离手续包括哪些，是否要求调离人员承诺相关保密义务后方可离开； c) 应检查人员离岗的管理文档，查看是否规定了调离手续和离岗要求等； d) 应检查是否具有交还身份证件和设备等的记录； e) 应检查保密承诺文档，查看是否有调离人员的签字。 a) 应访谈安全主管，询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核； b) 应访谈人事工作人员，询问对各个岗位人b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核； 员的考核情况，考核周期多长，考核内容有哪些；询问对人员的安全审查情况，审查人员是否包含所有岗位人员，审查内容有哪些A.8.2.2信息安全认知、教育及训练 A.8.3.3存取权限的移除 A.8.3.2资产的归还 执行聘雇终止或变更的职责应清楚的界定与指派。 所有聘雇人员、承包商及第三方使用者在其聘雇、契约或协议终止时，应归还其拥有的所有组织资产。 所有聘雇人员、承包商及第三方使用者对信息与信息处理设施的存取权限，在其聘雇、契约或协议终止时，或因变更而调整时，均应予以移除。 组织所有聘雇人员、相关的承包商及第三方使用者均应接受与其工作功能相关之适切认知训练，以及组织政策与程序定期更新的内容。 a) 如果访谈，检查。 安全主管，人事工作人员，人员考核记录。 7.2.3.3.4 b）被访谈人员表述审查内容包含社会关系、社交活动、操作行为等各个方面，则该项为A.8.3.1终止职责 访谈，检查。 安全主管，人事工作人员，人员离岗管理文档，保密承诺文档。 a) 应定期对各个岗位的人员进行安全技能及安全认7.2.3.3 知的考核； 人员考核（G3） （如操作行为、社会关系、社交活动等），是否全面； c) 应访谈人事工作人员，询问对违背安全策略和规定的人员有哪些惩戒措施； c) 应对考核结果进行记录并保存。 d) 应检查考核记录，查看记录的考核人员是否包括各个岗位的人员，考核内容是否包含安全知识、安全技能等；查看记录日期与考核周期是否一致。 肯定； b) 如果7.2.3.3.4 c）被访谈人员表述与文件描述一致，则该项为肯定； c) 7.2.3.3.4 a）-d）均为肯定，则信息系统符合本单元测评项要求。 a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； b) 应对安全责任和惩戒措施进行书面规定并告知相7.2.3.4 安全意识教育和培训（G3） 关人员，对违反违背安全策a) 应访谈安全主管，询问是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训，以什么形式进行，效果如何； b) 应访谈安全员、系统管理员、网络管理员和数据库管理员，考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理A.8.2.3惩罚过程 对违反安全的聘雇人员，应有正式的惩罚过程。 访谈，检查。 安全主管，安全员，系统管理员，网络管理员，数据库 A.8.2.2 管理员，培训计划，培训记录。 a) 如果7.2.3.4.4 b）访谈人员能够表述清楚询问内容，且安全职责、惩戒措施和岗位操作规程表述与文件描述一致，则该项为肯定； b) 7.2.3.4.4 a）-d）均为肯定，则信息系统符合 本单元测评项要求。 略和规定的人员进行惩戒； 解程度； c) 应对定期安全教育和培训进行书面规定，针对不同c) 应检查安全教育和培训计划文档，查看是否具有不同岗位的培训计划；查看计划是否岗位制定不同的培训计划，明确了培训目的、培训方式、培训对象、培对信息安全基础知识、岗位操作规程等进行培训； d) 应对安全教育和培训的情况和结果进行记录并归档保存。 训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等； d) 应检查是否具有安全教育和培训记录，查看记录是否有培训人员、培训内容、培训结果等的描述；查看记录与培训计划是否一致。 a) 应访谈安全主管，询问对第三方人员（如向系统提供服务的系统软、硬件维护人员，业务合作伙伴、评估人员等）的访问采取哪a) 应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案； 些管理措施，是否要求第三方人员访问前与机构签署安全责任合同书或保密协议； b) 应访谈安全管理人员，询问对第三方人员访问重要区域（如访问主机房、重要服务器或设备、保密文档等）采取哪些措施，是否经有关负责人书面批准，是否由专人全程陪同或监督，是否进行记录并备案管理； c) 应检查安全责任合同书或保密协议，查看7.2.3.5 外部人员访问管理（G3） 是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等。 d) 应检查第三方人员访问管理文档，查看是否明确第三方人员包括哪些人员，允许第三方人员访问的范围（区域、系统、设备、信b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 息等内容），第三方人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），第三方人员进入的访问控制（由专人全程陪同或监督等）和第三方人员的离开条件等； e) 应检查第三方人员访问重要区域批准文档，查看是否有第三方人员访问重要区域的书面申请，是否有批准人允许访问的批准签字等； f) 应检查第三方人员访问重要区域的登记A.10.2.1服务递送 在第三方服务递送协议内所包含的安全控制措施、服务界定及递送等级应确保被第三方加以实施、操作及维持。 访谈，检查。 安全主管，安全管理人员，安全责任合同书或保密协议，第三方人员访问管理文档，访问批准文档，登记记录。 记录，查看记录是否描述了第三方人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息。 A.10.2.2第三方服务的监督与审查 应定期监督与审查由第三方所提供的服务、报告及纪录，并应定期执行稽核。 服务条款的变更，包括维持 A.10.2.3第三方服务的变更管理 与改进现有的信息安全政策、程序及控制措施均应加以管理，并考虑所涉营运系统与过程的重要性以及风险的重新评鉴。 a) 应明确信息系统的边界7.2.4 系统建设管理 7.2.4.1 系统定级（G3） 和安全保护等级； a) 应访谈安全主管，询问划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导，是否对其进行明确描 访谈，检查。 安全主管，系统划分文档，系统定级文 档，专家论证文档，系统属a) 7.2.4.1.4 a）没有上级主管部门的，如果有安全主管的批准，则该项为肯定； b) 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由； 述；是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，定级结果是否获得了相关部门（如上级主管部门）的批准； c) 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定； b) 应检查系统划分文档，查看文档是否明确描述信息系统划分的方法和理由； c) 应检查系统定级文档，查看文档是否给出信息系统的安全保护等级，是否明确描述确定信息系统为某个安全保护等级的方法和理由，是否给出安全等级保护措施组成SxAyGz值；查看定级结果是否有相关部门的批准盖章； 性说明文档。 d) 应确保信息系统的定级结果经过相关部门的批准。 d) 应检查专家论证文档，查看是否有专家对定级结果的论证意见； e) 应检查系统属性说明文档，查看文档是否明确了系统使命、业务、网络、硬件、软件、数据、边界、人员等。 a) 应访谈安全主管，询问是否授权专门的部 a)对新信息系统之营运要求A.12.1.1安全要求分 析与规格 A.12.6 技术脆弱性管理 声明，或对现有信息系统的提升，应规定安全控制措施要求。 B)降低因所使用之已公布技术的脆弱性所导致的风险。 访谈，检查。 安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建 a) 应根据系统的安全保护等级选择基本安全措施，并7.2.4.2 依据风险分析的结果补充安全方案设计（G3） b) 应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和和调整安全措施； 门对信息系统的安全建设进行总体规划，由何部门/何人负责； b) 应访谈系统建设负责人，询问是否制定近期和远期的安全建设工作计划，是否根据系统的安全级别选择基本安全措施，是否依据风险分析的结果补充和调整安全措施，做过哪些调整； c) 应访谈系统建设负责人，询问是否根据信息系统的等级划分情况，统一考虑安全保障 设规划书，详细设计方案，专家论证文 远期的安全建设工作计划； 体系的总体安全策略、安全技术框架、安全

c) 应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设管理策略、总体建设规划和详细设计方案等； d) 应访谈系统建设负责人，询问是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定，并经过管理部门的 档，维护记录。 计方案，并形成配套文件； 批准； d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全e) 应访谈系统建设负责人，询问是否根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、 A.12.2 应用系统的正确处理 防止应用系统内信息的错误、遗失、未授权修改或误用。 管理策略、总体建设规划、总体建设规划、详细设计方案等相关配套文详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施； 件，维护周期多长； f) 应检查系统的安全建设工作计划，查看文件是否明确了系统的近期安全建设计划和远期安全建设计划； g) 应检查系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件，查看各个文件是否有机e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 构管理层的批准； h) 应检查专家论证文档，查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见； i) 应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本，查看记录日期与维护周期是否一致。 a) 应访谈安全主管，询问是否有专门的部门a) 应确保安全产品采购和使用符合国家的有关规定； 负责产品的采购，由何部门负责； b) 应访谈系统建设负责人，询问系统信息安全产品的采购情况，采购产品前是否预先对产品进行选型测试确定产品的候选范围，是否有产品采购清单指导产品采购，采购过程b) 应确保密码产品采购和使用符合国家密码主管部门的要求； 如何控制，是否定期审定和更新候选产品名单，审定周期多长； c) 应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用是否符合国家密码主管部门的要求； 7.2.4.3 产品采购和使用（G3） c) 应指定或授权专门的部门负责产品的采购； d) 应检查产品采购管理制度，查看内容是否明确采购过程的控制方法（如采购前对产品做选型测试，明确需要的产品性能指标，确定产品的候选范围，通过招投标方式确定采购产品等）和人员行为准则等方面； e) 应检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系统、数据库等）是否符合国家的有关规定； d) 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。 f) 应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定，例如《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案，《计算机信息系 访谈，检查。 安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。 a) 如果7.2.4.4.4 c）访谈说明没有采用密码产品，则测评实施c）、f）为不适用； 统保密工作暂行规定》规定涉密系统配臵合格的保密专用设备，所采取的保密措施应与所处理信息的密级要求相一致等； g) 应检查是否具有产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。 a) 应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制； b) 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则； c) 应制定代码编写安全规7.2.4.4 范，要求开发人员参照规范自行软件开发（G3） 编写代码； d) 应确保提供软件设计的相关文档和使用指南，并由专人负责保管； a) 应访谈系统建设负责人，询问系统是否自主开发软件，是否对程序资源库的修改、更新、发布进行授权和批准，授权部门是何部门，批准人是何人，软件开发是否有相应的控制措施，是否要求开发人员不能做测试人员（即二者分离），是否在独立的模拟环境中编写、调试和完成； b) 应访谈系统建设负责人，询问系统开发文档是否由专人负责保管，负责人是何人，如何控制使用（如限制使用人员范围并做使用登记等），测试数据和测试结果是否受到控制； c) 应检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码说明文档等）和软件使用指南或操作手册和维护手册等； e) 应确保对程序资源库的修改、更新、发布进行授权和批准。 d) 应检查软件开发环境与系统运行环境在物理上是否是分开的； e) 应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录，查看是否有批准人的签字； 访谈，检查。 系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。 A.10.1.4开发、测试及操作设施的分隔 应分隔开发、测试及操作设施，以降低对操作系统未经授权存取或变更的风险。 f) 应检查是否具有系统软件开发相关文档（软件设计和开发程序文件、测试数据、测试结果、维护手册等）的使用控制记录。 a) 应根据开发需求检测软件质量； a) 应访谈系统建设负责人，询问在外包软件前是否对软件开发单位以书面文档形式（如软件开发安全协议）规范软件开发单位的责任、开发过程中的安全行为、开发环境要求、软件质量、开发后的服务承诺等内容； b) 应访谈系统建设负责人，询问是否具有独立对软件进行日常维护和使用所需的文档，开发单位是否为软件的正常运行和维护提供过技术支持，以何种方式进行； c) 应访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对软件功能和性能等进行验收检测，验收检测是否是由开发商和委托方共同参与；软件安装之前是否检测软件中的恶意代码，检测工具是否是d) 应要求开发单位提供软件源代码，并审查软件中可能存在的后门。 第三方的商业产品； d) 应检查软件开发协议，查看其是否规定知识产权归属、安全行为等内容； e) 应检查是否具有需求分析说明书、软件设计说明书、软件操作手册等开发文档以及用户培训计划、程序员培训手册等后期技术支持文档。 访谈，检查。 系统建设负责人，软件开发安全协议，软件开发文档，软件培训文档。 b) 应在软件安装之前检测软件包中可能存在的恶意代码； c) 应要求开发单位提供软7.2.4.5 外包软件开发（G3） 件设计的相关文档和使用指南； a) 应指定或授权专门的部门或人员负责工程实施过程的管理； b) 应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程； 7.2.4.6 工程实施（G3） c) 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。 a) 应访谈系统建设负责人，询问是否以书面形式（如工程安全建设协议）约束工程实施方的工程实施行为； b) 应访谈系统建设负责人，询问是否指定专门人员或部门按照工程实施方案的要求对工程实施过程进行进度和质量控制，是否将控制方法和工程人员行为规范制度化，是否要求工程实施单位提供其能够安全实施系统建设的资质证明和能力保证； c) 应检查工程安全建设协议，查看其是否规定工程实施方的责任、任务要求、质量要求等方面内容，约束工程实施行为； d) 应检查工程实施方案，查看其是否规定工程时间限制、进度控制、质量控制等方面内容，工程实施过程是否按照实施方案形成各种文档，如阶段性工程报告； e) 应检查工程实施管理制度，查看其是否规定工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）、实施参与人员的各种行为等方面内容。 访谈，检查。 系统建设负责人，工程安全建设协议，工程实施方案，工程实施管理制度。 7.2.4.7 规划与验收（G3） a) 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告； a) 应访谈系统建设负责人，询问在信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试； A.10.3.2系统验收 对新的信息系统、系统升级及新版本的验收准则应加以建立，并且在开发期间与验收前应完成适当之系统访谈，检查。 系统建设负责人，测试方案，测试记录，测

b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告； c) 应对系统测试验收的控制方法和人员行为准则进行书面规定； d) 应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作； e) 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。 a) 应制定详细的系统交付清单，并根据交付清单对所软件和文档等7.2.4.8 交接的设备、系统交付（G3） 进行清点； b) 应对负责系统运行维护的技术人员进行相应的技能培训； b) 应访谈系统建设负责人，询问是否指定专门部门负责测试验收工作，由何部门负责，是否对测试过程（包括测试前、测试中和测试后）进行文档化要求和制度化要求； c) 应访谈系统建设负责人，询问是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定； d) 应检查工程测试方案，查看其是否对参与测试部门、人员、现场操作过程等进行要求；查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容；查看测试报告是否提出存在问题及改进意见等； e) 应检查是否具有系统验收报告； f) 应检查验收测试管理制度是否对系统验收测试的过程控制、参与人员的行为等进行规定。 a) 应访谈系统建设负责人，询问交接手续是什么，系统交接工作是否由专门部门按照该手续办理，是否根据交付清单对所交接的设备、文档、软件等进行清点，交付清单是否满足合同的有关要求；是否对交付工作进行制度化要求； b) 应访谈系统建设负责人，询问目前的信息 测试。 试报告，验收报告，验收测试管理制度。 访谈，检查。 系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制 c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档； d) 应对系统交付的控制方法和人员行为准则进行书面规定； 系统是否由内部人员独立运行维护，如果是，系统建设实施方是否对运维技术人员进行过培训，针对哪些方面进行过培训，是否以书面形式承诺对系统运行维护提供一定的技术支持服务，是否按照服务承诺书的要求进行过技术支持，以何形式进行，系统是否具有支持其独立运行维护所需的文档； c) 应检查系统交付清单，查看其是否具有系统建设文档（如系统建设方案）、指导用户 A.12.4 系统档案的安全 确保系统档案的安全。 度。 e) 应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作。 进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档名称； d) 应检查是否具有系统建设方的服务承诺书和对系统进行的培训记录； e) 应检查系统交付管理制度，查看其是否规定了交付过程的控制方法和对交付参与人员的行为限制等方面内容。 a) 应指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的7.2.4.9 系统备案（G3） 使用； b) 应将系统等级及相关材料报系统主管部门备案； c) 应将系统等级及其他要求的备案材料报相应公安机关备案。 a) 应访谈安全主管，询问是否有专门的人员或部门负责管理系统定级、系统属性等文档，由何部门/何人负责； b) 应访谈文档管理员，询问对系统定级、系统属性等文档采取哪些控制措施（如限制使用范围、使用登记记录等）； c) 应检查是否具有将系统定级文档和系统属性说明文件等材料报主管部门备案的记录或备案文档； d) 应检查是否具有将系统等级、系统属性和 访谈，检查。 安全主管，文档管理员，备案记录。 等级划分理由等备案材料报相应公安机关备案的记录或证明； e) 应检查是否具有系统定级文档和系统属性说明文件等相关材料的使用控制记录。 a) 在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改； b) 应在系统发生变更时及时对系统进行等级测评，发7.2.4.10 现级别发生变化的及时调等级测评（G3） 整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改； c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评； d) 应指定或授权专门的部门或人员负责等级测评的管理。 7.2.4.11 安全服务商选择（G3） a) 应确保安全服务商的选择符合国家的有关规定； b) 应与选定的安全服务商签订与安全相关的协议，明确约定相关责任； a) 应访谈系统建设负责人，询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定。 / / 访谈。 系统建设负责人。 c) 应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。 a) 应访谈物理安全负责人，询问是否指定专人或部门对机房基本设施（如空调、供配电a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； 设备等）进行定期维护，由何部门/何人负责，维护周期多长； b) 应访谈物理安全负责人，询问是否指定人员负责机房安全管理工作，对机房进出管理是否要求制度化和文档化； c) 应访谈机房值守人员，询问对外来人员进7.2.5 系统运维管理 7.2.5.1 环境管理（G3） 出机房是否采用人工记录和电子记录双重控b) 应指定部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理； c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定； 制； d) 应访谈工作人员，询问对办公环境的保密性要求事项； e) 应检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面； f) 应检查办公环境管理文档，查看其内容是否对工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等）、人员调离办公室后的行为等方面进行规定； g) 应检查机房进出登记表，查看是否记录外A.9.1.6公共存取、递送及装卸区 A9.1物理与环境安全 A.9.1.2实体进入控制措施 A.9.1.1实体安全周界 A.9.1.4对外部与环境威胁的保护 应使用安全周界（例如墙、卡片控制的进入信道或人工驻守的柜台等屏障），以保护含有信息与信息处理设施的区域。 应设计与运用实体保护，以避免遭受火灾、洪水、地震、爆炸、民众暴动及其它天然或人为灾难的损害 安全区域应藉由适当的进入控制措施加以保护，以确保只有授权人员方可允许进入。 诸如递送与装卸区以及其它未经授权人员可能进入作业场所之进入点应加以管制；并且，若可能，应将信息处理设施隔离，以避免未经授权的存取。 访谈，检查。 物理安全负责人，机房值守人员，机房工作人员，机房安全管理制度，办公环境管理文档，设备维护记录，机房进出登记表，机房电子门禁系统及其电子记录。 d) 应加强对办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等； e) 应对机房和办公环境实行统一策略的安全管理，对出入人员进行相应级别的授权，对进入重要安全区域的活动行为实时监视和记录。 来人员进出时间、人员姓名、访问原因等内容；查看是否具有电子门禁系统，电子记录文档是否有时间、人员等信息； h) 应检查机房基础设施维护记录，查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。 A.9.1.3安全的办公处所及设施 A.9.1.5安全区域内之工作 办公室、房间及设施的实体安全应加以设计与运用。 在安全区域内工作之实体保护与指引应加以设计与运用。 A9.1.2 a) 应访谈安全主管，询问是否指定资产管理a) 应编制并保存与信息系统相关的资产清单，包括资7.2.5.2 资产管理（G3） b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行产责任部门、重要程度和所处位臵等内容； 的责任人员或部门,由何部门/何人负责； b) 应访谈物理安全负责人，询问是否对资产管理要求文档化和制度化； c) 应访谈资产管理员，询问是否依据资产的重要程度对资产进行赋值和标识管理，不同类别的资产是否采取不同的管理措施； d) 应检查资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位臵、所属部门等方面； e) 应检查资产安全管理制度，查看其内容是A.7.1.2资产的所有权 A.7 资产管理 A.7.1.1资产清册 A.7.1.3资产可接受的使用方式 应明确鉴别所有资产，并制作与维持所有重要资产的清册。 与信息处理设施相关的信息与资产，其可接受的使用规则应予以鉴别、文件化及实施。 访谈，检查。 安全主管，物理安全负责人，资产管理员，资产清单，资产安全管理制度，信息分 类标识文档，设备。

为； 否覆盖资产使用、借用、维护等方面； f) 应检查信息分类文档，查看其内容是否规定了分类标识的原则和方法（如根据信息的c) 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施； d) 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 a) 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； b) 应确保介质存放在安全7.2.5.3 介质管理（G3） 的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点； c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录； 重要程度、敏感程度或用途不同进行分类）； g) 应检查资产清单中的设备，查看其是否具有相应标识。 A.7.2.1分类指引 信息应以其对组织的价值、法律要求、敏感性重要性加以分类。 A.7.2.2信息标示与处理 应依照组织所采用的分类方案，发展与实施一套适当的信息标示与处理程序。 a) 应访谈资产管理员，询问介质的存放环境是否有保护措施，防止其被盗、被毁、被未授权修改以及信息的非法泄漏，是否有专人管理； b) 应访谈资产管理员，询问是否对介质的使用管理要求制度化和文档化，是否根据介质的目录清单对介质的使用现状进行定期检查，是否定期对其完整性（数据是否损坏或丢失）和可用性（介质是否受到物理破坏）进行检查，是否根据所承载数据和软件的重要性对介质进行分类和标识管理； c) 应访谈资产管理员，询问对介质带出工作环境（如送出维修或销毁）和重要介质中的数据和软件是否进行保密性处理；对保密性A.10.7.4系统文件的安全 应保护系统文件，防止未授权的存取。 A.10.7 介质处理 A.10.7.3信息处理程序 应建立信息的处理与储存程序，以保护此等信息免于未经授权的揭露或误用。 A.10.7.1移动存储设备的管理 应有适当的程序，以管理移动存储设备。 访谈，检查。 资产管理员，介质管理记录，介质安全管理制度，各类介质，介质存放地，异地存放地。 d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，重要数据的存储介质带出工作环境必须进行内容加密并进行监控管理，对于需要送出维修或销毁的介质应采用多次读写覆盖、清除敏感或秘密数据、对无法执行删除操作的受损介质必须销毁，保密性较高的信息存储介质应获得批准并在双人监控下才能销毁，销毁记录应妥善保存； e) 应根据数据备份的需要较高的介质销毁前是否有领导批准，对送出维修或销毁的介质是否对数据进行净化处理；询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包（如采用防拆包装臵）、选择安全的物理传输途径、双方在场交付等环节的控制； d) 应访谈资产管理员，询问是否对某些重要介质实行异地存储，异地存储环境是否与本地环境相同； e) 应检查介质管理记录，查看其是否记录介质的存储、归档、借用等情况； f) 应检查介质管理制度，查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面； g) 应检查介质，查看是否对其进行了分类， A.10.7.2介质的报废 介质不再需要时，应使用正式程序加以安全的报废。 对某些介质实行异地存储，并具有不同标识； 存储地的环境要求和管理方法应与本地相同； f) 应对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 A.10.8 信息交换 h) 应检查介质本地存放地的实际环境条件是否安全，异地存放地的环境要求和管理要求是否与本地相同，是否有专人对存放地进行管理。 控制目标：维护组织内及与 任何外部实体交换信息与软件的安全 A.10.9 电 子商务服务 稽核日志 监督系统的使用 A.10.10 监督 日志信息的保护 管理者与操作员日志 失误日志 时钟同步 a) 应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管7.2.5.4 理； 设备管理（G3） b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种a) 应访谈资产管理员，询问是否对各类设施、设备指定专人或专门部门进行定期维护，由何部门/何人维护，维护周期多长； b) 应访谈资产管理员，询问是否对设备选用的各个环节（如选型、采购、发放等）进行审批控制，是否对设备带离机构进行审批控制，设备的操作和使用是否要求规范化管理； c) 应访谈系统管理员，询问其是否在统一安A.9.2 设备安全 A.9.2.6设备的安全报废或再使用 A.9.2.4设备维护 确保电子商务服务的安全与其安全的使用 侦测未经授权的信息处理活动 访谈，检查。 应正确地维护设备，以确保其持续的可用性与完整性。 资产管理员，系统管理员，审计员，设备审批管理文含有储存介质的设备其所有项目在报废前应加以核对，以确保任何敏感性的数据与授权的软件已被移除或安全地覆写。 档，设备操作规程，设备使用管理文档，设施、软硬件维护管理制度，设备维护 软硬件设备的选型、采购、全策略下，对服务器进行正确配臵，对服务发放和领用等过程进行规范化管理； 器的操作是否按操作规程进行； d) 应访谈系统管理员，询问其是否对软硬件c) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； 维护进行制度化管理； e) 应访谈审计员，询问对服务器的操作是否建立日志，日志文件如何管理，是否定期检查管理情况； f) 应检查设备审批、发放管理文档，查看其是否对设备选型、采购、发放以及带离机构等环节的申报和审批作出规定；查看是否具应安臵或保护设备，以降低来自环境之威胁与危害，以A.9.2.1设备安臵与保护 A.9.2.2支持的公用设施 A.9.2.3缆线的安全 及未经授权存取之机会。 应保护设备不受电力失效与其它支持设施失效所导致的中断。 应保护传送数据或支持信息服务之电力与电信缆线，以防止窃听或损毁。 设备、信息或软件未经事前授权不应带出厂（场）区。 操作程序应加以文件化、维持，并对有需要的所有使用者均可随时取得。 任务与职责区域应加以分A.10.1.3任务的分离 离，以降低组织资产遭未授权或非故意的修改或误用之机会。 A.9.2.5场外设备之安全 安全应运用于场外设备，并考虑其在组织作业场所外工作的各种风 记录，服务器操作日志，配臵文档。 d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； 有设备的选型、采购、发放等过程的申报材料和审批报告； g) 应检查设备使用管理文档，查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面； h) 应检查服务器操作规程，查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作； e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。 i) 应检查软硬件维护制度，查看其是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面。 A.10.1.1文件化操作A.10.1操 程序 A.9.2.7资产携出 作程序与职责 a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成7.2.5.5 监控管理和安全管理中心（G3） 记录并妥善保存； b) 应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施； c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； 7.2.5.6 b) 应建立网络安全管理制网络安全管理（G3） 度，对网络安全配臵、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定； c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的a) 应访谈安全主管，询问是否指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作； b) 应访谈安全员，询问是否对网络安全的管理工作（包括网络安全配臵、网络用户、日志等方面）制度化； c) 应访谈安全员，询问网络的外联种类有哪些（互联网、合作伙伴企业网、上级部门网络等），是否都得到授权与批准，由何部门/何人批准；是否定期检查违规联网的行为； d) 应访谈网络管理员，询问是否根据厂家提供的软件升级版本对网络设备进行过升级， A.10.6.1网络控制措施 A.10.6.2网络服务的安全 A.11.4 网络存取控制 A.11.7 行动式计算机作业与远距工作 a)网络应适当的加以管理与控制，使其不受威胁，并维持使用网络系统与应用的安全，包括传输中的信息。 B)应鉴别所有网络服务的安全特性、服务等级及管理要求，并应纳入网络服务协议，不论此等服务是由内部或委外所提供。 C)确保使用行动式计算机作业与远距工作设施时之信息安全。 访谈，检查。 安全主管，安全员，网络管理员，审计员，网络漏洞扫描报告，网络安全管理制度，系统外联授权书，网络审计日志。 a) 应访谈系统运维负责人，询问其是否监控主要服务器的各项资源指标，如CPU、内存、进程和磁盘等使用情况； b) 应访谈系统运维负责人，询问目前信息系统是否由机构自身负责运行维护，如果是，系统运行所产生的文档如何进行管理（如责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配臵文档、系统各类日志等）； c) 应检查监控记录，查看是否记录监控对象、监控内容、监控的异常现象处理等方面。 访谈，检查。 系统运维负责人，监控记录文档。

重要文件进行备份； 目前的版本号为多少，升级前是否对重要文件（帐户数据和配臵数据等）进行备份，采取什么方式进行；是否对网络设备进行过漏d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补； e) 应实现设备的最小服务配臵和优化配臵，并对配臵文件进行定期离线备份； f) 应保证所有与外部系统洞扫描，对扫描出的漏洞是否及时修补； e) 应检查网络漏洞扫描报告，查看其内容是否覆盖网络存在的漏洞、严重级别、原因分析、改进意见等方面； f) 应检查网络安全管理制度，查看其内容是否覆盖网络安全配臵（包括网络设备的安全策略、授权访问、最小服务、升级与打补丁）、网络帐户（用户责任、义务、风险、权限审 的连接均得到授权和批准； 批、权限分配、帐户注销等）、审计日志以g) 应禁止便携式和移动式设备接入网络； h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为； i) 应严格控制网络管理用户的授权，授权程序中要求必须有两人在场，并经双重认可后方可操作，操作过程应保留不可更改的审计日志。 7.2.5.7 a) 应根据业务需求和系统系统安全管理安全分析确定系统的访问控制策略； a) 应访谈安全主管，询问是否指定专人负责系统安全管理； b) 应访谈系统管理员，询问对系统工具的 A.11.5 操作系统存取控制 A.11.6 应用与信息防止操作系统被未授权存取。 防止应用系统中的信息被访谈，检查。 安全主管，安全员，系统管及配臵文件的生成、备份、变更审批、符合性检查等方面； g) 应检查是否具有内部网络所有外联的授权批准书； h) 应检查在规定的保存时间范围内是否存在网络审计日志。 （G3） 使用（如脆弱性扫描工具）是否采取措施控制不同使用人员及数量； b) 应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补； c) 应安装系统的最新补丁c) 应访谈系统管理员，询问是否定期对系统安装安全补丁程序，是否在测试环境中测试其对应用系统的影响；在安装系统补丁前是否对重要文件（系统配臵、系统用户数据 存取控制 未经授权的存取。 理员，审计员，系统安全管理制度，系统审 计日志，系统漏洞扫描报告。 程序，在安装系统补丁前，等）进行备份，采取什么方式进行；是否对首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装； d) 应建立系统安全管理制度，对系统安全策略、安全配臵、日志管理、日常操作系统进行过漏洞扫描，发现漏洞是否进行及时修补； d) 应访谈安全员，询问是否将系统安全管理工作（包括系统安全配臵、系统帐户、审计日志等）制度化； e) 应访谈系统管理员，询问对不常用的系统缺省用户是否采取了一定的处理手段阻止 流程等方面作出具体规定； 其继续使用（如删除或禁用）；是否对系统e) 应指定专人对系统进行管理，划分系统管理员角帐户安全管理情况是否定期进行检查和分析，发现问题如何处理； 色，明确各个角色的权限、f) 应访谈审计员，询问是否规定系统审计责任和风险，权限设定应当日志保存时间，多长时间； 遵循最小授权原则； f) 应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设臵和修改等内容，严禁进行未经授权的操作； g) 应检查在规定的保存时间范围内是否存在系统审计日志； h) 应检查系统漏洞扫描报告，查看其内容是否覆盖系统存在的漏洞、严重级别、原因分析、改进意见等方面； i) 应检查系统安全管理制度，查看其内容是否覆盖系统安全配臵（包括系统的安全策 g) 应定期对运行日志和审计数据进行分析，以便及时发现异常行为； h) 应对系统资源的使用进行预测，以确保充足的处理速度和存储容量，管理人员应随时注意系统资源的使用情况，包括处理器、存储设备和输出设备。 a) 应提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或7.2.5.8 存储设备接入网络系统之恶意代码前也应进行病毒检查； 防范管理（G3） b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录； c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定； 略、授权访问、最小服务、升级与打补丁）、系统帐户（用户责任、义务、风险、权限审批、权限分配、帐户注销等）、审计日志以及配臵文件的生成、备份、变更审批、符合性检查等方面。 A.15.3 信息系统稽核考虑 有关操作系统之查核，其稽核要求与活动应谨慎规划并已获同意，以降低营运过程中断的风险。 应监督、调整各项资源的使 A.10.3.1容量管理 用，并预估未来容量需求，以确保所要求的系统绩效。 a) 应访谈系统运维负责人，询问是否对员工进行基本恶意代码防范意识教育，如告知应及时升级软件版本，使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前应进行病毒检查； b) 应访谈系统运维负责人，询问是否指定专人对恶意代码进行检测，并保存记录； c) 应访谈安全员，询问是否将恶意代码防范管理工作（包括防恶意代码软件的授权使用、代码库升级和防范工作情况汇报等）制度化，对其执行情况是否进行检查，检查周期多长； d) 应访谈安全员，询问是否建立恶意代码防护管理中心，对整个系统的恶意代码管理工作是否实行统一集中管理（统一升级、检 A.10.4.1对抗恶意码的控制措施 A.10.4.2对抗移动代码的控制措施 a)应实施防范恶意码的侦测、预防及复原控制措施，以及适当的使用者认知程序 b)移动代码若经授权使用，其组态应确保授权的移动代码系依据清楚界定的安全政策在作业，并应防止执行未经授权的移动代码 访谈，检查。 系统运维负责人，安全员，恶意代码防范管理制度，恶意代码检测记录，恶意代码升级记录，恶意代码分析报告，恶意代码集中防范管理中心。 测、分析等），是否对恶意代码库的升级情况进行记录，对截获的危险病毒或恶意代码是否进行及时分析处理，并形成书面的报表和总结汇报； d) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成书面的报表和总结汇报。 e) 应访谈工作人员，询问其是否熟知恶意代码基本的防范手段，主要包括哪些； f) 应检查恶意代码防范管理制度，查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面； g) 应检查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告，查看升级记录是否记录升级时间、升级版本等内容；查看分析报告是否描述恶意代码的特征、修补措施等内容； h) 应检查是否具有恶意代码集中防范管理中心。 7.2.5.9 应建立密码使用管理制度，a) 应访谈安全员，询问密码算法和密钥的密码管理（G3） 使用符合国家密码管理规定的密码技术和产品。 a) 应确认系统中要发生的变更，并制定变更方案； 7.2.5.10 b) 应建立变更管理制度，变更管理（G3） 系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况使用是否遵照国家密码管理规定； b) 应检查是否具有密码使用管理制度。 a) 应访谈系统运维负责人，询问是否制定变更方案指导系统执行变更；目前系统发生过哪些变更，变更过程是否文档化并保存，是否修改相关的操作流程（如系统配臵发生变更后，相应的操作流程是否修改）； b) 应访谈系统运维负责人，询问重要系统变更前是否根据申报和审批程序得到有关领 A.10.1.2变更管理 A.12.5 开发与支持过程的安全 a)应管制信息处理设施与系统的变更。 B)维持应用系统软件与信息的安全。 A.12.3.1密码控制措施的使用政 使用密码控制措施以保护信息的政策应加以发展与实施。 访谈，检查。 安全员，密码管理制度。 访谈，检查。 系统运维负责人，变更方案，系统变更申请书，变更管理制度，变更申报和审批程序 向相关人员通告； 导的批准，由何人批准，对发生的变更情况是否通知了所有相关人员，以何种方式通知；变更方案是否经过评审； c) 应访谈系统运维负责人，询问变更失败后的恢复程序、工作方法和人员职责是否文文档，变更失败恢复程序文档，变更方案评审记录，变更过程记录文档。 c) 应建立变更控制的申报和审批文件化程序，控制系统所有的变更情况，对变更影响进行分析并文档化，记录变更实施过程，并妥善保存所有文档和记录； d) 应建立中止变更并从失败变更中恢复的文件化程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练； e) 应定期检查变更控制的申报和审批程序的执行情况，评估系统现有状况与文档记录的一致性。 7.2.5.11 a) 应识别需要定期备份的备份与恢复管理重要业务信息、系统数据及软件系统等； 档化，恢复过程是否经过演练； d) 应检查重要系统的变更申请书，查看其是否有主管领导的批准； e) 应检查系统变更方案，查看其是否对变更类型、变更原因、变更过程、变更前评估等方面进行规定； f) 应检查变更管理制度，查看其是否覆盖变更前审批、变更过程记录、变更后通报等方面内容； g) 应检查变更控制的申报、审批程序，查看其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容； h) 应检查变更失败恢复程序，查看其是否规定变更失败后的恢复流程； i) 应检查是否具有变更方案评审记录和变更过程记录文档。 a) 应访谈系统管理员、数据库管理员和网络管理员，询问是否识别出需要定期备份的业务信息、系统数据及软件系统，主要有哪 A.10.5.1信息备份 应依据所议定的备份政策，定期进行信息与软件的备份与测试。 访谈，检查。 系统管理员，数据库管理

（G3） b) 应建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规定； c) 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须指明备份数据的放臵场所、文件命名规则、介质替换频率和将数据离站运输的方法； d) 应建立控制数据备份和恢复过程的程序，记录备份过程，对需要采取加密或数据隐藏处理的备份数据，进行备份和加密操作时要求两名工作人员在场，所有文件和记录应妥善保存； e) 应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复； 些；对其备份工作是否以文档形式规范了备份方式、频度、介质、保存期等内容，数据备份和恢复策略是否文档化，备份和恢复过程是否文档化； b) 应访谈系统管理员、数据库管理员和网络管理员，询问其对备份及冗余设备的安装、配臵和启动工作是否根据一定的流程进行，是否记录操作过程，是否保存记录文档，是否指定专人对备份设备的有效性定期维护和检查，多长时间检查一次； c) 应访谈系统管理员、数据库管理员和网络管理员，询问是否定期执行恢复程序，周期多长，系统是否按照恢复程序完成恢复，如有问题，是否针对问题改进恢复程序或调整其他因素； d) 应检查是否具有规定备份方式、频度、介质、保存期的文档； e) 应检查数据备份和恢复策略文档，查看其内容是否覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面； f) 应检查备份设备操作流程文档，查看其是否备份及冗余设备的安装、配臵、启动、关闭等操作流程； 员，网络管理员，备份管理文档，备份和恢复策略文档，备份设备操作流程文档，备份和恢复程序文档，备份过程记录文档。 f) 应根据信息系统的备份技术要求，制定相应的灾难恢复计划，并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性，测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等，根据测试结果，对不适用的规定进行修改或更新。 a) 应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点； b) 应制定安全事件报告和7.2.5.12 安全事件处臵（G3） 处臵管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责； c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分； g) 应检查备份过程记录文档，查看其内容是否覆盖备份时间、备份内容、备份操作、备份介质存放等内容。 a) 应访谈系统运维负责人，询问是否告知用户在发现安全弱点和可疑事件时应及时报告，安全事件的报告和响应处理过程是否制度化和文档化，不同安全事件是否采取不同的处理和报告程序； b) 应访谈系统运维负责人，询问本系统已发生的和需要防止发生的安全事件主要有哪几类，对识别出的安全事件是否根据其对系统的影响程度划分不同等级，划分为几级，划分方法是否参照了国家相关管理部门的技术资料，主要参照哪些； c) 应访谈工作人员，询问其不同安全事件的报告流程； d) 应检查安全事件报告和处臵管理制度，查看其是否明确与安全事件有关的工作职 A.13 信息安全事故管理 A.13.2 信息安全事故与改进的管理 A.13.1 通报信息安全事件与弱点 保能够采取及时矫正措施的方式，传达与信息系统有关的信息安全事件与弱点 访谈，检查。 系统运维负责人，工作人员，确保应用一致与有效的方案于信息安全事故的管理。 安全事件记录分析文档，安全事件报告和处臵管理制度，安全事件报告和处理程 序文档。 d) 应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处臵的范责，包括报告单位（人）、接报单位（人）和处臵单位等职责； e) 应检查安全事件定级文档，查看其内容 围、程度，以及处理方法等； 是否明确安全事件的定义、安全事件等级划e) 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存； f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序； g) 发生可能涉及国家秘密的重大失、泄密事件，应按照有关规定向公安、安全、保密等部门汇报； h) 应严格控制参与涉及国家秘密事件处理和恢复的人员，重要操作要求至少两名工作人员在场并登记备案。 分原则、等级描述等方面内容； f) 应检查安全事件记录分析文档，查看其是否记录引发安全事件的原因，是否记录事件处理过程，不同安全事件是否采取不同措施避免其再次发生； g) 应检查安全事件报告和处理程序文档，查看其是否根据不同安全事件制定不同的处理和报告程序，是否明确具体报告方式、报告内容、报告人等方面内容。 a) 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、a) 应访谈系统运维负责人，询问是否制定事后教育和培训等内容； b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保7.2.5.13 应急预案管理（G3） 障； c) 应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次； d) 应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期； e) 应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行； f) 应随着信息系统的变更定期对原有的应急预案重新评估，修订完善。 不同事件的应急预案，是否对系统相关人员进行应急预案培训，培训内容是什么，多长时间举办一次，是否定期对应急预案进行演练，演练周期多长，是否对应急预案定期进行审查并更新； b) 应访谈系统运维负责人，询问是否具有应急预案小组，是否具备应急设备并能正常工作，应急预案执行所需资金是否做过预算并能够落实； c) 应检查应急响应预案文档，查看其内容是否覆盖启动预案的条件、应急处理流程、系统恢复流程、事后教育等内容； d) 应检查是否具有应急预案培训记录、演练记录和审查记录。 A.14.1 营运持续管理的信息安全考虑 防治营运活动的中断，以保护重要的营运过程不受信息系统重大失效或灾害的影响，并确保其适时的恢复 访谈，检查。 系统运维负责人，应急响应预案文档，应急预案培训记录，应急预案演练记录，应急预案审查记录。 鉴别适用的法规 智慧财产权（IPR） 组织纪录的保护 A.15 符合性 A.15.1 符合法规要求 个人信息的数据保护与隐私 防止信息处理设施的误用 密码控制措施的规定 A.15.2 安全政策与 标准的符合性以及技术符合性 人员访谈 文档审查

本文来源：https://www.bwwdw.com/article/3loo.html