ISO27001文件-ISMS有效性测量方法指引

1、ISMS有效性测量方法指南（版本号：V1.1 ）ISMS有效性测量管理规定更改控制页厅P版本号更改时间更改内容描述填写人编码：NK-MS-MA-P04ISMS有效性测量方法指南目 录1 目的12 范围13 内容13.1 测量数据的收集13.2 体系有效性测量23.3 测量结果的分析与总结24 相关文件35 相关记录36 附录：46.1 附录1:ISMS控制目标和检查内容列表 46.2 附录2:信息安全目标测量信息一览表 4编码:ISMS有效性测量方法指南1目的为信息安全管理体系的测量和分析工作提供指导。2范围适用于公司信息安全管理体系有效性测量和分析活动。3内容3.1测量数据的收集通常采用以下

2、几种方法收集用于测量的基础数据：日常检查、审计监控系统的 回顾、信息安全事件的统计等。1）日常检查内容要求：信息安全管理体系标准要求的11项控制目标和133项控制措施; 公司制定的信息安全管理体系文件的各项管理规定。日常检查的内容参考附录1ISMS控制目标和检查内容列表，每次检查的 具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信 息安全隐患程度决定。具体检查情况应填写日常检查记录表。频度要求：每月至少进行1次抽样日常检查。2）审计监控系统回顾内容要求：系统管理员对各种日志系统、审计系统、监控系统等做抽样检查 或定期回顾，要特别关注各种告警信息和错误日志等，以期发现违反

3、和潜在违反信 息安全策略的行为与事件。审计监控系统时应填写错误日志审核记录表。频度要求：每季度每个信息系统至少检查一次。编码:ISMS有效性测量方法指南3）信息安全事件统计内容要求：接受来自公司内、外等各种渠道的信息安全事件报告，由信息安 全经理负责根据实际情况填写信息安全事件报告与处理单，定期对各种信息安 全事故进行分类统计。频度要求：每季度进行一次。4）信息安全意识活动内容要求：信息安全意识活动主要有：信息安全培训、信息安全调查问卷、信 息安全考试等。正式员工应积极参加公司组织的各种信息安全意识活动。新员工在试用期内必须接受信息安全的相关文件培训。频度要求：每个部门每年至少组织一次专题信息

4、安全培训活动；公司每年结合 体系运行情况设计一套体系运行情况综合调查问卷；公司每半年组织一次全员信息 安全纸面考试。3.2 体系有效性测量信息安全经理每季度应对本年度的信息安全指标进行测量，根据信息安全目 标测量信息一览表，每季度初填写信息安全有效性测量记录表并于每季度的 前十天之内由信息安全经理公布上季度测量结果。3.3 测量结果的分析与总结测量的目的是为了判断本年度信息安全目标的实现程度，因此当公司的信息安 全目标变动时，测量内容会相应有所调整。每次管理评审之前，由信息安全经理对本年度的 ISMS测量情况进行统计分 析，形成ISMS有效性测量报告，提交管理评审大会，以便对体系运行效果进 行

5、客观、综合的分析，从而提出体系改进的意见和建议。报告主要包含如下内容：1）信息安全状况综述结合公司的信息安全目标，从以下几方面来描述信息安全现状：编码：第2页ISMS有效性测量方法指南? 内部网络中断?大规模病毒爆发?重要信息设备丢失?机密信息泄露?用户违规/奖励情况?信息安全改进建议收集与受理情况2）原因分析造成信息安全现状未达到公司预定的信息安全目标的原因主要有如下几类： 安全控制措施不充分、规章制度执行效果不佳、领导重视程度不够、全员参与意 识不强等。3）改进措施针对信息安全现状未达到公司目标的原因，结合公司的实际情况，制定改进 措施，并在下一年的体系测量中有重点地测量本年度体系运行的薄

6、弱环节。4相关文件«ISMS有效性测量管理规定5相关记录日常检查记录表错误日志审核记录表信息安全事件报告与处理单信息安全有效性测量记录表ISMS有效性测量报告编码:ISMS有效性测量方法指南6附录：6.1 附录1:ISMS控制目标和检查内容列表6.2 附录2:信息安全目标测量信息一览表（见下页）编码:ISMS有效性测量方法指南附录1:ISMS控制目标和检查内容列表信息安全控制目标检查内容信息安全策略针对体系中提出的认为对体系进行调整的事项出现时，检查对相关 规定做了是否做了适应性调整是否定期组织规章制度和操作流程的宣传和培训信息安全组织是否按照计划的时间间隔开展信息安全独立评审当发生

7、重大的信息安全变化时（信息安全控制目标控制措施策 略过程和程序），是台开展信息安全独立评审资产管理设备进出是否有登记？如果是转移，有没有转移单？机房内设备是否妥善安置？是否有随意摆放情况？设备维护记录是否完整？是否符合认证时间要求？设备台帐是否完整？是否有报废设备？如何处理？资产清单上列举的所有资产，是否都明确了责任人或主责部门检查资产清单是否涵盖了公司所有与业务相关的重要信息资产负责RA工作的人员是否熟悉资产调查表？是否对其中的内容都理 解？资产调查表是否能反应现实？人力资源管理员工对信息安全方针和组织架构设置是否清楚并理解？员工是否知道自身信息安全责任？特别是保密职责？员工是否知道什么是信

8、息安全事件？ 一旦发生信息安全事件如何处 理？向哪里报告？有没有记录？员工是否接收过信息安全相关培训？对培训的评价如何？有什么建 议和希望？员工在入职、转岗和离职时接受过怎样的安全控制？是否有正确的 物品及系统帐号交接及清理？对员工的奖惩措施是否执行是否与所有能涉及到公司信息资产的员工都签署了保密协议物理与环境安全管 理对来访人员是否登记对机房进出人员是否进行登记对带出公司的设备、信息或软件是否有登记对含有存储介质的设备，在销毁前对所有敏感数据或授权软件已经 被删除或安全重写的工作进行检查对重要工作设备（如机房电扇）是否进行定期检查和正确维护，确 保其持续可用性和完整性网络设施变更是含有变更记

9、录？编码:ISMS有效性测量方法指南通讯及操作管理对U盘等移动介质使用是否按照规定？是否对重要数据做了备份？备份记录如何？有没有做过恢复测试？日志服务器工作是否止常？能否调看记录的日志信息？是否有不按规定随意使用无线上网的情况？个人电脑是否装有防病毒软件，并定期升级，保证每天都有最新的 病母库是否有存在非法下载行为对数据资产是否根据规定要求进行备份是否及时监控互联网应用服务器、防火墙、入侵检测设备的运行日 志、网络流量、系统用户访问等情况。网络访问账号的开通、审批及终止是否符合规定对发生的网络信息系统黑客入侵和攻击安全事件是否及时上报。是否定期对内网、外网接入进行边界扫描和漏洞扫描，并将扫描情

10、 况登记运行日志对应用控制处理设施及系统的变更是否经过艾更审批对变更的内容是否有记录是否有未授权的人访问、修改或使用信息资产开发、测试和运营设施是否分离测试环境中是否应用了敏感数据访问控制当离开，位时，电脑是否锁屏对不同的用户访问权限是否有了规定并执行n主机系统、网络设备、安全设备、应用系统、前端计算机系统、桌 面计算机系统是否存在多余用户，是否及时清理。主机系统、网络设备、安全设备等的超级用户口令以及重要系统中 具有关键访问权限用户的口令是否曲专人设置与管理并定期更新， 超级用户口令是否按要求保管。计算机用户口令是否符合基本安全要求（包括口令长度、口令字符 复杂度、口令历史、口令最大尝试次数

11、，口令最长有效期组成等）信息系统的维护、 获取和开发在软件的计划阶段，是否编写了安全需求和安全需求分析开发环境与运行环境是否分离安全技术方案内容是否满足有美安全规范和标准要求，是否按照规 定进行了评审项目组是否设立了安全员，并有效履行相应职责是否对安全有关的文档的密级以及借阅使用人员进行了登记是否对源代码及设计文档等机密性文件进行了有效的保护编码:ISMS有效性测量方法指南是否及时跟踪和补救系统软件厂商发布的系统安全漏洞，及时增打 安全补丁程序信息安全事件管理对信息安全事件是否及时进行报告并形成记录是否有服务、器材或设备的丢失情况是否有未授权的人访问、修改或使用信息资产是否出现了多台机器中毒事

12、件，且在2个及以上工作日没有被解决是否发生过邮件服务器宕机或邮件被拒收的情况是否发生开发服务器宕机，且1个以上工作仔能恢复机房的温度有无超过限制有无公司设备被带出且没经过授权和登记业务连续性管理UPS的采购计划是否进行是否按规定进行备份，并有备份记录对核心人员的激励机制是否实施是否针对特定的规定对预期事件的发生给相关人员进行了培训有无定期对业务影响情况进行分析，以预计潜在风险是否对供应商提供的设备实施了严格的检查对向客户提供运维的服务，是否进行了假设服务器宕机时的恢复演 习符合性正版软件的采购计划是否执行是否定期对用户使用的软件进行符合性检查是否对重要文件柜都上锁是否在合同条款中对提出了个人信

13、息的数据保护和隐私保护是否存在未经授权随意扫描网络的行为编码:ISMS有效性测量方法指南附录2:信息安全目标测量信息一览表测量 指标预期目标名词解释衡量范围测量 频次数据来源计算公式数据采集途径报告人受理人网络内网中断时间内网：公司内部某年的1月1每季度信息安全年内部网络中公司内部即时全体员信息安中断 时间每年累计不超 过2天局域网；日-12月31日一次事件报告 与处理单断时间=2每 个内部网络节 点网络中断的 时间通信工具告 知；电话告 知；口头告知工、客户、相关 方全经理/ 网管/IT 负责人病毒大规模病毒爆大规模：超过20%在一周内连续每季度信息安全在一周之内累公司内部即时全体员信息安入

14、侵 次数发每年不超过2次的内网节点；发生一次事件报告 与处理单计病毒爆发的 机次超过内网 总节点20%为 一次大规模病 毒爆发通信工具告 知；电话告 知；口头告知工、客户、相关 方全经理/ 网管/软 件负责 人信息 资产 丢失重要信息设备 丢失事件每年 不超过1起重要：资产的保 密性赋值3,或 者资产的完整性 赋值3公司的信息资 产、个人的信 息资产用于办 公的、客户的 信息资产供公 司员工使用的每季度 一次信息安全 事件报告 与处理单丢失人主动报 告、客户投 诉、其他员工 检举等员工（含 各级领 导）、客 户、相关 方信息安 全经理/ 资产管 理员/丢 失人的 领导信息 泄密机密及绝密信 息泄漏事件每 年不超过2件机密：资产的保 密性赋值=3;绝密：资产的保 密性赋值=4公司的信息、 客户的信息每季度 一次信息安全 事件报告 与处理单举报、日志检 查、行为监 控、内容监控员工（含 各级领 导）、客 户、相关 方、系统 管理员信息安 全经理/ 部门经 理/领导 层编码:ISMS有效性测量方法指南安全 事件 投诉客户针对信息 安全事件的投 诉每年不超过2次客户：公司已有 的客户、潜在的 客户已经结束的项 目、正在合作 的项目