ISMS有效性测量方法指南

IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:1/9A0页数生效版本：文件制修订记录NO 制/修订日期1 2023-02-21

修订编号 制/修订内容制订

版本页次A0IS027001-2023/IS020230-1-2023/CMMIIS027001-2023/IS020230-1-2023/CMMI文件范例文件名称文件名称:ISMS有效性测量方法指南生效日期：2023-02-21文件编号:页数2/9生效版本：A0核准核准审核制订1.0为信息安全治理体系的测量和分析工作供给指导。2.0适用于公司信息安全治理体系有效性测量和分析活动。治理内容测量数据的收集统计等。日常检查11133体系文件的各项治理规定。理依据某一把握目标发生的信息安全大事多少或者潜在的信息安全隐思程度打算。具体检查状况应填写《日常检查记录表》。频度要求：每月至少进展1次抽样日常检查。审计监控系统回忆应填写《错误日志审核记录表》。频度要求：每季度每个信息系统至少检查一次。3〕信息安全大事统计填写《信息安全大事报告与处理单》,定期对各种信息安全事故进展分类统计。4)信息安全意识活动正式员工应乐观参与公司组织的各种信息安全意识活动。IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:3/9A0页数生效版本：员工在试用期内必需承受信息安全的相关文件培训。体系运行状况综合调查问卷；公司每半年组织一次全员信息安全纸面考试。体系有效性测量结果。测量结果的分析总结容会相应有所调整。每次治理评审之前，由信息安全经理对本年度的ISMSISMS见和建议。报告主要包含如下内容：1)信息安全状况综述结合公司的信息安全目标，从以下几方面来描述信息安全现状:>大面积的网络中断>大规模病毒爆发>重要信息设备丧失>机密信息泄露>用户违规/嘉奖状况2)缘由分析章制度执行效果不伟、领导重视程度不够、全员参与意识不强等。3)改进措施测量中有重点地测量本年度体系运行的薄弱环节。4.0IS027001-2023/IS020230-1-2023/CMMIIS027001-2023/IS020230-1-2023/CMMI文件范例文件名称文件名称:ISMS有效性测量方法指南生效日期：2023-02-21文件编号:页数4/9生效版本：A0《ISMS有效性测量治理规定》5.0《日常检查记录表》《错误日志审核记录表》《信息安全大事报告与处理单》《信息安全有效性测量记录表》《ISMS有效性测量报告》IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:5/9A0页数生效版本：ISMS把握目标和检查内容列表目标

检告内容信息安全策略了适应性调整信息安全组织当发生重人的信息安全变化时〔信息安全把握日标\把握措施\策略、过程和程序〕，是否开展信息安全独立评审机房内设备是否妥当安置？是否有任凭摆放状况？设备维护记录是否完整？是否符合认证时问要求?设备台帐是否完整?资产治理 是否有报废设备？如何处理?RA工作的人员是否生疏资产调查表？是否对其中的内容都理解？资产调查长是否能反响现实？员工是否知道自身信息安全责任？特别是保密职责？员工是否知道什么是信息安全大事?旦发生信总安全大事如何处理？向哪里报告？有没有记录？人力资源治理员工是否接收过信息安全相关培训？对培训的评价如何？有什么建议和期望?员工在入职、转岗和离职时接过怎样的安把握？正确的物系统帐号交接及清理?对员工的奖惩措施是否执行是否与全部能涉及到公司信息资产的员工都签署了保密协议对来访人员是否登记对机房进出人员是否进展登记全治理

对带出公司的设备、信息或软件是否有登记的工作进展检查〔如机房电扇完整性网络设施变更是否有变更记录?U盘等移动介质使用是否依据规定?是否对重要数据做了备份？备份记录如何？有没有做过恢复测试?日志效劳器工作是否正常能否调看记求的日志信息?是否有不按规定任凭使用无线上网的状况是否有存在非法下载行为对数据资产是否依据规定要求进展各份通讯及操作管是否准时监控互联网应用效劳器、防火墙、入侵检测设备的运行日志、网络流量、系理 统用户访问等状况。网络访问账号的开通、审批及终止是含符合规定对发生的网络信息系统黑客入侵和攻击安全大事是否准时上报。对应用把握处理设施及系统的变更是否经过变更审批对变更的内容是否有记录开发、测试和运营设施是否分别测试环境中是否应用了敏感数据IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称文件名称:ISMS有效性测量方法指南生效日期：2023-02-21文件编号:页数7/9生效版本：A0当离开工位时，电脑是否锁屏对不同的用户访问权限是否有了规定并执行访问把握信息系统的维

否存在多余用户，是否准时清理。计算机用户口令是否符合根本安全要求〔史、口令最人尝试次数，口令最长有效期组成等)开发环境与运行环境是否分别工程组是否设立了安全员，并有效履行相应职责是否对源代码及设计文档等机密性文件进展了有效的保护对信息安全大事是否准时进展报告并形成记录是否有效劳、器材或设备的丧失状况是否有未授权的人访问、修改或使用信息资产信息安全大事是否消灭了多台机器中毒大事，且在2个及以上工作日没有被解决治理 是否发生过邮件效劳器机或邮件被拒收的状况1个以上工作日不能恢复机房的温度有无超过限制有无公司设备被带出且没经过授权和登记IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:IS027001-2023/IS020230-1-2023/CMMI文件范例文件名称:ISMS有效性测量方法指南2023-02-21生效日期：文件编号:8/9A0页数生效版本：UPS的选购打算是否进展是否按规定进展各份，并有备份记录

对核心人员的鼓舞机制是否实施有无定期对业务影响状况进展分析，以估量潜在风险是否对供给商供给的设备实施了严格的检查正版软件的选购打算是否执行是否认期对用户使用的软件进展符合性检查符合性 是否对重要文件柜都上锁是否存在未经授权任凭扫描网络的行为信息安全目标测量信息一览表测量预期目标指标大面积内

名词解释 衡量范围大面积：超过

测量数据来源频次

计算公式

数据采集途径

报告人 受理人网中断时网络

50%11每季信息安全

年网络中断时公司内部即

全体员 信息安全中断节点：内网：日-1231度一大事报告

间 每次大面时通信工具

工、客户、经理/网管计不超过时间100分钟大规模病病毒

公司内部局域 日 次 与处理单网:人规模:超过 每季信息安全

时间 知：口头告知在一周之内累计病毒爆发的公司内部印

相关方/IT负责人信息安全全体员工、毒爆发每入侵

20%的内网

在一周内连

度一大事报告

机次超过内网时通信工具

经理/网管/年不超过 续发生 总节点20%为告知告 软件负责次数 4次

节点： 次 与处理单公司的信息资产、个人

一次大规模病知：1头告知 关方 人毒爆发重要信息重要：资产的信息设备丧失保密性赋值

的信息资产用于办公

每季信息安全

员工〔含信息安全丧失人主动 各级领经理/资产报告、客户投资产大事每年≥3，或者资产 度一大事报告 导〕、客治理员/丢丧失不超过1的完整性赋值息资产供公起 ≥3司员工使用机密及绝机密：资产的机密及绝机密：资产的密信息泄漏大事每保密性赋值 每季=3：绝密:度一客户的信息信息安全事件报告举报、日志检年不超过2件产的保密性赋值=4次与处理单内容监控信息泄密客户针对

次 与处理单

诉、其他员工户、相关失人的领检举等方 导员工〔含各级领信息安全导〕、客经理/部门户、相关经理/领方、系统管导层理员信息安安全全大事的大事投诉每年投诉2次

已经完毕的客户：公司己工程正在合每季信息安全有的客户、潜作的工程、度一大事报告在的客户 尚木开展的