有效性测量实施计划

有效性测量实施计划一、目的本文件主要目的是实施的信息安全控制措施测量的职责、方法和程序，测量控制措施的有效性，为公司领导的工作安排和决策提供参考。二、适用范围本文件适用于公司管理体系运行中所涉及的部门、业务和人员。三、职责和权限信息安全小组负责本文件的建立和评审。内部审核小组等相关部门和人员按照本文件的要求执行。四、测量方法4.1针对不同的内容，采用两类测量方法：观察验证和系统工具检测。4.2测量流程根据测量计划，由内审小组区分不同类型的控制措施，选择测量方法，编制详细的测量检查表。五、有效性测量周期一般情况有效性测量每半年进行一次。当实际需要时可以临时进行有效性测量。六、有效性测量结果汇报与审批软件部应将有效性测量结果汇报给管理者代表进行审核，由最高管理者进行审批。附表1控制措施测量方法A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件审核ISMS方针文件访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。A.5.1.2信息安全方针的评审查阅ISMS方针文件的评审和修订记录。A.6信息安全组织A.6.1内部组织A.6.1.1信息安全角色和职责查阅信息安全职责分配或描述等方面的文件。A.6.1.2责任分割访问组织的信息安全管理机构，包括其职责。A.6.1.3与政府部门的联系访问信息安全管理机构，询问与相关信息安全专家、专业协会、学会等联络情况。A.6.1.4与特定相关方的联系访问信息安全管理机构，询问与相关政府部门的联络情况。A.6.1.5项目管理中的信息安全查阅风险评估A.6.2移动设备和远程工作A.6.2.1移动设备策略查阅相关管理程序A.6.2.2远程工作访问远程工作日至处理或存储的信息A.7人力资源安全A.7.1任用前A.7.1.1审查审核组织的人力资源要求A.7.1.2任用条款及条件查看相关用工合同A.7.2任用中A.7.2.1管理职责访问管理者（或管理者代表），验证对员工提出的信息安全方面的要求。A.7.2.2信息安全意识、教育和培训查阅培训计划和培训记录。A.7.2.3纪律处理过程访问组织信息安全管理机构、人力资源等相关部门，以及查阅信息安全奖惩制度。A.7.3任用的终止或变化A.7.3.1任用职责的终止或变更访问组织信息安全管理机构，了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。A.8资产管理A.8.1资产职责A.8.1.1资产清单审核组织的信息资产清单和关键信息资产清单A.8.1.2资产责任主体A.8.1.3资产的可接受使用访问组织信息安全管理机构或IT相关部门，了解对信息资产使用的控制。A.8.1.4资产归还查阅归还清单A.8.2信息分级A.8.2.1信息的分级访问组织信息安全管理机构或IT相关部门，了解组织信息资产的分类和标识情况，并在各部门进行验证。A.8.2.2信息的标记A.8.2.3资产的处理A.8.3介质处理A.8.3.1移动介质的管理访问信息安全管理机构、IT等相关部门，验证对可移动介质的管理是否满足安全要求。A.8.3.2介质的处置访问信息安全管理机构、IT等相关部门，验证对介质的处置是否满足安全要求。A.8.3.3物理介质的转移查阅相关记录A.9访问控制A.9.1访问控制的业务要求A.9.1.1访问控制策略查阅访问控制策略等相关文件。A.9.1.2网络和网络服务的访问查阅访问服务记录A.9.2用户访问管理A.9.2.1用户注册和注销查阅用户注册、注销的流程等相关文件。A.9.2.2用户访问配置检查、验证用户口令的管理控制措施。A.9.2.3特殊访问权限管理询问、验证超级用户等特殊权限的管理控制措施。A.9.2.4用户的秘密鉴别信息管理查阅秘密鉴别信息记录。A.9.2.5用户访问权限的复查查阅用户访问权的复查、评审记录。A.9.2.6访问权限的移除或调整查询员工和外部用户对信息和信息处理设施访问记录A.9.3用户职责A.9.3.1秘密鉴别信息的使用检查验证用户口令使用情况。A.9.4系统和应用访问控制A.9.4.1信息访问限制检查、验证操作系统的访问登录控制A.9.4.2安全登录规程检查、验证操作系统的安全登录控制。A.9.4.3口令管理系统检查、验证操作系统的口令管理系统A.9.4.4特权实用程序的使用查阅应用控制措施A.9.4.5程序源代码的访问控制检查、验程序源代码的访问记录A.10.密码A.10.1密码控制A.10.1.1使用密码控制的策略询问信息安全管理机构、IT等相关部门，是否使用密码控制。A.10.1.2密钥管理询问、验证密钥管理的措施。A.11物理和环境安全A.11.1安全区域A.11.1.1物理安全边界结合ISMS范围文件，访问相关部门，了解组织的物理边界控制，出入口控制，办公室防护等措施和执行情况。如调阅监控录像资料等。A.11.1.2物理入口控制A.11.1.3办公室、房间和设施的安全保护A.11.1.4外部和环境威胁的安全防护询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。A.11.1.5在安全区域工作询问、验证组织安全区域内的物理防护。A.11.1.6交接区询问、验证组织公共访问、交接区内的防护措施A.11.2设备A.11.2.1设备安置和保护询问、验证组织设备安置和保护措施。查阅机房管理规定等相关文件。A.11.2.2支持性设施询问、验证组织支持性设施（例如供水、供电、温度调节等）的运行情况。查阅机房温湿度记录等。A.11.2.3布缆安全询问IT等相关部门在布线方面是否符合相关国家标准，并验证。A.11.2.4设备维护询问、验证组织设备维护情况，查阅设备维护记录。A.11.2.5资产的移动询问、验证对资产的移动的安全防护措施。A.11.2.6组织场所外的设备与资产安全询问、验证组织对场所外的设备的安全保护措施。A.11.2.7设备的安全处置或再利用询问、验证电脑等设备报废后的处理流程，是否满足规定的要求。A.11.2.8无人值守的用户设备查询相关记录A.11.2.9清空桌面和屏幕策略查看相关电脑A.12操作安全A.12.1操作规程和职责A.12.1.1文件化的操作规程查阅相关设备操作程序文件，操作记录等。A.12.1.2变更管理查阅和验证信息系统的变更控制。A.12.1.3容量管理查询验证容量管理记录A.12.1.4开发、测试和运行环境的分离访问IT、研发等部门，验证开发、测试和运行设施的分离状况。A.12.2恶意代码防范A.12.2.1恶意代码的控制检查计算机病毒等恶意代码防范软件，及代码库的更新情况。可以在众多电脑中抽查。查阅病毒等恶意代码事件记录。A.12.3备份A.12.3.1信息备份查阅备份策略等相关文件。抽查备份介质，并要求测试、验证。A.12.4日志和监视A.12.4.1事态日志查阅系统的事态日志信息。A.12.4.2日志信息的保护询问、验证日志信息的包括措施。A.12.4.3管理员和操作员日志查阅、验证管理员和操作员日志。A.12.4.4时钟同步检查、验证时钟同步措施。A.12.5运行软件控制A.12.5.1运行系统的软件安装检查运行系统软件安装控制规程A.12.6技术脆弱性管理A.12.6.1技术脆弱性的管理检查、验证技术脆弱性的控制措施。是否更新软件补丁，可以利用脆弱性扫描等工具软件来获得审核证据。A.12.6.2软件安装限制查看用户安装软件的规则A.12.7信息系统审计的考虑A.12.7.1信息系统审计的控制询问、验证组织对信息系统审计的控制措施情况A.13通信安全A.13.1网络安全管理A.13.1.1网络控制询问控制网络以保护系统A.13.1.2网络服务的安全查看网络协议A.13.1.3网络隔离查阅隔离信息服务、用户及信息系统A.13.2信息传输A.13.2.1信息传输策略和规程查阅传输策略、规程和控制措施A.13.2.2信息传输协议查看传输协议A.13.2.3电子消息发送查阅传输策略、规程和控制措施A.13.2.4保密或不泄露协议查看保密协议A.14系统获取、开发和维护A.14.1信息系统的安全要求A.14.1.1信息安全要求分析和说明查看信息系统的要求中应包括信息安全相关要求A.14.1.2公共网络上应用服务的安全保护查阅公共网络上的应用服务A.14.2开发和支持过程中的安全A.14.2.1安全的开发策略A.14.2.2系统变更控制规程查阅变更控制等相关文件。A.14.2.3运行平台变更后对应用的技术评审查阅操作运行平台变更后对应用的技术评审记录。A.14.2.4软件包变更的限制询问对软件包变更的限制措施。A.14.2.5安全的系统工程原则查阅软件和系统开发规则A.14.2.6安全的开发环境查询安全开发环境A.14.2.8系统安全测试进行安全测试A.14.2.9系统验收测试查询验收测试方案和相关准则A.14.3测试数据A.14.3.1测试数据的保护A.15供应商关系A.15.1供应商关系中的信息安全A.15.1.1供应商关系的信息安全策略查看与供应商信息安全要求A.15.1.2在供应商协议中解决安全查看供应商相关的信息安全要求A.15.1.3信息与通信技术供应链查询供应链相关的信息安全风险处理要求A.15.2供应商服务交付管理A.15.2.1供应商服务的监视和评审查看供应商服务交付记录A.15.2.2供应商服务的变更管理查阅和验证信息系统的变更控制。A.16信息安全事件管理A.16.1信息安全事件的管理和改进A.16.1.1职责和规程查阅信息安全事件管理程序等相关文件。A.16.1.2报告信息安全事态查阅信息安全事件报告记录A.16.1.3报告信息安全弱点查阅安全弱点报告记录A.16.1.4信息安全事态的评估和决策查看信息安全事态评估记录A.16.1.5信息安全事件的响应查看响应信息安全事件规程A.16.1.6从信息安全事件中学习查阅信息安全事件学习和总结记录A.16.1.7证据的收集询问、验证事件处理过程中的证据收集的措施。A.17业务连续性管理的信息安全方面A.17.1信息安全的连续性A.17.1.1规划信息安全连续性查阅连续性管理等相关文件。A.17.1.2实施信息安全连续性查阅连续性管理等相关文件。A.17.1.3验证、评审和评价信息安全连续性检查、验证组织对业务连续性计划的测试、保持，查阅测试记录等。A.17.2冗余A.17.2.1信息处理设施的可用性查阅信息处理设施相关文件A.18符合性A.18.1符合法律和合同要求A.18.1.1可用的法律和合同要求的识别查阅组织识别的适用的信息安全法律法规。A.18.1.2知识产权询问、验证组织