信息安全管理体系监视测量计划及结果.docx
《信息安全管理体系监视测量计划及结果.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系监视测量计划及结果.docx(20页珍藏版)》请在冰豆网上搜索。
信息安全管理体系监视测量计划及结果
信息安全管理体系
ISO27001:
2013
监视测量计划及结果
一、信息安全内外部沟通计划表
二、有效性测量实施计划
三、信息安全监视和测量表
四、信息安全管理体系测试结果表
信息安全内外部沟通计划表
编号
类别
内容
影响沟通的因素
联系对象
负责人
沟通方式
外部沟通
1
客户
顾客对项目满意度
时间把控不及时,隐私泄漏,开发内容不满意
企业
张小波
与顾客签订保密协议,派专人解决顾客抱怨的问题。
时间上严格把控。
项目的每一阶段与客户沟通项目内容,全心全意的为客户解决问题
2
供应商
供应商评价
交货不及时,产品不达标
供应商
XXX
严把质量关,每一季度对供方评审,对供货不及时质量不达标的供应商不予录用
4
物业
公司重要信息设备、资料
物业安全管理不当、门禁破解密码或因火灾等因素造成设备、资料丢失
物业方
XXX
与物业签订保障协议,每月评审一次
内部沟通
1
人力资源
信息安全培训人员
在没有任何的培训下,操作不当,造成影响系统的信息丢失;培训人员覆盖率不达标
综合管理部
张小波
每月制定培训计划,保证每次培训无缺勤人员;与员工签订安全保密协议
2
商业机密
机密信息泄露的事态不得发生
获取用户名及密码,造成隐私泄漏
技术部
严玉成
定期培训,培养工作人员规范的系统使用行为,提升系统应用效率,降低非法应用造成的系统威胁
3
外部服务
网络中断
受到攻击或者各种病毒木马的威胁
技术部
严玉成
每月一次检查交换机是否设置正常并对关键文件进行保存
4
技术服务
病毒爆发
系统崩溃,系统资料丢失
技术部
严玉成
及时更新数据库,对于病毒或者恶意代码等需要下载相应补丁
有效性测量实施计划
一、目的
本文件主要目的是实施的信息安全控制措施测量的职责、方法和程序,测量控制措施的有效性,为公司领导的工作安排和决策提供参考。
二、适用范围
本文件适用于公司管理体系运行中所涉及的部门、业务和人员。
三、职责和权限
信息安全小组负责本文件的建立和评审。
内部审核小组等相关部门和人员按照本文件的要求执行。
四、测量方法
4.1针对不同的内容,采用两类测量方法:
观察验证和系统工具检测。
4.2测量流程
根据测量计划,由内审小组区分不同类型的控制措施,选择测量方法,编制详细的测量检查表。
五、有效性测量周期
一般情况有效性测量每半年进行一次。
当实际需要时可以临时进行有效性测量。
六、有效性测量结果汇报与审批
软件部应将有效性测量结果汇报给管理者代表进行审核,由最高管理者进行审批。
附表1
控制措施
测量方法
A.5安全方针
A.5.1信息安全方针
A.5.1.1信息安全方针文件
审核ISMS方针文件
访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
A.5.1.2信息安全方针的评审
查阅ISMS方针文件的评审和修订记录。
A.6信息安全组织
A.6.1内部组织
A.6.1.1信息安全角色和职责
查阅信息安全职责分配或描述等方面的文件。
A.6.1.2责任分割
访问组织的信息安全管理机构,包括其职责。
A.6.1.3与政府部门的联系
访问信息安全管理机构,询问与相关信息安全专家、专业协会、学会等联络情况。
A.6.1.4与特定相关方的联系
访问信息安全管理机构,询问与相关政府部门的联络情况。
A.6.1.5项目管理中的信息安全
查阅风险评估
A.6.2移动设备和远程工作
A.6.2.1移动设备策略
查阅相关管理程序
A.6.2.2远程工作
访问远程工作日至处理或存储的信息
A.7人力资源安全
A.7.1任用前
A.7.1.1审查
审核组织的人力资源要求
A.7.1.2任用条款及条件
查看相关用工合同
A.7.2任用中
A.7.2.1管理职责
访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
A.7.2.2信息安全意识、教育和培训
查阅培训计划和培训记录。
A.7.2.3纪律处理过程
访问组织信息安全管理机构、人力资源等相关部门,以及查阅信息安全奖惩制度。
A.7.3任用的终止或变化
A.7.3.1任用职责的终止或变更
访问组织信息安全管理机构,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
A.8资产管理
A.8.1资产职责
A.8.1.1资产清单
审核组织的信息资产清单和关键信息资产清单
A.8.1.2资产责任主体
A.8.1.3资产的可接受使用
访问组织信息安全管理机构或IT相关部门,了解对信息资产使用的控制。
A.8.1.4资产归还
查阅归还清单
A.8.2信息分级
A.8.2.1信息的分级
访问组织信息安全管理机构或IT相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
A.8.2.2信息的标记
A.8.2.3资产的处理
A.8.3介质处理
A.8.3.1移动介质的管理
访问信息安全管理机构、IT等相关部门,验证对可移动介质的管理是否满足安全要求。
A.8.3.2介质的处置
访问信息安全管理机构、IT等相关部门,验证对介质的处置是否满足安全要求。
A.8.3.3物理介质的转移
查阅相关记录
A.9访问控制
A.9.1访问控制的业务要求
A.9.1.1访问控制策略
查阅访问控制策略等相关文件。
A.9.1.2网络和网络服务的访问
查阅访问服务记录
A.9.2用户访问管理
A.9.2.1用户注册和注销
查阅用户注册、注销的流程等相关文件。
A.9.2.2用户访问配置
检查、验证用户口令的管理控制措施。
A.9.2.3特殊访问权限管理
询问、验证超级用户等特殊权限的管理控制措施。
A.9.2.4用户的秘密鉴别信息管理
查阅秘密鉴别信息记录。
A.9.2.5用户访问权限的复查
查阅用户访问权的复查、评审记录。
A.9.2.6访问权限的移除或调整
查询员工和外部用户对信息和信息处理设施访问记录
A.9.3用户职责
A.9.3.1秘密鉴别信息的使用
检查验证用户口令使用情况。
A.9.4系统和应用访问控制
A.9.4.1信息访问限制
检查、验证操作系统的访问登录控制
A.9.4.2安全登录规程
检查、验证操作系统的安全登录控制。
A.9.4.3口令管理系统
检查、验证操作系统的口令管理系统
A.9.4.4特权实用程序的使用
查阅应用控制措施
A.9.4.5程序源代码的访问控制
检查、验程序源代码的访问记录
A.10.密码
A.10.1密码控制
A.10.1.1使用密码控制的策略
询问信息安全管理机构、IT等相关部门,是否使用密码控制。
A.10.1.2密钥管理
询问、验证密钥管理的措施。
A.11物理和环境安全
A.11.1安全区域
A.11.1.1物理安全边界
结合ISMS范围文件,访问相关部门,了解组织的物理边界控制,出入口控制,办公室防护等措施和执行情况。
如调阅监控录像资料等。
A.11.1.2物理入口控制
A.11.1.3办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护
询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5在安全区域工作
询问、验证组织安全区域内的物理防护。
A.11.1.6交接区
询问、验证组织公共访问、交接区内的防护措施
A.11.2设备
A.11.2.1设备安置和保护
询问、验证组织设备安置和保护措施。
查阅机房管理规定等相关文件。
A.11.2.2支持性设施
询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。
查阅机房温湿度记录等。
A.11.2.3布缆安全
询问IT等相关部门在布线方面是否符合相关国家标准,并验证。
A.11.2.4设备维护
询问、验证组织设备维护情况,查阅设备维护记录。
A.11.2.5资产的移动
询问、验证对资产的移动的安全防护措施。
A.11.2.6组织场所外的设备与资产安全
询问、验证组织对场所外的设备的安全保护措施。
A.11.2.7设备的安全处置或再利用
询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.11.2.8无人值守的用户设备
查询相关记录
A.11.2.9清空桌面和屏幕策略
查看相关电脑
A.12操作安全
A.12.1操作规程和职责
A.12.1.1文件化的操作规程
查阅相关设备操作程序文件,操作记录等。
A.12.1.2变更管理
查阅和验证信息系统的变更控制。
A.12.1.3容量管理
查询验证容量管理记录
A.12.1.4开发、测试和运行环境的分离
访问IT、研发等部门,验证开发、测试和运行设施的分离状况。
A.12.2恶意代码防范
A.12.2.1恶意代码的控制
检查计算机病毒等恶意代码防范软件,及代码库的更新情况。
可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.12.3备份
A.12.3.1信息备份
查阅备份策略等相关文件。
抽查备份介质,并要求测试、验证。
A.12.4日志和监视
A.12.4.1事态日志
查阅系统的事态日志信息。
A.12.4.2日志信息的保护
询问、验证日志信息的包括措施。
A.12.4.3管理员和操作员日志
查阅、验证管理员和操作员日志。
A.12.4.4时钟同步
检查、验证时钟同步措施。
A.12.5运行软件控制
A.12.5.1运行系统的软件安装
检查运行系统软件安装控制规程
A.12.6技术脆弱性管理
A.12.6.1技术脆弱性的管理
检查、验证技术脆弱性的控制措施。
是否更新软件补丁,可以利用脆弱性扫描等工具软件来获得审核证据。
A.12.6.2软件安装限制
查看用户安装软件的规则
A.12.7信息系统审计的考虑
A.12.7.1信息系统审计的控制
询问、验证组织对信息系统审计的控制措施情况
A.13通信安全
A.13.1网络安全管理
A.13.1.1网络控制
询问控制网络以保护系统
A.13.1.2网络服务的安全
查看网络协议
A.13.1.3网络隔离
查阅隔离信息服务、用户及信息系统
A.13.2信息传输
A.13.2.1信息传输策略和规程
查阅传输策略、规程和控制措施
A.13.2.2信息传输协议
查看传输协议
A.13.2.3电子消息发送
查阅传输策略、规程和控制措施
A.13.2.4保密或不泄露协议
查看保密协议
A.14系统获取、开发和维护
A.14.1信息系统的安全要求
A.14.1.1信息安全要求分析和说明
查看信息系统的要求中应包括信息安全相关要求
A.14.1.2公共网络上应用服务的安全保护
查阅公共网络上的应用服务
A.14.2开发和支持过程中的安全
A.14.2.1安全的开发策略
A.14.2.2系统变更控制规程
查阅变更控制等相关文件。
A.14.2.3运行平台变更后对应用的技术评审
查阅操作运行平台变更后对应用的技术评审记录。
A.14.2.4软件包变更的限制
询问对软件包变更的限制措施。
A.14.2.5安全的系统工程原则
查阅软件和系统开发规则
A.14.2.6安全的开发环境
查询安全开发环境
A.14.2.8系统安全测试
进行安全测试
A.14.2.9系统验收测试
查询验收测试方案和相关准则
A.14.3测试数据
A.14.3.1测试数据的保护
A.15供应商关系
A.15.1供应商关系中的信息安全
A.15.1.1供应商关系的信息安全策略
查看与供应商信息安全要求
A.15.1.2在供应商协议中解决安全
查看供应商相关的信息安全要求
A.15.1.3信息与通信技术供应链
查询供应链相关的信息安全风险处理要求
A.15.2供应商服务交付管理
A.15.2.1供应商服务的监视和评审
查看供应商服务交付记录
A.15.2.2供应商服务的变更管理
查阅和验证信息系统的变更控制。
A.16信息安全事件管理
A.16.1信息安全事件的管理和改进
A.16.1.1职责和规程
查阅信息安全事件管理程序等相关文件。
A.16.1.2报告信息安全事态
查阅信息安全事件报告记录
A.16.1.3报告信息安全弱点
查阅安全弱点报告记录
A.16.1.4信息安全事态的评估和决策
查看信息安全事态评估记录
A.16.1.5信息安全事件的响应
查看响应信息安全事件规程
A.16.1.6从信息安全事件中学习
查阅信息安全事件学习和总结记录
A.16.1.7证据的收集
询问、验证事件处理过程中的证据收集的措施。
A.17业务连续性管理的信息安全方面
A.17.1信息安全的连续性
A.17.1.1规划信息安全连续性
查阅连续性管理等相关文件。
A.17.1.2实施信息安全连续性
查阅连续性管理等相关文件。
A.17.1.3验证、评审和评价信息安全连续性
检查、验证组织对业务连续性计划的测试、保持,查阅测试记录等。
A.17.2冗余
A.17.2.1信息处理设施的可用性
查阅信息处理设施相关文件
A.18符合性
A.18.1符合法律和合同要求
A.18.1.1可用的法律和合同要求的识别
查阅组织识别的适用的信息安全法律法规。
A.18.1.2知识产权
询问、验证组织知识产权保护措施。
A.18.1.3记录的保护
询问、查阅组织对相关记录的保护措施。
A.18.1.4个人身份信息的隐私和保护
询问组织对数据和个人隐私的包括措施。
A.18.1.5密码控制规则
询问、验证组织密码控制措施情况。
A.18.2信息安全评审
A.18.2.1信息安全的独立评审
检查信息安全管理方法及其实施情况
A.18.2.2符合安全策略和标准
检查、验证遵守信息安全策略、规程等情况。
A.18.2.3技术符合性评审
询问、验证组织是否定期进行技术符合性检查,查阅
检查记录等。
信息安全监视和测量表
监视和测量内容
监视和测量过程达到的目的
监视和测量项目
监视和测量办法
监视和策略周期
责任部门
监视和测量结果评价周期
评价人
信息安全管理体系
体系运行有效、通过外审检查、不留验证不符合项
信息安全管理体系运行有效性
内审、管评、监督检查
每年1次
综合管理部
每年1次
张小波
软件开发
一次通过评审,满足项目开发总要求
开发过程受控,评审状况
开发计划完成情况监督和检查
按项目开发计划
技术部
项目完成后
严玉成
采购
采购产品满足信息安全要求
采购受控情况、进货合格率、使用中发现的涉及信息安全的问题
检查合同在合格供方内,要求明确,对采购品进行分类统计
每季度
综合管理部
每季度
张小波
与顾客有关过程
把握客户需求,及时提供产品和服务,满足顾客
顾客保密性抱怨次数、合同保密性评审
进行顾客保密性满意度调查、分析;对完成合同进行检查、统计
每年
销售部
每年
曹飞澎
信息设备管理
使用适宜设备
交换机是否设置正常、系统是否安全
对信息安全设备定期检查,修复,升级
每月
技术部
每月
严玉成
信息设备管理
使用适宜设备
交换机是否设置正常、系统是否安全
对信息安全设备定期检查,修复,升级
没月
技术部
每月
严玉成
档案管理
确保技术资料及时完整归档,无任何泄露信息
信息安全关键文件保存
对关键文件定期检查
每季度
综合管理部
每季度
张小波
人力资源管理
从事影响信息安全工作人员的能力能够胜任
人员规范的系统使用行为、人员信息安全意识
对员工进行信息安全内容考核;对培训有效性评定
每月
综合管理部
每月
张小波
财务信息管理
了解体系运行情况,确保重要信息无泄露
是否受到攻击或者各种病毒木马的威胁
定期检查,形成分析报告
每月
综合管理部
每月
XXX
信息安全管理体系测试结果报告
测试评审日期:
2021年3月20日
测试评审目的:
分析外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。
测试评审内容:
1安全方针和目标是否正在实现,过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求;
2管理人员和监督人员过去1个月中管理与监督的状况,是否达到预期要求;
③管理体系运行是否受控、是否有效(近期内审结果);
④纠正措施和预防措施执行情况如何;
⑤听取资源充分性报告;
⑥风险评估中提出的薄弱点或威胁;
⑦客户反馈意见的汇总分析;
⑧员工培训教育情况分析报告;
⑨客户投诉及其处理情况汇总;
⑩改进的建议;
⑪其他日常管理议题。
评审组成员:
XXX张小波严玉成
评审意见和结论:
1、本公司按照ISO27001:
2013的要求建立的管理体系全面覆盖了计算机软件开发生产活动;从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。
2、《ISMS手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。
3、《ISMS手册》中所列的控制项(133项参数或指标)是真实的。
与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和
设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。
4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。
下半年共进行了1次内审,内审覆盖了本公司所有管理活动和技术活动,内审共发现1个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。
5、采用附录A中的11类控制方式,存在少量的一些问题(详见内审报告)
6、我公司年度工作类型不会发生重大变化,工作量将会进一步增加。
计算机系统的点检监督监测频次可以再次增加;为了进一步加强为客户的服务,提高自己的竞争能力,委托监测软件的测量也可进一步增加
7、客户反馈的意见,如对信息安全的信心保证;2019年07月至2019年10月未接到客户投诉,但通过认证是增加信心的有效手段,顾客意见将得到满足。
8、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的氛围还没有形成,培训的方式要不断改进。
9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。
综上所述,本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件;并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员,其机构、岗位和人员的职责明确,配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有效服务。
由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系,对本公司开展数据存储、培训等活动是适宜的、充分的和有效的。
会议作出以下决议:
1、现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。
2、本公司各部门和全体人员、外包方都必须按照体系文件的规定,指导、约束自己的行为,履行自己的岗位职责;应注意利用日常点检,不断确定持续改进的措施,实现本公司的信息安全方针和目标。
3、本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化,保证管理体系的有效运行。
4、由总经理及时完成本次管理评审报告;软件部负责整理本次管理评审记录并归档,同时传递给其他部门,输入下一年度计划。
5、管理评审报告分发范围:
各部门负责人和内审员。
编制:
XXX批准日期:
XXX2021年3月20日
升级会员 