适用性声明管理内容.docx
《适用性声明管理内容.docx》由会员分享,可在线阅读,更多相关《适用性声明管理内容.docx(28页珍藏版)》请在冰豆网上搜索。
适用性声明管理内容
A.5安全方针
A.5.1信息安全方针
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.5.1.1信息安全方针文件
是否有信息安全方针文件?
手册:
安全方针
信息安全方针文件是否获得管理者批准、发布和传达给所有员工和相关的外方?
手册:
方针批准页
信息安全方针文件是否符合标准的要求,如是否说明管理承诺,并提出组织管理信息安全的方法?
手册:
安全方针内容
A.5.1.2信息安全方针的评审
为了确保信息安全方针持续的适宜性、充分性和有效性,是否按既定的时间间隔(或当发生重大变化时)对其进行评审?
手册:
规定方针定期评审
管评内容:
评审方针
A.6信息安全的组织
A.6.1内部的组织
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.6.1.1信息安全的管理承诺
管理者是否通过清晰的方向、可证实的承诺、明确的任务,和信息安全职责的承认,来积极支持组织内的安全?
手册:
管理者承诺
A.6.1.2信息安全协调
信息安全活动是否由不同部门的代表协调相关工作?
手册:
“信息安全推进小组”
A.6.1.3信息安全职责的分配
所有的信息安全职责(包括保护各个资产的职责和执行特定安全过程的职责)是否有明确的规定?
部门安全职责、岗位任职条件
A.6.1.4信息处理设施的授权过程
对新信息处理设施,是否有管理授权过程?
《信息处理设施管理规定》——3.1
授权文件:
安全信息处理设施责任人授权批准书
A.6.1.5保密性协议
是否所有员工都要签署一个反映组织信息保护需要的保密协议(或不泄露协议)?
《人员管理和培训程序》——4.2员工签署保密协议
保密协议(或不泄露协议)是否得到识别和定期评审?
《人员管理和培训程序》——4.2协议定期评审
A.6.1.6联系权威部门
组织是否与相关权威部门(例如,执法部门、消防部门和监管部门)保持适当的联系?
政府部门联系清单
A.6.1.7联系特殊利益团体
组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系?
利益团体联系清单
A.6.1.8信息安全的独立评审
组织是否对其管理信息安全的方法与实践(即信息安全控制目标与控制措施、方针、过程和程序),按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审?
评审:
方针、目标、措施、风险评估、内审
A.6.2外方
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.6.2.1外方相关风险的识别
组织的信息和信息处理设施受外方访问或管理而产生的风险,是否进行识别?
《第三方服务提供管理规定》——3.1风险识别:
外方访问
组织的信息和信息处理设施,在允许外方访问前,是否执行适当的控制措施?
《第三方服务提供管理规定》——3.2风险控制
A.6.2.2处理与顾客有关的安全问题
在允许顾客访问组织信息或资产之前,所有确定的安全要求是否得到解决?
《第三方服务提供管理规定》——3.3访问安全要求
A.6.2.3处理第三方协议中的安全问题
涉及访问、处理、交流(或管理)组织的信息或信息处理设施的第三方协议,是否涵盖所有相关的安全要求?
第三方服务协议中安全要求
第三方:
快递、网络、运输、客户、分包方、仪器设备供应方
A.7资产
A.7.1对资产的职责
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.7.1.1资产清单
是否所有资产都进行了识别?
资产识别清单
是否所有重要资产都进行了登记、建立了清单文件并加以维护?
硬件、软件、人员、网络、数据、文件
A.7.1.2资产责任人
所有信息和信息处理设施相关资产,是否都有责任人?
清单——资产的使用部门、使用区域、责任人
A.7.1.3资产的可接受使用
信息和信息处理设施相关资产的可接受使用规则,是否确定、形成了文件并加以实施?
《信息资产管理规定》
A.7.2信息分类
相关条款
控制要求与检查题
实施的方法,或删减的正当性
A.7.2.1分类指南
是否有一个信息分类指南(或分类法)?
《信息资产管理规定》——分类方法
信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类?
《信息资产管理规定》——资产分类原则:
价值、法律要求、敏感性、关键性
A.7.2.2信息的标记和处理
信息标记与处理程序是否按照组织采用的分类法,加以开发和实施?
分四类:
一般、保密、秘密、绝密
A.8人力资源安全
A.8.1雇用之前
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.8.1.1角色和职责
雇员、承包人和第三方用户的安全角色和职责是否按照组织的信息安全方针加以定义并形成了文件?
《岗位职责工作程序》——信息安全相关岗位人员职责、承包人和第三方用户服协议
A.8.1.2筛选
对所有雇用的候选者、承包人和第三方用户,是否按照相关法律法规、道德规范、相应的业务要求、要被访问信息的类别、和已察觉的风险,进行背景验证检查?
《人员管理和培训程序》——4.2聘用筛选
A.8.1.3雇用的条款和条件
雇员、承包人和第三方用户是否签署了雇用合同的条款和条件,作为他们合同义务的一部分?
《人员管理和培训程序》——4.2签署聘用合同,
“雇用合同的条款和条件”是否声明雇员、承包人和第三方用户的信息安全职责?
合同条款有信息安全责任要求
A.8.2雇用期间
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.8.2.1管理职责
管理者是否要求雇员、承包人和第三方用户,按照该组织已建立的方针和程序负起安全责任?
《服务合同》、《聘用合同》、《保密协议》——安全责任
A.8.2.2信息安全意识、教育和培训
组织的所有雇员、相关的承包人和第三方用户,是否都接受过适当的意识培训和定期更新与其工作有关的组织的方针与程序方面的知识?
《人员管理和培训程序》——4.4安全培训
A.8.2.3纪律处理过程
对于安全违规的雇员,是否有一个正式的纪律处理过程?
《人员管理和培训程序》——4.3违规处罚
A.8.3雇用终止或雇用变更
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.8.3.1终止职责
履行雇用终止或雇用变更的职责是否清晰地做出了规定和分配?
《保密协议》——解聘脱密期
A.8.3.2归还资产
所有雇员、承包人和第三方用户在雇用、合同或协议终止时,是否归还其使用的该组织的所有资产?
《信息处理设施管理规定》——3.4.8解聘归还资产
A.8.3.3删除访问权
所有雇员、承包人和第三方用户对信息和信息处理设施的访问权,在其雇用、合同或协议终止时,是否删除,或进行变更调整?
《信息处理设施管理规定》——3.4.8解聘取消访问权
A.9物理和环境安全
A.9.1安全区域
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.9.1.1物理的安全边界
是否有用于保护包含信息和信息处理设施的区域的安全边界(诸如墙、入口控制卡或受管理的接待台等屏障)?
安全边界:
接待台、门禁卡
A.9.1.2物理入口控制
为了确保只有已被授权人员才允许访问,安全区域是否通过适用的入口控制措施加以保护?
安全区域入口控制措施
内部:
门禁卡,外部:
来访登记
A.9.1.3保护办公室、房间和设施的安全
办公室、房间和设施的物理安全措施是否进行了设计并加以应用?
办公室、机房、资料室等安全措施
A.9.1.4防范外部威胁和环境威胁
对由火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的损害,是否设计与应用了物理保护措施?
外部环境威胁:
火灾、洪水、地震、爆炸物理保护措施
A.9.1.5在安全区域工作
在安全区域工作的物理保护措施和指南是否进行了设计并加以应用?
安全区域:
机房、资料室、实验室等物理保护、标识
对在安全区域工作的人员,是否有任何安全控制措施?
安全区域:
工作人员进出措施
A.9.1.6公共访问区和交接区
为了避免未授权访问,访问点(如交接区和未授权人员可以进入的其它地点)是否进行控制?
访问接待区域控制措施
交接区是否与信息处理设施隔开?
交接区与安全区物理隔离
A.9.2设备安全
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.9.2.1设备安置和保护
设备是否安置在可减少未授权访问的适当地点?
服务器、信息安全关键设施安置区域位置
对于处理敏感数据的信息处理设施,是否安置在可限制观测的位置?
关键设施安置区域可防止外界观测
对于需要特殊保护的设备,是否进行隔离?
需要特殊保护的设备隔离:
服务器
对信息处理设施的运行有负面影响的环境条件(例如温度和湿度),是否进行监视?
服务器、信息安全关键安置区域温湿度控制
A.9.2.2支持性设施
在由支持性设施的失效而引起的电源故障和其他中断方面,设备是否有所防范?
服务器、关键设施配备不间断电源
A.9.2.3布缆安全
电源和传输数据的(或支持信息服务的)通信电缆是否防范拦截或损坏?
电缆维护——防鼠,通信电缆与电力电缆分开铺设
A.9.2.4设备维护
设备是否按照供应商推荐的服务时间间隔和说明书,进行正确维护?
《信息处理设施管理规定》——3.8设备维护的时间间隔
设备维护是否只由已授权人员执行?
设备维护的授权人
设备的维护记录是否保存?
设备维护记录
A.9.2.5组织场所外的设备安全
对于组织场所的设备,是否考虑了不同风险,而采取安全措施?
《信息处理设施管理规定》——3.4.6便携式设备在外部使用规定
A.9.2.6设备安全销毁或安全再利用
对于含有任何敏感信息和许可软件的储存介质,是否进行安全销毁或安全覆盖后再利用?
《信息处理设施管理规定》——3.3储存介质物理粉碎性销毁、安全覆盖
A.9.2.7财产的移动
是否设备、信息或软件要带出组织场所外,必须获得管理者授权?
《信息资产管理规定》——3.5.5重要信息资产带出手续,审批
A.10通信和运行管理
A.10.1运行程序和职责
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.1.1形成运行程序文件
运行程序是否形成了文件、加以保持并可为所有需要的用户使用?
《信息处理设施管理规定》、《信息处理系统管理规定》、《访问控制管理规定》、
《信息管理规定》
A.10.1.2变更管理
对信息处理设施和系统的变更是否受控?
《信息处理系统管理规定》——变更控制
A.10.1.3责任的划分
为了减少对组织资产未授权(或无意识)的修改(或误用)的机会,是否划分了职责的责任与职责的范围?
《信息资产管理规定》——资产管理控制职责
A.10.1.4开发设施、测试设施和运行设施的分离
为了减少未授权访问(或更改)运行系统的风险,开发设施、测试设施和运行设施是否彼此分离开?
测试设施、运行设施分离
A.10.2第三方服务交付管理
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.2.1服务交付
第三方服务交付协议中所规定的安全控制措施、服务定义和交付水准,由第三方实施、运行和保持,是否获得保障?
《第三方服务提供管理规定》——协议
A.10.2.2第三方服务的监视和评审
对第三方提供的服务、报告和记录,是否定期地进行监视、评审和审核?
《第三方服务提供管理规定》——3.5.2第三方服务提供定期评审
A.10.2.3第三方服务的变更管理
对服务提供的变更(包括保持和改进现有的信息安全方针、程序和控制措施),是否考虑所涉及的业务系统与过程的关键程度和风险的再评估,进行管理?
《第三方服务提供管理规定》——3.6第三方服务提供变更,再评审
A.10.3系统规划和验收
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.3.1容量管理
为了确保所需的系统性能,是否对资源的使用进行监视和调整,并对未来的容量需求做出规划?
《信息处理系统管理规定》——容量控制
A.10.3.2系统验收
新信息系统、升级和新版本的验收准则,是否建立了,并在系统验收前和开发中进行适当的系统测试?
《信息处理系统管理规定》——系统验收控制
A.10.4防范恶意代码和移动代码
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.4.1对恶意代码的控制措施
是否有对恶意代码的控制措施(包括对恶意代码的监测、预防和恢复)?
《信息系统监测管理规定》——3.10.1.10恶意代码控制监测、预防、恢复
是否有禁止使用未授权软件的正式方针?
《信息系统监测管理规定》——3.10.1.10禁止使用未授权软件
是否安装并定期更新恶意代码检测与修复软件?
《信息系统监测管理规定》——3.10.1.10安装并定期更新恶意代码检测与修复软件
是否有提高用户对恶意代码防范意识的程序?
《信息系统监测管理规定》——3.10.1.10告知用户防范恶意代码
A.10.4.2对移动代码的控制措施
当移动代码获得授权使用时,是否配置确保该授权的移动代码,按照清晰定义的安全方针的规定运行?
《信息系统监测管理规定》——3.10.1.10移动代码控件授权使用
当移动代码未获得授权时,是否阻止其运行?
《信息系统监测管理规定》——3.10.1.10移动代码控件非授权禁止使用
A.10.5备份
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.5.1信息备份
是否有备份方针?
《信息管理规定》——备份控制
重要的信息和软件是否按照备份方针的规定定期备份和测试?
《信息管理规定》——定期备份、测试,《备份信息一览表》
备份的存储地是否安全,并与实际的使用场所保持足够的距离?
备份信息存储地,安全距离
A.10.6网络安全管理
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.6.1网络控制
为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络是否充分受控?
《访问控制管理规定》——3.3网络访问控制
网络的运行职责与计算机系统的运行职责是否分开?
《访问控制管理规定》——3.3网络运行与系统运行职责分开
信息在公用网络上传输时,是否有控制措施?
《访问控制管理规定》——3.3公用网络信息传输控制
A.10.6.2网络服务的安全
是否有网络服务(不管是内部的,还是外部的)?
删减
是否有确定所有网络服务的安全特性、服务级别和管理要求的网络服务协议?
删减
A.10.7介质处理
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.7.1可移动介质的管理
是否有可移动介质的管理程序?
《信息处理设施管理规定》——3.3
A.10.7.2介质的处置
对于不再需要的介质,是否使用正式的程序进行安全地处置?
《信息处理设施管理规定》——3.3介质的报废、销毁处置
为了保持审计踪迹,是否保留敏感信息处置记录?
《信息处理设施管理规定》——3.3介质处置保留记录
A.10.7.3信息处理程序
是否有信息的处理与贮存程序?
《信息资产管理规定》——3.5处理与贮存
该程序是否要防范信息被未授权者泄漏或误用?
《信息资产管理规定》——3.5防范信息被未授权者泄漏或误用
A.10.7.4系统文件的安全
是否要防范系统文件被未授权访问?
《访问控制管理规定》——3.2防范系统文件被未授权访问
系统文件的访问名单是否保持在最小范围,并获得责任人授权?
《访问控制管理规定》——3.2.2访问名单在最小范围
A.10.8信息的交换
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.8.1信息交换方针和程序
为了保护通过使用各种类型的通信设施进行信息交换,是否有正式的信息交换方针、程序和控制措施?
《信息管理规定》——信息交换控制
A.10.8.2交换协议
在组织和外方之间进行信息/软件交换时,是否有交换协议?
《信息管理规定》——4.1信息交换签署协议
该交换协议是否指向所涉及的敏感业务信息的安全问题?
《信息管理规定》——4.1敏感业务信息交换
A.10.8.3运输中的物理介质
当含信息的介质在组织的物理边界以外运送时,是否有防范未授权访问、误用或毁坏的措施?
《信息管理规定》——4.2.2信息介质在外部保护
A.10.8.4电子消息发送
当用电子方法发送信息时,是否有适当的信息保护措施?
《信息管理规定》——5.1电子发送保护
A.10.8.5业务信息系统
为了保护相互连接的业务信息系统的信息,是否开发与实施了相关的方针和程序?
OA内部管理系统
A.10.9电子商务服务
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.9.1电子商务
电子商务是否有防范欺诈活动、合同争议和未授权泄露与修改信息的控制措施?
删减
A.10.9.2在线交易
在线交易中的信息是否受保护,以防止传输错误、未授权的消息篡改、未授权的泄露、未授权的消息复制?
删减
A.10.9.3公共可用信息
为了维护公共可用系统中的信息的完整性,是否有防范未授权修改的控制措施?
《信息管理规定》——发布控制
A.10.10监视
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.10.10.1审计日志
审计日志是否记录用户活动、异常事件和信息安全事件?
《信息系统监测管理规定》——3.10审计
为了帮助未来的调查和访问控制监视,审计日志是否保持一段已商定的时期?
《信息系统监测管理规定》——审计日志保存期?
A.10.10.2监视系统的使用
监视信息处理设施的使用程序是否建立了?
《信息系统监测管理规定》——3.1使用设施
监视活动的结果是否定期评审?
《信息系统监测管理规定》——3.1定期评审
A.10.10.3日志信息的保护
记录日志的设施和日志信息是否有防范被篡改和未授权访问的控制措施?
《信息系统监测管理规定》——3.5设施防止未授权使用、日志防止篡改
A.10.10.4管理员和操作员日志
系统管理员和系统操作员的活动是否写入日志中?
日志记录内容——管理员和操作员工作内容
是否定期检查操作员日志?
《信息系统监测管理规定》——3.6定期检查
A.10.10.5故障日志
系统故障是否被报告、记录、分析和采取适当的措施?
《信息系统监测管理规定》——系统故障措施
A.10.10.6时钟同步
所有相关信息处理系统的时钟是否都按统一的标准时间进行同步设置?
信息处理系统时钟的同步设置?
A.11访问控制
A.11.1访问控制的业务要求
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.11.1.1访问控制方针
访问控制方针是否根据对访问控制的业务要求与安全要求,进行定义、形成文件和评审?
《访问控制管理规定》
访问控制方针是否为每个用户(或用户组)明确地规定了访问的规则和权限?
《访问控制管理规定》——3.1.4用户服务规则和权限
A.11.2用户访问管理
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.11.2.1用户注册
是否有正式的用户注册与注销程序,授权和撤销对所有信息系统和服务的访问?
《访问控制管理规定》——3.5用户注册与注销,授权和撤销规定
A.11.2.2特权管理
对于多用户系统,特权的分配和使用是否受限制和受控制?
《访问控制管理规定》——3.7特权的分配和使用控制
A.11.2.3用户口令管理
口令的分配是否要用一个正式的管理过程进行控制?
《访问控制管理规定》——3.6口令分配
A.11.2.4用户访问权的评审
管理者是否使用一个正式过程,定期地评审用户的访问权?
《访问控制管理规定》——3.5.3定期评审访问权
A.11.3用户职责
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.11.3.1口令使用
是否有指导用户选择和使用口令的指南、方针或规定?
《访问控制管理规定》——3.6.3选择和使用口令规则
组织是否要求用户遵照指南、方针或规定,选择和使用口令?
用户按规定使用口令
A.11.3.2无人值守的用户设备
用户是否知道保护无人值守的用户设备的职责和程序?
《信息处理设施管理规定》——3.9.3无人值守设备管理
组织是否要求用户确保无人值守的用户设备得到适当的保护?
无人值守设备的保护
A.11.3.3清空桌面和屏幕方针
为了防止敏感的(或关键的)业务信息受未授权访问、丢失或损坏,组织是否实施一个清空桌面和屏幕方针?
《信息处理设施管理规定》——3.9.1清空桌面、屏保要求
组织是否要求员工在离开座位时,不要把机密的纸文件和可移动存储介质留在桌面上,并注销计算机或锁住屏幕?
离开座位清空桌面、锁屏
A.11.4网络访问控制
相关条款
控制要求与检查内容
实施的方法,或删减的正当性
A.11.4.1网络服务的使用方针
是否有一个只允许用户访问其已被授权使用的网络服务?
《访问控制管理规定》
A.11.4.2外部连接的用户鉴别
对远程用户的访问控制,是否使用适当的用户鉴别方法?
《访问控制管理规定》——用户鉴别
MAC地址绑定,外部人员不经授权无法接入网络,远程访问通过账号密码验证
A.11.4.3网络上的设备识别
为了鉴别特定位置和设备的连接,是否把自动的设备识别作为一种手段?
《访问控制管理规定》——设备识别
通过DHCP服务结合MAC地址绑定自动给接入网络的经过授权的设备分配IP地址
A.11.4.4远程诊断端口和配置端口的保护
对诊断端口和配置端口的物理和逻辑访问,是否受控制?
《访问控制管理规定》——远程诊断端口和配置端口
通过交换机控制端口,通过Linux中的iptables设置端口的开放及关闭
A.11.4.5网络隔离
是否在网络上对信息服务、用户和信息系统进行隔离控制?
《访问控制管理规定》——信息服务、用户和信息系统进行隔离
通过建立公司多个网段的内部局域网控制
在各个不同的逻辑网络域(如组织的内部网络域和外部网络域等)之间,是否通过使用安全边界(如防火墙等),进行隔离和保护?
《访问控制管理规定》——内部和外部网络安全边界
不同网络防火墙隔离保护
A.11.4.6网络连接控制
对于越过组织边界的共享网络(如电子邮件、网站访问、和文件传送等),是否有网络连接控制措施?
《访问控制管理规定》——共享网络控制
根据网段划分控制
对共享网络用户连接网络的能力,是否按照业务应用系统的访问控制方针和要求加以限制?
《访问控制管理规定》——共享网络用户
共享网络按照业务应用系统的访问控制加以限制
A.11.4.7网络路由控制
为了确保计算机连接和信息流不违反业务应用系统的访问控制方针,共享网络是否有路由控制措施?
交换机,路由器
A.11.5操作系统访问控制
相关条款
控制要求与检查内容
实施的
升级会员 