信息安全控制措施测量程序
ISO27001信息安全管理国标新版解读精要
ISO27001:2013 新版解读精要1.综述ISO/IEC 27001(信息安全管理体系国际标准)是全球范围内发展最为快速的管理体系标准之一,2005 年发布迄今在全国100 多个国家中已签发17,500 多张证书,证书数量保持每年两位数增长。
信息安全最佳实践标准ISO/IEC 27002 为该ISO27001 的使用提供了必要的支持。
这两个标准均通过国际标准化组织(该组织的成员包括47 个国家标准机构)达成共识的方式而制定。
信息安全管理体系国际标准新版BS ISO/IEC 27001:2013 与BS ISO/IEC 27002:2013 在2013 年10 月已正式发布。
相关的几个标准,包括27003,27004,27005 亦正在修订中。
ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与其他管理体系的整合。
标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间。
值得信息安全从业人员去学习、实践。
2.标准新版与旧版的差异2.1整体变化注:图1 ISO 27001:2005 有11 个域、133 项控制措施,新版已调整为14 个域、114 项控制措施。
2.2正文的变化a)编写架构新版编写终于采用了标准化的ISO Annex SL通用架构(同ISO22301),采用此架构的好处在于可将各标准的要求,以统一的架构进行描述。
Annex SL架构考虑了管理体系间的兼容性,有利于不同管理体系间进行接轨、整合。
b)PDCA 与持续改进PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。
但从标准编写的目录结构上看,新版调整为 Planning-Support-Operation-Performance evaluation-Improvement,架构上其实是更趋 PDCA 了。
ISMS-监视和测量管理程序
监视和测量管理程序1目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析,为策划、实施、持续改进信息安全与服务管理体系提供依据。
2范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。
3职责3. 3.1管理者代表4. 1.l负责掌握信息安全与服务管理体系的总体运行情况,并向总经理汇报,对总经理负责。
4.1.2负责每年至少一次组织对本公司职能部门目标、指标的完成情况进行考核。
3.2运营管理部3.2.1负责本程序的编制、修订和监督实施。
3.2.2负责定期对各职能业务部门进行监视和测量,对各职能业务部门的监视和测量执行情况进行监督、检查和指导,为纠正和预防提供信息。
3.2.31负责收集项目交付后的顾客满意程度信息,并进行汇总、分析和传递。
3.3运维服务部3.3.1负责收集项目运维过程的顾客满意程度信息,并进行汇总、分析和传递。
4工作程序4.1监视和测量的范围及依据4.1.1根据本公司业务范围内信息资产的控制范围,确定监视和测量范围。
4. 1.2测量的范围一般包括:a)控制措施的实现过程;b)关键特性;控制措施实现目标程度;适用法律、法规的符合性;业务持续性控制措施;事故、事件和其它不良的绩效;c)不可接受风险计划中确定的措施;cl)顾客信息安全的满意程度。
4. 1.3监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。
4.3.监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。
4.4.监视和测量的实施4.3.1本公司运营管理部根据各职能部门确立的监视和测量范围,确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。
4.3.2监视和测量可选择的方法a.对控制过程进行日常检查;b.信息安全措施状况的抽查;c.设备装置的检查;d.作业环境的监视;e.记录检查。
加密控制测量外业和内业工作内容
加密控制测量外业和内业工作内容篇一:加密控制测量是一种用于确保信息安全的技术手段,其外业和内业工作内容如下:1. 外业工作外业工作通常包括以下步骤:- 环境评估:对被测环境进行评估,确定其物理和安全特性,例如物理障碍物、电磁干扰、网络安全等等。
- 风险评估:对被测环境的风险进行评估,确定可能的威胁类型和级别,例如网络攻击、物理安全漏洞等等。
- 数据收集:对需要测量的数据进行收集,包括收集数据的方式、数据来源、数据质量等等。
- 数据处理:对收集到的数据进行处理,包括数据清洗、数据加密、数据备份等等。
- 数据分析:对处理后的数据进行分析,确定数据的特征和趋势,为后续决策提供支持。
2. 内业工作内业工作通常包括以下步骤:- 计划和准备:制定测量计划和准备测量环境,包括确定测量范围、测量时间、测量工具等等。
- 数据管理:对测量数据进行管理,包括数据分类、数据存储、数据备份等等。
- 测量执行:按照测量计划执行测量任务,包括数据收集、数据处理、数据分析等等。
- 结果分析:对测量结果进行分析,包括数据特征分析、趋势分析等等,为后续决策提供支持。
外业和内业工作的区别在于,外业工作更注重物理和安全特性的评估和确定,内业工作更注重数据的管理和分析。
在实际应用中,外业和内业工作通常相互协作,以确保测量的全面性和准确性。
同时,为了最大程度地减少被测环境对测量结果的影响,需要在测量前对被测环境进行充分的评估和准备。
篇二:加密控制测量是一种用于检测和验证信息安全系统的技术,通常用于评估网络、存储、传输和应用程序等系统的安全性。
在进行加密控制测量时,外业和内业工作都是非常重要的。
外业工作:1. 外业人员需要通过不同的网络和设备,对被测系统进行实地测试。
他们需要对网络、服务器、存储设备、应用程序等进行访问和测试,以获取有关被测系统的信息。
2. 外业人员需要使用专业的测试工具和软件,对被测系统进行安全测试。
这些工具和软件通常包括漏洞扫描器、网络流量分析器、安全审计工具等。
ISO27001监视和测量管理程序
文件制修订记录1、目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析,为策划、实施、持续改进管理体系提供依据。
2、适用范围本程序适用于公司控制措施衡量、法律法规符合性验证、安全目标、方针贯彻。
3、术语和定义引用ISO/IEC27001:2022标准及本公司信息安全手册中的术语和定义。
4、职责4.1管理运营部4.1.1负责信息安全控制措施有效性、安全方针和安全目标实现程度测量。
4.1.2负责识别与公司有关的法律法规,并检验是否满足。
4.2管理者代表4.2.1负责掌握信息安全管理体系的总体运行情况,并向最高管理者汇报,对最高管理者负责。
4.2.2收集、评审信息安全管理体系的有效性、充分性、适宜性的改进建议;4.3管理运营部4.3.1负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规,发布《信息安全法律法规清单》,对本程序的实施情况进行组织、监督和检查。
体系管理部负责法律法规的更新以及适用性的确认,并传达给各部门。
4.4采购保障部4.4.1负责每半年对各职能市场销售部门进行监视和测量,对各职能市场销售部门的监视和测量执行情况进行监督、检查和指导,为纠正和预防提供信息。
4.4.2负责收集的顾客信息安全满意程度信息,并进行汇总、分析和传递。
5、工作程序5.1法律符合性测量5.1.1法律识别由管理运营部负责每半年收集、更新与公司运营有关的信息安全法律法规,编制《信息安全法律法规清单》,解读法规要求,在制定公司信息安全规章制度时作为遵循条件之一,必要时对有关人员进行法律法规的理解培训。
有下列情况之一的,须进行相关的法律合规性评价活动:1)原有的法律法规发生变化或者有新的相关法律法规出台时;2)外部环境标准发生变化或者环境体系进行换版时;3)公司内部或者周边工作环境发生变化时;4)有新的设备或者设施投入使用前;5)一般情况下每年末进行相关的法律合规性评价工作。
各部门根据信息系统日常运行及检测记录,对控制效果、过程的符合性进行相应评价。
ISO27001文件-ISMS有效性测量方法指南
ISMS有效性测量方法指南(版本号:V1.0)ISMS有效性测量管理规定更改控制页目录1目的 (1)2范围 (1)3内容 (1)3.1测量数据的收集 (1)3.2体系有效性测量 (2)3.3测量结果的分析与总结 (2)4相关文件 (3)5相关记录 (3)6附录: (4)6.1附录1:《ISMS控制目标和检查内容列表》 (4)6.2附录2:《信息安全目标测量信息一览表》 (4)1目的为信息安全管理体系的测量和分析工作提供指导。
2范围适用于公司信息安全管理体系有效性测量和分析活动。
3内容3.1测量数据的收集通常采用以下几种方法收集用于测量的基础数据:日常检查、审计监控系统的回顾、信息安全事件的统计等。
1)日常检查内容要求:信息安全管理体系标准要求的11项控制目标和133项控制措施;公司制定的信息安全管理体系文件的各项管理规定。
日常检查的内容参考附录1《ISMS控制目标和检查内容列表》,每次检查的具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信息安全隐患程度决定。
具体检查情况应填写《日常检查记录表》。
频度要求:每月至少进行1次抽样日常检查。
2)审计监控系统回顾内容要求:系统管理员对各种日志系统、审计系统、监控系统等做抽样检查或定期回顾,要特别关注各种告警信息和错误日志等,以期发现违反和潜在违反信息安全策略的行为与事件。
审计监控系统时应填写《错误日志审核记录表》。
频度要求:每季度每个信息系统至少检查一次。
3)信息安全事件统计内容要求:接受来自公司内、外等各种渠道的信息安全事件报告,由信息安全经理负责根据实际情况填写《信息安全事件报告与处理单》,定期对各种信息安全事故进行分类统计。
频度要求:每季度进行一次。
4)信息安全意识活动内容要求:信息安全意识活动主要有:信息安全培训、信息安全调查问卷、信息安全考试等。
正式员工应积极参加公司组织的各种信息安全意识活动。
新员工在试用期内必须接受信息安全的相关文件培训。
ISOIEC27004-2009信息安全测量中文版
信息技术—安全技术—信息安全管理—测量27004 N6614 (FCD)标准草案目录0 介绍 (4)0.1 概述 (4)0.2 管理层概述 (4)1 范围 (5)2 规范性引用 (5)3 术语和定义 (5)4 本标准的结构 (9)5 信息安全测量概述 (9)5.1 信息安全目标 (9)5.2 信息安全测量项目 (10)5.3 信息安全测量模型 (12)5.3.1 基本测度和测量方法 (13)5.3.2 导出测度和测量函数 (13)5.3.3 指标和分析模型 (14)5.3.4 测量结果和决策准则 (15)6. 管理职责 (15)6.1 概述 (15)6.2 资源管理 (16)6.3 测量培训,意识和能力 (16)7. 测度和测量开发 (16)7.1 概述 (16)7.2 测量范围识别 (16)7.3 信息需要识别 (17)7.4 对象识别 (18)7.5 测量开发和选择 (18)7.5.1 测量方法 (18)7.5.2 测量函数 (19)7.5.3 利益相关方 (19)7.5.4 属性选择和评审 (19)7.5.5 分析模型 (20)7.5.6 指标和报告格式 (20)7.5.7 决策准则 (20)7.6 测度证实 (21)7.7 数据收集、分析和报告 (21)7.8 记录 (22)8. 测量运行 (22)8.1 概述 (22)8.2 规程整合 (22)8.3 数据收集和处理 (23)9. 测量分析和报告 (23)9.1 概述 (23)9.2 分析数据和产生测量结果 (23)9.3 沟通结果 (24)10. 测量项目评价和改进 (25)10.1 概述 (25)10.2 识别测量项目的评价准则 (25)10.3 监控、评审与评价测量项目 (26)10.4 实施改进 (26)附录A (资料性附录)信息安全测量模板 (27)附录B (资料性附录)测度范例 (29)参考文献 (31)0 介绍0.1 概述本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。
ISO27001:2013信息安全管理体系内部审核检查表
4.是否沟通有效的信息安全 管理及符合信息安全管理体 系要求的重要性?
5.管理层是否履行自己的职 责,保证信息安全达到预期 结果,是否做出了承诺?
6.是否指导并支持相关人员 为信息安全管理体系的有效 性做出贡献?
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
h)支持其他相关管理角色,以证 实他们的领导按角色应用于其责任范 围。
7.是否发布公司管理人员、 部门的职责和权限?管理人 员和部门是否履行其职责?
5.2方针
最高管理层应建立信息安全方 针,该方针应:
a)与组织意图相适宜;
b)包括信息安全目的(见6.2)或 为设定信息安全目的提供框架;
b)格式(例如语言、软件版本、 图表)和介质(例如纸质的、电子的);
C)对适宜性和充分性的评审和批 准。
1.创建和更新文件是否是否 符合标准要求?
7.5.3文件 化信息的控 制
信息安全管理体系及本标准所要 求的文件化信息应得到控制,以确保:
a)在需要的地点和时间,是可用 的和适宜使用的;
b)得到充分的保护(如避免保密 性损失、不恰当使用、完整性损失等)。 为控制文件化信息,适用时,组织应强 调以下活动:
c)不符合信息安全管理体系要求 带来的影响。
1.各部门随机抽查2名员 工,询问公司的信息安全方 针、不符合信息安全管理体 系会带来什么样的影响?
7.4沟通
组织应确定与信息安全管理体系相 关的内部和外部的沟通需求,包括:
a)沟通什么;
b)何时沟通;
c)与谁沟通;
d)谁来沟通;
ISO27001信息安全有效性测量控制程序
ISO27001信息安全有效性测量控制程序1 概述本文件主要目的是对管理体系中各流程/制度的执行情况进行整体测量,以衡量管理体系在一定阶段内的有效性水平,为公司领导的工作安排和决策提供参考。
2 过程2.1 责任部门由综合管理部总体负责有效性测量的策划和实施工作。
2.2 有效性测量目标及评分原则由综合管理部制定的有效性测量的目标和评分原则。
测量目标应包括下列主要流程的实际运行情况以及SLA达成率、客户满意度情况等。
详细测量目标和评分原则参考《有效性测量目标及评分原则》。
《管理手册》《管理体系策划》《适用性声明》《文件管理手册》《记录和资料管理手册》《管理评审控制程序》《内部审核控制程序》《纠正和预防措施控制程序》《不合格品控制程序》《日常检查制度》《流程评审与改进程序》《新服务和服务变更管理手册》《服务级别管理手册》《服务报告管理手册》《能力和可用性管理手册》《业务连续性管理手册》《财务管理手册》《供应商管理手册》《事件管理手册》《问题管理手册》《变更与发布管理手册》《配置管理手册》《资产管理手册》《信息安全风险管理手册》《物理环境安全管理手册》《用户密码管理手册》《存储介质管理手册》《设备管理手册》《防病毒管理手册》《网络管理手册》《软件管理手册》《人力资源管理规范实施细则》《符合性管理手册》《员工手册》2.3 有效性测量周期一般情况有效性测量每半年进行一次。
当实际需要时可以临时进行有效性测量。
2.4 有效性测量结果汇报与审批综合管理部应将有效性测量结果汇报给管理者代表进行审核,由最高管理者进行审批。
3 相关文件《有效性测量目标及评分原则》IT服务与信息安全有效性测量目标及评分。
ISO27001认证流程是什么,需要什么资料?
ISO27001认证流程是什么,需要哪些材料?ISO27001认证是关于信息安全管理体系认证,ISO27001将有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据。
ISO27001认证流程是什么,需要哪些材料?一、建立信息安全管理体系一般要经过下列四个基本步骤:1、信息安全管理体系的策划与准备;2、信息安全管理体系文件的编制;3、信息安全管理体系运行;4、信息安全管理体系审核与评审。
二、ISO27000咨询认证流程1、按照ISO27001标准要求建立体系框架;2、体系建立后,需要运行一段时间,最少三个月,产生三个月的运行记录;3、向认证机构递交审核申请;4、认证机构评估费用和正式审核时间;5、认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。
检查体系中遗漏和繁琐需要修改的地方;6、认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。
认证机构通常将现场审核并给出建议;7、如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。
在满足持续审核情况下,三年有效。
三、申请ISO27001认证应提交的文件及材料:1、组织法律证明文件,如营业执照及年检证明复印件(盖公章);2、组织机构代码证书复印件、税务登记证复印件(盖公章);3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);4、申请组织的简介:4.1、组织简介(1000字左右);4.2、申请组织的主要业务流程;4.3、组织机构图或职能表述文件;5、申请组织的体系文件,需包含但不仅限于(可以合并):5.1、信息安全管理体系ISMS方针文件;5.2、风险评估程序;5.3、适用性声明;5.4、风险处理程序;5.5、文件控制程序;5.6、记录控制程序;5.7、内部审核程序;5.8、管理评审程序;5.9、纠正措施与预防措施程序;5.10、控制措施有效性的测量程序;5.11、职能角色分配表;5.12、整个体系文件结构与清单。
信息安全管理制度
信息安全管理制度一、计算机设备管理制度1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准。
3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
(一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。
操作代码分为系统管理代码和一般操作代码。
代码的设置根据不同应用系统的要求及岗位职责而设置;(二)系统管理操作代码的设置与管理1、系统管理操作代码必须经过经营管理者授权取得;2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;4、系统管理员不得使用他人操作代码进行业务操作;5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;(三)一般操作代码的设置与管理1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。
密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。
密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。
密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
ISOIEC27000系列标准介绍
ISO/IEC27000系列标准介绍一、背景病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边程度不同的发生过。
因此,保护信息资产,解决信息安全问题,已经成了企业必须高度重视并着力解决的问题。
人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。
信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。
但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。
与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
例如,与企业员工相关的信息安全问题、信息安全和效益的平衡问题、信息安全目标、业务连续性、信息安全法规遵从等问题,只靠产品和技术是解决不了的。
有效解决信息安全问题,还要靠“三分技术、七分管理”。
ISO国际标准化组织近10年来针对信息安全和信息安全管理体系(ISMS)先后发布了一系列的国际标准,下面列出其中的一部分:⒈ISO/IEC 27001(Information security management system-fundamentals and vocabulary 信息安全管理体系-基础和术语:提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。
ISMS标准族中的其他每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC 27000则主要用于实现这种协调。
⒉ISO/IEC27001:2005:Information technology-securitytechniques-Information security management systems-Requirements (信息安全管理体系—要求)于2005年10月15日正式发布,是ISMS的要求标准,内容共分8章和3个附录,其中重要附录A中的内容直接引用并与其前身ISO/IEC17799:2005第5到15章一致。
ISOIEC27000系列标准介绍
ISO/IEC27000系列标准介绍一、背景病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边程度不同的发生过。
因此,保护信息资产,解决信息安全问题,已经成了企业必须高度重视并着力解决的问题。
人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。
信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。
但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。
与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
例如,与企业员工相关的信息安全问题、信息安全和效益的平衡问题、信息安全目标、业务连续性、信息安全法规遵从等问题,只靠产品和技术是解决不了的。
有效解决信息安全问题,还要靠“三分技术、七分管理”。
ISO国际标准化组织近10年来针对信息安全和信息安全管理体系(ISMS)先后发布了一系列的国际标准,下面列出其中的一部分:⒈ISO/IEC 27001(Information security management system-fundamentals and vocabulary 信息安全管理体系-基础和术语:提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。
ISMS标准族中的其他每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC 27000则主要用于实现这种协调。
⒉ISO/IEC27001:2005:Information technology-securitytechniques-Information security management systems-Requirements (信息安全管理体系—要求)于2005年10月15日正式发布,是ISMS的要求标准,内容共分8章和3个附录,其中重要附录A中的内容直接引用并与其前身ISO/IEC17799:2005第5到15章一致。
信息安全控制措施测量程序
信息安全控制措施测量程序1 目的为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序,测量控制措施的有效性,制定本文件。
2 适用范围本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。
3 参考文件ISO/IEC27001:2005 信息安全管理体系要求ISO/IEC27002:2005 信息安全管理实用规则4 职责和权限信息安全领导办公室负责本文件的建立和评审。
内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。
5 相关活动5.1 信息安全控制措施测量方法针对不同的控制措施,采用两类测量方法:观察验证和系统测试。
5.1.1 观察验证用于组织类控制措施的有效性测量,包括查验记录、访谈、观察和物理检查等;5.1.2 系统测试用于技术类控制措施的有效性测量,包括上机操作,或者通过使用专门的系统工具等。
5.2 信息安全控制措施测量流程信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划;根据测量计划,由内审小组和资讯部区分不同类型的控制措施,选择测量方法,编制详细的检查表;针对系统测试方法,准备相应的系统工具;按计划实施测量;形成控制措施有效性测量报告(可以包含在内部审核报告中)。
6 相关文件和记录信息安全控制措施检查表信息安全控制措施测量方法参考表信息安全控制措施检查表A.15.1.4 数据保护和个人信息的询问组织对数据和个人隐私的包括措施。
隐私A.15.1.5 防止滥用信息处理设施检查、验证组织防止滥用信息处理设施的措施。
A.15.1.6 密码控制措施的规则询问、验证组织密码控制措施情况。
A.15.2符合安全策略和标准,以及技术符合性A.15.2.1 符合安全策略和标准检查、验证员工遵守信息安全策略、规程等情况。
A.15.2.2 技术符合性检查询问、验证组织是否定期进行技术符合性检查,查阅检查记录等。
A.15.3 信息系统审核考虑A.15.3.1 信息系统审计控制措施询问、验证组织对信息系统审计的控制措施情况。
监视、测量、分析和评价控制程序
监视、测量、分析和评价控制程序1 【目的】通过对工作绩效指标的监视和测量,客观评价和管理公司两化融合工作的实施效果,发现实施过程和管理中存在的问题,为工作改善提供依据,以此促进公司两化融合管理水平的提升。
2 【适用范围】适用于本公司两化融合工作绩效指标监视和测量的全过程管理。
3 【职责】3.1 人事行政部3.1.1 负责两化融合工作绩效指标的统筹管理;3.1.2 负责对两化融合项目的实现程度和目标值进行监视与测量;3.1.3 负责对两化融合目标的执行情况进行评价并提出考核建议;3.1.4 负责根据策划和优化方案组织对公司在技术、业务流程、组织结构和数据开发利用方面的同步改进和提升情况进行评价。
3.1.5 负责定期对两化融合管理体系实施框架的执行情况进行监视与测量,定期检查两化融合项目工作情况,定期对信息资源综合利用情况和信息安全情况进行检查。
3.1.6 负责定期对两化融合工作的人力资源保障和培训情况进行检查。
3.2 安全保障部负责定期对设备设施的运行维护情况进行检查。
3.3 财务部负责根据年度预算,定期对两化融合资金使用情况进行检查。
3.4 其他部门按照两化融合管理体系的要求对相关工作情况进行检查。
4 【程序】4.1 人事行政部按照以下原则,制订或调整绩效及两化融合指标:a) 公司的发展战略;b) 公司的可持续竞争优势需求。
c) 公司拟打造的新型能力。
d) 公司的两化融合方针与目标。
e) 打造公司新型能力相关的项目目标。
f) 项目实施的过程指标。
4.2 绩效指标的测量4.2.1 监视与测量的方式a) 定期检查;b) 检验或测试;c) 评审或评价;d) 问询和调查等。
4.2.2 相关部门每月定期根据实际情况,进行绩效指标测量,并上报人事行政部。
4.2.3 人事行政部根据相关部门的指标完成情况,对两化融合整体绩效指标进行测量。
4.3 绩效指标的监视4.3.1 两化融合绩效指标的监视,主要由业务主管部门负责实施,包括项目执行情况,运行维护情况等。
ISO27001文件-ISMS有效性测量管理规定
ISMS有效性测量管理规定(版本号:V1.0)更改控制页目录1目的 (1)2范围 (1)3职责 (1)3.1管理者代表 ......................................................................... 错误!未定义书签。
3.2信息安全经理 (1)3.3信息安全执行组 (1)3.4各部门 (1)4内容 (1)4.1测量计划 (2)4.2制定测量指标 ..................................................................... 错误!未定义书签。
4.3实施测量 (2)4.4测量分析 (2)4.5测量改进 (3)5相关文件 (3)6相关记录 (3)1目的本规定为衡量信息安全状况、信息安全管理体系的有效性和持续改进的能力、管理体系是否满足业务要求等方面而制定。
2范围本规定适用于公司信息安全管理体系运行维护的相关活动。
3职责3.1信息安全经理负责体系有效性测量的组织和策划;负责日常监督、检查和反馈工作;负责分析测量结果,编制并提交测量报告。
3.2信息安全执行组提供信息安全有效性测量基础数据。
3.3各部门对本部门提供的信息安全有效性测量基础数据的真实性负责。
4内容有效性测量应符合PDCA的持续改进模型,需要对已经进行的测量进行总结与回顾,以改进不足;随着时间的推移、技术的发展、业务的变化与拓展,还需要对有效性测量的指标与方法等进行适时的、不断的调整。
4.1策划测量信息安全经理在日常管理中对于员工的信息安全行为进行考核,了解安全状况,识别各类安全需求,根据上一年度的ISMS有效性测量结果,分析原因,采取对策。
每年12月,信息安全经理对下一年度ISMS有效性测量活动进行策划。
4.2实施测量信息安全执行组按照《ISMS有效性测量记录表》中的测量项和测量指标进行测量。
通常采用以下几种方法进行有效性的测量:日常检查、纠正预防措施验证、审计监控系统回顾、信息安全事故统计等。
监视和测量程序
1 目的制定本程序的目的是为了明确监视和测量的对象,保证监视和测量活动的有效开展,真实地评价质量目标的实现情况。
2 范围本程序适用于ZLXF对产品的监视和测量。
3 引用标准3.1 GB/T19001-2000 《质量管理体系要求》4 职责4.1技术工程部负责质量管理体系运行检查和对产品质量的检查验收。
5 管理内容与要求5.1 过程的监视和测量5.1.1 技术工程部负责识别质量管理体系日常运行状态的管理活动需要进行监视和测量的对象和具体要求。
5.1.2技术工程部通过内部审核、管理评审对质量管理体系运行过程进行监视和测量。
5.2 产品的监视和测量5.2.1 采购产品的监视和测量按产品检验和试验规范要求,对采购产品进行监视和测量,确保未经检验和试验或经验证不合格的物资不投入使用。
5.2.2施工过程质量的监视和测量按国家标准《工程施工及验收规范》实施监视和测量。
并填写相应的施工过程质量检查记录。
5.2.3工程竣工的监视和测量在交付使用前必须经过公安消防监督机构验收。
评判符合国家标准后编写竣工验收报告。
5.2.4 保持证明产品符合要求的记录,按《记录控制程序》管理,记录应标明放行产品的授权检验者。
5.2.5 当产品没有通过某种检验、试验时应按《不合格品控制程序》执行。
5.3 监视和测量记录5.3.1 所有监视和测量记录或报告单由授权检验者盖章或签字方可有效。
5.3.2 所有监视和测量记录必须填写日期、编号、监测结果等内容。
5.3.3 监测记录必须按有关规定或要求填写、整理、保管。
6 形成的记录。
信息安全保密控制措施
信息安全保密控制措施保障信息安全,切实推行安全管理,积极预防风险,完善控制措施。
本办法适用于公司所有在职员工。
二、定义信息化设备:通指公司配发给每一位员工的,用于从事信息化工作的硬件设备,以及支撑公司正常运作的网络和服务器设备等,主要包括:台式计算机、笔记本电脑、服务器、网络交换机、防火墙、路由器以及各类软件应用平台和软件开发环境等。
信息化主管部门:由公司委托对公司所有信息化系统、安全、人力实施管理的部门。
三、信息化设备管理3.1严禁将公司配发给员工用于办公的计算机转借给非公司员工使用,严禁将公司配发的笔记本电脑带回家使用,严禁利用公司信息化设备资源为第三方从事兼职工作。
3.2公司所有硬件服务器统一放臵在机房内,由公司指定的信息主管部门承担管理职责,由专人负责服务器杀毒、升级、备份。
3.3非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。
计算机设备送外维修,必须经过部门负责人批准,并登记备案。
3.4严格遵守计算机设备使用及安全操作规程和正确的使用方法。
任何人不允许私自处理或找非本单位技术人员对信息化设备进行维修及操作,不得擅自拆卸、更换或破坏信息化设备及其部件。
3.5计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放臵易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
3.6原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码,对于交换机、防火墙、路由器等网络设备也必须设臵管理密码。
3.7公司所有终端电脑、服务器都必须安装正版杀病毒软件,系统管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。
四、系统管理员安全管理4.1公司所有服务器,由公司指定的信息化主管部门实施统一、集中管理。
4.2系统管理员管理权限必须经过公司管理层授权取得。
4.3各部门拥有各类服务器的使用权,核心业务部门还拥有相应服务器的管理权,核心业务部门拥有服务器的管理权由公司批准后授予。
ISO-IEC27001知识体系
ISO/IEC27001知识体系1.ISMS概述 (1)1.1 什么是ISMS (1)1.2 为什么需要ISMS (2)1.3 如何建立ISMS (4)2.ISMS标准 (9)2.1 ISMS标准体系-ISO/IEC27000族简介 (9)2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 (14)2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍 (18)3.ISMS认证 (22)3.1 什么是ISMS认证 (22)3.2 为什么要进行ISMS认证 (22)3.3 ISMS认证适合何种类型的组织 (23)3.4 全球ISMS认证状况及发展趋势 (24)3.5 如何建设ISMS并取得认证 (29)1. ISMS概述1.1 什么是ISMS信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下:ISMS(信息安全管理体系):是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS 描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全控制措施测量程序1 目的为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序,测量控制措施的有效性,制定本文件。
2 适用范围本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。
3 参考文件ISO/IEC27001:2005 信息安全管理体系要求ISO/IEC27002:2005 信息安全管理实用规则4 职责和权限信息安全领导办公室负责本文件的建立和评审。
内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。
5 相关活动5.1 信息安全控制措施测量方法针对不同的控制措施,采用两类测量方法:观察验证和系统测试。
5.1.1 观察验证用于组织类控制措施的有效性测量,包括查验记录、访谈、观察和物理检查等;5.1.2 系统测试用于技术类控制措施的有效性测量,包括上机操作,或者通过使用专门的系统工具等。
5.2 信息安全控制措施测量流程信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划;根据测量计划,由内审小组和资讯部区分不同类型的控制措施,选择测量方法,编制详细的检查表;针对系统测试方法,准备相应的系统工具;按计划实施测量;形成控制措施有效性测量报告(可以包含在内部审核报告中)。
6 相关文件和记录信息安全控制措施检查表信息安全控制措施测量方法参考表信息安全控制措施检查表信息安全控制措施测量方法参考表控制措施测量方法A.5 安全方针A.5.1 信息安全方针A.5.1.1信息安全方针文件审核 ISMS方针文件访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
A.5.1.2信息安全方针的评审查阅 ISMS方针文件的评审和修订记录。
A.6 信息安全组织A.6.1 内部组织A.6.1.1 信息安全的管理承诺结合 5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
A.6.1.2 信息安全协调访问组织的信息安全管理机构,包括其职责。
A.6.1.3 信息安全职责的分配查阅信息安全职责分配或描述等方面的文件。
A.6.1.4 信息处理设施的授权过程访问IT等相关部门,了解组织对新信息处理设施的管理流程。
A.6.1.5 保密性协议查阅组织与员工、外部相关方等签署的保密性或不泄露协议。
A.6.1.6 与政府部门的联系访问信息安全管理机构,询问与相关政府部门的联络情况。
A.6.1.7 与特定利益集团的联系访问信息安全管理机构,询问与相关信息安全专家、专业协会、学会等联络情况。
A.6.1.8 信息安全的独立评审通过对内部审核、管理评审、第三方认证审核等的审核,验证组织信息安全独立评审情况。
A.6.2外部各方A.6.2.1与外部各方相关风险的识别访问组织信息安全管理机构或IT相关部门,了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。
A.6.2.2处理与顾客有关的安全问题访问组织信息安全管理机构或IT相关部门,了解对顾客访问组织的信息和信息处理设施的风险和控制状况。
A.6.2.3 处理第三方协议中的安全问题访问组织信息安全管理机构或 IT相关部门,了解第三方协议中的安全要求的满足情况。
A.7资产管理A.7.1对资产负责A.7.1.1 资产清单审核组织的信息资产清单和关键信息资产清单A.7.1.2 资产责任人A.7.1.3资产的允许使用访问组织信息安全管理机构或 IT相关部门,了解对信息资产使用的控制。
A.7.2信息分类A.7.2.1 分类指南访问组织信息安全管理机构或 IT相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
A.7.2.2 信息标记和处理A.8人力资源安全A.8.1任用之前A.8.1.1 角色和职责审核信息安全角色和职责的分配和描述等相关文件A.8.1.2 审查访问人力资源等相关部门,验证人员任用前的审查工作。
A.8.1.3 任用条款和条件查阅任用合同中的信息安全相关的任用条款A.8.2 任用中A.8.2.1 管理职责访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
A.8.2.2 信息安全意识、教育和培训查阅培训计划和培训记录。
A.8.2.3纪律处理过程访问组织信息安全管理机构、人力资源等相关部门,以及查阅信息安全奖惩制度。
A.8.3 任用的终止或变化A.8.3.1 终止职责访问组织信息安全管理机构,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
A.8.3.2 资产的归还访问组织IT 等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
A.8.3.3撤销访问权访问组织 IT 等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对系统和网络的访问权的处置情况。
A.9物理和环境安全A.9.1安全区域A.9.1.1物理安全边界结合ISMS 范围文件,访问相关部门,了解组织的物理边界控制,出入口控制,办公室防护等措施和执行情况。
如调阅监控录像资料等。
A.9.1.2物理入口控制A.9.1.3办公室、房间和设备的安全保护A.9.1.4外部和环境威胁的安全防护询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.9.1.5 在安全区域工作询问、验证组织安全区域内的物理防护。
A.9.1.6 公共访问、交接区安全询问、验证组织公共访问、交接区内的防护措施A.9.2设备安全A.9.2.1 设备安置和保护询问、验证组织设备安置和保护措施。
查阅机房管理规定等相关文件。
A.9.2.2 支持性设施询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。
查阅机房温湿度记录等。
A.9.2.3 布缆安全询问IT 等相关部门在布线方面是否符合相关国家标准,并验证。
A.9.2.4 设备维护询问、验证组织设备维护情况,查阅设备维护记录A.9.2.5组织场所外的设备的安全询问、验证组织对场所外的设备的安全保护措施。
A.9.2.6设备的安全处置或再利用询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.9.2.7资产的移动询问、验证对资产的移动的安全防护措施。
A.10通信和操作管理A.10.1操作规程和职责A.10.1.1 文件化的操作规程查阅相关设备操作程序文件,操作记录等。
A.10.1.2 变更管理查阅和验证信息系统的变更控制。
A.10.1.3责任分割访问信息安全管理机构、IT 等相关部门,验证责任分割状况。
如重要服务器的登录口令分2人保管等。
A.10.1.4开发、测试和运行设施分离访问IT、研发等部门,验证开发、测试和运行设施的分离状况。
A.10.2第三方服务交付管理A.10.2.1 服务交付查阅第三方服务协议中的信息安全相关的要求和交付标准。
A.10.2.2 第三方服务的监视和评审查阅第三方服务的信息安全相关要求的监视和评审记录。
A.10.2.3第三方服务的变更管理查阅第三方服务的信息安全要求的变更控制记录。
A.10.3系统规划和验收A.10.3.1 容量管理查阅系统建设前的容量规划记录。
A.10.3.2 系统验收查阅系统建设完成时的验收标准和验收记录。
A.10.4 防范恶意和移动代码A.10.4.1 控制恶意代码检查计算机病毒等恶意代码防范软件,及代码库的更新情况。
可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.10.4.2 控制移动代码询问、验证移动代码控制措施的情况。
A.10.5备份A.10.5.1 信息备份查阅备份策略等相关文件。
抽查备份介质,并要求测试、验证。
A.10.6 网络安全管理A.10.6.1 网络控制访问IT等相关部门,验证网络控制措施情况。
A.10.6.2 网络服务的安全查阅网络服务协议等相关文件,验证网络服务中的安全要求是否被满足。
A.10.7 介质处置A.10.7.1 可移动介质的管理访问信息安全管理机构、IT等相关部门,验证对可移动介质的管理是否满足安全要求。
A.10.7.2 介质的处置访问信息安全管理机构、IT等相关部门,验证对介质的处置是否满足安全要求。
A.10.7.3 信息处理规程查阅、验证信息处理规程。
A.10.7.4 系统文件安全查阅、验证保护系统文件安全的控制措施。
A.10.8 信息的交换A.10.8.1 信息交换策略和规程查阅、验证组织的信息交换策略和规程等相关文件。
A.10.8.2 交换协议访问信息安全管理机构,查阅信息和软件交换协议。
A.10.8.3 运输中的物理介质询问、验证组织对运输中的物理介质的保护措施。
A.10.8.4 电子消息发送询问、验证对电子邮件等信息发送的安全保护措施A.10.8.5 业务信息系统询问、验证对业务信息系统的安全保护措施。
A.10.9 电子商务服务A.10.9.1 电子商务询问、验证组织电子商务中的安全保护措施。
A.10.9.2 在线交易询问、验证组织在线交易中的安全保护措施。
A.10.9.3 公共可用信息询问、验证组织公共信息的安全保护措施。
A.10.10监视A.10.10.1 审计记录查阅重要系统的日志信息。
A.10.10.2 监视系统的使用检查、验证监视系统的有效性。
查阅监视系统日志等。
A.10.10.3 日志信息的保护询问、验证日志信息的包括措施。
A.10.10.4 管理员和操作员日志查阅、验证管理员和操作员日志。
A.10.10.5 故障日志查阅、验证系统的故障日志。
A.10.10.6 时钟同步检查、验证时钟同步措施。
A.11访问控制A.11.1 访问控制的业务要求A.11.1.1 访问控制策略查阅访问控制策略等相关文件。
A.11.2 用户访问管理A.11.2.1 用户注册查阅用户注册、注销的流程等相关文件。
A.11.2.2 特殊权限管理询问、验证超级用户等特殊权限的管理控制措施。
A.11.2.3 用户口令管理检查、验证用户口令的管理控制措施。
A.11.2.4 用户访问权的复查查阅用户访问权的复查、评审记录。
A.11.3用户职责A.11.3.1 口令使用检查验证用户口令使用情况。
A.11.3.2 无人值守的用户设备询问、验证无人值守的用户设备的安全措施情况。
A.11.3.3 清空桌面和屏幕策略检查、验证清空桌面和屏幕策略执行情况。
A.11.4网络访问控制A.11.4.1 使用网络服务的策略查阅、验证使用网络服务的策略和执行情况。
A.11.4.2 外部连接的用户鉴别检查、验证对外部连接的用户鉴别措施。
A.11.4.3 网络上的设备标识检查网络上的设备标识。
A.11.4.4 远程诊断和配置端口的保护检查、验证对网络设备上的远程诊断和配置端口的保护措施。
A.11.4.5 网络隔离检查、验证网络间服务、用户等的隔离措施,如划分子网等。
A.11.4.6 网络连接控制检查、验证网络连接控制措施。