信息安全管理体系有效性测量表
信息安全管理体系内部审核检查表
d) 组织要定义如何测量所选控制 l 组织是否有一个“测量所选控制措施有效性”的过程? 措施的有效性
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
划
f) 组织要管理ISMS的运行
l 组织是否有“管理ISMS的运行”的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核
l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案
l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频 次和方法 (4) 审核员的选择,审核的实施 要确保审核过程的客观公正 (5) 审核员不准审核自己的工作
e) 组织要执行定期的ISMS内部 l 是否有到位的定期的“ISMS内部审核”过程或程序?
审核
f) 组织要执行定期的ISMS管理评 l 是否有到位的定期的“ISMS管理评审”过程或程序?
审
g) 组织要更新信息安全计划
l 组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
h) 组织要维护ISMS事件和行动 措施的纪录 条款:4.2.4 保持和改进ISMS
a) 管理评审的输入要包括审核和 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程? 评审结果
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方 的反馈 c)管理评审的输入要包括可用于 改进ISMS的技术、产品或程序 d)管理评审的输入要包括预防和 纠正措施的状况 e)管理评审的输入要包括以往风 险评估没有充分解决的脆弱点或 威f)管胁理评审的输入要包括有效性 测量的结果 g)管理评审的输入要包括以往管 理评审的跟踪措施 h)管理评审的输入要包括可能影 响ISMS的任何变更 i) 管理评审的输入要包括改进的 建议 条款 7.3 评审输出
ISO27001内审检查表(ISO27001 2013 )
6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标? 2、信息安全目标与管理方针是否存在关联? 3、信息安全目标是否可测量? 4、组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和 风险处置结果? 5、信息安全目标是否在组织内被传达? 6、信息安全目标是否定期更新?
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员,询问其是否明确自己的安全角色 和职责?
信息安全意识,教育和培训
1、组织是否编制有员工培训管理程序? 2、组织是否编制年度的培训计划? 3、组织是否按照不同的岗位制定不同的培训计划? 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训? 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等,查看当年的信息安全意识培训覆盖率是否达到100%?并 且在必要时,是否将承包方人员加入到其中?
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致? 2、组织制定的信息安全方针是否与信息安全目标相一致? 3、组织制定的信息安全方针是否可以体现领导的承诺? 4、组织制定的方针是否在信息安全管理手册中体现? 5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求?(对象 、时间、频率等方面) 2、组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录? 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录? 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围?分支行科技部门制定的安全管理制度是否仅适用于辖内?
ISO27001文件-ISMS有效性测量方法指南
ISMS有效性测量方法指南(版本号:V1.0)ISMS有效性测量管理规定更改控制页目录1目的 (1)2范围 (1)3内容 (1)3.1测量数据的收集 (1)3.2体系有效性测量 (2)3.3测量结果的分析与总结 (2)4相关文件 (3)5相关记录 (3)6附录: (4)6.1附录1:《ISMS控制目标和检查内容列表》 (4)6.2附录2:《信息安全目标测量信息一览表》 (4)1目的为信息安全管理体系的测量和分析工作提供指导。
2范围适用于公司信息安全管理体系有效性测量和分析活动。
3内容3.1测量数据的收集通常采用以下几种方法收集用于测量的基础数据:日常检查、审计监控系统的回顾、信息安全事件的统计等。
1)日常检查内容要求:信息安全管理体系标准要求的11项控制目标和133项控制措施;公司制定的信息安全管理体系文件的各项管理规定。
日常检查的内容参考附录1《ISMS控制目标和检查内容列表》,每次检查的具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信息安全隐患程度决定。
具体检查情况应填写《日常检查记录表》。
频度要求:每月至少进行1次抽样日常检查。
2)审计监控系统回顾内容要求:系统管理员对各种日志系统、审计系统、监控系统等做抽样检查或定期回顾,要特别关注各种告警信息和错误日志等,以期发现违反和潜在违反信息安全策略的行为与事件。
审计监控系统时应填写《错误日志审核记录表》。
频度要求:每季度每个信息系统至少检查一次。
3)信息安全事件统计内容要求:接受来自公司内、外等各种渠道的信息安全事件报告,由信息安全经理负责根据实际情况填写《信息安全事件报告与处理单》,定期对各种信息安全事故进行分类统计。
频度要求:每季度进行一次。
4)信息安全意识活动内容要求:信息安全意识活动主要有:信息安全培训、信息安全调查问卷、信息安全考试等。
正式员工应积极参加公司组织的各种信息安全意识活动。
新员工在试用期内必须接受信息安全的相关文件培训。
信息安全管理体系审核检查表
信息安全管理体系审核检查表标准要求的强制性ISMS文件审核重点检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:定义风险评估方法(参见4.2.1 c)识不安全风险(参见4.2.1 d))分析和评判安全风险(参见4.2.1 e)识不和评判风险处理选择措施(参见的4.2.1 f)选择风险处理所需的操纵目标和操纵措施(参见4.2.1 g))确保治理者正式批准所有残余风险(参见4.2.1 h)确保在ISMS实施和运行之前,获得治理者授权(参见的4.2.1 i))预备适用性声明(参见4.2.1 j)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:ISMS监视与评审(按照4.2.3监视与评审ISMS”条款)操纵措施有效性的测量(按照4.3.1 g)内部ISMS审核(按照第6章“内部ISMS审核”)治理评审(按照第7章“ISMS的治理评审”)ISMS改进(按照第8章“ISMS改进”)。
检查治理者如何执行治理评审(包括抽样检查关键的过程是否到位),按照条款包括:4.2.3监视与评审ISMS第7章“ISMS的治理评审”。
检查治理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),按照条款包括:4.2.3监视与评审ISMS5 治理职责7 ISMS的治理评审检查安全方针、风险评估结果、操纵目标与操纵措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。
上次审核发觉的纠正/预防措施分析与执行情形;内审与治理评审的实施情形;治理体系的变更情形;信息资产的变更与相应的风险评估和处理情形;信息安全事故的处理和记录等。
检验组织的ISMS是否连续地全面地符合ISO/IEC 27001:2005的要求。
评审在那个认证周期中ISMS的实施与连续爱护的情形,包括:检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、爱护和改进;评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;检查ISMS如何应对组织的业务与运行的变化;检验治理者对爱护ISMS有效性的承诺情形。
管理体系措施有效性测量指标
第一季度达标
2. 对应急预案进行定期修订 ≥ 1 次 / 应急预案修订记录 行政部 年 的周期
是否达到 安全指标
达标 达标 达标 达标 达标 达标 达标
上半年达标 上半年达标 上半年达标 达标
第一季度达标 达标
7. 客户资料泄露事件发生率 0 二、员工信息安全管理 1. 接受信息安全培训的员工 > 90% 占计划培训人员的比例 3. 违反信息安全制度的员工 < 5% 占员工人数的比例 4. 违反信息安全管理制度受 < 5% 到惩戒的员工占员工人数的比 例 5. 重大信息安全事件发生次 0次/年 数
员工信息安全培 行政部 训记录 员工惩戒记录 员工惩戒记录 行政部 行政部
安全指标
数据来源
责任部门
负责人
第1季度第2季度第3季度 第4季度 相关部门度量频度
3. 信息安全意识全员培训开 信息安全培训记 >=1次/年 行政部 录 展次数 4. 各类检查和审核中发现的 100% 不符合项的整改比例 不符合项报告 行政部
5. 信息安全相关法律法规的 >= 1 次 / 法 律 法 规 更 新 记 行政部 录 更新次数 年 6. 重大信息安全事故 0 事故管理记录 事故管理记录 行政部 市场部
管理体系措施有效性测量指标 工作内容
一、信息安全管理体系运行 1. 是否依照制度要求按时完 >= 1 次 / 相关活动记录 成风险评估、内审、管理评审 年 等活动 2. 信息安全风险评估的实施 >= 1 次 / 风险评估报告 频次 年 行政部 行政部 各部门 各部门 各部门 无 无 各部门 各部门 每年 每年 每年 每年 每年 每年 每年 已完成本年度风险评估、内审、管理 评审 1次 1次 已100%完成 本年度已新建信息安全相关法律法规 清单 未到一年,目前为0次 未到一年,目前为0次
ISOIEC27004-2009信息安全测量中文版
信息技术—安全技术—信息安全管理—测量27004 N6614 (FCD)标准草案目录0 介绍 (4)0.1 概述 (4)0.2 管理层概述 (4)1 范围 (5)2 规范性引用 (5)3 术语和定义 (5)4 本标准的结构 (9)5 信息安全测量概述 (9)5.1 信息安全目标 (9)5.2 信息安全测量项目 (10)5.3 信息安全测量模型 (12)5.3.1 基本测度和测量方法 (13)5.3.2 导出测度和测量函数 (13)5.3.3 指标和分析模型 (14)5.3.4 测量结果和决策准则 (15)6. 管理职责 (15)6.1 概述 (15)6.2 资源管理 (16)6.3 测量培训,意识和能力 (16)7. 测度和测量开发 (16)7.1 概述 (16)7.2 测量范围识别 (16)7.3 信息需要识别 (17)7.4 对象识别 (18)7.5 测量开发和选择 (18)7.5.1 测量方法 (18)7.5.2 测量函数 (19)7.5.3 利益相关方 (19)7.5.4 属性选择和评审 (19)7.5.5 分析模型 (20)7.5.6 指标和报告格式 (20)7.5.7 决策准则 (20)7.6 测度证实 (21)7.7 数据收集、分析和报告 (21)7.8 记录 (22)8. 测量运行 (22)8.1 概述 (22)8.2 规程整合 (22)8.3 数据收集和处理 (23)9. 测量分析和报告 (23)9.1 概述 (23)9.2 分析数据和产生测量结果 (23)9.3 沟通结果 (24)10. 测量项目评价和改进 (25)10.1 概述 (25)10.2 识别测量项目的评价准则 (25)10.3 监控、评审与评价测量项目 (26)10.4 实施改进 (26)附录A (资料性附录)信息安全测量模板 (27)附录B (资料性附录)测度范例 (29)参考文献 (31)0 介绍0.1 概述本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。
《信息安全管理评审规定》-等级保护安全管理制度
XXX系统管理平台信息安全管理制度- 信息安全管理评审规定目录第一章总则 (3)第二章人员和职责 (3)第三章内容 (4)第四章检查表 (6)第五章相关文件 (7)第六章相关记录 (7)第七章附则 (7)附件一管理评审执行情况检查表 (7)第一章总则第一条目的本制度旨在对XXX系统平台信息安全体系的适宜性、充分性、有效性进行评审,使XXX 系统平台信息安全管理体系不断地完善并持续有效的运行,不断满足XXX系统平台信息安全方针要求,实现XXX信息安全体系目标。
第二条范围本制度适用于XXX管理部最高管理者对信息安全体系适宜性、充分性和有效性的审核和评价活动。
第三条定义ISMS:Information Security Management System ,信息安全管理体系第二章人员和职责第四条XXX管理部(一)批准发布本制度;(二)领导ISMS管理评审;第五条信息安全管理组(一)组织编写并控制本制度;(二)引导相关部门及人员落实本制度之要求。
第六条信息安全审核组负责对实施效果进行验证。
第七条XXX管理部全体员工遵守本制度。
第三章内容第八条评审频次通常情况下管理评审每年一次。
如遇重大信息安全问题、XXX系统平台组织架构变更、XXX业务发生重大调整,信息技术的重大变革、威胁源显著变化等情况则适当调整管理评审的次数。
第九条评审内容管理评审应包括或涉及以下内容:(一)体系建立前或体系上次修订前的综合情况;(二)体系运行(修订)后的变化,包括体系运行效果与不足;(三)信息安全方针、目标是否适应外部市场及内部环境的变化,实现情况如何,是否需要调整和修订;(四)信息安全体系文件是否满足实际需要,是否需要修订;(五)组织结构、资源(人员、技术、设备等)是否满足信息安全体系有效运行的需要,是否需要调整和增加资源投入;(六)各项活动是否受控,是否需要改进。
(七)必要时,可以聘请外部信息安全专家参与。
参看信息安全聘请表及记录第十条评审输入信息安全管理体系管理评审输入包括但不限于:(一)ISMS审核和评审的结果;(二)相关方的反馈;(三)组织用于改进ISMS业绩和有效性的技术、产品或程序;(四)纠正和预防措施的实施情况;(五)上次风险评估未充分指出的脆弱性或威胁;(六)有效性测量的结果;(七)上次管理评审所采取措施的跟踪验证;(八)任何可能影响ISMS的变更;(九)改进的建议。
信息安全管理体系(ISMS)相关标准介绍
信息安全管理体系(ISMS)相关标准介绍作者:陈磊谢宗晓来源:《中国质量与标准导报》2018年第10期1 定义信息安全管理体系(Information Security Management System,ISMS)并不是一个专用术语,满足其定义描述条件的应该都是。
但实际情况是,由于这个术语起源于ISO/IEC 27002和ISO/IEC 27001的早期版本,属于新生词汇,其他文献中很少见到。
所以在实践中,ISMS几乎成了一个专用术语。
因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。
由于ISO/IEC 27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:组织在做27001,意思是说,组织在部署ISMS,或者说,组织在根据ISO/IEC 27001部署信息安全。
换言之,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC 27000标准族,而这其中,ISO/IEC 27002和ISO/IEC 27001是最重要也是出现最早的2个标准。
由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。
因此,这几个词汇都认为是同义词:信息安全管理体系(ISMS);ISO/IEC 27000标准族;ISO/IEC 27002或ISO/IEC 27001视上下文,也可能是指代ISMS。
2 相关国际标准的研发情况负责开发ISO/IEC 27000标准族的机构为ISO/IEC JTC1 SC271),广义的ISO/IEC 27000标准族包括了以ISO/IEC 27×××编号的所有的标准,即ISO/IEC 27000至ISO/IEC 27059,还包括了新立项的ISO/IEC 27102与ISO/IEC 27103,更详细的信息请参考文献[1]。
ISO/IEC 27000标准族最早围绕ISO/IEC 27002发展而来,在后续的扩散过程中,ISO/IEC 27001起到了更基础的作用。
ISO27001文件- ISMS有效性测量方法指南
ISMS有效性测量方法指南(版本号:V1.1)ISMS有效性测量管理规定更改控制页目录1目的 (1)2范围 (1)3内容 (1)3.1测量数据的收集 (1)3.2体系有效性测量 (2)3.3测量结果的分析与总结 (2)4相关文件 (3)5相关记录 (3)6附录: (4)6.1附录1:《ISMS控制目标和检查内容列表》 (4)6.2附录2:《信息安全目标测量信息一览表》 (4)1目的为信息安全管理体系的测量和分析工作提供指导。
2范围适用于公司信息安全管理体系有效性测量和分析活动。
3内容3.1测量数据的收集通常采用以下几种方法收集用于测量的基础数据:日常检查、审计监控系统的回顾、信息安全事件的统计等。
1)日常检查内容要求:信息安全管理体系标准要求的11项控制目标和133项控制措施;公司制定的信息安全管理体系文件的各项管理规定。
日常检查的内容参考附录1《ISMS控制目标和检查内容列表》,每次检查的具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信息安全隐患程度决定。
具体检查情况应填写《日常检查记录表》。
频度要求:每月至少进行1次抽样日常检查。
2)审计监控系统回顾内容要求:系统管理员对各种日志系统、审计系统、监控系统等做抽样检查或定期回顾,要特别关注各种告警信息和错误日志等,以期发现违反和潜在违反信息安全策略的行为与事件。
审计监控系统时应填写《错误日志审核记录表》。
频度要求:每季度每个信息系统至少检查一次。
3)信息安全事件统计内容要求:接受来自公司内、外等各种渠道的信息安全事件报告,由信息安全经理负责根据实际情况填写《信息安全事件报告与处理单》,定期对各种信息安全事故进行分类统计。
频度要求:每季度进行一次。
4)信息安全意识活动内容要求:信息安全意识活动主要有:信息安全培训、信息安全调查问卷、信息安全考试等。
正式员工应积极参加公司组织的各种信息安全意识活动。
新员工在试用期内必须接受信息安全的相关文件培训。
ISO27001文件-ISMS有效性测量管理规定
ISMS有效性测量管理规定(版本号:V1.0)更改控制页目录1目的 (1)2范围 (1)3职责 (1)3.1管理者代表 ......................................................................... 错误!未定义书签。
3.2信息安全经理 (1)3.3信息安全执行组 (1)3.4各部门 (1)4内容 (1)4.1测量计划 (2)4.2制定测量指标 ..................................................................... 错误!未定义书签。
4.3实施测量 (2)4.4测量分析 (2)4.5测量改进 (3)5相关文件 (3)6相关记录 (3)1目的本规定为衡量信息安全状况、信息安全管理体系的有效性和持续改进的能力、管理体系是否满足业务要求等方面而制定。
2范围本规定适用于公司信息安全管理体系运行维护的相关活动。
3职责3.1信息安全经理负责体系有效性测量的组织和策划;负责日常监督、检查和反馈工作;负责分析测量结果,编制并提交测量报告。
3.2信息安全执行组提供信息安全有效性测量基础数据。
3.3各部门对本部门提供的信息安全有效性测量基础数据的真实性负责。
4内容有效性测量应符合PDCA的持续改进模型,需要对已经进行的测量进行总结与回顾,以改进不足;随着时间的推移、技术的发展、业务的变化与拓展,还需要对有效性测量的指标与方法等进行适时的、不断的调整。
4.1策划测量信息安全经理在日常管理中对于员工的信息安全行为进行考核,了解安全状况,识别各类安全需求,根据上一年度的ISMS有效性测量结果,分析原因,采取对策。
每年12月,信息安全经理对下一年度ISMS有效性测量活动进行策划。
4.2实施测量信息安全执行组按照《ISMS有效性测量记录表》中的测量项和测量指标进行测量。
通常采用以下几种方法进行有效性的测量:日常检查、纠正预防措施验证、审计监控系统回顾、信息安全事故统计等。
IT服务与信息安全有效性测量目标及评分原则
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
测量对象
《配置管理手册》
22
《资产管理手册》
23
《信息安全风险管理手册》
24
《物理环境安全管理手册》
25
《用户密码管理手册》
26
《存储介质管理手册》
27
《设备管理手册》
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
具体计算方法参见《认证体系流程检查
100
表》
参见《认证体系流程检查表》中的对应检查项目 和检查标准
ISO27001-2022程序文件之监视和测量管理程序
6、监视和测量管理程序###-ISMS-0006-20231 目的为评价公司信息安全管理体系风险控制措施的有效性,评价信息安全管理体系的有效性,为管理评审、内部审核及改进设施安全提供输入,在公司内沟通安全的价值并为风险评估和风险处理计划提供输入,制定本程序。
2 范围本程序适用于公司依据信息安全标准建立的信息安全管理体系有效性的测量。
3 职责3.1综合部及相关部门负责测量方法的策划,测量指标的建立并组织相关部门进行测量过程的实施、对测量方法的改进。
3.2各部门负责提供体系测量的数据输入及测量结果的处理。
3.3 管理者代表负责体系测量指标的审批与输出结果的审核及处理决定的审批。
4 措施和方法综合部应对信息安全管理体系涉及到的管理流程、产品和服务、项目计划、资源保证等进行测量模型的设计。
信息安全管理体系的测量模型包括三种方式:基础测量、推论测量、指标测量。
管理者代表针对ISMS需要测量的实体,定义对公司管理体系有效性测量的方法,策划应形成《信息安全管理体系测量策划书》。
对于策划的方法,应得到公司管理者代表的审批,所需调查的表格(或其他形式的电子文档)应由管理者代表通过电子邮件的方式传给相关部门。
测量方法可以是主观的或客观的,可能用到的方法包括:调查、观察、问卷、依据知识的评估、检查、系统查询、测试、抽样等在测量过程中,搜集永远测量的数据源,可考虑A)内部和外部审核的结果B)风险分析所得出的风险等级C) 使用调查表D)信息安全管理体系记录E)信息系统自动输入的信息,如防火墙日志数据搜集过程应确定:A)需要搜集的信息及信息来源B)确定搜集信息的责任人C)所搜集的信息的时间段D)在何地搜集信息E) 安全要求F) 管理者报告G) 管理层对测量过程的审核管理者代表应对所搜集的数据形成《信息安全管理体系测量数据搜集报告》并进行分类整理,分析数据所关联的管理流程,回顾相关风险评估事项,对照可接受风险准则,分析所发现问题的根本原因,协同相关部门提出改进的建议或方案,并形成《信息安全管理体系测量结果报告》。