ISO27000及等保管理要求（三级）控制点对照表

ISO27001-2003——等级保护三级要求对照 项目分类 等保分类 等保三级控制点 a) 应制定信息安全工作的总体方针和安全策略，说明等保控制目标 a) 应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作A.5.1.1信息安全政策文件 ISO270000分类 ISO27000控制点 ISO27000控制目标 信息安全政策文件应由管理阶层核准，并公布与传达给所有聘雇人员与相关外部团体。 访谈，检查。 安全主管，总体方针、政策A.5.1信息安全政策 性文件和安全策略文件，安全管理制度清单，操作规程，评审记录。 调查方式 调查结果 机构安全工作的总体目标、规程等构成，是否定期对安全管理制度体系范围、原则和安全框架等； 进行评审，评审周期多长； b) 应对安全管理活动中的各类管理内容建立安全管7.2.1.1 管理制度7.2.1 安全管理制度 d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 （G3） 理制度； c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等，是否明确信息系统的安全策略； c) 应检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用、管理等层面； d) 应检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等； e) 应检查是否具有安全管理制度体系的评审记录，查看记录日期与评审周期是否一致，是否记录了相关人员的评审意见。 a) 应指定或授权专门的部7.2.1.2 制定和发布（G3） 门或人员负责安全管理制度的制定； b) 安全管理制度应具有统一的格式，并进行版本控制； a) 应访谈安全主管，询问安全管理制度是否在信息安全领导小组或委员会的总体负责下统一制定，参与制定人员有哪些； b) 应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和评审方式如何（如召开评 访谈，检查。 安全主管，制度制定和发布要求管理文 档，评审记录， 安全管理制 c) 应组织相关人员对制定的安全管理制度进行论证和审定； d) 安全管理制度应通过正式、有效的方式发布； 审会、函审、内部审核等），是否按照统一的格式标准或要求制定； c) 应检查制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容； d) 应检查管理制度评审记录，查看是否有相关人员的评审意见； e) 应检查安全管理制度文档，查看是否注明 度，收发登记记录。 e) 安全管理制度应注明发布范围，并对收发文进行登记。 适用和发布范围，是否有版本标识，是否有管理层的签字或盖章；查看各项制度文档格式是否统一； f) 应检查安全管理制度的收发登记记录，查看收发是否符合规定程序和发布范围要求。 a) 应访谈安全主管，询问是否定期对安全管访谈，检查。 信息安全政策应在规划期 A.5.1.2审查信息安全政策 间内或有重大变更发生时加以审查，以确保其持续的适用性、适切性及有效性。 安全主管，管理人员，安全管理制度列表，评审记录，安全管理制度对应负责人或 a) 信息安全领导小组应负7.2.1.3 责定期组织相关部门和相评审和修关人员对安全管理制度体理制度进行评审，由何部门/何人负责； b) 应访谈管理人员（负责定期评审、修订和日常维护的人员），询问定期对安全管理制度的评审、修订情况和日常维护情况，评审周期多长，评审、修订程序如何，维护措施如何； 订（G3） 系的合理性和适用性进行审定； c) 应访谈管理人员（负责人员），询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行审定，对需要改进的制度是否进行修订； d) 应检查安全管理制度评审记录，查看记录b) 应定期或不定期对安全日期与评审周期是否一致；如果对制度做过 负责部门的清单。 管理制度进行检查和审定，修订，检查是否有修订版本的安全管理制度； 对存在不足或需要改进的安全管理制度进行修订。 e) 应检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时对安全管理制度进行审定的记录； f) 应检查是否具有需要定期修订的安全管理制度列表，查看列表是否注明评审周期； g) 应检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单。 a) 应设立信息安全管理工7.2.2.1 作的职能部门，设立安全主岗位设臵（G3） 管、安全管理各个方面的负责人岗位，并定义各负责人的职责； a) 应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任； b) 应访谈安全主管，询问是否设立专职的安全管理机构（即信息安全管理工作的职能部 访谈，检查。 安全主管，安A.6信息安全组织 A.6.1.3信息安全职责的分派 全管理某方面的负责人，领导小组日常管理工作的负责 7.2.2 安全管理机构 b) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责； 门）；机构内部门设臵情况如何，是否明确各部门职责分工； c) 应访谈安全主管，询问是否设立安全管理各个方面的负责人，设臵了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理阶层应在组织内藉由A.6.1.1管理阶层对信息安全的承诺 清楚的指示、展现的承诺、明确的分派以及确认信息安全职责，积极地支持安全。 人，系统管理员，网络管理员，安全员，部门、岗位职责文件，委任授权书，工作记录。 c) 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权； 员等重要岗位），是否明确各个岗位的职责分工； d) 应访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员，询问其岗位职责包括哪些内容； e) 应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设臵安全主管、安全管理各个方面的d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 信息安全活动应由组织内A.6.1.2信息安全协调合作 具有相关角色与工作功能之不同部门的代表协调合作。 负责人、机房管理员、系统管理员、网络管理员、安全员等各个岗位，各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求； f) 应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书； g) 应检查信息安全管理委员会职责文件，查看是否明确描述委员会的职责和其最高领导岗位的职责； h) 应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录（如会议记录/纪要和信息安全工作决策文档等）。 a) 应访谈安全主管，询问各个安全管理岗位a) 应配备一定数量的系统管理员、网络管理员、安全管理员等； 人员（按照岗位职责文件询问，包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等； b) 应访谈安全主管，询问对哪些关键岗位实b) 应配备专职安全管理员，不可兼任； 7.2.2.2 人员配备（G3） 行定期轮岗，定期轮岗情况如何，轮岗周期多长，轮岗手续如何； c) 应检查人员配备要求管理文档，查看是否明确应配备哪些安全管理人员，是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员并明确应配备专职的安全员；查看是否明确对哪些关c) 关键事务岗位应配备多人共同管理。 键岗位（应有列表）实行定期轮岗并明确轮岗周期、轮岗手续等相关内容； d) 应检查管理人员名单，查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员的信息，确认安全员是否是专职人员。 访谈，检查。 安全主管，人员配备要求管理文档，管理人员名单。