ISO27000及等保管理要求（三级）控制点对照表(2)

a) 应访谈安全主管，询问其是否规定对信息a) 应根据各个部门和岗位系统中的关键活动进行审批，审批部门是何 的职责明确授权审批事项、部门，批准人是何人，他们的审批活动是否审批部门和批准人等； 得到授权；询问是否定期审查、更新审批项b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度； 目，审查周期多长； b) 应访谈关键活动的批准人，询问其对关键活动的审批范围包括哪些（如网络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问，重要管理制度的制定和发布，人员的配备、培训，产品的采购，第三方人员的访问、管理，与合作单位的合作项目等），审批程序如何； c) 应检查授权管理文件，查看文件是否包含 需审批事项列表，列表是否明确审批事项和双重审批事项、审批部门、批准人及审批程序等（如列表说明哪些事项应经过信息安全c) 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息； 领导小组审批，哪些事项应经过安全管理机构审批，哪些关键活动应经过哪些部门双重审批等），文件是否说明应定期审查、更新需审批的项目和审查周期等； d) 应检查经双重审批的文档，查看是否具有双重批准人的签字和审批部门的盖章； d) 应记录审批过程并保存审批文档。 e) 应检查关键活动的审批过程记录，查看记录的审批程序与文件要求是否一致； f) 应检查审查记录，查看记录日期是否与审查周期一致； A.6.1.5保密协议 应鉴别与定期审查反映组织对信息保护需求的机密性或不可公开协议的各项要求。 A.6.1.4信息处理设施的授权过程 新信息处理设施的管理阶层授权过程应被界定与实施。 访谈，检查。 安全主管，关键活动的批准人，授权管理文件，审批文档，审批记录，审查记录，消除授权记录。 7.2.2.3 授权和审批（G3） g) 应检查是否具有对不再适用的权限及时取消授权的记录。 a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题； a) 应访谈安全主管，询问是否建立与外单位（公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等），与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制，与外单位和其他部门有哪些合作内容，沟通、合作方式有哪些； b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通； 7.2.2.4 沟通和合作（G3） c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通； b) 应访谈安全主管，询问是否召开过部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题，安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；信息安全领导小组或者安全管理委员会是否定期召开例会； c) 应访谈安全主管，询问是否聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等； d) 应访谈安全管理人员（从系统管理员和安A.6.2.3说明第三方契约的安全要求 凡涉及存取、处理、通讯或管理组织的信息或信息处理设施，或在信息处理设施上附加产品或服务者，应在与第三方之协议中涵盖所有相关的安全要求。 a)应与有关的主管机关维持A.6.1.6与主管机关的联系 A.6.2.1鉴别与外部团体有关的风险 适当联系。 B)组织营运过程中涉及外部团体的组织信息与信息处理设施之风险，应在核准外部团体存取前被加以鉴 访谈，检查。 安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档，安全顾问名单。 d) 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息； 全员等人员中抽查），询问其与外单位人员，与组织机构内其他部门人员，与内部各部门管理人员之间的沟通方式和主要沟通内容有哪些； e) 应检查部门间协调会议文件或会议记录， 查看是否有会议内容、会议时间、参加人员和结果等的描述； f) 应检查安全工作会议文件或会议记录，查看是否有会议内容、会议时间、参加人员和会议结果等的描述； g) 应检查信息安全领导小组或者安全管理委员会定期例会会议文件或会议记录，查看是否有会议内容、会议时间、参加人员、会议结果等的描述； h) 应检查外联单位说明文档，查看外联单位e) 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。 是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等，是否说明外联单位的联系人和联系方式等内容； i) 应检查是否具有安全顾问名单或者聘请安全顾问的证明文件，查看由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录，是否具有由安全顾问签字的相关建议。 7.2.2.5 审核和检查（G3） a) 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； a) 应访谈安全主管，询问是否组织人员定期对信息系统进行安全检查，检查周期多长，是否定期分析、评审异常行为的审计记录； b) 应访谈安全员，询问安全检查包含哪些内A.6.1.8独立的信息安全审查 A.6.1.7与特殊利害团体的联系 别，并实施适当的控制措施。 应与特殊利害团体或其它安全论坛专家及专业协会维持适当联系。 应在规划的期间内或发生安全实施上有重大变更时，独立审查组织管理信息安全的方案与其实施（例如：访谈，检查。 安全主管，安全员，安全检查制度，安全 b) 应由内部人员或上级单容，检查人员有哪些，检查程序是否按照系信息安全的控制目标、控制检查报告，审位定期进行全面安全检查，统相关策略和要求进行，是否制定安全检查检查内容包括现有安全技术措施的有效性、安全配臵与安全策略的一致性、安全管理制度的执行情况等； c) 应制定安全检查表格实施安全检查，汇总安全检查表格实施安全检查，检查结果如何，是否对检查结果进行通报，通报形式、范围如何； c) 应检查安全检查制度文档，查看文档是否规定检查内容、检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性、安全配臵与安全策略的一致性、安全管措施、政策、过程及程序）。 计分析报告，安全检查过程记录，安全检查表格。 数据，形成安全检查报告，理制度的执行情况等，是否包括用户账号情并对安全检查结果进行通报； 况、系统漏洞情况、系统审计情况等； d) 应检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 描述； e) 应检查安全检查过程记录，查看记录的检查程序与文件要求是否一致； f) 应检查审计分析报告，查看报告日期与检查周期是否一致，报告中是否有分析人员、异常问题和分析结果等的描述，是否对发现的问题提出相应的措施； g) 应检查是否具有安全检查表格。 A.6.2.2处理顾客事务的安全说明 在给予客户存取组织信息或资产前，所有已鉴别的安全要求应被提出说明 a) 应访谈人事负责人，询问在人员录用时对人员条件有哪些要求，目前录用的安全管理和技术人员是否有能力完成与其职责相对应a) 应指定或授权专门的部门或人员负责人员录用； 的工作； b) 应访谈人事工作人员，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，录用后是否与其签署保密协议，是否b) 应严格规范人员录用过程，对被录用人的身份、背7.2.3 人员安全管理 景、专业资格和资质等进行7.2.3.1 审查，对其所具有的技术技人员录用（G3） c) 应签署保密协议； 能进行考核； 对其说明工作职责； c) 应访谈人事负责人，询问对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全安全协议，是否定期对关键岗位人员进行信用审查，审查周期多长； d) 应检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等； e) 应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录，查看是否记录审查内容和审d) 应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。 查结果等； f) 应检查技能考核文档或记录，查看是否记录考核内容和考核结果等； g) 应检查保密协议，查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容； A.8.1.3聘雇条款 A.8 人力资源安全 A.8.1.2筛选 A.8.1.1角色与职责 A.8.2.1管理职责 聘雇人员、承包商及第三方使用者的安全角色与职责，应依照组织的信息安全政策加以界定与文件化。 管理阶层应要求聘雇人员、承包商及第三方使用者，依照组织已制定的政策与程序应用于安全事宜。 应依照相关法律、法规及伦理，并兼顾营运要求之相称性、被存取信息的分类及所理解的风险，对所有聘雇之应征者、承包商及第三方使用者，进行背景查证核对 访谈，检查。 人事负责人，人事工作人员，人员录用要求管理文档，人员审查文档或记录，考核文档或记录，保密协议， 岗位安全协身为契约义务的一方，聘雇人员、承包商及第三方使用者应同意并签署其聘雇契约的条款，该契约应陈述其与组织对信息安全的职责。 议，审查记录。