ISO27000及等保管理要求（三级）控制点对照表(3)

h) 应检查岗位安全协议，查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容； i) 应检查信用审查记录，查看是否记录了审查内容和审查结果等，查看审查时间与审查周期是否一致。 a) 应严格规范人员离岗过程，及时终止离岗员工的所有访问权限； b) 应取回各种身份证件、7.2.3.2 人员离岗（G3） c) 应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。 钥匙、徽章等以及机构提供的软硬件设备； a) 应访谈安全主管，询问是否及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等； b) 应访谈人事工作人员，询问调离手续包括哪些，是否要求调离人员承诺相关保密义务后方可离开； c) 应检查人员离岗的管理文档，查看是否规定了调离手续和离岗要求等； d) 应检查是否具有交还身份证件和设备等的记录； e) 应检查保密承诺文档，查看是否有调离人员的签字。 a) 应访谈安全主管，询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核； b) 应访谈人事工作人员，询问对各个岗位人b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核； 员的考核情况，考核周期多长，考核内容有哪些；询问对人员的安全审查情况，审查人员是否包含所有岗位人员，审查内容有哪些A.8.2.2信息安全认知、教育及训练 A.8.3.3存取权限的移除 A.8.3.2资产的归还 执行聘雇终止或变更的职责应清楚的界定与指派。 所有聘雇人员、承包商及第三方使用者在其聘雇、契约或协议终止时，应归还其拥有的所有组织资产。 所有聘雇人员、承包商及第三方使用者对信息与信息处理设施的存取权限，在其聘雇、契约或协议终止时，或因变更而调整时，均应予以移除。 组织所有聘雇人员、相关的承包商及第三方使用者均应接受与其工作功能相关之适切认知训练，以及组织政策与程序定期更新的内容。 a) 如果访谈，检查。 安全主管，人事工作人员，人员考核记录。 7.2.3.3.4 b）被访谈人员表述审查内容包含社会关系、社交活动、操作行为等各个方面，则该项为A.8.3.1终止职责 访谈，检查。 安全主管，人事工作人员，人员离岗管理文档，保密承诺文档。 a) 应定期对各个岗位的人员进行安全技能及安全认7.2.3.3 知的考核； 人员考核（G3） （如操作行为、社会关系、社交活动等），是否全面； c) 应访谈人事工作人员，询问对违背安全策略和规定的人员有哪些惩戒措施； c) 应对考核结果进行记录并保存。 d) 应检查考核记录，查看记录的考核人员是否包括各个岗位的人员，考核内容是否包含安全知识、安全技能等；查看记录日期与考核周期是否一致。 肯定； b) 如果7.2.3.3.4 c）被访谈人员表述与文件描述一致，则该项为肯定； c) 7.2.3.3.4 a）-d）均为肯定，则信息系统符合本单元测评项要求。 a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； b) 应对安全责任和惩戒措施进行书面规定并告知相7.2.3.4 安全意识教育和培训（G3） 关人员，对违反违背安全策a) 应访谈安全主管，询问是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训，以什么形式进行，效果如何； b) 应访谈安全员、系统管理员、网络管理员和数据库管理员，考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理A.8.2.3惩罚过程 对违反安全的聘雇人员，应有正式的惩罚过程。 访谈，检查。 安全主管，安全员，系统管理员，网络管理员，数据库 A.8.2.2 管理员，培训计划，培训记录。 a) 如果7.2.3.4.4 b）访谈人员能够表述清楚询问内容，且安全职责、惩戒措施和岗位操作规程表述与文件描述一致，则该项为肯定； b) 7.2.3.4.4 a）-d）均为肯定，则信息系统符合 本单元测评项要求。 略和规定的人员进行惩戒； 解程度； c) 应对定期安全教育和培训进行书面规定，针对不同c) 应检查安全教育和培训计划文档，查看是否具有不同岗位的培训计划；查看计划是否岗位制定不同的培训计划，明确了培训目的、培训方式、培训对象、培对信息安全基础知识、岗位操作规程等进行培训； d) 应对安全教育和培训的情况和结果进行记录并归档保存。 训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等； d) 应检查是否具有安全教育和培训记录，查看记录是否有培训人员、培训内容、培训结果等的描述；查看记录与培训计划是否一致。 a) 应访谈安全主管，询问对第三方人员（如向系统提供服务的系统软、硬件维护人员，业务合作伙伴、评估人员等）的访问采取哪a) 应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案； 些管理措施，是否要求第三方人员访问前与机构签署安全责任合同书或保密协议； b) 应访谈安全管理人员，询问对第三方人员访问重要区域（如访问主机房、重要服务器或设备、保密文档等）采取哪些措施，是否经有关负责人书面批准，是否由专人全程陪同或监督，是否进行记录并备案管理； c) 应检查安全责任合同书或保密协议，查看7.2.3.5 外部人员访问管理（G3） 是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等。 d) 应检查第三方人员访问管理文档，查看是否明确第三方人员包括哪些人员，允许第三方人员访问的范围（区域、系统、设备、信b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 息等内容），第三方人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），第三方人员进入的访问控制（由专人全程陪同或监督等）和第三方人员的离开条件等； e) 应检查第三方人员访问重要区域批准文档，查看是否有第三方人员访问重要区域的书面申请，是否有批准人允许访问的批准签字等； f) 应检查第三方人员访问重要区域的登记A.10.2.1服务递送 在第三方服务递送协议内所包含的安全控制措施、服务界定及递送等级应确保被第三方加以实施、操作及维持。 访谈，检查。 安全主管，安全管理人员，安全责任合同书或保密协议，第三方人员访问管理文档，访问批准文档，登记记录。 记录，查看记录是否描述了第三方人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息。 A.10.2.2第三方服务的监督与审查 应定期监督与审查由第三方所提供的服务、报告及纪录，并应定期执行稽核。 服务条款的变更，包括维持 A.10.2.3第三方服务的变更管理 与改进现有的信息安全政策、程序及控制措施均应加以管理，并考虑所涉营运系统与过程的重要性以及风险的重新评鉴。 a) 应明确信息系统的边界7.2.4 系统建设管理 7.2.4.1 系统定级（G3） 和安全保护等级； a) 应访谈安全主管，询问划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导，是否对其进行明确描 访谈，检查。 安全主管，系统划分文档，系统定级文 档，专家论证文档，系统属a) 7.2.4.1.4 a）没有上级主管部门的，如果有安全主管的批准，则该项为肯定； b) 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由； 述；是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，定级结果是否获得了相关部门（如上级主管部门）的批准； c) 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定； b) 应检查系统划分文档，查看文档是否明确描述信息系统划分的方法和理由； c) 应检查系统定级文档，查看文档是否给出信息系统的安全保护等级，是否明确描述确定信息系统为某个安全保护等级的方法和理由，是否给出安全等级保护措施组成SxAyGz值；查看定级结果是否有相关部门的批准盖章； 性说明文档。 d) 应确保信息系统的定级结果经过相关部门的批准。 d) 应检查专家论证文档，查看是否有专家对定级结果的论证意见； e) 应检查系统属性说明文档，查看文档是否明确了系统使命、业务、网络、硬件、软件、数据、边界、人员等。 a) 应访谈安全主管，询问是否授权专门的部 a)对新信息系统之营运要求A.12.1.1安全要求分 析与规格 A.12.6 技术脆弱性管理 声明，或对现有信息系统的提升，应规定安全控制措施要求。 B)降低因所使用之已公布技术的脆弱性所导致的风险。 访谈，检查。 安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建 a) 应根据系统的安全保护等级选择基本安全措施，并7.2.4.2 依据风险分析的结果补充安全方案设计（G3） b) 应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和和调整安全措施； 门对信息系统的安全建设进行总体规划，由何部门/何人负责； b) 应访谈系统建设负责人，询问是否制定近期和远期的安全建设工作计划，是否根据系统的安全级别选择基本安全措施，是否依据风险分析的结果补充和调整安全措施，做过哪些调整； c) 应访谈系统建设负责人，询问是否根据信息系统的等级划分情况，统一考虑安全保障 设规划书，详细设计方案，专家论证文 远期的安全建设工作计划； 体系的总体安全策略、安全技术框架、安全