ISO27000及等保管理要求（三级）控制点对照表(6)

为； 否覆盖资产使用、借用、维护等方面； f) 应检查信息分类文档，查看其内容是否规定了分类标识的原则和方法（如根据信息的c) 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施； d) 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 a) 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； b) 应确保介质存放在安全7.2.5.3 介质管理（G3） 的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点； c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录； 重要程度、敏感程度或用途不同进行分类）； g) 应检查资产清单中的设备，查看其是否具有相应标识。 A.7.2.1分类指引 信息应以其对组织的价值、法律要求、敏感性重要性加以分类。 A.7.2.2信息标示与处理 应依照组织所采用的分类方案，发展与实施一套适当的信息标示与处理程序。 a) 应访谈资产管理员，询问介质的存放环境是否有保护措施，防止其被盗、被毁、被未授权修改以及信息的非法泄漏，是否有专人管理； b) 应访谈资产管理员，询问是否对介质的使用管理要求制度化和文档化，是否根据介质的目录清单对介质的使用现状进行定期检查，是否定期对其完整性（数据是否损坏或丢失）和可用性（介质是否受到物理破坏）进行检查，是否根据所承载数据和软件的重要性对介质进行分类和标识管理； c) 应访谈资产管理员，询问对介质带出工作环境（如送出维修或销毁）和重要介质中的数据和软件是否进行保密性处理；对保密性A.10.7.4系统文件的安全 应保护系统文件，防止未授权的存取。 A.10.7 介质处理 A.10.7.3信息处理程序 应建立信息的处理与储存程序，以保护此等信息免于未经授权的揭露或误用。 A.10.7.1移动存储设备的管理 应有适当的程序，以管理移动存储设备。 访谈，检查。 资产管理员，介质管理记录，介质安全管理制度，各类介质，介质存放地，异地存放地。 d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，重要数据的存储介质带出工作环境必须进行内容加密并进行监控管理，对于需要送出维修或销毁的介质应采用多次读写覆盖、清除敏感或秘密数据、对无法执行删除操作的受损介质必须销毁，保密性较高的信息存储介质应获得批准并在双人监控下才能销毁，销毁记录应妥善保存； e) 应根据数据备份的需要较高的介质销毁前是否有领导批准，对送出维修或销毁的介质是否对数据进行净化处理；询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包（如采用防拆包装臵）、选择安全的物理传输途径、双方在场交付等环节的控制； d) 应访谈资产管理员，询问是否对某些重要介质实行异地存储，异地存储环境是否与本地环境相同； e) 应检查介质管理记录，查看其是否记录介质的存储、归档、借用等情况； f) 应检查介质管理制度，查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面； g) 应检查介质，查看是否对其进行了分类， A.10.7.2介质的报废 介质不再需要时，应使用正式程序加以安全的报废。 对某些介质实行异地存储，并具有不同标识； 存储地的环境要求和管理方法应与本地相同； f) 应对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 A.10.8 信息交换 h) 应检查介质本地存放地的实际环境条件是否安全，异地存放地的环境要求和管理要求是否与本地相同，是否有专人对存放地进行管理。 控制目标：维护组织内及与 任何外部实体交换信息与软件的安全 A.10.9 电 子商务服务 稽核日志 监督系统的使用 A.10.10 监督 日志信息的保护 管理者与操作员日志 失误日志 时钟同步 a) 应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管7.2.5.4 理； 设备管理（G3） b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种a) 应访谈资产管理员，询问是否对各类设施、设备指定专人或专门部门进行定期维护，由何部门/何人维护，维护周期多长； b) 应访谈资产管理员，询问是否对设备选用的各个环节（如选型、采购、发放等）进行审批控制，是否对设备带离机构进行审批控制，设备的操作和使用是否要求规范化管理； c) 应访谈系统管理员，询问其是否在统一安A.9.2 设备安全 A.9.2.6设备的安全报废或再使用 A.9.2.4设备维护 确保电子商务服务的安全与其安全的使用 侦测未经授权的信息处理活动 访谈，检查。 应正确地维护设备，以确保其持续的可用性与完整性。 资产管理员，系统管理员，审计员，设备审批管理文含有储存介质的设备其所有项目在报废前应加以核对，以确保任何敏感性的数据与授权的软件已被移除或安全地覆写。 档，设备操作规程，设备使用管理文档，设施、软硬件维护管理制度，设备维护 软硬件设备的选型、采购、全策略下，对服务器进行正确配臵，对服务发放和领用等过程进行规范化管理； 器的操作是否按操作规程进行； d) 应访谈系统管理员，询问其是否对软硬件c) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； 维护进行制度化管理； e) 应访谈审计员，询问对服务器的操作是否建立日志，日志文件如何管理，是否定期检查管理情况； f) 应检查设备审批、发放管理文档，查看其是否对设备选型、采购、发放以及带离机构等环节的申报和审批作出规定；查看是否具应安臵或保护设备，以降低来自环境之威胁与危害，以A.9.2.1设备安臵与保护 A.9.2.2支持的公用设施 A.9.2.3缆线的安全 及未经授权存取之机会。 应保护设备不受电力失效与其它支持设施失效所导致的中断。 应保护传送数据或支持信息服务之电力与电信缆线，以防止窃听或损毁。 设备、信息或软件未经事前授权不应带出厂（场）区。 操作程序应加以文件化、维持，并对有需要的所有使用者均可随时取得。 任务与职责区域应加以分A.10.1.3任务的分离 离，以降低组织资产遭未授权或非故意的修改或误用之机会。 A.9.2.5场外设备之安全 安全应运用于场外设备，并考虑其在组织作业场所外工作的各种风 记录，服务器操作日志，配臵文档。 d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； 有设备的选型、采购、发放等过程的申报材料和审批报告； g) 应检查设备使用管理文档，查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面； h) 应检查服务器操作规程，查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作； e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。 i) 应检查软硬件维护制度，查看其是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面。 A.10.1.1文件化操作A.10.1操 程序 A.9.2.7资产携出 作程序与职责 a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成7.2.5.5 监控管理和安全管理中心（G3） 记录并妥善保存； b) 应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施； c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； 7.2.5.6 b) 应建立网络安全管理制网络安全管理（G3） 度，对网络安全配臵、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定； c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的a) 应访谈安全主管，询问是否指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作； b) 应访谈安全员，询问是否对网络安全的管理工作（包括网络安全配臵、网络用户、日志等方面）制度化； c) 应访谈安全员，询问网络的外联种类有哪些（互联网、合作伙伴企业网、上级部门网络等），是否都得到授权与批准，由何部门/何人批准；是否定期检查违规联网的行为； d) 应访谈网络管理员，询问是否根据厂家提供的软件升级版本对网络设备进行过升级， A.10.6.1网络控制措施 A.10.6.2网络服务的安全 A.11.4 网络存取控制 A.11.7 行动式计算机作业与远距工作 a)网络应适当的加以管理与控制，使其不受威胁，并维持使用网络系统与应用的安全，包括传输中的信息。 B)应鉴别所有网络服务的安全特性、服务等级及管理要求，并应纳入网络服务协议，不论此等服务是由内部或委外所提供。 C)确保使用行动式计算机作业与远距工作设施时之信息安全。 访谈，检查。 安全主管，安全员，网络管理员，审计员，网络漏洞扫描报告，网络安全管理制度，系统外联授权书，网络审计日志。 a) 应访谈系统运维负责人，询问其是否监控主要服务器的各项资源指标，如CPU、内存、进程和磁盘等使用情况； b) 应访谈系统运维负责人，询问目前信息系统是否由机构自身负责运行维护，如果是，系统运行所产生的文档如何进行管理（如责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配臵文档、系统各类日志等）； c) 应检查监控记录，查看是否记录监控对象、监控内容、监控的异常现象处理等方面。 访谈，检查。 系统运维负责人，监控记录文档。