ISO27000及等保管理要求（三级）控制点对照表(8)

（G3） b) 应建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规定； c) 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须指明备份数据的放臵场所、文件命名规则、介质替换频率和将数据离站运输的方法； d) 应建立控制数据备份和恢复过程的程序，记录备份过程，对需要采取加密或数据隐藏处理的备份数据，进行备份和加密操作时要求两名工作人员在场，所有文件和记录应妥善保存； e) 应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复； 些；对其备份工作是否以文档形式规范了备份方式、频度、介质、保存期等内容，数据备份和恢复策略是否文档化，备份和恢复过程是否文档化； b) 应访谈系统管理员、数据库管理员和网络管理员，询问其对备份及冗余设备的安装、配臵和启动工作是否根据一定的流程进行，是否记录操作过程，是否保存记录文档，是否指定专人对备份设备的有效性定期维护和检查，多长时间检查一次； c) 应访谈系统管理员、数据库管理员和网络管理员，询问是否定期执行恢复程序，周期多长，系统是否按照恢复程序完成恢复，如有问题，是否针对问题改进恢复程序或调整其他因素； d) 应检查是否具有规定备份方式、频度、介质、保存期的文档； e) 应检查数据备份和恢复策略文档，查看其内容是否覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面； f) 应检查备份设备操作流程文档，查看其是否备份及冗余设备的安装、配臵、启动、关闭等操作流程； 员，网络管理员，备份管理文档，备份和恢复策略文档，备份设备操作流程文档，备份和恢复程序文档，备份过程记录文档。 f) 应根据信息系统的备份技术要求，制定相应的灾难恢复计划，并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性，测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等，根据测试结果，对不适用的规定进行修改或更新。 a) 应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点； b) 应制定安全事件报告和7.2.5.12 安全事件处臵（G3） 处臵管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责； c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分； g) 应检查备份过程记录文档，查看其内容是否覆盖备份时间、备份内容、备份操作、备份介质存放等内容。 a) 应访谈系统运维负责人，询问是否告知用户在发现安全弱点和可疑事件时应及时报告，安全事件的报告和响应处理过程是否制度化和文档化，不同安全事件是否采取不同的处理和报告程序； b) 应访谈系统运维负责人，询问本系统已发生的和需要防止发生的安全事件主要有哪几类，对识别出的安全事件是否根据其对系统的影响程度划分不同等级，划分为几级，划分方法是否参照了国家相关管理部门的技术资料，主要参照哪些； c) 应访谈工作人员，询问其不同安全事件的报告流程； d) 应检查安全事件报告和处臵管理制度，查看其是否明确与安全事件有关的工作职 A.13 信息安全事故管理 A.13.2 信息安全事故与改进的管理 A.13.1 通报信息安全事件与弱点 保能够采取及时矫正措施的方式，传达与信息系统有关的信息安全事件与弱点 访谈，检查。 系统运维负责人，工作人员，确保应用一致与有效的方案于信息安全事故的管理。 安全事件记录分析文档，安全事件报告和处臵管理制度，安全事件报告和处理程 序文档。 d) 应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处臵的范责，包括报告单位（人）、接报单位（人）和处臵单位等职责； e) 应检查安全事件定级文档，查看其内容 围、程度，以及处理方法等； 是否明确安全事件的定义、安全事件等级划e) 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存； f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序； g) 发生可能涉及国家秘密的重大失、泄密事件，应按照有关规定向公安、安全、保密等部门汇报； h) 应严格控制参与涉及国家秘密事件处理和恢复的人员，重要操作要求至少两名工作人员在场并登记备案。 分原则、等级描述等方面内容； f) 应检查安全事件记录分析文档，查看其是否记录引发安全事件的原因，是否记录事件处理过程，不同安全事件是否采取不同措施避免其再次发生； g) 应检查安全事件报告和处理程序文档，查看其是否根据不同安全事件制定不同的处理和报告程序，是否明确具体报告方式、报告内容、报告人等方面内容。 a) 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、a) 应访谈系统运维负责人，询问是否制定事后教育和培训等内容； b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保7.2.5.13 应急预案管理（G3） 障； c) 应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次； d) 应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期； e) 应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行； f) 应随着信息系统的变更定期对原有的应急预案重新评估，修订完善。 不同事件的应急预案，是否对系统相关人员进行应急预案培训，培训内容是什么，多长时间举办一次，是否定期对应急预案进行演练，演练周期多长，是否对应急预案定期进行审查并更新； b) 应访谈系统运维负责人，询问是否具有应急预案小组，是否具备应急设备并能正常工作，应急预案执行所需资金是否做过预算并能够落实； c) 应检查应急响应预案文档，查看其内容是否覆盖启动预案的条件、应急处理流程、系统恢复流程、事后教育等内容； d) 应检查是否具有应急预案培训记录、演练记录和审查记录。 A.14.1 营运持续管理的信息安全考虑 防治营运活动的中断，以保护重要的营运过程不受信息系统重大失效或灾害的影响，并确保其适时的恢复 访谈，检查。 系统运维负责人，应急响应预案文档，应急预案培训记录，应急预案演练记录，应急预案审查记录。 鉴别适用的法规 智慧财产权（IPR） 组织纪录的保护 A.15 符合性 A.15.1 符合法规要求 个人信息的数据保护与隐私 防止信息处理设施的误用 密码控制措施的规定 A.15.2 安全政策与 标准的符合性以及技术符合性 人员访谈 文档审查