等保三級及ISO27000控制點對照表,,,,,,,,

,,,,,,,,,

項目分類,等保分類,等保三級控制點,等保控制目標,ISO270000分類,ISO27000控制點,ISO27000控制目標,調(diào)查方式,調(diào)查結(jié)果

7.2.1安全管理制度,7.2.1.1管理制度（G3）,a)應(yīng)制定信息安全工作的總體方針和安全策略，說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等；,"a)應(yīng)訪談安全主管，詢問機構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對安全管理制度體系進行評審，評審周期多長；

b)應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文件是否明確機構(gòu)安全工作的總體目標、范圍、方針、原則、責(zé)任等，是否明確信息系統(tǒng)的安全策略；

c)應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；

d)應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程等；

e)應(yīng)檢查是否具有安全管理制度體系的評審記錄，查看記錄日期與評審周期是否一致，是否記錄了相關(guān)人員的評審意見。",A.5.1信息安全政策,A.5.1.1信息安全政策文件,信息安全政策文件應(yīng)由管理階層核準，并公布與傳達給所有聘雇人員與相關(guān)外部團體。,"訪談，檢查。

安全主管，總體方針、政策性文件和安全策略文件，安全管理制度清單，操作規(guī)程，評審記錄。",

,,b)應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度；,,,,,,

,,c)應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；,,,,,,

,,d)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。,,,,,,

,7.2.1.2制定和發(fā)布（G3）,a)應(yīng)指定或授權(quán)專門的部門或人員負責(zé)安全管理制度的制定；,"a)應(yīng)訪談安全主管，詢問安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會的總體負責(zé)下統(tǒng)一制定，參與制定人員有哪些；

b)應(yīng)訪談安全主管，詢問安全管理制度的制定程序，是否對制定的安全管理制度進行論證和審定，論證和評審方式如何（如召開評審會、函審、內(nèi)部審核等），是否按照統(tǒng)一的格式標準或要求制定；

c)應(yīng)檢查制度制定和發(fā)布要求管理文檔，查看文檔是否說明安全管理制度的制定和發(fā)布程序、格式要求及版本編號等相關(guān)內(nèi)容；

d)應(yīng)檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見；

e)應(yīng)檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標識，是否有管理層的簽字或蓋章；查看各項制度文檔格式是否統(tǒng)一；

f)應(yīng)檢查安全管理制度的收發(fā)登記記錄，查看收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求。",,,,"訪談，檢查。

安全主管，制度制定和發(fā)布要求管理文檔，評審記錄，安全管理制度，收發(fā)登記記錄。",

,,b)安全管理制度應(yīng)具有統(tǒng)一的格式，并進行版本控制；,,,,,,

,,c)應(yīng)組織相關(guān)人員對制定的安全管理制度進行論證和審定；,,,,,,

,,d)安全管理制度應(yīng)通過正式、有效的方式發(fā)布；,,,,,,

,,e)安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。,,,,,,

,7.2.1.3評審和修訂（G3）,a)信息安全領(lǐng)導(dǎo)小組應(yīng)負責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定；,"a)應(yīng)訪談安全主管，詢問是否定期對安全管理制度進行評審，由何部門/何人負責(zé)；

b)應(yīng)訪談管理人員（負責(zé)定期評審、修訂和日常維護的人員），詢問定期對安全管理制度的評審、修訂情況和日常維護情況，評審周期多長，評審、修訂程序如何，維護措施如何；

c)應(yīng)訪談管理人員（負責(zé)人員），詢問系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時是否對安全管理制度進行審定，對需要改進的制度是否進行修訂；

d)應(yīng)檢查安全管理制度評審記錄，查看記錄日期與評審周期是否一致；如果對制度做過修訂，檢查是否有修訂版本的安全管理制度；

e)應(yīng)檢查是否具有系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時對安全管理制度進行審定的記錄；

f)應(yīng)檢查是否具有需要定期修訂的安全管理制度列表，查看列表是否注明評審周期；

g)應(yīng)檢查是否具有所有安全管理制度對應(yīng)相應(yīng)負責(zé)人或者負責(zé)部門的清單。",,A.5.1.2審查信息安全政策,信息安全政策應(yīng)在規(guī)劃期間內(nèi)或有重大變更發(fā)生時加以審查，以確保其持續(xù)的適用性、適切性及有效性。,"訪談，檢查。

安全主管，管理人員，安全管理制度列表，評審記錄，安全管理制度對應(yīng)負責(zé)人或負責(zé)部門的清單。",

,,b)應(yīng)定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。,,,,,,

7.2.2安全管理機構(gòu),7.2.2.1崗位設(shè)置（G3）,a)應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；,"a)應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；

b)應(yīng)訪談安全主管，詢問是否設(shè)立專職的安全管理機構(gòu)（即信息安全管理工作的職能部門）；機構(gòu)內(nèi)部門設(shè)置情況如何，是否明確各部門職責(zé)分工；

c)應(yīng)訪談安全主管，詢問是否設(shè)立安全管理各個方面的負責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個方面的負責(zé)人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位），是否明確各個崗位的職責(zé)分工；

d)應(yīng)訪談安全主管、安全管理某方面的負責(zé)人、信息安全管理委員會或領(lǐng)導(dǎo)小組日常管理工作的負責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容；

e)應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機構(gòu)的職責(zé)，是否明確機構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個方面；查看文件是否明確設(shè)置安全主管、安全管理各個方面的負責(zé)人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個崗位，各個崗位的職責(zé)范圍是否清晰、明確；查看文件是否明確各個崗位人員應(yīng)具有的技能要求；

f)應(yīng)檢查信息安全管理委員會或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對其最高領(lǐng)導(dǎo)的委任授權(quán)書；

g)應(yīng)檢查信息安全管理委員會職責(zé)文件，查看是否明確描述委員會的職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；

h)應(yīng)檢查安全管理各部門和信息安全管理委員會或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要和信息安全工作決策文檔等）。",A.6信息安全組織,A.6.1.3信息安全職責(zé)的分派,,"訪談，檢查。

安全主管，安全管理某方面的負責(zé)人，領(lǐng)導(dǎo)小組日常管理工作的負責(zé)人，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，安全員，部門、崗位職責(zé)文件，委任授權(quán)書，工作記錄。",

,,b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)；,,,,,,

,,c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；,,,A.6.1.1管理階層對信息安全的承諾,管理階層應(yīng)在組織內(nèi)藉由清楚的指示、展現(xiàn)的承諾、明確的分派以及確認信息安全職責(zé)，積極地支持安全。,,

,,d)應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。,,,A.6.1.2信息安全協(xié)調(diào)合作,信息安全活動應(yīng)由組織內(nèi)具有相關(guān)角色與工作功能之不同部門的代表協(xié)調(diào)合作。,,

,7.2.2.2人員配備（G3）,a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；,"a)應(yīng)訪談安全主管，詢問各個安全管理崗位人員（按照崗位職責(zé)文件詢問，包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員）配備情況，包括數(shù)量、專職還是兼職等；

b)應(yīng)訪談安全主管，詢問對哪些關(guān)鍵崗位實行定期輪崗，定期輪崗情況如何，輪崗周期多長，輪崗手續(xù)如何；

c)應(yīng)檢查人員配備要求管理文檔，查看是否明確應(yīng)配備哪些安全管理人員，是否包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員并明確應(yīng)配備專職的安全員；查看是否明確對哪些關(guān)鍵崗位（應(yīng)有列表）實行定期輪崗并明確輪崗周期、輪崗手續(xù)等相關(guān)內(nèi)容；

d)應(yīng)檢查管理人員名單，查看其是否明確機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信息，確認安全員是否是專職人員。",,,,"訪談，檢查。

安全主管，人員配備要求管理文檔，管理人員名單。",

,,b)應(yīng)配備專職安全管理員，不可兼任；,,,,,,

,,c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。,,,,,,

,7.2.2.3授權(quán)和審批（G3）,a)應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準人等；,"a)應(yīng)訪談安全主管，詢問其是否規(guī)定對信息系統(tǒng)中的關(guān)鍵活動進行審批，審批部門是何部門，批準人是何人，他們的審批活動是否得到授權(quán)；詢問是否定期審查、更新審批項目，審查周期多長；

b)應(yīng)訪談關(guān)鍵活動的批準人，詢問其對關(guān)鍵活動的審批范圍包括哪些（如網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、重要服務(wù)器和設(shè)備等重要資源的訪問，重要管理制度的制定和發(fā)布，人員的配備、培訓(xùn)，產(chǎn)品的采購，第三方人員的訪問、管理，與合作單位的合作項目等），審批程序如何；

c)應(yīng)檢查授權(quán)管理文件，查看文件是否包含需審批事項列表，列表是否明確審批事項和雙重審批事項、審批部門、批準人及審批程序等（如列表說明哪些事項應(yīng)經(jīng)過信息安全領(lǐng)導(dǎo)小組審批，哪些事項應(yīng)經(jīng)過安全管理機構(gòu)審批，哪些關(guān)鍵活動應(yīng)經(jīng)過哪些部門雙重審批等），文件是否說明應(yīng)定期審查、更新需審批的項目和審查周期等；

d)應(yīng)檢查經(jīng)雙重審批的文檔，查看是否具有雙重批準人的簽字和審批部門的蓋章；

e)應(yīng)檢查關(guān)鍵活動的審批過程記錄，查看記錄的審批程序與文件要求是否一致；

f)應(yīng)檢查審查記錄，查看記錄日期是否與審查周期一致；

g)應(yīng)檢查是否具有對不再適用的權(quán)限及時取消授權(quán)的記錄。",,,,"訪談，檢查。

安全主管，關(guān)鍵活動的批準人，授權(quán)管理文件，審批文檔，審批記錄，審查記錄，消除授權(quán)記錄。",

,,b)應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；,,,A.6.1.4信息處理設(shè)施的授權(quán)過程,新信息處理設(shè)施的管理階層授權(quán)過程應(yīng)被界定與實施。,,

,,,,,A.6.1.5保密協(xié)議,應(yīng)鑒別與定期審查反映組織對信息保護需求的機密性或不可公開協(xié)議的各項要求。,,

,,c)應(yīng)定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息；,,,,,,

,,d)應(yīng)記錄審批過程并保存審批文檔。,,,,,,

,7.2.2.4溝通和合作（G3）,a)應(yīng)加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；,"a)應(yīng)訪談安全主管，詢問是否建立與外單位（公安機關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等），與組織機構(gòu)內(nèi)其它部門之間及內(nèi)部各部門管理人員之間的溝通、合作機制，與外單位和其他部門有哪些合作內(nèi)容，溝通、合作方式有哪些；

b)應(yīng)訪談安全主管，詢問是否召開過部門間協(xié)調(diào)會議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問題，安全管理機構(gòu)內(nèi)部是否召開過安全工作會議部署安全工作的實施，參加會議的部門和人員有哪些，會議結(jié)果如何；信息安全領(lǐng)導(dǎo)小組或者安全管理委員會是否定期召開例會；

c)應(yīng)訪談安全主管，詢問是否聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等；

d)應(yīng)訪談安全管理人員（從系統(tǒng)管理員和安全員等人員中抽查），詢問其與外單位人員，與組織機構(gòu)內(nèi)其他部門人員，與內(nèi)部各部門管理人員之間的溝通方式和主要溝通內(nèi)容有哪些；

e)應(yīng)檢查部門間協(xié)調(diào)會議文件或會議記錄，查看是否有會議內(nèi)容、會議時間、參加人員和結(jié)果等的描述；

f)應(yīng)檢查安全工作會議文件或會議記錄，查看是否有會議內(nèi)容、會議時間、參加人員和會議結(jié)果等的描述；

g)應(yīng)檢查信息安全領(lǐng)導(dǎo)小組或者安全管理委員會定期例會會議文件或會議記錄，查看是否有會議內(nèi)容、會議時間、參加人員、會議結(jié)果等的描述；

h)應(yīng)檢查外聯(lián)單位說明文檔，查看外聯(lián)單位是否包含公安機關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等，是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容；

i)應(yīng)檢查是否具有安全顧問名單或者聘請安全顧問的證明文件，查看由安全顧問指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評審的相關(guān)文檔或記錄，是否具有由安全顧問簽字的相關(guān)建議。",,,,"訪談，檢查。

安全主管，安全管理人員，會議文件，會議記錄，外聯(lián)單位說明文檔，安全顧問名單。",

,,b)應(yīng)加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通；,,,,,,

,,c)應(yīng)加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；,,,A.6.2.3說明第三方契約的安全要求,凡涉及存取、處理、通訊或管理組織的信息或信息處理設(shè)施，或在信息處理設(shè)施上附加產(chǎn)品或服務(wù)者，應(yīng)在與第三方之協(xié)議中涵蓋所有相關(guān)的安全要求。,,

,,d)應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；,,,"A.6.1.6與主管機關(guān)的聯(lián)系

A.6.2.1鑒別與外部團體有關(guān)的風(fēng)險","a)應(yīng)與有關(guān)的主管機關(guān)維持適當聯(lián)系。

B)組織營運過程中涉及外部團體的組織信息與信息處理設(shè)施之風(fēng)險，應(yīng)在核準外部團體存取前被加以鑒別，并實施適當?shù)目刂拼胧?,,

,,e)應(yīng)聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等。,,,A.6.1.7與特殊利害團體的聯(lián)系,應(yīng)與特殊利害團體或其它安全論壇專家及專業(yè)協(xié)會維持適當聯(lián)系。,,

,7.2.2.5審核和檢查（G3）,a)安全管理員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；,"a)應(yīng)訪談安全主管，詢問是否組織人員定期對信息系統(tǒng)進行安全檢查，檢查周期多長，是否定期分析、評審異常行為的審計記錄；

b)應(yīng)訪談安全員，詢問安全檢查包含哪些內(nèi)容，檢查人員有哪些，檢查程序是否按照系統(tǒng)相關(guān)策略和要求進行，是否制定安全檢查表格實施安全檢查，檢查結(jié)果如何，是否對檢查結(jié)果進行通報，通報形式、范圍如何；

c)應(yīng)檢查安全檢查制度文檔，查看文檔是否規(guī)定檢查內(nèi)容、檢查程序和檢查周期等，檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等，是否包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等；

d)應(yīng)檢查安全檢查報告，查看報告日期與檢查周期是否一致，報告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述；

e)應(yīng)檢查安全檢查過程記錄，查看記錄的檢查程序與文件要求是否一致；

f)應(yīng)檢查審計分析報告，查看報告日期與檢查周期是否一致，報告中是否有分析人員、異常問題和分析結(jié)果等的描述，是否對發(fā)現(xiàn)的問題提出相應(yīng)的措施；

g)應(yīng)檢查是否具有安全檢查表格。",,A.6.1.8獨立的信息安全審查,應(yīng)在規(guī)劃的期間內(nèi)或發(fā)生安全實施上有重大變更時，獨立審查組織管理信息安全的方案與其實施（例如：信息安全的控制目標、控制措施、政策、過程及程序）。,"訪談，檢查。

安全主管，安全員，安全檢查制度，安全檢查報告，審計分析報告，安全檢查過程記錄，安全檢查表格。",

,,b)應(yīng)由內(nèi)部人員或上級單位定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；,,,,,,

,,c)應(yīng)制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報；,,,,,,

,,d)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。,,,,,,

,,,,,A.6.2.2處理顧客事務(wù)的安全說明,在給予客戶存取組織信息或資產(chǎn)前，所有已鑒別的安全要求應(yīng)被提出說明,,

7.2.3人員安全管理,7.2.3.1人員錄用（G3）,a)應(yīng)指定或授權(quán)專門的部門或人員負責(zé)人員錄用；,"a)應(yīng)訪談人事負責(zé)人，詢問在人員錄用時對人員條件有哪些要求，目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對應(yīng)的工作；

b)應(yīng)訪談人事工作人員，詢問在人員錄用時是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，錄用后是否與其簽署保密協(xié)議，是否對其說明工作職責(zé)；

c)應(yīng)訪談人事負責(zé)人，詢問對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全安全協(xié)議，是否定期對關(guān)鍵崗位人員進行信用審查，審查周期多長；

d)應(yīng)檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等；

e)應(yīng)檢查是否具有人員錄用時對錄用人身份、背景、專業(yè)資格和資質(zhì)等進行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；

f)應(yīng)檢查技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；

g)應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；

h)應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容；

i)應(yīng)檢查信用審查記錄，查看是否記錄了審查內(nèi)容和審查結(jié)果等，查看審查時間與審查周期是否一致。","A.8

人力資源安全","A.8.1.1角色與職責(zé)

A.8.2.1管理職責(zé)","聘雇人員、承包商及第三方使用者的安全角色與職責(zé)，應(yīng)依照組織的信息安全政策加以界定與文件化。

管理階層應(yīng)要求聘雇人員、承包商及第三方使用者，依照組織已制定的政策與程序應(yīng)用于安全事宜。","訪談，檢查。

人事負責(zé)人，人事工作人員，人員錄用要求管理文檔，人員審查文檔或記錄，考核文檔或記錄，保密協(xié)議，崗位安全協(xié)議，審查記錄。",

,,b)應(yīng)嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核；,,,A.8.1.2篩選,應(yīng)依照相關(guān)法律、法規(guī)及倫理，并兼顧營運要求之相稱性、被存取信息的分類及所理解的風(fēng)險，對所有聘雇之應(yīng)征者、承包商及第三方使用者，進行背景查證核對,,

,,c)應(yīng)簽署保密協(xié)議；,,,A.8.1.3聘雇條款,身為契約義務(wù)的一方，聘雇人員、承包商及第三方使用者應(yīng)同意并簽署其聘雇契約的條款，該契約應(yīng)陳述其與組織對信息安全的職責(zé)。,,

,,d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。,,,,,,

,7.2.3.2人員離崗（G3）,a)應(yīng)嚴格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限；,"a)應(yīng)訪談安全主管，詢問是否及時終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等；

b)應(yīng)訪談人事工作人員，詢問調(diào)離手續(xù)包括哪些，是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開；

c)應(yīng)檢查人員離崗的管理文檔，查看是否規(guī)定了調(diào)離手續(xù)和離崗要求等；

d)應(yīng)檢查是否具有交還身份證件和設(shè)備等的記錄；

e)應(yīng)檢查保密承諾文檔，查看是否有調(diào)離人員的簽字。",,A.8.3.1終止職責(zé),執(zhí)行聘雇終止或變更的職責(zé)應(yīng)清楚的界定與指派。,"訪談，檢查。

安全主管，人事工作人員，人員離崗管理文檔，保密承諾文檔。",

,,b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備；,,,A.8.3.2資產(chǎn)的歸還,所有聘雇人員、承包商及第三方使用者在其聘雇、契約或協(xié)議終止時，應(yīng)歸還其擁有的所有組織資產(chǎn)。,,

,,c)應(yīng)辦理嚴格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。,,,A.8.3.3存取權(quán)限的移除,所有聘雇人員、承包商及第三方使用者對信息與信息處理設(shè)施的存取權(quán)限，在其聘雇、契約或協(xié)議終止時，或因變更而調(diào)整時，均應(yīng)予以移除。,,

,7.2.3.3人員考核（G3）,a)應(yīng)定期對各個崗位的人員進行安全技能及安全認知的考核；,"a)應(yīng)訪談安全主管，詢問是否有人負責(zé)定期對各個崗位人員進行安全技能及安全知識的考核；

b)應(yīng)訪談人事工作人員，詢問對各個崗位人員的考核情況，考核周期多長，考核內(nèi)容有哪些；詢問對人員的安全審查情況，審查人員是否包含所有崗位人員，審查內(nèi)容有哪些（如操作行為、社會關(guān)系、社交活動等），是否全面；

c)應(yīng)訪談人事工作人員，詢問對違背安全策略和規(guī)定的人員有哪些懲戒措施；

d)應(yīng)檢查考核記錄，查看記錄的考核人員是否包括各個崗位的人員，考核內(nèi)容是否包含安全知識、安全技能等；查看記錄日期與考核周期是否一致。",,A.8.2.2信息安全認知、教育及訓(xùn)練,組織所有聘雇人員、相關(guān)的承包商及第三方使用者均應(yīng)接受與其工作功能相關(guān)之適切認知訓(xùn)練，以及組織政策與程序定期更新的內(nèi)容。,"訪談，檢查。

安全主管，人事工作人員，人員考核記錄。","a)如果7.2.3.3.4b）被訪談人員表述審查內(nèi)容包含社會關(guān)系、社交活動、操作行為等各個方面，則該項為肯定；

b)如果7.2.3.3.4c）被訪談人員表述與文件描述一致，則該項為肯定；

c)7.2.3.3.4a）-d）均為肯定，則信息系統(tǒng)符合本單元測評項要求。

"

,,b)應(yīng)對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核；,,,,,,

,,c)應(yīng)對考核結(jié)果進行記錄并保存。,,,,,,

,7.2.3.4安全意識教育和培訓(xùn)（G3）,a)應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；,"a)應(yīng)訪談安全主管，詢問是否制定安全教育和培訓(xùn)計劃并按計劃對各個崗位人員進行安全教育和培訓(xùn)，以什么形式進行，效果如何；

b)應(yīng)訪談安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員，考查其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施等的理解程度；

c)應(yīng)檢查安全教育和培訓(xùn)計劃文檔，查看是否具有不同崗位的培訓(xùn)計劃；查看計劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時間和地點等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等；

d)應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述；查看記錄與培訓(xùn)計劃是否一致。",,,,"訪談，檢查。

安全主管，安全員，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員，培訓(xùn)計劃，培訓(xùn)記錄。","a)如果7.2.3.4.4b）訪談人員能夠表述清楚詢問內(nèi)容，且安全職責(zé)、懲戒措施和崗位操作規(guī)程表述與文件描述一致，則該項為肯定；

b)7.2.3.4.4a）-d）均為肯定，則信息系統(tǒng)符合本單元測評項要求。

"

,,b)應(yīng)對安全責(zé)任和懲戒措施進行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進行懲戒；,,,A.8.2.3懲罰過程,對違反安全的聘雇人員，應(yīng)有正式的懲罰過程。,,

,,c)應(yīng)對定期安全教育和培訓(xùn)進行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)；,,,A.8.2.2,,,

,,d)應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。,,,,,,

,7.2.3.5外部人員訪問管理（G3）,a)應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同或監(jiān)督，并登記備案；,"a)應(yīng)訪談安全主管，詢問對第三方人員（如向系統(tǒng)提供服務(wù)的系統(tǒng)軟、硬件維護人員，業(yè)務(wù)合作伙伴、評估人員等）的訪問采取哪些管理措施，是否要求第三方人員訪問前與機構(gòu)簽署安全責(zé)任合同書或保密協(xié)議；

b)應(yīng)訪談安全管理人員，詢問對第三方人員訪問重要區(qū)域（如訪問主機房、重要服務(wù)器或設(shè)備、保密文檔等）采取哪些措施，是否經(jīng)有關(guān)負責(zé)人書面批準，是否由專人全程陪同或監(jiān)督，是否進行記錄并備案管理；

c)應(yīng)檢查安全責(zé)任合同書或保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。

d)應(yīng)檢查第三方人員訪問管理文檔，查看是否明確第三方人員包括哪些人員，允許第三方人員訪問的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容），第三方人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），第三方人員進入的訪問控制（由專人全程陪同或監(jiān)督等）和第三方人員的離開條件等；

e)應(yīng)檢查第三方人員訪問重要區(qū)域批準文檔，查看是否有第三方人員訪問重要區(qū)域的書面申請，是否有批準人允許訪問的批準簽字等；

f)應(yīng)檢查第三方人員訪問重要區(qū)域的登記記錄，查看記錄是否描述了第三方人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等信息。",,A.10.2.1服務(wù)遞送,在第三方服務(wù)遞送協(xié)議內(nèi)所包含的安全控制措施、服務(wù)界定及遞送等級應(yīng)確保被第三方加以實施、操作及維持。,"訪談，檢查。

安全主管，安全管理人員，安全責(zé)任合同書或保密協(xié)議，第三方人員訪問管理文檔，訪問批準文檔，登記記錄。",

,,b)對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，并按照規(guī)定執(zhí)行。,,,,,,

,,,,,A.10.2.2第三方服務(wù)的監(jiān)督與審查,應(yīng)定期監(jiān)督與審查由第三方所提供的服務(wù)、報告及紀錄，并應(yīng)定期執(zhí)行稽核。,,

,,,,,A.10.2.3第三方服務(wù)的變更管理,服務(wù)條款的變更，包括維持與改進現(xiàn)有的信息安全政策、程序及控制措施均應(yīng)加以管理，并考慮所涉營運系統(tǒng)與過程的重要性以及風(fēng)險的重新評鑒。,,

7.2.4系統(tǒng)建設(shè)管理,7.2.4.1系統(tǒng)定級（G3）,a)應(yīng)明確信息系統(tǒng)的邊界和安全保護等級；,"a)應(yīng)訪談安全主管，詢問劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護等級的方法是否參照定級指南的指導(dǎo)，是否對其進行明確描述；是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果進行論證和審定，定級結(jié)果是否獲得了相關(guān)部門（如上級主管部門）的批準；

b)應(yīng)檢查系統(tǒng)劃分文檔，查看文檔是否明確描述信息系統(tǒng)劃分的方法和理由；

c)應(yīng)檢查系統(tǒng)定級文檔，查看文檔是否給出信息系統(tǒng)的安全保護等級，是否明確描述確定信息系統(tǒng)為某個安全保護等級的方法和理由，是否給出安全等級保護措施組成SxAyGz值；查看定級結(jié)果是否有相關(guān)部門的批準蓋章；

d)應(yīng)檢查專家論證文檔，查看是否有專家對定級結(jié)果的論證意見；

e)應(yīng)檢查系統(tǒng)屬性說明文檔，查看文檔是否明確了系統(tǒng)使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等。",,,,"訪談，檢查。

安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級文檔，專家論證文檔，系統(tǒng)屬性說明文檔。",a)7.2.4.1.4a）沒有上級主管部門的，如果有安全主管的批準，則該項為肯定；

,,b)應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由；,,,,,,

,,c)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定；,,,,,,

,,d)應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準。,,,,,,

,7.2.4.2安全方案設(shè)計（G3）,a)應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；,"a)應(yīng)訪談安全主管，詢問是否授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，由何部門/何人負責(zé)；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否制定近期和遠期的安全建設(shè)工作計劃，是否根據(jù)系統(tǒng)的安全級別選擇基本安全措施，是否依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施，做過哪些調(diào)整；

c)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案等；

d)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定，并經(jīng)過管理部門的批準；

e)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否根據(jù)安全測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件，維護周期多長；

f)應(yīng)檢查系統(tǒng)的安全建設(shè)工作計劃，查看文件是否明確了系統(tǒng)的近期安全建設(shè)計劃和遠期安全建設(shè)計劃；

g)應(yīng)檢查系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等配套文件，查看各個文件是否有機構(gòu)管理層的批準；

h)應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的論證意見；

i)應(yīng)檢查是否具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本，查看記錄日期與維護周期是否一致。",,"A.12.1.1安全要求分析與規(guī)格

A.12.6技術(shù)脆弱性管理","a)對新信息系統(tǒng)之營運要求聲明，或?qū)ΜF(xiàn)有信息系統(tǒng)的提升，應(yīng)規(guī)定安全控制措施要求。

B)降低因所使用之已公布技術(shù)的脆弱性所導(dǎo)致的風(fēng)險。","訪談，檢查。

安全主管，系統(tǒng)建設(shè)負責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細設(shè)計方案，專家論證文檔，維護記錄。",

,,b)應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，制定近期和遠期的安全建設(shè)工作計劃；,,,,,,

,,c)應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件；,,,,,,

,,d)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施；,,,A.12.2應(yīng)用系統(tǒng)的正確處理,防止應(yīng)用系統(tǒng)內(nèi)信息的錯誤、遺失、未授權(quán)修改或誤用。,,

,,e)應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。,,,,,,

,7.2.4.3產(chǎn)品采購和使用（G3）,a)應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；,"a)應(yīng)訪談安全主管，詢問是否有專門的部門負責(zé)產(chǎn)品的采購，由何部門負責(zé)；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問系統(tǒng)信息安全產(chǎn)品的采購情況，采購產(chǎn)品前是否預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，是否有產(chǎn)品采購清單指導(dǎo)產(chǎn)品采購，采購過程如何控制，是否定期審定和更新候選產(chǎn)品名單，審定周期多長；

c)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求；

d)應(yīng)檢查產(chǎn)品采購管理制度，查看內(nèi)容是否明確采購過程的控制方法（如采購前對產(chǎn)品做選型測試，明確需要的產(chǎn)品性能指標，確定產(chǎn)品的候選范圍，通過招投標方式確定采購產(chǎn)品等）和人員行為準則等方面；

e)應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品（邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫等）是否符合國家的有關(guān)規(guī)定；

f)應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如《商用密碼管理條例》規(guī)定任何單位只能使用經(jīng)過國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國家密碼管理機構(gòu)指定的單位維修，報廢商用密碼產(chǎn)品應(yīng)向國家密碼管理機構(gòu)備案，《計算機信息系統(tǒng)保密工作暫行規(guī)定》規(guī)定涉密系統(tǒng)配置合格的保密專用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級要求相一致等；

g)應(yīng)檢查是否具有產(chǎn)品選型測試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。",,,,"訪談，檢查。

安全主管，系統(tǒng)建設(shè)負責(zé)人，產(chǎn)品采購管理制度，產(chǎn)品選型測試結(jié)果記錄，候選產(chǎn)品名單審定記錄。",a)如果7.2.4.4.4c）訪談?wù)f明沒有采用密碼產(chǎn)品，則測評實施c）、f）為不適用；

,,b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；,,,,,,

,,c)應(yīng)指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購；,,,,,,

,,d)應(yīng)預(yù)先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。,,,,,,

,7.2.4.4自行軟件開發(fā)（G3）,a)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制；,"a)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問系統(tǒng)是否自主開發(fā)軟件，是否對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準，授權(quán)部門是何部門，批準人是何人，軟件開發(fā)是否有相應(yīng)的控制措施，是否要求開發(fā)人員不能做測試人員（即二者分離），是否在獨立的模擬環(huán)境中編寫、調(diào)試和完成；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問系統(tǒng)開發(fā)文檔是否由專人負責(zé)保管，負責(zé)人是何人，如何控制使用（如限制使用人員范圍并做使用登記等），測試數(shù)據(jù)和測試結(jié)果是否受到控制；

c)應(yīng)檢查是否具有軟件設(shè)計的相關(guān)文檔（應(yīng)用軟件設(shè)計程序文件、源代碼說明文檔等）和軟件使用指南或操作手冊和維護手冊等；

d)應(yīng)檢查軟件開發(fā)環(huán)境與系統(tǒng)運行環(huán)境在物理上是否是分開的；

e)應(yīng)檢查對程序資源庫的修改、更新、發(fā)布進行授權(quán)和審批的文檔或記錄，查看是否有批準人的簽字；

f)應(yīng)檢查是否具有系統(tǒng)軟件開發(fā)相關(guān)文檔（軟件設(shè)計和開發(fā)程序文件、測試數(shù)據(jù)、測試結(jié)果、維護手冊等）的使用控制記錄。",,A.10.1.4開發(fā)、測試及操作設(shè)施的分隔,應(yīng)分隔開發(fā)、測試及操作設(shè)施，以降低對操作系統(tǒng)未經(jīng)授權(quán)存取或變更的風(fēng)險。,"訪談，檢查。

系統(tǒng)建設(shè)負責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。",

,,b)應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則；,,,,,,

,,c)應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；,,,,,,

,,d)應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負責(zé)保管；,,,,,,

,,e)應(yīng)確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準。,,,,,,

,7.2.4.5外包軟件開發(fā)（G3）,a)應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量；,"a)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問在外包軟件前是否對軟件開發(fā)單位以書面文檔形式（如軟件開發(fā)安全協(xié)議）規(guī)范軟件開發(fā)單位的責(zé)任、開發(fā)過程中的安全行為、開發(fā)環(huán)境要求、軟件質(zhì)量、開發(fā)后的服務(wù)承諾等內(nèi)容；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否具有獨立對軟件進行日常維護和使用所需的文檔，開發(fā)單位是否為軟件的正常運行和維護提供過技術(shù)支持，以何種方式進行；

c)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問軟件交付前是否依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測，驗收檢測是否是由開發(fā)商和委托方共同參與；軟件安裝之前是否檢測軟件中的惡意代碼，檢測工具是否是第三方的商業(yè)產(chǎn)品；

d)應(yīng)檢查軟件開發(fā)協(xié)議，查看其是否規(guī)定知識產(chǎn)權(quán)歸屬、安全行為等內(nèi)容；

e)應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔以及用戶培訓(xùn)計劃、程序員培訓(xùn)手冊等后期技術(shù)支持文檔。",,,,"訪談，檢查。

系統(tǒng)建設(shè)負責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。",

,,b)應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；,,,,,,

,,c)應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南；,,,,,,

,,d)應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。,,,,,,

,7.2.4.6工程實施（G3）,a)應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理；,"a)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否以書面形式（如工程安全建設(shè)協(xié)議）約束工程實施方的工程實施行為；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否指定專門人員或部門按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，是否要求工程實施單位提供其能夠安全實施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證；

c)應(yīng)檢查工程安全建設(shè)協(xié)議，查看其是否規(guī)定工程實施方的責(zé)任、任務(wù)要求、質(zhì)量要求等方面內(nèi)容，約束工程實施行為；

d)應(yīng)檢查工程實施方案，查看其是否規(guī)定工程時間限制、進度控制、質(zhì)量控制等方面內(nèi)容，工程實施過程是否按照實施方案形成各種文檔，如階段性工程報告；

e)應(yīng)檢查工程實施管理制度，查看其是否規(guī)定工程實施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實施參與人員的各種行為等方面內(nèi)容。",,,,"訪談，檢查。

系統(tǒng)建設(shè)負責(zé)人，工程安全建設(shè)協(xié)議，工程實施方案，工程實施管理制度。",

,,b)應(yīng)制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；,,,,,,

,,c)應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。,,,,,,

,7.2.4.7規(guī)劃與驗收（G3）,a)應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告；,"a)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問在信息系統(tǒng)正式運行前，是否委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否指定專門部門負責(zé)測試驗收工作，由何部門負責(zé)，是否對測試過程（包括測試前、測試中和測試后）進行文檔化要求和制度化要求；

c)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問是否根據(jù)設(shè)計方案或合同要求組織相關(guān)部門和人員對測試報告進行符合性審定；

d)應(yīng)檢查工程測試方案，查看其是否對參與測試部門、人員、現(xiàn)場操作過程等進行要求；查看測試記錄是否詳細記錄了測試時間、人員、操作過程、測試結(jié)果等方面內(nèi)容；查看測試報告是否提出存在問題及改進意見等；

e)應(yīng)檢查是否具有系統(tǒng)驗收報告；

f)應(yīng)檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進行規(guī)定。

",,A.10.3.2系統(tǒng)驗收,對新的信息系統(tǒng)、系統(tǒng)升級及新版本的驗收準則應(yīng)加以建立，并且在開發(fā)期間與驗收前應(yīng)完成適當之系統(tǒng)測試。,"訪談，檢查。

系統(tǒng)建設(shè)負責(zé)人，測試方案，測試記錄，測試報告，驗收報告，驗收測試管理制度。",

,,b)在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細記錄測試驗收結(jié)果，并形成測試驗收報告；,,,,,,

,,c)應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定；,,,,,,

,,d)應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；,,,,,,

,,e)應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認。,,,,,,

,7.2.4.8系統(tǒng)交付（G3）,a)應(yīng)制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點；,"a)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問交接手續(xù)是什么，系統(tǒng)交接工作是否由專門部門按照該手續(xù)辦理，是否根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點，交付清單是否滿足合同的有關(guān)要求；是否對交付工作進行制度化要求；

b)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨立運行維護，如果是，系統(tǒng)建設(shè)實施方是否對運維技術(shù)人員進行過培訓(xùn)，針對哪些方面進行過培訓(xùn)，是否以書面形式承諾對系統(tǒng)運行維護提供一定的技術(shù)支持服務(wù)，是否按照服務(wù)承諾書的要求進行過技術(shù)支持，以何形式進行，系統(tǒng)是否具有支持其獨立運行維護所需的文檔；

c)應(yīng)檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔名稱；

d)應(yīng)檢查是否具有系統(tǒng)建設(shè)方的服務(wù)承諾書和對系統(tǒng)進行的培訓(xùn)記錄；

e)應(yīng)檢查系統(tǒng)交付管理制度，查看其是否規(guī)定了交付過程的控制方法和對交付參與人員的行為限制等方面內(nèi)容。",,,,"訪談，檢查。

系統(tǒng)建設(shè)負責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。",

,,b)應(yīng)對負責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)；,,,,,,

,,c)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔；,,,A.12.4系統(tǒng)檔案的安全,確保系統(tǒng)檔案的安全。,,

,,d)應(yīng)對系統(tǒng)交付的控制方法和人員行為準則進行書面規(guī)定；,,,,,,

,,e)應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。,,,,,,

,7.2.4.9系統(tǒng)備案（G3）,a)應(yīng)指定專門的部門或人員負責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用；,"a)應(yīng)訪談安全主管，詢問是否有專門的人員或部門負責(zé)管理系統(tǒng)定級、系統(tǒng)屬性等文檔，由何部門/何人負責(zé)；

b)應(yīng)訪談文檔管理員，詢問對系統(tǒng)定級、系統(tǒng)屬性等文檔采取哪些控制措施（如限制使用范圍、使用登記記錄等）；

c)應(yīng)檢查是否具有將系統(tǒng)定級文檔和系統(tǒng)屬性說明文件等材料報主管部門備案的記錄或備案文檔；

d)應(yīng)檢查是否具有將系統(tǒng)等級、系統(tǒng)屬性和等級劃分理由等備案材料報相應(yīng)公安機關(guān)備案的記錄或證明；

e)應(yīng)檢查是否具有系統(tǒng)定級文檔和系統(tǒng)屬性說明文件等相關(guān)材料的使用控制記錄。",,,,"訪談，檢查。

安全主管，文檔管理員，備案記錄。",

,,b)應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案；,,,,,,

,,c)應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案。,,,,,,

,7.2.4.10等級測評（G3）,a)在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改；,/,,,,/,

,,b)應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改；,,,,,,

,,c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進行等級測評；,,,,,,

,,d)應(yīng)指定或授權(quán)專門的部門或人員負責(zé)等級測評的管理。,,,,,,

,7.2.4.11安全服務(wù)商選擇（G3）,a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；,a)應(yīng)訪談系統(tǒng)建設(shè)負責(zé)人，詢問對信息系統(tǒng)進行安全規(guī)劃、設(shè)計、實施、維護、測評等服務(wù)的安全服務(wù)單位是否符合國家有關(guān)規(guī)定。,,,,"訪談。

系統(tǒng)建設(shè)負責(zé)人。",

,,b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；,,,,,,

,,c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。,,,,,,

7.2.5系統(tǒng)運維管理,7.2.5.1環(huán)境管理（G3）,a)應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理；,"a)應(yīng)訪談物理安全負責(zé)人，詢問是否指定專人或部門對機房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責(zé)，維護周期多長；

b)應(yīng)訪談物理安全負責(zé)人，詢問是否指定人員負責(zé)機房安全管理工作，對機房進出管理是否要求制度化和文檔化；

c)應(yīng)訪談機房值守人員，詢問對外來人員進出機房是否采用人工記錄和電子記錄雙重控制；

d)應(yīng)訪談工作人員，詢問對辦公環(huán)境的保密性要求事項；

e)應(yīng)檢查機房安全管理制度，查看其內(nèi)容是否覆蓋機房物理訪問、物品帶進、帶出機房、機房環(huán)境安全等方面；

f)應(yīng)檢查辦公環(huán)境管理文檔，查看其內(nèi)容是否對工作人員離開座位后的保密行為（如清理桌面文件和屏幕鎖定等）、人員調(diào)離辦公室后的行為等方面進行規(guī)定；

g)應(yīng)檢查機房進出登記表，查看是否記錄外來人員進出時間、人員姓名、訪問原因等內(nèi)容；查看是否具有電子門禁系統(tǒng)，電子記錄文檔是否有時間、人員等信息；

h)應(yīng)檢查機房基礎(chǔ)設(shè)施維護記錄，查看是否記錄維護日期、維護人、維護設(shè)備、故障原因、維護結(jié)果等方面內(nèi)容。",A9.1物理與環(huán)境安全,"A.9.1.1實體安全周界

A.9.1.4對外部與環(huán)境威脅的保護","應(yīng)使用安全周界（例如墻、卡片控制的進入信道或人工駐守的柜臺等屏障），以保護含有信息與信息處理設(shè)施的區(qū)域。

應(yīng)設(shè)計與運用實體保護，以避免遭受火災(zāi)、洪水、地震、爆炸、民眾暴動及其它天然或人為災(zāi)難的損害","訪談，檢查。

物理安全負責(zé)人，機房值守人員，機房工作人員，機房安全管理制度，辦公環(huán)境管理文檔，設(shè)備維護記錄，機房進出登記表，機房電子門禁系統(tǒng)及其電子記錄。",

,,b)應(yīng)指定部門負責(zé)機房安全，并配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理；,,,A.9.1.2實體進入控制措施,安全區(qū)域應(yīng)藉由適當?shù)倪M入控制措施加以保護，以確保只有授權(quán)人員方可允許進入。,,

,,c)應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；,,,A.9.1.6公共存取、遞送及裝卸區(qū),諸如遞送與裝卸區(qū)以及其它未經(jīng)授權(quán)人員可能進入作業(yè)場所之進入點應(yīng)加以管制；并且，若可能，應(yīng)將信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的存取。,,

,,d)應(yīng)加強對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等；,,,"A.9.1.3安全的辦公處所及設(shè)施

A.9.1.5安全區(qū)域內(nèi)之工作","辦公室、房間及設(shè)施的實體安全應(yīng)加以設(shè)計與運用。

在安全區(qū)域內(nèi)工作之實體保護與指引應(yīng)加以設(shè)計與運用。",,

,,e)應(yīng)對機房和辦公環(huán)境實行統(tǒng)一策略的安全管理，對出入人員進行相應(yīng)級別的授權(quán)，對進入重要安全區(qū)域的活動行為實時監(jiān)視和記錄。,,,A9.1.2,,,

,7.2.5.2資產(chǎn)管理（G3）,a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；,"a)應(yīng)訪談安全主管，詢問是否指定資產(chǎn)管理的責(zé)任人員或部門,由何部門/何人負責(zé)；

b)應(yīng)訪談物理安全負責(zé)人，詢問是否對資產(chǎn)管理要求文檔化和制度化；

c)應(yīng)訪談資產(chǎn)管理員，詢問是否依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行賦值和標識管理，不同類別的資產(chǎn)是否采取不同的管理措施；

d)應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所屬部門等方面；

e)應(yīng)檢查資產(chǎn)安全管理制度，查看其內(nèi)容是否覆蓋資產(chǎn)使用、借用、維護等方面；

f)應(yīng)檢查信息分類文檔，查看其內(nèi)容是否規(guī)定了分類標識的原則和方法（如根據(jù)信息的重要程度、敏感程度或用途不同進行分類）；

g)應(yīng)檢查資產(chǎn)清單中的設(shè)備，查看其是否具有相應(yīng)標識。","A.7

資產(chǎn)管理","A.7.1.1資產(chǎn)清冊

A.7.1.3資產(chǎn)可接受的使用方式","應(yīng)明確鑒別所有資產(chǎn)，并制作與維持所有重要資產(chǎn)的清冊。

與信息處理設(shè)施相關(guān)的信息與資產(chǎn)，其可接受的使用規(guī)則應(yīng)予以鑒別、文件化及實施。","訪談，檢查。

安全主管，物理安全負責(zé)人，資產(chǎn)管理員，資產(chǎn)清單，資產(chǎn)安全管理制度，信息分類標識文檔，設(shè)備。",

,,b)應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為；,,,A.7.1.2資產(chǎn)的所有權(quán),,,

,,c)應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施；,,,A.7.2.1分類指引,信息應(yīng)以其對組織的價值、法律要求、敏感性重要性加以分類。,,

,,d)應(yīng)對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。,,,A.7.2.2信息標示與處理,應(yīng)依照組織所采用的分類方案，發(fā)展與實施一套適當?shù)男畔耸九c處理程序。,,

,7.2.5.3介質(zhì)管理（G3）,a)應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定；,"a)應(yīng)訪談資產(chǎn)管理員，詢問介質(zhì)的存放環(huán)境是否有保護措施，防止其被盜、被毀、被未授權(quán)修改以及信息的非法泄漏，是否有專人管理；

b)應(yīng)訪談資產(chǎn)管理員，詢問是否對介質(zhì)的使用管理要求制度化和文檔化，是否根據(jù)介質(zhì)的目錄清單對介質(zhì)的使用現(xiàn)狀進行定期檢查，是否定期對其完整性（數(shù)據(jù)是否損壞或丟失）和可用性（介質(zhì)是否受到物理破壞）進行檢查，是否根據(jù)所承載數(shù)據(jù)和軟件的重要性對介質(zhì)進行分類和標識管理；

c)應(yīng)訪談資產(chǎn)管理員，詢問對介質(zhì)帶出工作環(huán)境（如送出維修或銷毀）和重要介質(zhì)中的數(shù)據(jù)和軟件是否進行保密性處理；對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準，對送出維修或銷毀的介質(zhì)是否對數(shù)據(jù)進行凈化處理；詢問對介質(zhì)的物理傳輸過程是否要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制；

d)應(yīng)訪談資產(chǎn)管理員，詢問是否對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同；

e)應(yīng)檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的存儲、歸檔、借用等情況；

f)應(yīng)檢查介質(zhì)管理制度，查看其內(nèi)容是否覆蓋介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面；

g)應(yīng)檢查介質(zhì)，查看是否對其進行了分類，并具有不同標識；

h)應(yīng)檢查介質(zhì)本地存放地的實際環(huán)境條件是否安全，異地存放地的環(huán)境要求和管理要求是否與本地相同，是否有專人對存放地進行管理。",A.10.7介質(zhì)處理,"A.10.7.1移動存儲設(shè)備的管理

",應(yīng)有適當?shù)某绦颍怨芾硪苿哟鎯υO(shè)備。,"訪談，檢查。

資產(chǎn)管理員，介質(zhì)管理記錄，介質(zhì)安全管理制度，各類介質(zhì)，介質(zhì)存放地，異地存放地。",

,,b)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點；,,,A.10.7.3信息處理程序,應(yīng)建立信息的處理與儲存程序，以保護此等信息免于未經(jīng)授權(quán)的揭露或誤用。,,

,,c)應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質(zhì)的歸檔和查詢等進行登記記錄；,,,A.10.7.4系統(tǒng)文件的安全,應(yīng)保護系統(tǒng)文件，防止未授權(quán)的存取。,,

,,d)應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理，重要數(shù)據(jù)的存儲介質(zhì)帶出工作環(huán)境必須進行內(nèi)容加密并進行監(jiān)控管理，對于需要送出維修或銷毀的介質(zhì)應(yīng)采用多次讀寫覆蓋、清除敏感或秘密數(shù)據(jù)、對無法執(zhí)行刪除操作的受損介質(zhì)必須銷毀，保密性較高的信息存儲介質(zhì)應(yīng)獲得批準并在雙人監(jiān)控下才能銷毀，銷毀記錄應(yīng)妥善保存；,,,A.10.7.2介質(zhì)的報廢,介質(zhì)不再需要時，應(yīng)使用正式程序加以安全的報廢。,,

,,e)應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；,,,,,,

,,f)應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。,,,,,,

,,,,A.10.8信息交換,,控制目標：維護組織內(nèi)及與任何外部實體交換信息與軟件的安全,,

,,,,A.10.9電子商務(wù)服務(wù),,確保電子商務(wù)服務(wù)的安全與其安全的使用,,

,,,,A.10.10監(jiān)督,"稽核日志

監(jiān)督系統(tǒng)的使用

日志信息的保護

管理者與操作員日志

失誤日志

時鐘同步

",偵測未經(jīng)授權(quán)的信息處理活動,,

,7.2.5.4設(shè)備管理（G3）,a)應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進行維護管理；,"a)應(yīng)訪談資產(chǎn)管理員，詢問是否對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護，由何部門/何人維護，維護周期多長；

b)應(yīng)訪談資產(chǎn)管理員，詢問是否對設(shè)備選用的各個環(huán)節(jié)（如選型、采購、發(fā)放等）進行審批控制，是否對設(shè)備帶離機構(gòu)進行審批控制，設(shè)備的操作和使用是否要求規(guī)范化管理；

c)應(yīng)訪談系統(tǒng)管理員，詢問其是否在統(tǒng)一安全策略下，對服務(wù)器進行正確配置，對服務(wù)器的操作是否按操作規(guī)程進行；

d)應(yīng)訪談系統(tǒng)管理員，詢問其是否對軟硬件維護進行制度化管理；

e)應(yīng)訪談審計員，詢問對服務(wù)器的操作是否建立日志，日志文件如何管理，是否定期檢查管理情況；

f)應(yīng)檢查設(shè)備審批、發(fā)放管理文檔，查看其是否對設(shè)備選型、采購、發(fā)放以及帶離機構(gòu)等環(huán)節(jié)的申報和審批作出規(guī)定；查看是否具有設(shè)備的選型、采購、發(fā)放等過程的申報材料和審批報告；

g)應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計算機、便攜機和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項等方面；

h)應(yīng)檢查服務(wù)器操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動、停止、加電、斷電等操作；

i)應(yīng)檢查軟硬件維護制度，查看其是否覆蓋維護人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等方面。",A.9.2設(shè)備安全,A.9.2.4設(shè)備維護,應(yīng)正確地維護設(shè)備，以確保其持續(xù)的可用性與完整性。,"訪談，檢查。

資產(chǎn)管理員，系統(tǒng)管理員，審計員，設(shè)備審批管理文檔，設(shè)備操作規(guī)程，設(shè)備使用管理文檔，設(shè)施、軟硬件維護管理制度，設(shè)備維護記錄，服務(wù)器操作日志，配置文檔。",

,,b)應(yīng)建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理；,,,A.9.2.6設(shè)備的安全報廢或再使用,含有儲存介質(zhì)的設(shè)備其所有項目在報廢前應(yīng)加以核對，以確保任何敏感性的數(shù)據(jù)與授權(quán)的軟件已被移除或安全地覆寫。,,

,,c)應(yīng)建立配套設(shè)施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等；,,,A.9.2.5場外設(shè)備之安全,安全應(yīng)運用于場外設(shè)備，并考慮其在組織作業(yè)場所外工作的各種風(fēng),,

,,d)應(yīng)對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作；,,,"A.9.2.1設(shè)備安置與保護

A.9.2.2支持的公用設(shè)施

A.9.2.3纜線的安全","應(yīng)安置或保護設(shè)備，以降低來自環(huán)境之威脅與危害，以及未經(jīng)授權(quán)存取之機會。

應(yīng)保護設(shè)備不受電力失效與其它支持設(shè)施失效所導(dǎo)致的中斷。

應(yīng)保護傳送數(shù)據(jù)或支持信息服務(wù)之電力與電信纜線，以防止竊聽或損毀。",,

,,e)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。,,,A.9.2.7資產(chǎn)攜出,設(shè)備、信息或軟件未經(jīng)事前授權(quán)不應(yīng)帶出廠（場）區(qū)。,,

,,,,A.10.1操作程序與職責(zé),A.10.1.1文件化操作程序,操作程序應(yīng)加以文件化、維持，并對有需要的所有使用者均可隨時取得。,,

,,,,,A.10.1.3任務(wù)的分離,任務(wù)與職責(zé)區(qū)域應(yīng)加以分離，以降低組織資產(chǎn)遭未授權(quán)或非故意的修改或誤用之機會。,,

,7.2.5.5監(jiān)控管理和安全管理中心（G3）,a)應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存；,"a)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問其是否監(jiān)控主要服務(wù)器的各項資源指標，如CPU、內(nèi)存、進程和磁盤等使用情況；

b)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問目前信息系統(tǒng)是否由機構(gòu)自身負責(zé)運行維護，如果是，系統(tǒng)運行所產(chǎn)生的文檔如何進行管理（如責(zé)任書、授權(quán)書、許可證、各類策略文檔、事故報告處理文檔、安全配置文檔、系統(tǒng)各類日志等）；

c)應(yīng)檢查監(jiān)控記錄，查看是否記錄監(jiān)控對象、監(jiān)控內(nèi)容、監(jiān)控的異常現(xiàn)象處理等方面。",,,,"訪談，檢查。

系統(tǒng)運維負責(zé)人，監(jiān)控記錄文檔。",

,,b)應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施；,,,,,,

,,c)應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。,,,,,,

,7.2.5.6網(wǎng)絡(luò)安全管理（G3）,a)應(yīng)指定專人對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作；,"a)應(yīng)訪談安全主管，詢問是否指定專人負責(zé)維護網(wǎng)絡(luò)運行日志、監(jiān)控記錄和分析處理報警信息等網(wǎng)絡(luò)安全管理工作；

b)應(yīng)訪談安全員，詢問是否對網(wǎng)絡(luò)安全的管理工作（包括網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶、日志等方面）制度化；

c)應(yīng)訪談安全員，詢問網(wǎng)絡(luò)的外聯(lián)種類有哪些（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等），是否都得到授權(quán)與批準，由何部門/何人批準；是否定期檢查違規(guī)聯(lián)網(wǎng)的行為；

d)應(yīng)訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行過升級，目前的版本號為多少，升級前是否對重要文件（帳戶數(shù)據(jù)和配置數(shù)據(jù)等）進行備份，采取什么方式進行；是否對網(wǎng)絡(luò)設(shè)備進行過漏洞掃描，對掃描出的漏洞是否及時修補；

e)應(yīng)檢查網(wǎng)絡(luò)漏洞掃描報告，查看其內(nèi)容是否覆蓋網(wǎng)絡(luò)存在的漏洞、嚴重級別、原因分析、改進意見等方面；

f)應(yīng)檢查網(wǎng)絡(luò)安全管理制度，查看其內(nèi)容是否覆蓋網(wǎng)絡(luò)安全配置（包括網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁）、網(wǎng)絡(luò)帳戶（用戶責(zé)任、義務(wù)、風(fēng)險、權(quán)限審批、權(quán)限分配、帳戶注銷等）、審計日志以及配置文件的生成、備份、變更審批、符合性檢查等方面；

g)應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)所有外聯(lián)的授權(quán)批準書；

h)應(yīng)檢查在規(guī)定的保存時間范圍內(nèi)是否存在網(wǎng)絡(luò)審計日志。",,"A.10.6.1網(wǎng)絡(luò)控制措施

A.10.6.2網(wǎng)絡(luò)服務(wù)的安全

A.11.4網(wǎng)絡(luò)存取控制

A.11.7行動式計算機作業(yè)與遠距工作","a)網(wǎng)絡(luò)應(yīng)適當?shù)募右怨芾砼c控制，使其不受威脅，并維持使用網(wǎng)絡(luò)系統(tǒng)與應(yīng)用的安全，包括傳輸中的信息。

B)應(yīng)鑒別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級及管理要求，并應(yīng)納入網(wǎng)絡(luò)服務(wù)協(xié)議，不論此等服務(wù)是由內(nèi)部或委外所提供。

C)確保使用行動式計算機作業(yè)與遠距工作設(shè)施時之信息安全。","訪談，檢查。

安全主管，安全員，網(wǎng)絡(luò)管理員，審計員，網(wǎng)絡(luò)漏洞掃描報告，網(wǎng)絡(luò)安全管理制度，系統(tǒng)外聯(lián)授權(quán)書，網(wǎng)絡(luò)審計日志。",

,,b)應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；,,,,,,

,,c)應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；,,,,,,

,,d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補；,,,,,,

,,e)應(yīng)實現(xiàn)設(shè)備的最小服務(wù)配置和優(yōu)化配置，并對配置文件進行定期離線備份；,,,,,,

,,f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準；,,,,,,

,,g)應(yīng)禁止便攜式和移動式設(shè)備接入網(wǎng)絡(luò)；,,,,,,

,,h)應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為；,,,,,,

,,i)應(yīng)嚴格控制網(wǎng)絡(luò)管理用戶的授權(quán)，授權(quán)程序中要求必須有兩人在場，并經(jīng)雙重認可后方可操作，操作過程應(yīng)保留不可更改的審計日志。,,,,,,

,7.2.5.7系統(tǒng)安全管理（G3）,a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；,"a)應(yīng)訪談安全主管，詢問是否指定專人負責(zé)系統(tǒng)安全管理；

b)應(yīng)訪談系統(tǒng)管理員，詢問對系統(tǒng)工具的使用（如脆弱性掃描工具）是否采取措施控制不同使用人員及數(shù)量；

c)應(yīng)訪談系統(tǒng)管理員，詢問是否定期對系統(tǒng)安裝安全補丁程序，是否在測試環(huán)境中測試其對應(yīng)用系統(tǒng)的影響；在安裝系統(tǒng)補丁前是否對重要文件（系統(tǒng)配置、系統(tǒng)用戶數(shù)據(jù)等）進行備份，采取什么方式進行；是否對系統(tǒng)進行過漏洞掃描，發(fā)現(xiàn)漏洞是否進行及時修補；

d)應(yīng)訪談安全員，詢問是否將系統(tǒng)安全管理工作（包括系統(tǒng)安全配置、系統(tǒng)帳戶、審計日志等）制度化；

e)應(yīng)訪談系統(tǒng)管理員，詢問對不常用的系統(tǒng)缺省用戶是否采取了一定的處理手段阻止其繼續(xù)使用（如刪除或禁用）；是否對系統(tǒng)帳戶安全管理情況是否定期進行檢查和分析，發(fā)現(xiàn)問題如何處理；

f)應(yīng)訪談審計員，詢問是否規(guī)定系統(tǒng)審計日志保存時間，多長時間；

g)應(yīng)檢查在規(guī)定的保存時間范圍內(nèi)是否存在系統(tǒng)審計日志；

h)應(yīng)檢查系統(tǒng)漏洞掃描報告，查看其內(nèi)容是否覆蓋系統(tǒng)存在的漏洞、嚴重級別、原因分析、改進意見等方面；

i)應(yīng)檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全配置（包括系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁）、系統(tǒng)帳戶（用戶責(zé)任、義務(wù)、風(fēng)險、權(quán)限審批、權(quán)限分配、帳戶注銷等）、審計日志以及配置文件的生成、備份、變更審批、符合性檢查等方面。",,"A.11.5操作系統(tǒng)存取控制

A.11.6應(yīng)用與信息存取控制","防止操作系統(tǒng)被未授權(quán)存取。

防止應(yīng)用系統(tǒng)中的信息被未經(jīng)授權(quán)的存取。","訪談，檢查。

安全主管，安全員，系統(tǒng)管理員，審計員，系統(tǒng)安全管理制度，系統(tǒng)審計日志，系統(tǒng)漏洞掃描報告。",

,,b)應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；,,,,,,

,,c)應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝；,,,,,,

,,d)應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理、日常操作流程等方面作出具體規(guī)定；,,,,,,

,,e)應(yīng)指定專人對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責(zé)任和風(fēng)險，權(quán)限設(shè)定應(yīng)當遵循最小授權(quán)原則；,,,,,,

,,f)應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作；,,,,,,

,,g)應(yīng)定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為；,,,A.15.3信息系統(tǒng)稽核考慮,有關(guān)操作系統(tǒng)之查核，其稽核要求與活動應(yīng)謹慎規(guī)劃并已獲同意，以降低營運過程中斷的風(fēng)險。,,

,,h)應(yīng)對系統(tǒng)資源的使用進行預(yù)測，以確保充足的處理速度和存儲容量，管理人員應(yīng)隨時注意系統(tǒng)資源的使用情況，包括處理器、存儲設(shè)備和輸出設(shè)備。,,,A.10.3.1容量管理,應(yīng)監(jiān)督、調(diào)整各項資源的使用，并預(yù)估未來容量需求，以確保所要求的系統(tǒng)績效。,,

,7.2.5.8惡意代碼防范管理（G3）,a)應(yīng)提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒檢查；,"a)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問是否對員工進行基本惡意代碼防范意識教育，如告知應(yīng)及時升級軟件版本，使用外來設(shè)備、網(wǎng)絡(luò)上接收文件和外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前應(yīng)進行病毒檢查；

b)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問是否指定專人對惡意代碼進行檢測，并保存記錄；

c)應(yīng)訪談安全員，詢問是否將惡意代碼防范管理工作（包括防惡意代碼軟件的授權(quán)使用、代碼庫升級和防范工作情況匯報等）制度化，對其執(zhí)行情況是否進行檢查，檢查周期多長；

d)應(yīng)訪談安全員，詢問是否建立惡意代碼防護管理中心，對整個系統(tǒng)的惡意代碼管理工作是否實行統(tǒng)一集中管理（統(tǒng)一升級、檢測、分析等），是否對惡意代碼庫的升級情況進行記錄，對截獲的危險病毒或惡意代碼是否進行及時分析處理，并形成書面的報表和總結(jié)匯報；

e)應(yīng)訪談工作人員，詢問其是否熟知惡意代碼基本的防范手段，主要包括哪些；

f)應(yīng)檢查惡意代碼防范管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等方面；

g)應(yīng)檢查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告，查看升級記錄是否記錄升級時間、升級版本等內(nèi)容；查看分析報告是否描述惡意代碼的特征、修補措施等內(nèi)容；

h)應(yīng)檢查是否具有惡意代碼集中防范管理中心。",,"A.10.4.1對抗惡意碼的控制措施

A.10.4.2對抗移動代碼的控制措施","a)應(yīng)實施防范惡意碼的偵測、預(yù)防及復(fù)原控制措施，以及適當?shù)氖褂谜哒J知程序

b)移動代碼若經(jīng)授權(quán)使用，其組態(tài)應(yīng)確保授權(quán)的移動代碼系依據(jù)清楚界定的安全政策在作業(yè)，并應(yīng)防止執(zhí)行未經(jīng)授權(quán)的移動代碼","訪談，檢查。

系統(tǒng)運維負責(zé)人，安全員，惡意代碼防范管理制度，惡意代碼檢測記錄，惡意代碼升級記錄，惡意代碼分析報告，惡意代碼集中防范管理中心。",

,,b)應(yīng)指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄；,,,,,,

,,c)應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定；,,,,,,

,,d)應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結(jié)匯報。,,,,,,

,7.2.5.9密碼管理（G3）,應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。,"a)應(yīng)訪談安全員，詢問密碼算法和密鑰的使用是否遵照國家密碼管理規(guī)定；

b)應(yīng)檢查是否具有密碼使用管理制度。",,A.12.3.1密碼控制措施的使用政,使用密碼控制措施以保護信息的政策應(yīng)加以發(fā)展與實施。,"訪談，檢查。

安全員，密碼管理制度。",

,7.2.5.10變更管理（G3）,a)應(yīng)確認系統(tǒng)中要發(fā)生的變更，并制定變更方案；,"a)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更；目前系統(tǒng)發(fā)生過哪些變更，變更過程是否文檔化并保存，是否修改相關(guān)的操作流程（如系統(tǒng)配置發(fā)生變更后，相應(yīng)的操作流程是否修改）；

b)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問重要系統(tǒng)變更前是否根據(jù)申報和審批程序得到有關(guān)領(lǐng)導(dǎo)的批準，由何人批準，對發(fā)生的變更情況是否通知了所有相關(guān)人員，以何種方式通知；變更方案是否經(jīng)過評審；

c)應(yīng)訪談系統(tǒng)運維負責(zé)人，詢問變更失敗后的恢復(fù)程序、工作方法和人員職責(zé)是否文檔化，恢復(fù)過程是否經(jīng)過演練；

d)應(yīng)檢查重要系統(tǒng)的變更申請書，查看其是否有主管領(lǐng)導(dǎo)的批準；

e)應(yīng)檢查系統(tǒng)變更方