<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/Z 32916-2016 信息技術 安全技術 信息安全控制措施審核員指南
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 本指導性技術文件的結構
    4 本指導性技術文件的結構
    5 背景
    5 背景
    6 信息安全控制措施評審概述
    6.1 評審過程 6.2 資源配備
    7 評審方法
    7.1 概述 7.2 評審方法:檢查 7.3 評審方法:訪談 7.4 評審方法:測試
    8 活動
    8.1 準備 8.2 制定計劃 8.4 分析并報告結果 8.3 實施評審
    附錄A (資料性附錄)技術符合性檢查實踐指南
    附錄A (資料性附錄)技術符合性檢查實踐指南
    附錄B (資料性附錄)初始信息收集(除信息技術以外)
    附錄B (資料性附錄)初始信息收集(除信息技術以外)
    參考文獻
    參考文獻

    附錄B (資料性附錄)初始信息收集(除信息技術以外)

    GB/Z 32916-2016 信息技術 安全技術 信息安全控制措施審核員指南 /

    附錄B (資料性附錄)初始信息收集(除信息技術以外)

    信息安全審核組組長宜在相應信息安全領域分配有相應能力和經驗的信息安全控制措施評審審核員。
    相關職員的初始問題包括但不限于下表中的例子。
    B.1 人力資源和安全
    a) 相關人員是否能對其行為負責或承擔義務?
    b) 相關人員是否具有信息和信息安全常識、并能解答相關問題,激勵他人并提供必要的指導?
    c) 申請策略和規程是否清晰,是否明確、可測量、可接受、可實現?
    d) 已受聘雇員是否具備組織期望的“運行”知識?
    e) 組織是否信任接觸可能危及組織生存的信息和系統的相關人員?
    f) 相關人員是否值得信任?
    g) 這種信任是如何被組織進行定義和測量的?
    B.2 策略
    a) 分層次
    i. 信息安全方針是否與組織業務目標和總體安全策略保持一致?
    ii. 如何使信息技術、人力資源和獲取方針聯系在一起?
    b) 綜合
    i. 這些方針是否能夠覆蓋組織所有業務活動區域的信息安全(人力資源、物理環境、信息技術、銷售、制造、研發和合同安全等)?
    ii. 這些方針是否被設計成能夠完整涵蓋組織戰略、戰術和運營?
    c) 規劃
    i. 這些方針是直接使用了GB/T 22081-2008的相關內容,還是針對特定的背景對控制措施目標和控制措施進行了剪裁?
    ii. 這些方針是否以書面形式明確了執行者的職責?
    iii. 在一個策略中有一個期望活動,或者有一套考慮誰、何時、為什么、什么、哪里、如何等的基礎性問題的規程:
    1) 如果沒有定義執行活動人員的職責,由誰來負責達成這組目標?
    2) 如果沒有定義何時執行活動,是否能保證其按時啟動和完成?
    3) 如果一個活動的目的和目標沒有被定義,這個活動為什么會被正確理解,其重要性為什么會被充分考慮到?
    4) 如果沒有定義活動的內容,如何知道應該做什么?
    5) 如果一個活動沒有定義目標、執行地點、操作規程和信息資產,或者沒有定義其效果控制措施,如何使它有效(地點)?
    6) 一個規程中的活動如果沒有明確定義如何被完成,如何保證其能被正確執行(方式)?
    7) 如果一個活動沒有定義指標和控制措施點,以驗證其是否正確包含并且達到其既定目標,如何確保或能夠達成組織目標?
    iv. 是否有控制措施和檢測環境,以鑒定組織策略聲明強制執行、實現和可達成既定目標?
    v. 在策略聲明中的目標陳述宜考慮SMART準則,否則:
    1) 沒有明確目標則不容易被清晰地辨識,并且未達成目標的責任也無法落實到人;
    2) 如果目標不可測量,組織一般無法驗證目標的達成程度;
    3) 如果目標沒有在組織內進行充分溝通并達成共識,則可能造成對控制措施的被誤解、被規避或被中斷;
    4) 如果組織不是根據自身的實際能力來確定目標,很可能因不切合實際而不能達到;
    5) 如果組織沒有確認實現方針目標的預期起始和結束時間點,就很可能無法確保組織能夠采取實際的行動,達成目標也難以實現。
    B.3 組織
    a) 是否在考慮了在組織的特定環境和限制條件的情況下對組織人員角色和職責進行充分且必要定義和分配,以滿足組織的業務目標?
    b) 是否與外部機構保持聯系?
    c) 組織是否對自身沒有能力承擔的安全管理責任進行了外包?
    d) 合同是否闡述信息安全的相關要求?
    B.4 物理和環境安全
    B.4.1 工作場所能否保證信息的安全?
    a) “區域”
    i. 業務區與公眾訪問區是否充分隔離?
    ii. 是否在定義了敏感信息處置的范圍(通過人員和信息通信技術系統)?
    iii. 這些“安全區”是否被恰當地隔離,以避免其相互間的敏感信息交換?
    b) 位置
    i. 不同安全級別的區域是否被明確標識,并合理部署?
    ii. 保護信息資產的邊界(墻,天花板,地板等)和適當保護強度是被否清晰地定義?
    iii. 區域是否被適當地進行了標識,且關鍵區域標識對“外部”不可見?
    c) “出入口”
    i. 當門窗或其它非固定邊界處于關閉狀態時,能否提供與固定邊界相當的防護能力?
    ii. 是否對這些位置的進出采取適當的訪問控制措施?
    iii. 是否有防入侵系統?
    iv. 是否有“緊急出口”,以保證信息、人和設備具有充足的移動性?
    d) 走廊和“通道”
    i. 去往固定區域或位置的通道是否得到識別?
    1) 人員的通道
    2) 纜線的通道(傳輸信息)
    ii. 是否有供選擇的通道?
    iii. 這些“通道”是否受到保護和監控?
    e) 監控
    i. 監控設備能否在不被發現的情況下正常工作?
    ii. 監控設備能否發現遠處的入侵?
    iii. 監控何時啟動?
    iv. 監控記錄在何地和如何保存和分析?
    f) 裝置
    i. 適合于信息存儲?
    ii. 是否被放置在正確的地方?
    iii. 實際運行是否和預期的結果一致?
    B.4.2 工作場所能否保證信息通信技術(ICT)的安全?(環境方面)
    a) 電力設施
    i. 足夠/適當?
    ii. 備用?
    b) 空調設施
    i. 足夠/適當?
    ii. 備用?
    c) 防火設施
    i. 足夠/適當?
    ii. 備用?
    B.4.3 工作場所能否保證人員的安全?
    a) 有緊急出口(并且采取了適當的控制措施)?
    b) 是否存在電、水、氣體、液體的泄漏等造成人員傷害的潛在風險?
    c) 是否存在在溫度、濕度、材料和震動的潛在風險?
    d) 是否配備了避免區域內人員受傷的器材?
    e) 是否安裝了避免區域內人員受傷的“門”?
    f) 是否安裝和維護了避免區域內人員受傷的器材?
    B.5 事件管理
    a) 是否定義了信息安全事件?
    b) 是否有響應信息安全事件的能力:
    i. 指南或手冊?
    ii. 職責和角色?

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类