信息安全管理体系认证

信息系统审核考虑

1） 信息系统审核控制措施

任何技术符合性审核都必须经过认真策划，地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。

确定适合的方法，保证技术符合性审核取得圆满。

获取信息安全管理工作小组对既定审核方法的书面批准。

判定每个系统的访问级别并从相关负责人获取书面批准。

只获取审核活动范围内的IT硬件、软件和系统的访问权。

确保技术符合性审核后删除或处理掉系统审核工具和残余数据。

确保所有的系统审核都按照《变更管理办法》中的说明进行。

确保系统审核的所有活动按照商定的审核计划进行。

2） 信息系统审核工具的保护

对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或损害。

信息系统审核工具（如软件和数据文件）应与开发和运行系统分开，并且不能保存在磁带（程序）库或用户区域内，除非给予合适级别的附加保护。

信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。

3） 活动描述

信息安全管理工作小组根据情况，对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。

管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。

管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。

任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。

涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便小化造成业务过程中断的风险。

漏洞扫描管理：

a） 管理员应定期进行漏洞扫描，客户端和服务器可使用相关工具进行漏洞扫描。

b） 根据漏洞扫描结果，管理员应及时修补系统漏洞。

渗透测试管理：

a） 技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。

b） 如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。

审核注意事项：

应与合适的管理者商定审核要求；

应商定和控制检查范围；

检查应限于对软件和数据的只读访问；

非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；

应明确地识别和提供执行检查所需的资源；

应识别和商定特定的或另外的处理要求；

应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；

应将所有的制度、要求和职责形成文件；执行审核的人员应独立于审核活动

1） 数据保护和个人信息的隐私

谨慎遵守国家法律法规有关个人资料保密和隐私的规定，保护处理个人信息和数据安全。

2） 防止滥用信息处理设施

防止任何在受到管理的信息处理实施受到滥用。

3） 密码控制措施的规则

遵照《访问控制制度》执行密码策略。

如果需要加密措施，必须从法律顾问获取专家建议以保证需要时符合有关规定。

为保证遵照有关规定需要采取以下控制措施：

a） 在获取加密技术前，要向专家咨询并评估密码控制措施和要求；

b） 使用正式授权、购置和初始程序，保证遵照有关加密技术的法律；

c） 对受控加密项目与有关的执法机构（如国家商业密码办公室）进行合作。

信息安全目标有效性测量方法

信息安全工作小组根据信息安全管理体系和公司及客户的要求，组织编制《信息安全目标及风险管理度有效性测量表》，经体系负责人审批后发布实施。

在信息安全管理体系有效性的测量中，使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。

关键目标指标

1） 识别测定信息安全管理体系控制的结果，控制的输出，关键目标指标体现的是控制的目标，指出哪些是必须做的，是控制实现其目标的可测指标，并且通常定义为需要实现的目标。

2） 关键目标指标是控制目标的一种表达，明确要取得什么目标，并描绘控制的结果，进行事后评判，即时体现控制的完成即成功与否。

3） 信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。