_ujujw.55匕。項(xiàng)P好婷學(xué)習(xí)天天自上德信誠(chéng)培訓(xùn)網(wǎng)信息安全控制措施測(cè)量方法參考表控制措施測(cè)量方法A.5安全方針A.5.1信息安全方針A.5.1.1信息安全方針文件審核ISMS方針文件訪問(wèn)管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了解他們對(duì)ISMS方針和目標(biāo)的理解和貫徹狀況。A.5.1.2信息安全方針的評(píng)審查閱ISMS方針文件的評(píng)審和修訂記錄。A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全的管理承諾結(jié)合5.1管理承諾，訪問(wèn)管理者（或管理者代表），判斷其對(duì)信息安全的承諾和支持是否到位。A.6.1.2信息安全協(xié)調(diào)訪問(wèn)組織的信息安全管理機(jī)構(gòu)，包括其職責(zé)。A.6.1.3信息安全職責(zé)的分配查閱信息安全職責(zé)分配或描述等方面的文件。A.6.1.4信息處理設(shè)施的授權(quán)過(guò)程訪問(wèn)IT等相關(guān)部門(mén)，了解組織對(duì)新信息處理設(shè)施的管理流程。A.6.1.5保密性協(xié)議查閱組織與員工、外部相關(guān)方等簽署的保密性或不泄露協(xié)議。A.6.1.6與政府部門(mén)的聯(lián)系訪問(wèn)信息安全管理機(jī)構(gòu)，詢問(wèn)與相關(guān)政府部門(mén)的聯(lián)絡(luò)情況。A.6.1.7與特定利益集團(tuán)的聯(lián)系訪問(wèn)信息安全管理機(jī)構(gòu)，詢問(wèn)與相關(guān)信息安全專家、專業(yè)協(xié)會(huì)、學(xué)會(huì)等聯(lián)絡(luò)情況。A.6.1.8信息安全的獨(dú)立評(píng)審?fù)ㄟ^(guò)對(duì)內(nèi)部審核、管理評(píng)審、第二方認(rèn)證審核等的審核，驗(yàn)證組織信息安全獨(dú)立評(píng)審情況。A.6.2外部各方A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)另U訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解對(duì)外部各方訪問(wèn)組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。A.6.2.2處理與顧客有關(guān)的安全訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解對(duì)顧客更多免費(fèi)資料下載請(qǐng)進(jìn)：好好學(xué)習(xí)社區(qū)

|ujujuj.55bop.con\好好學(xué)習(xí)天天自上問(wèn)題訪問(wèn)組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)和控制狀況。A.6.2.3處理第二方協(xié)議中的安全問(wèn)題訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解第三方協(xié)議中的安全要求的滿足情況。A.7資產(chǎn)管理A.7.1對(duì)資產(chǎn)負(fù)責(zé)A.7.1.1資產(chǎn)清單審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.7.1.2資產(chǎn)責(zé)任人A.7.1.3資產(chǎn)的允許使用訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解對(duì)信息資產(chǎn)使用的控制。A.7.2信息分類(lèi)A.7.2.1分類(lèi)指南訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解組織信息資產(chǎn)的分類(lèi)和標(biāo)識(shí)情況，并在各部門(mén)進(jìn)行驗(yàn)證。A.7.2.2信息標(biāo)記和處理A.8人力資源安全A.8.1任用之前A.8.1.1角色和職責(zé)審核信息安全角色和職責(zé)的分配和描述等相關(guān)文件A.8.1.2審查訪問(wèn)人力資源等相關(guān)部門(mén)，驗(yàn)證人員任用前的審查工作。A.8.1.3任用條款和條件查閱任用合同中的信息安全相關(guān)的任用條款A(yù).8.2任用中A.8.2.1管理職責(zé)訪問(wèn)管理者（或管理者代表），驗(yàn)證對(duì)員工提出的信息安全方面的要求。A.8.2.2信息安全意識(shí)、教育和培訓(xùn)查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄。A.8.2.3紀(jì)律處理過(guò)程訪問(wèn)組織信息安全管理機(jī)構(gòu)、人力資源等相關(guān)部門(mén)，以及查閱信息安全獎(jiǎng)懲制度。A.8.3任用的終止或變化A.8.3.1終止職責(zé)訪問(wèn)組織信息安全管理機(jī)構(gòu)，了解和驗(yàn)證組織的員工和第二方人員等在任用結(jié)束后的信息安全要求。A.8.3.2資產(chǎn)的歸還訪問(wèn)組織IT等相關(guān)部門(mén)，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后，對(duì)領(lǐng)用資產(chǎn)的歸還情況。德信誠(chéng)培訓(xùn)網(wǎng)更多免費(fèi)資料下載請(qǐng)進(jìn)：好好學(xué)習(xí)社區(qū)

|ujujuj.55bop.con\好好學(xué)習(xí)天天自上A.8.3.3撤銷(xiāo)訪問(wèn)權(quán)訪問(wèn)組織IT等相關(guān)部門(mén)，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后，對(duì)系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)權(quán)的處置情況。A.9物理和環(huán)境安全A.9.1安全區(qū)域A.9.1.1物理安全邊界結(jié)合ISMS范圍文件，訪問(wèn)相關(guān)部門(mén)，了解組織的物理邊A.9.1.2物理入口控制界控制，出入口控制，辦公室防護(hù)等措施和執(zhí)行情況。如A.9.1.3辦公室、房間和設(shè)備的安全保護(hù)調(diào)閱監(jiān)控錄像資料等。A.9.1.4外部和環(huán)境威脅的安全防護(hù)詢問(wèn)、驗(yàn)證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。A.9.1.5在安全區(qū)域工作詢問(wèn)、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù)。A.9.1.6公共訪問(wèn)、交接區(qū)安全詢問(wèn)、驗(yàn)證組織公共訪問(wèn)、交接區(qū)內(nèi)的防護(hù)措施A.9.2設(shè)備安全A.9.2.1設(shè)備安置和保護(hù)詢問(wèn)、驗(yàn)證組織設(shè)備安置和保護(hù)措施。查閱機(jī)房管理規(guī)定等相關(guān)文件。A.9.2.2支持性設(shè)施詢問(wèn)、驗(yàn)證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運(yùn)行情況。查閱機(jī)房溫濕度記錄等。A.9.2.3布纜安全詢問(wèn)IT等相關(guān)部門(mén)在布線方面是否符合相關(guān)國(guó)家標(biāo)準(zhǔn)，并驗(yàn)證。A.9.2.4設(shè)備維護(hù)詢問(wèn)、驗(yàn)證組織設(shè)備維護(hù)情況，查閱設(shè)備維護(hù)記錄A.9.2.5組織場(chǎng)所外的設(shè)備的安全詢問(wèn)、驗(yàn)證組織對(duì)場(chǎng)所外的設(shè)備的安全保護(hù)措施。A.9.2.6設(shè)備的安全處置或再利用詢問(wèn)、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程，是否滿足規(guī)定的要求。A.9.2.