1. 目的和范圍
確保本公司制定的信息安全策略和規(guī)定能夠定期評審和正確執(zhí)行。
2. 術(shù)語和定義
ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》
ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則》規(guī)定的術(shù)語適用于本標(biāo)準(zhǔn)。
3. 引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求
ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則
合規(guī)性管理程序
補丁管理規(guī)定
4. 職責(zé)和權(quán)限
(1) 制定信息系統(tǒng)安全審核策略
(2) 對信息系統(tǒng)進行定期審核
5. 活動描述
(1) 技術(shù)部根據(jù)公司情況,制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測試等方面的審核策略,必要時填寫《信息系統(tǒng)定期評審策略明細(xì)表》
(2) 管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全程序被正確地執(zhí)行,以確保符合安全策略及標(biāo)準(zhǔn)。
(3) 管理人員應(yīng)對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進行定期評審。
(4) 信息系統(tǒng)應(yīng)被定期檢查是否符合安全實施標(biāo)準(zhǔn)。
(5) 任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成,或在他們的監(jiān)督下完成。
(6) 涉及對運行系統(tǒng)檢查的審核要求和活動,應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險。
(7) 漏洞掃描管理:
1) 管理員應(yīng)定期進行漏洞掃描,客戶端和服務(wù)器可考慮使用奇虎360工具進行漏洞掃描。
2) 根據(jù)漏洞掃描結(jié)果,管理員應(yīng)及時根據(jù)《補丁管理規(guī)定》及時修補系統(tǒng)漏洞。
3) 滲透測試管理:
4) 技術(shù)符合性檢查應(yīng)由有經(jīng)驗的系統(tǒng)工程師手動執(zhí)行(如需要,利用合適的軟件工具支持),或者由技術(shù)專家用自動工具來執(zhí)行,此工具可生成供后續(xù)解釋的技術(shù)報告。
5) 如果使用滲透測試或脆弱性評估,則應(yīng)格外小心,因為這些活動可能導(dǎo)致系統(tǒng)安全的損害。這樣的測試應(yīng)預(yù)先計劃,形成文件,且重復(fù)執(zhí)行。
6. 審核注意事項:
(1) 應(yīng)與合適的管理者商定審核要求;
(2) 應(yīng)商定和控制檢查范圍;
(3) 檢查應(yīng)限于對軟件和數(shù)據(jù)的只讀訪問;
(4) 非只讀的訪問應(yīng)僅用于對系統(tǒng)文件的單獨拷貝,當(dāng)審核完成時,應(yīng)擦除這些拷貝,或者按照審核文件要求,具有保留這些文件的義務(wù),則要給予適當(dāng)?shù)谋Wo;
(5) 應(yīng)明確地識別和提供執(zhí)行檢查所需的資源;
(6) 應(yīng)識別和商定特定的或另外的處理要求;
(7) 應(yīng)監(jiān)視和記錄所有訪問,以產(chǎn)生參照蹤跡;對關(guān)鍵數(shù)據(jù)或系統(tǒng),應(yīng)考慮使用時間戳參照蹤跡;
(8) 應(yīng)將所有的程序、要求和職責(zé)形成文件;
(9) 執(zhí)行審核的人員應(yīng)獨立于審核活動。
相關(guān)記錄
表1-1 信息系統(tǒng)定期評審表
序號 | 記錄編號 | 報告/記錄名稱 | 保管場所 | 期限 | 保存形式 | 備注 |
A.1 | ISMS-3020-01 | 信息系統(tǒng)定期評審明細(xì)表 | 技術(shù)部 | 3年 | 電子文檔 |