OSSIM下ISO 27001信息安全管理系统认证
OSSIM下ISO 27001认证规则
扫盲知识:
ISO 20000是一套有关如何采用流程方法有效提供服务以满足客户业务需求的方法,它是认证企业的IT运营和IT服务提供能力的国际标准。
大型企业网中大量的IT资源设备及安全防护产品不断产生数量巨大的安全事件和日志,安全管理人员一方面得熟悉异构设备的管理方法,另一方面又要在不同产品的管理控制界面及报警面板间来回切换处理这些缺乏联系,通常会因为无从下手而导致工作效率低下,很难找到真正的安全威胁,最重要的是企业内部对信息系统审计内部IT控制、等级保护规范制定有日益增长的迫切需求,恰好OSSIM为大家解决了这一难题,下图是OSSIM在合规管理ISO认证方面的应用截图。
ISO27001信息安全控制措
控制措施 |
测量方法 |
A.5 安全方针 |
|
A.5.1 信息安全方针 |
|
A.5.1.1信息安全方针文件 |
审核 ISMS方针文件访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。 |
A.5.1.2信息安全方针的评审 |
查阅 ISMS方针文件的评审和修订记录。 |
A.6 信息安全组织 |
|
A.6.1 内部组织 |
|
A.6.1.1 信息安全的管理承诺 |
结合A.5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。 |
A.6.1.2 信息安全协调 |
访问组织的信息安全管理机构,包括其职责。 |
A.6.1.3 信息安全职责的分配 |
查阅信息安全职责分配或描述等方面的文件。 |
A.6.1.4 信息处理设施的授权过程 |
访问IT等相关部门,了解组织对新信息处理设施的管理流程。 |
A.6.1.5 保密性协议 |
查阅组织与员工、 外部相关方等签署的保密性或不泄露协议。 |
A.6.1.6 与政府部门的联系 |
访问信息安全管理机构, 询问与相关政府部门的联络情况。 |
A.6.1.7 与特定利益集团的联系 |
访问信息安全管理机构,询问与相关信息安全专家、专业协会、学会等联络情况。 |
A.6.1.8 信息安全的独立评审 |
通过对内部审核、管理评审、第三方认证审核等的审核,验证组织信息安全独立评审情况。 |
A.6.2外部各方 |
|
A.6.2.1与外部各方相关风险的识别 |
访问组织信息安全管理机构或IT相关部门,了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。 |
A.6.2.2处理与顾客有关的安全问题 |
访问组织信息安全管理机构或IT相关部门,了解对顾客访问组织的信息和信息处理设施的风险和控制状况。 |
A.6.2.3 处理第三方协议中的安全问题 |
访问组织信息安全管理机构或 IT相关部门,了解第三方协议中的安全要求的满足情况。 |
A.7资产管理 |
|
A.7.1对资产负责 |
|
A.7.1.1 资产清单 |
审核组织的信息资产清单和关键信息资产清单 |
A.7.1.2 资产责任人 |
|
A.7.1.3资产的允许使用 |
访问组织信息安全管理机构或 IT相关部门,了解对信息资产使用的控制。 |
A.7.2信息分类 |
|
A.7.2.1 分类指南 |
访问组织信息安全管理机构或 IT相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。 |
A.7.2.2 信息标记和处理 |
|
A.8人力资源安全 |
|
A.8.1任用之前 |
|
A.8.1.1 角色和职责 |
审核信息安全角色和职责的分配和描述等相关文件 |
A.8.1.2 审查 |
访问人力资源等相关部门, 验证人员任用前的审查工作。 |
A.8.1.3 任用条款和条件 |
查阅任用合同中的信息安全相关的任用条款 |
A.8.2 任用中 |
|
A.8.2.1 管理职责 |
访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。 |
A.8.2.2 信息安全意识、教育和培训 |
查阅培训计划和培训记录。 |
A.8.2.3 纪律处理过程 |
访问组织信息安全管理机构、人力资源等相关部门,以及查阅信息安全奖惩制度。 |
A.8.3 任用的终止或变化 |
|
A.8.3.1 终止职责 |
访问组织信息安全管理机构, 了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。 |
A.8.3.2 资产的归还 |
访问组织IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。 |
A.8.3.3 撤销访问权 |
访问组织 IT等相关部门,了解和验证组织的员工和第三方人员等在任用结束后, 对系统和网络的访问权的处置情况。 |
A.9物理和环境安全 |
|
A.9.1安全区域 |
|
A.9.1.1物理安全边界 |
结合ISMS范围文件,访问相关部门,了解组织的物理边界控制,出入口控制,办公室防护等措施和执行情况。如调阅监控录像资料等。 |
A.9.1.2物理入口控制 |
|
A.9.1.3办公室、房间和设备的安全保护 |
|
A.9.1.4外部和环境威胁的安全防护 |
询问、验证组织防止火灾、洪水、地震、和其它形式的灾害的防范情况。 |
A.9.1.5 在安全区域工作 |
询问、验证组织安全区域内的物理防护。 |
A.9.1.6 公共访问、交接区安全 |
询问、验证组织公共访问、交接区内的防护措施 |
A.9.2设备安全 |
|
A.9.2.1 设备安置和保护 |
询问、验证组织设备安置和保护措施。查阅机房管理规定等相关文件。 |
A.9.2.2 支持性设施 |
询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。查阅机房温湿度记录等。 |
A.9.2.3 布缆安全 |
询问IT等相关部门在布线方面是否符合相关国家标准,并验证。 |
A.9.2.4 设备维护 |
询问、验证组织设备维护情况,查阅设备维护记录 |
A.9.2.5组织场所外的设备的安全 |
询问、验证组织对场所外的设备的安全保护措施。 |
A.9.2.6设备的安全处置或再利用 |
询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。 |
A.9.2.7 资产的移动 |
询问、验证对资产的移动的安全防护措施。 |
A.10通信和操作管理 |
|
A.10.1操作规程和职责 |
|
A.10.1.1 文件化的操作规程 |
查阅相关设备操作程序文件,操作记录等。 |
A.10.1.2 变更管理 |
查阅和验证信息系统的变更控制。 |
A.10.1.3责任分割 |
访问信息安全管理机构、IT等相关部门,验证责任分割状况。如重要服务器的登录口令分2人保管等。 |
A.10.1.4开发、 测试和运行设施分离 |
访问IT、研发等部门,验证开发、测试和运行设施的分离状况。 |
A.10.2第三方服务交付管理 |
|
A.10.2.1 服务交付 |
查阅第三方服务协议中的信息安全相关的要求和交付标准。 |
A.10.2.2 第三方服务的监视和评审 |
查阅第三方服务的信息安全相关要求的监视和评审记录。 |
A.10.2.3第三方服务的变更管理 |
查阅第三方服务的信息安全要求的变更控制记录。 |
A.10.3系统规划和验收 |
|
A.10.3.1 容量管理 |
查阅系统建设前的容量规划记录。 |
A.10.3.2 系统验收 |
查阅系统建设完成时的验收标准和验收记录。 |
A.10.4 防范恶意和移动代码 |
|
A.10.4.1 控制恶意代码 |
检查计算机病毒等恶意代码防范软件, 及代码库的更新情况。可以在众多电脑中抽查。查阅病毒等恶意代码事件记录。 |
A.10.4.2 控制移动代码 |
询问、验证移动代码控制措施的情况。 |
A.10.5备份 |
|
A.10.5.1 信息备份 |
查阅备份策略等相关文件。抽查备份介质,并要求测试、验证。 |
A.10.6 网络安全管理 |
|
A.10.6.1 网络控制 |
访问IT等相关部门,验证网络控制措施情况。 |
A.10.6.2 网络服务的安全 |
查阅网络服务协议等相关文件, 验证网络服务中的安全要求是否被满足。 |
A.10.7 介质处置 |
|
A.10.7.1 可移动介质的管理 |
访问信息安全管理机构、IT等相关部门,验证对可移动介质的管理是否满足安全要求。 |
A.10.7.2 介质的处置 |
访问信息安全管理机构、IT等相关部门,验证对介质的处置是否满足安全要求。 |
A.10.7.3 信息处理规程 |
查阅、验证信息处理规程。 |
A.10.7.4 系统文件安全 |
查阅、验证保护系统文件安全的控制措施。 |
A.10.8 信息的交换 |
|
A.10.8.1 信息交换策略和规程 |
查阅、验证组织的信息交换策略和规程等相关文件。 |
A.10.8.2 交换协议 |
访问信息安全管理机构,查阅信息和软件交换协议。 |
A.10.8.3 运输中的物理介质 |
询问、验证组织对运输中的物理介质的保护措施。 |
A.10.8.4 电子消息发送 |
询问、验证对电子邮件等信息发送的安全保护措施 |
A.10.8.5 业务信息系统 |
询问、验证对业务信息系统的安全保护措施。 |
A.10.9 电子商务服务 |
|
A.10.9.1 电子商务 |
询问、验证组织电子商务中的安全保护措施。 |
A.10.9.2 在线交易 |
询问、验证组织在线交易中的安全保护措施。 |
A.10.9.3 公共可用信息 |
询问、验证组织公共信息的安全保护措施。 |
A.10.10监视 |
|
A.10.10.1 审计记录 |
查阅重要系统的日志信息。 |
A.10.10.2 监视系统的使用 |
检查、 验证监视系统的有效性。 查阅监视系统日志等,这要求一个日志记录策略和监控的操作规程。 |
A.10.10.3 日志信息的保护 |
日志记录设施应该得到保护,防止篡改和未授权的访问。最重要的就是日志机密性和完整性。我们常常利用基于角色的访问控制来得意实现,也就是什么级别的人员看事先设定好的日志,不能越权访问。 |
A.10.10.4 管理员和操作员日志 |
查阅、验证管理员和操作员日志,系统管理员和系统操作员的活动都应该计入日志。 |
A.10.10.5 故障日志 |
查阅、验证系统的故障日志,故障应该记录并分析采取相应行动。 |
A.10.10.6 时钟同步 |
检查、验证时钟同步措施,要求安全区域内所有系统始终与标准时间源同步。日志有正确的时间戳,它的准确性,关系到系统能否安全监控、取证以及故障排除。 |
A.11访问控制 |
|
A.11.1 访问控制的业务要求 |
|
A.11.1.1 访问控制策略 |
查阅访问控制策略等相关文件。 |
A.11.2 用户访问管理 |
|
A.11.2.1 用户注册 |
查阅用户注册、注销的流程等相关文件。 |
A.11.2.2 特殊权限管理 |
询问、验证超级用户等特殊权限的管理控制措施。 |
A.11.2.3 用户口令管理 |
检查、验证用户口令的管理控制措施。 |
A.11.2.4 用户访问权的复查 |
查阅用户访问权的复查、评审记录。 |
A.11.3用户职责 |
|
A.11.3.1 口令使用 |
检查验证用户口令使用情况。 |
A.11.3.2 无人值守的用户设备 |
询问、验证无人值守的用户设备的安全措施情况。 |
A.11.3.3 清空桌面和屏幕策略 |
检查、验证清空桌面和屏幕策略执行情况。 |
A.11.4网络访问控制 |
|
A.11.4.1 使用网络服务的策略 |
查阅、验证使用网络服务的策略和执行情况。 |
A.11.4.2 外部连接的用户鉴别 |
检查、验证对外部连接的用户鉴别措施。 |
A.11.4.3 网络上的设备标识 |
检查网络上的设备标识。 |
A.11.4.4 远程诊断和配置端口的保护 |
检查、 验证对网络设备上的远程诊断和配置端口的保护措施。 |
A.11.4.5 网络隔离 |
检查、验证网络间服务、用户等的隔离措施,如划分子网等。 |
A.11.4.6 网络连接控制 |
检查、验证网络连接控制措施。 |
A.11.4.7 网络路由控制 |
检查、验证网络路由控制措施。 |
A.11.5 操作系统访问控制 |
|
A.11.5.1 安全登录程序 |
检查、验证操作系统的安全登录控制。 |
A.11.5.2 用户标识和鉴别 |
检查、验证操作系统中的用户管理。 |
A.11.5.3 口令管理系统 |
检查、验证操作系统的口令管理系统 |
A.11.5.4 系统实用工具的使用 |
询问、验证对系统食用工具的使用情况 |
A.11.5.5 会话超时 |
检查、验证会话超时的设置。 |
A.11.5.6 联机时间的限制 |
检查、验证联机时间的限制措施。 |
A.11.6 应用和信息访问控制 |
|
A.11.6.1信息访问限制 |
检查、验证用户和支持人员对信息访问限制措施的有效性 |
A.11.6.2敏感系统隔离 |
询问、验证是否对不同安全要求的网络实行了物理隔离 |
A.11.7移动计算机和远程工作 |
|
A.11.7.1移动计算和通信 |
询问、验证移动计算和通信的安全措施 |
A.11.7.2远程工作 |
|
A.12信息系统获取、开发和维护 |
|
A.12.1信息系统的安全需求 |
|
A.12.1.1 安全要求分析和说明 |
查阅系统开发中安全需求分析和说明等相关文件 |
A.12.2 应用中的正确处理 |
|
A.12.2.1 输入数据的验证 |
询问是否有输入数据的验证,查阅验证记录等 |
A.12.2.2 内部处理的控制 |
询问是否有内部处理的控制,查阅验证记录等。 |
A.12.2.3 消息完整性 |
询问是否有消息完整性的验证,查阅验证记录等。 |
A.12.2.4 输出数据的验证 |
询问是否有输出数据的验证,查阅验证记录等。 |
A.12.3 密码控制 |
|
A.12.3.1 使用密码控制的策略 |
询问信息安全管理机构、IT等相关部门,是否使用密码控制。 |
A.12.3.2 密钥管理 |
询问、验证密钥管理的措施。 |
A.12.4 系统文件安全 |
|
A.12.4.1 运行软件的控制 |
询问、验证对运行软件的控制措施。 |
A.12.4.2 系统测试数据的保护 |
询问对系统测试数据的包括措施。 |
A.12.4.3 对程序源代码的访问控制 |
询问、验证对程序源代码的访问控制措施。 |
A.12.5 开发过程和支持过程的安全 |
|
A.12.5.1 变更控制规程 |
查阅变更控制等相关文件。 |
A.12.5.2 操作系统变更后应用的技术评审 |
查阅操作系统变更后对应用的技术评审记录。 |
A.12.5.3 软件包变更的限制 |
询问对软件包变更的限制措施。 |
A.12.5.4 信息泄露 |
询问防止信息泄露的措施。 |
A.12.5.5 外包软件开发 |
询问、验证对外包软件开发的控制措施。 |
A.12.6 技术脆弱性管理 |
|
A.12.6.1 技术脆弱性的控制 |
检查、验证技术脆弱性的控制措施。是否更新软件补丁,可以利用脆弱性扫描等工具软件来获得审核证据。 |
A.13信息安全事故管理 |
|
A.13.1报告信息安全事件和事故 |
|
A.13.1.1 报告信息安全事件 |
查阅信息安全事件报告记录。 |
A.13.1.2 报告安全弱点 |
查阅安全弱点报告记录 |
A.13.2 信息安全事故和改进的管理 |
|
A.13.2.1 职责和程序 |
查阅信息安全事件管理程序等相关文件。 |
A.13.2.2对信息安全事故的总结 |
查阅信息安全事件学习和总结记录 |
A.13.2.3 证据的收集 |
询问、验证事件处理过程中的证据收集的措施。 |
A.14业务连续性管理 |
|
A.14.1业务连续性管理的信息安全方面 |
|
A.14.1.1 业务连续性管理过程中包含的信息安全 |
查阅业务连续性管理等相关文件。 |
A.14.1.2 业务连续性和风险评估 |
询问、验证组织是否实施了业务中断的风险评估,包括中断的事件、发生的概率和影响等。 |
A.14.1.3 制定和实施包含信息安全的连续性计划 |
查阅业务连续性计划等相关文件。 |
A.14.1.4 业务连续性计划框架 |
查阅业务连续性计划等相关文件。 |
A.14.1.5 测试、保持和再评估业务连续性计划 |
检查、验证组织对业务连续性计划的测试、保持,查阅测试记录等。 |
A.15符合性 |
|
A.15.1符合法律要求 |
|
A.15.1.1可用法律的识别 |
查阅组织识别的适用的信息安全法律法规。 |
A.15.1.2 知识产权(IPR) |
询问、验证组织知识产权保护措施。 |
A.15.1.3 保护组织的记录 |
询问、查阅组织对相关记录的保护措施。 |
A.15.1.4 数据保护和个人信息的隐私 |
询问组织对数据和个人隐私的包括措施。 |
A.15.1.5 防止滥用信息处理设施 |
检查、验证组织防止滥用信息处理设施的措施。 |
A.15.1.6 密码控制措施的规则 |
询问、验证组织密码控制措施情况。 |
A.15.2符合安全策略和标准,以及技术符合性 |
|
A.15.2.1 符合安全策略和标准 |
检查、验证员工遵守信息安全策略、规程等情况。 |
A.15.2.2 技术符合性检查 |
询问、验证组织是否定期进行技术符合性检查,查阅 检查记录等。 |
A.15.3 信息系统审核考虑 |
|
A.15.3.1 信息系统审计控制措施 |
询问、验证组织对信息系统审计的控制措施情况。 |
A.15.3.2 信息系统审计工具的保护 |
询问、验证组织对信息系统审计工具的保护措施。 |
接着我们在系统中对这些脚本进行测试。
完成之后系统自动生成报告,如果对那些项目不检测,用户还可以灵活开启或关闭检测。
下面看看用户登录情况审计。
