ISO 27001-2013 控制项差距评分工具.pdf

ISO27001:2013 控制项差距评分工具 编号 控制名称 控制措施 检查发现 评分 A.5 安全方针 信息安全方针 A.5.1 目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。 A.5.1.1 信息安全方针 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 应定期或在发生重大的变化时评审方针文件，确保方针的持续性、稳定性、充分性 A.5.1.2 信息安全方针的评审 和有效性。 A.6 信息安全组织 内部组织 A.6.1 目标：应在组织内建立信息安全管理架构以启动和控制信息安全的实施。 A.6.1.1 信息安全的角色和职责 应全面定义和分配信息安全职责。 有冲突的职责和责任范围应加以分离，以减少对组织资产未经授权访问、无意修改 A.6.1.2 职责分离 或误用的机会。 A.6.1.3 与监管机构的联系 应与相关监管机构保持适当联系。 与特殊利益团体、其他专业安全协会或行业协会应保 A.6.1.4 与特殊利益团体的联系 持适当联系。 A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。 移动设备和远程办公 A.6.2 目标：应确保远程办公和使用移动设备的安全性。 A.6.2.1 移动设备策略 应采取安全策略和配套的安全措施管控使用移动设备带来的风险。 应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安 A.6.2.2 远程办公 全。 A.7 人力资源安全 任用前 A.7.1 目标：确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任。 根据相关法律、法规、道德规范，对所有应聘人员进行背景调查，调查应符合业务 A.7.1.1 人员筛选 需求、所访问的信息类别及已知风险。 A.7.1.2 任用条款和条件 与员工和承包方的合同协议应当规定他们对组织的信息安全责任。 任用中 A.7.2 目标：确保员工和合同方了解并履行他们的信息安全责任。 A.7.2.1 管理职责 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。 信息安全意识、教育与培 组织内所有员工、相关合同人员及合同方人员应接受适当的安全意识培训，并定期 A.7.2.2 训 更新与他们工作相关的组织策略及程序。 A.7.2.3 纪律处理过程 应建立并传达正式的惩戒程序，据此对违反安全策略的员工进行惩戒。 任用终止和变更 A.7.3 目标：在任用变更或中止过程保护组织利益 应定义信息安全责任和义务在任用终止或变更后仍然有效，并向员工和合同方传达 A.7.3.1 任用终止或变更的责任 并执行。 A.8 资产管理 资产的责任 A.8.1 目标：识别组织资产并确定适当的保护责任。 A.8.1.1 资产清单 应识别信息和信息处理设施的相关资产并制定和维护资产清单。 A.8.1.2 资产责任人 资产清单中应指定资产责任人。 应明确信息和信息处理设施相关资产的合理使用准 A.8.1.3 资产的合理使用