ISO27001:2013 控制项差距评分工具(A.5-A.18 excel版）

作者：道课小司更新时间：2022-04-22

ISO27001:2013 控制项差距评分工具 (A.5-A.18 excel版）
编号	控制名称	控制措施	检查发现	评分
A.5	安全方针
A.5.1	信息安全方针目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。
A.5.1.1	信息安全方针	信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
A.5.1.2	信息安全方针的评审	应定期或在发生重大的变化时评审方针文件，确保方针的持续性、稳定性、充分性和有效性。
A.6	信息安全组织
A.6.1	内部组织目标：应在组织内建立信息安全管理架构以启动和控制信息安全的实施。
A.6.1.1	信息安全的角色和职责	应全面定义和分配信息安全职责。
A.6.1.2	职责分离	有冲突的职责和责任范围应加以分离，以减少对组织资产未经授权访问、无意修改或误用的机会。
A.6.1.3	与监管机构的联系	应与相关监管机构保持适当联系。
A.6.1.4	与特殊利益团体的联系	与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。
A.6.1.5	项目管理中的信息安全	实施任何项目时应考虑信息安全相关要求。
A.6.2	移动设备和远程办公目标：应确保远程办公和使用移动设备的安全性。
A.6.2.1	移动设备策略	应采取安全策略和配套的安全措施管控使用移动设备带来的风险。
A.6.2.2	远程办公	应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。
A.7	人力资源安全
A.7.1	任用前目标：确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任。
A.7.1.1	人员筛选	根据相关法律、法规、道德规范，对所有应聘人员进行背景调查，调查应符合业务需求、所访问的信息类别及已知风险。
A.7.1.2	任用条款和条件	与员工和承包方的合同协议应当规定他们对组织的信息安全责任。
A.7.2	任用中目标：确保员工和合同方了解并履行他们的信息安全责任。
A.7.2.1	管理职责	管理层应要求员工、合同方符合组织建立的信息安全策略和程序。
A.7.2.2	信息安全意识、教育与培训	组织内所有员工、相关合同人员及合同方人员应接受适当的安全意识培训，并定期更新与他们工作相关的组织策略及程序。
A.7.2.3	纪律处理过程	应建立并传达正式的惩戒程序，据此对违反安全策略的员工进行惩戒。
A.7.3	任用终止和变更目标：在任用变更或中止过程保护组织利益
A.7.3.1	任用终止或变更的责任	应定义信息安全责任和义务在任用终止或变更后仍然有效，并向员工和合同方传达并执行。
A.8	资产管理
A.8.1	资产的责任目标：识别组织资产并确定适当的保护责任。
A.8.1.1	资产清单	应识别信息和信息处理设施的相关资产并制定和维护资产清单。
A.8.1.2	资产责任人	资产清单中应指定资产责任人。
A.8.1.3	资产的合理使用	应明确信息和信息处理设施相关资产的合理使用准则，形成文件并实施。
A.8.1.4	资产的归还	在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织资产
A.8.2	信息分类目标：确保信息资产是按照其对组织的重要性受到适当级别的保护。
A.8.2.1	信息分类	应根据法规、价值、重要性和敏感性对信息进行分类，保护信息免受未授权泄露或篡改。
A.8.2.2	信息标识	应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。
A.8.2.3	资产处理	应根据组织采用的资产分类方法制定和实施资产处理程序
A.8.3	介质处理目标：防止存储在介质上的信息被非授权泄露、修改、删除或破坏。
A.8.3.1	可移动介质管理	应实施移动介质的管理程序，并与组织的分类方案相匹配。
A.8.3.2	介质处置	当介质不再需要时，应按照正式程序进行可靠的、安全的处置。
A.8.3.3	物理介质传输	含有信息的介质应加以保护，防止未经授权的访问、滥用或在运输过程中的损坏。

附件下载：

HXZNKJ-D-030适用标准规范清单.doc

HXZNKJ-D-031信息安全文件一览表.doc

HXZNKJ-D-036信息安全记录一览表.doc

HXZNKJ-D-079业务持续性管理计划.doc

HXZNKJ-D-095外来文件清单.doc

ISO27001预评估评分2013版.xlsx

ISO27001:2013 控制项差距评分工具(A.5-A.18 excel版）

随便看看

资料推荐

ISO13485医疗器械体系认证

新版保密认证全套资料

ISO/IEC 27001信息安全资料

IECQ QC080000-2017 全套

标签