ISO27001-2003——等级保护三级要求对照 项 目分 类 等 保 分 类 等 保 三 级 控 制 点 等 保 控 制 目 标 ISO270000 分 类 ISO27000 控 制 点 ISO27000 控 制 目 标 调 查 方 式 调 查 结 果 7.2.1 安 全管 理制 度 7.2.1.1 管 理 制 度( G3) a) 应 制 定 信 息 安 全 工 作 的总 体 方 针 和 安 全 策 略 , 说明 机 构 安 全 工 作 的 总 体 目标 、 范 围 、 原 则 和 安 全 框架 等 ; a) 应 访 谈 安 全 主 管 , 询 问 机 构 的 制 度 体 系是 否 由 安 全 政 策 、 安 全 策 略 、 管 理 制 度 、 操作 规 程 等 构 成 , 是 否 定 期 对 安 全 管 理 制 度 体系 进 行 评 审 , 评 审 周 期 多 长 ; b) 应 检 查 信 息 安 全 工 作 的 总 体 方 针 、 政 策性 文 件 和 安 全 策 略 文 件 , 查 看 文 件 是 否 明 确机 构 安 全 工 作 的 总 体 目 标 、 范 围 、 方 针 、 原则 、 责 任 等 , 是 否 明 确 信 息 系 统 的 安 全 策略 ; c) 应 检 查 安 全 管 理 制 度 清 单 , 查 看 是 否 覆盖 物 理 、 网 络 、 主 机 系 统 、 数 据 、 应 用 、 管理 等 层 面 ; d) 应 检 查 是 否 具 有 重 要 管 理 操 作 的 操 作 规程 , 如 系 统 维 护 手 册 和 用 户 操 作 规 程 等 ; e) 应 检 查 是 否 具 有 安 全 管 理 制 度 体 系 的 评审 记 录 , 查 看 记 录 日 期 与 评 审 周 期 是 否 一致 , 是 否 记 录 了 相 关 人 员 的 评 审 意 见 。 A.5.1 信 息安 全 政 策 A.5.1.1 信 息 安 全 政策 文 件 信 息 安 全 政 策 文 件 应 由 管理 阶 层 核 准 , 并 公 布 与 传达 给 所有 聘雇人 员 与 相 关外部团体 。 访 谈 , 检 查 。 安 全 主 管 , 总体 方 针 、 政 策性 文 件 和 安 全策 略 文 件 , 安全 管 理 制 度 清单 , 操 作 规程 , 评 审 记录 。 b) 应 对 安 全 管 理 活动中的各类 管 理 内容建立安 全 管理 制 ...
