初始信息收集、技術(shù)性安全評估實(shí)踐指南、云服務(wù)技術(shù)性評估指南

1、GB/T 32916—XXXX/ISO/IEC TS 27008:201920附 錄 A（資料性）初始信息收集（除信息技術(shù)以外）A.1 總則A.1.1 人力資源和安全a） 相關(guān)人員是否能對其行為負(fù)責(zé)或承擔(dān)義務(wù)； b） 相關(guān)人員是否具有信息和信息安全常識、并能解答相關(guān)問題，激勵他人并提供必要的指導(dǎo)；c） 申請策略和規(guī)程是否清晰、明確、可測量、可接受、可實(shí)現(xiàn)、有時限； d） 已受聘雇員是否具備組織期望的運(yùn)行知識；e） 組織是否信任接觸可能危

2、及組織生存的信息和系統(tǒng)的相關(guān)人員； f） 相關(guān)人員是否值得信任；g） 信任是如何被組織進(jìn)行定義和測量的； h） 是否進(jìn)行了背景調(diào)查。A.1.2 策略A.1.2.1 戰(zhàn)略一致性:a) 信息安全方針是否與組織業(yè)務(wù)目標(biāo)和總體安全策略保持一致；b) 如何使信息技術(shù)、人力資源和獲取方針聯(lián)系在一起。A.1.2.2 綜合:a) 這些方針是否能夠覆蓋組織所有業(yè)務(wù)活動區(qū)域的信息安全（人力資源、物理環(huán)境、信息技術(shù)、銷售、制造、研發(fā)和合同安全等）；b) 這些

3、方針是否被設(shè)計成能夠完整涵蓋組織戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)營。A.1.2.3 規(guī)劃：a) 這些方針是直接使用了 GB/T 22081 的相關(guān)內(nèi)容，還是針對特定的背景對控制目標(biāo)和控制進(jìn)行了剪裁：b) 這些方針是否以書面形式明確了執(zhí)行者的職責(zé)？c) 在一個策略中有一個期望活動，或者有一套考慮誰、何時、為什么、什么、哪里、如何等的基礎(chǔ)性問題的規(guī)程：1） 如果沒有明確執(zhí)行活動的責(zé)任人(誰)，由誰來負(fù)責(zé)達(dá)成這組目標(biāo)；2） 如果沒有定義執(zhí)行活動的時間（何時），

4、是否能保證其按時啟動和完成；3） 如果沒有定義活動的目的和目標(biāo)（為什么），活動是否會被正確理解，其重要性是否會被充分考慮到；4） 如果沒有定義活動的內(nèi)容（什么），如何知道該做什么；5） 如果一個活動沒有定義對象、執(zhí)行地點(diǎn)、操作規(guī)程和信息資產(chǎn)（哪里），或者沒有定義其效果控制，如何使它有效；6） 一個規(guī)程中的活動如果沒有明確定義如何被完成（如何），如何保證其能被正確執(zhí)行；7） 如果一個活動沒有定義指標(biāo)和控制點(diǎn)， 以驗證其是否正確包含并且達(dá)到

5、其既定目標(biāo)， 如何確保或能夠達(dá)成組織目標(biāo)；d) 是否有控制和檢測環(huán)境，以鑒定組織策略聲明強(qiáng)制執(zhí)行、實(shí)現(xiàn)和可達(dá)成既定目標(biāo)；e) 在策略聲明中的目標(biāo)陳述宜考慮明確、可測量、可接受、可實(shí)現(xiàn)、有時限準(zhǔn)則，否則：1） 沒有明確目標(biāo)則不容易被清晰地辨識，并且未達(dá)成目標(biāo)的責(zé)任也無法落實(shí)到人；2） 如果目標(biāo)不可測量，組織一般無法驗證目標(biāo)的達(dá)成程度；GB/T 32916—XXXX/ISO/IEC TS 27008:201922A.2.2 工作場所能否保證

6、信息通信技術(shù)的安全（環(huán)境方面）a) 電力設(shè)施：1) 是否足夠/適當(dāng)；2) 是否有備用。b) 空調(diào)設(shè)施：1) 是否足夠/適當(dāng)；2) 是否有備用。c) 防火設(shè)施：1) 是否足夠/適當(dāng)；2) 是否有備用。A.2.3 工作場所能否保證人員安全a) 是否有緊急出口（并且采取了適當(dāng)?shù)目刂疲?；b) 電、水、氣體、液體的泄漏是否對人員構(gòu)成潛在危險；c) 溫度、濕度、材料和震動是否對人員構(gòu)成潛在危險；d) 設(shè)備的位置是否防止人員受傷；e) 門的安裝和操作