初始信息收集、技術性安全評估實踐指南、云服務技術性評估指南

1、GB/T 32916—XXXX/ISO/IEC TS 27008:201920附 錄 A（資料性）初始信息收集（除信息技術以外）A.1 總則A.1.1 人力資源和安全a） 相關人員是否能對其行為負責或承擔義務； b） 相關人員是否具有信息和信息安全常識、并能解答相關問題，激勵他人并提供必要的指導；c） 申請策略和規(guī)程是否清晰、明確、可測量、可接受、可實現(xiàn)、有時限； d） 已受聘雇員是否具備組織期望的運行知識；e） 組織是否信任接觸可能危

2、及組織生存的信息和系統(tǒng)的相關人員； f） 相關人員是否值得信任；g） 信任是如何被組織進行定義和測量的； h） 是否進行了背景調查。A.1.2 策略A.1.2.1 戰(zhàn)略一致性:a) 信息安全方針是否與組織業(yè)務目標和總體安全策略保持一致；b) 如何使信息技術、人力資源和獲取方針聯(lián)系在一起。A.1.2.2 綜合:a) 這些方針是否能夠覆蓋組織所有業(yè)務活動區(qū)域的信息安全（人力資源、物理環(huán)境、信息技術、銷售、制造、研發(fā)和合同安全等）；b) 這些

3、方針是否被設計成能夠完整涵蓋組織戰(zhàn)略、戰(zhàn)術和運營。A.1.2.3 規(guī)劃：a) 這些方針是直接使用了 GB/T 22081 的相關內容，還是針對特定的背景對控制目標和控制進行了剪裁：b) 這些方針是否以書面形式明確了執(zhí)行者的職責？c) 在一個策略中有一個期望活動，或者有一套考慮誰、何時、為什么、什么、哪里、如何等的基礎性問題的規(guī)程：1） 如果沒有明確執(zhí)行活動的責任人(誰)，由誰來負責達成這組目標；2） 如果沒有定義執(zhí)行活動的時間（何時），

4、是否能保證其按時啟動和完成；3） 如果沒有定義活動的目的和目標（為什么），活動是否會被正確理解，其重要性是否會被充分考慮到；4） 如果沒有定義活動的內容（什么），如何知道該做什么；5） 如果一個活動沒有定義對象、執(zhí)行地點、操作規(guī)程和信息資產（哪里），或者沒有定義其效果控制，如何使它有效；6） 一個規(guī)程中的活動如果沒有明確定義如何被完成（如何），如何保證其能被正確執(zhí)行；7） 如果一個活動沒有定義指標和控制點， 以驗證其是否正確包含并且達到

5、其既定目標， 如何確?；蚰軌蜻_成組織目標；d) 是否有控制和檢測環(huán)境，以鑒定組織策略聲明強制執(zhí)行、實現(xiàn)和可達成既定目標；e) 在策略聲明中的目標陳述宜考慮明確、可測量、可接受、可實現(xiàn)、有時限準則，否則：1） 沒有明確目標則不容易被清晰地辨識，并且未達成目標的責任也無法落實到人；2） 如果目標不可測量，組織一般無法驗證目標的達成程度；GB/T 32916—XXXX/ISO/IEC TS 27008:201922A.2.2 工作場所能否保證

6、信息通信技術的安全（環(huán)境方面）a) 電力設施：1) 是否足夠/適當；2) 是否有備用。b) 空調設施：1) 是否足夠/適當；2) 是否有備用。c) 防火設施：1) 是否足夠/適當；2) 是否有備用。A.2.3 工作場所能否保證人員安全a) 是否有緊急出口（并且采取了適當?shù)目刂疲籦) 電、水、氣體、液體的泄漏是否對人員構成潛在危險；c) 溫度、濕度、材料和震動是否對人員構成潛在危險；d) 設備的位置是否防止人員受傷；e) 門的安裝和操作