简述题1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域
简述题
1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
答:应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容:
(1)是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
(2)访问控制策略是否基于业务和访问的安全要素进行过评审?
(3)核实保安角色是否在访问控制策略中有明确规定?
(4)核实访问控制策略的制定是否与各物理区域风险评价的结果一致?
(5)核实发生过的信息安全事件,是否与物理区域非授权进入有关?
(6)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
2、请阐述对GB/T 22080中A.13.2.2的审核思路。
答:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。
(3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。