ISO27000与等保3级对照表

a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等； "a) 应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作规程等构成，是否定期对安全管理制度体系进行评审，评审周期多长； b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等，是否明确信息系统的安全策略； c) 应检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用、管理等层面； d) 应检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等； e) 应检查是否具有安全管理