有效性审查
法律依据
§30(2) 第6项 BSIG – 评估信息技术安全领域风险管理措施有效性的概念和程序
年度安全审查
| 审查领域 | 方法 | 责任人 |
|---|---|---|
| 风险分析 | 更新风险评估 | ISO |
| 事件响应 | 桌面演练/模拟 | ISO + IT团队 |
| 备份与恢复 | 恢复测试 | IT运营 |
| 访问控制 | 授权审计 | ISO |
| 培训 | 完成率和知识测试 | HR / ISO |
KPI
| KPI | 目标 | 测量周期 |
|---|---|---|
| 补丁合规性 | ≥ 95%在规定期限内 | 每月 |
| 平均检测时间(MTTD) | < 24小时 | 每次事件 |
| 平均响应时间(MTTR) | < 4小时(关键) | 每次事件 |
| 培训完成率 | 100%强制培训 | 每年 |
| 备份恢复成功率 | 100% | 季度测试 |
渗透测试
- 外部测试 – 由独立提供商每年进行
- 内部测试 – 重大变更时事件驱动
- 范围 – 基础设施、Web应用、内部系统
- 结果利用 – 发现结果纳入风险分析和行动计划
PDCA循环
| 阶段 | 活动 |
|---|---|
| 计划 | 风险分析、措施规划、培训规划 |
| 执行 | 实施措施、运营安全系统 |
| 检查 | KPI测量、审计、渗透测试、事件评估 |
| 改进 | 纠正措施、调整风险分析、流程改进 |