A.8.2 A.8.2.1 分类指南 访问行政部等相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
信息分级 A.8.2.2 信息的标记和处理
A.8.2.3
A.8.3 A.8.3.1 可移动介质的管理 访问行政部等相关部门,验证对可移动介质的管理是否满足安全要求。
介质处置 A.8.3.2 介质的处置 访问各部门,验证对介质的处置是否满足安全要求。
A.8.3.3 信息处理规程 查阅、验证信息处理规程。
A.9 访问控制
A.9.1 A.9.1.1 访问控制策略 查阅访问控制程序等相关文件。
访问控制的业务要求
A.9.1.2网络和网络服务的访问控制
A.9.2 A.9.2.1 用户注册和注销 查阅用户注册、注销的流程等相关文件。
用户访问 A.9.2.2用户访问的提供
管理 A.9.2.3 特殊权限管理 询问、验证**级用户等特殊权限的管理控制措施。
A.9.2.4 用户秘密认证信息的管理 检查、验证用户口令秘密认证信息的管理控制措施。
A.9.2.5 用户访问权的复查 查阅用户访问权的复查、评审记录。
A.9.2.6移除或调整访问权限
资产管理
1. 对信息资产进行识别和管理;根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。
2. 通过实施用户管理,确保相关人员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度,完善密码使用和管理,制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。
条款 8.2 纠正措施
a. 组织要采取措施,消除不符合ISMS要求的原因 l 是否有一个确保采取 措施,消除不符合ISMS要求的原因的过程?
b. 纠正措施程序要形成文件 l 是否有一个纠正措施程序文件?
c. 纠正措施程序文件要定义“识别不符合项” l 是否纠正措施程序文件定义了“识别不符合项”?
d. 纠正措施程序文件要定义“确定产生不符合项的原因” l 是否纠正措施程序文件定义了“确定产生不符合项的原因”?
e.纠正措施程序文件要定义“评价确保不符合项不再发生的措施需求” l 是否纠正措施程序文件定义了“评价确保不符合项不再发生的措施需求”?
f.纠正措施程序文件要定义“确定和实施所需要的纠正措施” l 是否纠正措施程序文件定义了“确定和实施所需要的纠正措施”?
g.纠正措施程序文件要定义“记录所采取措施的结果” l 是否纠正措施程序文件定义了“记录所采取措施的结果”?
h.纠正措施程序文件要定义“评审所采取的纠正措施” l 是否纠正措施程序文件定义了“评审所采取的纠正措施”?
-/gbafcji/-
http://iso9001fsc.b2b168.com
