A.8.2 A.8.2.1 分类指南 访问行政部等相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
信息分级 A.8.2.2 信息的标记和处理
A.8.2.3
A.8.3 A.8.3.1 可移动介质的管理 访问行政部等相关部门,验证对可移动介质的管理是否满足安全要求。
介质处置 A.8.3.2 介质的处置 访问各部门,验证对介质的处置是否满足安全要求。
A.8.3.3 信息处理规程 查阅、验证信息处理规程。
A.9 访问控制
A.9.1 A.9.1.1 访问控制策略 查阅访问控制程序等相关文件。
访问控制的业务要求
A.9.1.2网络和网络服务的访问控制
A.9.2 A.9.2.1 用户注册和注销 查阅用户注册、注销的流程等相关文件。
用户访问 A.9.2.2用户访问的提供
管理 A.9.2.3 特殊权限管理 询问、验证**级用户等特殊权限的管理控制措施。
A.9.2.4 用户秘密认证信息的管理 检查、验证用户口令秘密认证信息的管理控制措施。
A.9.2.5 用户访问权的复查 查阅用户访问权的复查、评审记录。
A.9.2.6移除或调整访问权限
1. 在制定密码策略时,应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。
2. 公司对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问需严格控制,对于程序源代码的保存,通过代码的存储控制来实现,是放在源程序库中。
3. 评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。
4. 需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,以减少第三方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况下,定期监视个人和系统的活动。监视计算机系统的资源使用。
5. 需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信息,评估组织对此类技术脆弱点的保护,并采取适当的控制措施。
具体管理策略请参见《信息系统获取、开发及维护管理制度》。
A.7人力资源安全
A7.1 A.7.1.1审查 访问人力资源部等相关部门,验证人员任用前的审查工作。
任用之前 A.7.1.2 任用条款和条件 查阅任用合同中的信息安全相关的任用条款
A7.2 A.7.2.1 管理职责 访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
任用中 A.7.2.2 信息安全意识、教育和培训 查阅培训计划和培训记录。
A7.2.3 纪律处理过程 访问人力资源部等相关部门,以及查阅信息安全奖惩制度。
A.7.3 A.7.3.1 终止职责 访问人力资源部,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
任用的终止或变化
A.8资产管理
A.8.1 A.8.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单。
对资产负责 A.8.1.2 资产责任人
A8.1.3 资产的允许使用 访问各部门,了解对信息资产使用的控制。
A.8.1.4 资产的归还 访问行政部、人力资源部等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
-/gbafcji/-
http://iso9001fsc.b2b168.com
