条款:4.3.3 记录控制
a. 记录要加以建立与保持 l 是否有一个建立与保持记录的过程?
b. 记录要加以保护与控制 l 是否有一个保护与控制记录的过程?
c. ISMS要考虑相关法律法规要求和合同义务 l ISMS是否考虑了相关法律法规要求和合同义务?
d. 记录要保持清晰、易于识别和检索 l 记录是否保持清晰、易于识别和检索?
e. 记录的控制要形成文件, 并加以实施 l 记录的控制是否形成了文件?
f. 记录要保留ISMS过程的执行情况,和所有重大安全事故的执行情况 l 记录是否保留了ISMS过程的执行情况?
l 记录是否保留了所有重大安全事故的执行情况?
操作安全
1. 信息处理和通信设施的系统活动须具备成文的制度规范,例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。
2. 确保每一个信息系统都能够识别容量要求,确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。
3. 建立有效的计算机病毒预防及查杀机制,实施防止恶意软件的侦查与防护控制,并提高员工的防范意识。
4. 根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
5. 在选用介质时应当考虑备份的信息需要保存的周期长短,保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介,为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏,应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。
6. 应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别,处置和标记所有介质。明确防止未授权人员访问的限制要求,并根据制造商的存储规范来保存介质,同时,清晰**记数据的所有拷贝,以引起数据所有者的关注。
7. 应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题,重要的审计日志需要被存档保存,审计日志包括用户ID、日期、时间和关键事态等细节,以及系统配置、特殊权限、系统实用工具和应用程序的使用。
1. 在制定密码策略时,应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。
2. 公司对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问需严格控制,对于程序源代码的保存,通过代码的存储控制来实现,是放在源程序库中。
3. 评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。
4. 需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,以减少第三方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况下,定期监视个人和系统的活动。监视计算机系统的资源使用。
5. 需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信息,评估组织对此类技术脆弱点的保护,并采取适当的控制措施。
具体管理策略请参见《信息系统获取、开发及维护管理制度》。
-/gbafcji/-
http://iso9001fsc.b2b168.com
