产品规格ISO27001信息安全管理体系认证咨询辅导培训顾问办理申请ISO27001认证办理ISO27001信息安全管理体系认证办理申请
广州信息安全管理体系认证ISO27000信息安全管理体系认证培训辅导
A.17 信息安全方面的业务连续性管理
A.17.1 信息安全连续性 A.17.1.1信息安全连续性策划 询问、验证组织是否实施了业务中断的风险评估,包括中断的事件、发生的概率和影响等。
A.17.1.2实施信息安全连续性 检查实施记录
A.17.1.3 测试、维护和再评估业务连续性计划 检查、验证组织对业务连续性计划的测试、保持,查阅测试记录等。
A17.2冗余 A.17.2.1信息处理设施的可用性 询问信息处理设施是否有冗余的设计以保证系统的可用性
A.18 符合性
A.18.1 A.18.1.1 可用法律的识别 查阅组织识别的适用的信息安全法律法规。
符合法律要求 A.18.1.2 知识产权(IPR) 询问、验证组织知识产权保护措施。
A.18.1.3 保护组织的记录 询问、查阅组织对相关记录的保护措施。
A.18.1.4 数据保护和个人信息的隐私 询问组织对数据和个人隐私的包括措施。
A.18.1.5 密码控制措施的规则 询问、验证组织密码控制措施情况。
A.18.2 A.18.2.1独立的信息安全评审 询问是否定期或发生较大变更时对组织的信息安全处置和实施方法(即控制目标、控制、策略、过程和信息安全程序)进行评审
信息安全评审 A.18.2.2 符合安全策略和标准 检查、验证员工遵守信息安全策略、规程等情况。
A.18.2.3 技术符合性核查 询问、验证组织是否定期进行技术符合性检查,查阅检查记录等。
通信安全
实施网络安全管理,划分网络安全区域,对网络设备、网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施,具体管理策略请参见《通信安全管理制度》。
系统获取、开发和维护
1. 在进行信息系统开发活动前,应明确在信息系统中包含基本的自动控制措施,以及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。
2. 在信息系统设计和开发过程中,应将数据的校验和检查功能集成在信息系统数据处理的整个过程,以保证信息系统在处理数据的过程中,数据的完整性没有丧失或遭到破坏。
3. 在进行信息系统建设的过程中,需进行安全风险评估以判定是否需要保证消息完整性,并确定合适的实施方法。
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
-/gbafcji/-
http://iso9001fsc.b2b168.com
