全体员工
根据相关信息安全要求,配合相关人员工作开展,理解并遵守本规定定义的内容。
a) 遵守信息安全规章制度,遵循操作规范和流程;
b) 履行岗位信息安全职责,执行信息安全工作任务;
c) 作为信息资产使用者,妥善使用并保护工作所涉及的信息资产;
d) 及时上报信息安全事件或隐患;
e) 参与信息安全教育和培训。
A.12操作安全
A.12.1 A.12.1.1 文件化的操作规程 查阅相关设备操作规定,操作记录等。
操作规程和职责 A.12.1.2 变更管理 查阅和验证信息系统的变更控制。
A.12.1.3容量管理 访查阅系统建设前的容量规划记录。
A.12.1.4开发、测试和运行设施分离 访问在线运维人员,验证开发、测试和运行设施的分离状况。
A.12.2防范恶意和移动代码 A.12.2.1 控制恶意代码 检查计算机病毒等恶意代码防范软件,及代码库的更新情况。可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.12.3 备份 A.12.3.1 信息备份 查阅备份策略等相关文件,抽查备份介质,并要求测试、验证。
A.12.4日志和监视 A.12.4.1 查阅重要系统的日志信息。
事件日志
A.12.4.2 日志信息的保护 询问、验证日志信息的包括措施。
A.12.4.3 管理员和操作员日志 查阅、验证管理员和操作员日志。
A.12.4.4 时钟同步 检查、验证时钟同步措施。
A.12.5 A.12.5.1 运行软件的控制 询问、验证对运行软件的控制措施。
条款 7.1 ISMS的管理评审总则
(1) 管理者要每年至少评审1次ISMS l 是否有一个确保管理者每年至少评审1次ISMS的过程?
l 是否检查了ISMS的实施情况,以确保ISMS持续的适宜性、充分性和有效性?
(2) 评审要包括评估改进的机会和变更ISMS的需要 l 在管理评审时,是否评估了ISMS(包括信息安全方针和信息安全目标)改进的机会和变更的需要?
(3)评审的结果要形成文件 l 评审结果是否形成了文件?
(4)评审的记录要加以保持 l 记录是否按照“记录控制”的要求加以保持?
条款 7.2 评审输入
a) 管理评审的输入要包括审核和评审结果 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程?
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方的反馈 l 是否管理评审的输入包括相关方的反馈?
c)管理评审的输入要包括可用于改进ISMS的技术、产品或程序 l 是否管理评审的输入包括可用于改进ISMS的技术、产品或程序?
d)管理评审的输入要包括预防和纠正措施的状况 l 是否管理评审的输入包括预防和纠正措施的状况?
e)管理评审的输入要包括以往风险评估没有充分解决的脆弱点或威胁 l 是否管理评审的输入包括预防和纠正措施的状况?
f)管理评审的输入要包括有效性测量的结果 l 是否管理评审的输入包括ISMS有效性的测量结果?
g)管理评审的输入要包括以往管理评审的跟踪措施 l 是否管理评审的输入包括以往管理评审的跟踪措施?
h)管理评审的输入要包括可能影响ISMS的任何变更 l 是否管理评审的输入包括可能影响ISMS的任何变更?
i) 管理评审的输入要包括改进的建议 l 是否管理评审的输入包括任改进的建议?
-/gbafcji/-
http://iso9001fsc.b2b168.com
