资产管理
1. 对信息资产进行识别和管理;根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。
2. 通过实施用户管理,确保相关人员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度,完善密码使用和管理,制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。
条款 5.2.2
a. 组织要确保分配有ISMS职责的所有人员都具有执行所要求任务的能力 l 是否有一个确保分配有ISMS职责的所有人员都具有完成所要求任务的能力的过程?
b. 组织要确保所有相关人员意识到其信息安全活动的重要性 l 是否有一个确保所有相关人员都识到其信息安全活动的重要性的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核 l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案 l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频次和方法 l 审核的准则、范围、频次和方法是否定义?
(4) 审核员的选择,审核的实施要确保审核过程的客观公正 l 审核员的选择,审核的实施是否确保审核过程的客观公正?
(5) 审核员不准审核自己的工作 l 是否审核员审核了自己的工作?
(6) 形成内审程序文件 l 是否有定义内审职责和要求方面的内审程序文件?
(7) 采取纠正措施 l 是否有一个确保受审部门的责任管理者及时采取措施,消除“已发现的不符合事项及其产生的原因”的过程?
(8) 跟踪纠正措施 l 是否有一个对纠正措施的跟踪活动?
l 跟踪活动是否包括验证和验证结果的报告?
目的和范围
为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2) 各部门:负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括:
1) 层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;
2) *二层:制度文件;
3) *三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;
4) *四层:记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1) 层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2) 第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3) *四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
-/gbafcji/-
http://iso9001fsc.b2b168.com
