供应商关系
1. 第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面内容。确保第三方有足够的服务能力、拥有可用性可持续性计划,以确保商定的服务在故障或灾难后能够得以继续保持。
2. 检查协议的要求,监管协议执行的一致性,以确保交付的服务满足与第三方商定的所有要求。
具体管理策略请参见《第三方服务管理控制制度》。
信息安全事故
信息安全事故应进行集中管控、统计、分析,并采取相应的措施,建立和完善信息安全事故的监测、报告、预警、处置和整改机制。
具体管理策略请参见《信息安全事件管理制度》。
1. 在制定密码策略时,应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。
2. 公司对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问需严格控制,对于程序源代码的保存,通过代码的存储控制来实现,是放在源程序库中。
3. 评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。
4. 需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,以减少第三方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况下,定期监视个人和系统的活动。监视计算机系统的资源使用。
5. 需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信息,评估组织对此类技术脆弱点的保护,并采取适当的控制措施。
具体管理策略请参见《信息系统获取、开发及维护管理制度》。
A.17 信息安全方面的业务连续性管理
A.17.1 信息安全连续性 A.17.1.1信息安全连续性策划 询问、验证组织是否实施了业务中断的风险评估,包括中断的事件、发生的概率和影响等。
A.17.1.2实施信息安全连续性 检查实施记录
A.17.1.3 测试、维护和再评估业务连续性计划 检查、验证组织对业务连续性计划的测试、保持,查阅测试记录等。
A17.2冗余 A.17.2.1信息处理设施的可用性 询问信息处理设施是否有冗余的设计以保证系统的可用性
A.18 符合性
A.18.1 A.18.1.1 可用法律的识别 查阅组织识别的适用的信息安全法律法规。
符合法律要求 A.18.1.2 知识产权(IPR) 询问、验证组织知识产权保护措施。
A.18.1.3 保护组织的记录 询问、查阅组织对相关记录的保护措施。
A.18.1.4 数据保护和个人信息的隐私 询问组织对数据和个人隐私的包括措施。
A.18.1.5 密码控制措施的规则 询问、验证组织密码控制措施情况。
A.18.2 A.18.2.1独立的信息安全评审 询问是否定期或发生较大变更时对组织的信息安全处置和实施方法(即控制目标、控制、策略、过程和信息安全程序)进行评审
信息安全评审 A.18.2.2 符合安全策略和标准 检查、验证员工遵守信息安全策略、规程等情况。
A.18.2.3 技术符合性核查 询问、验证组织是否定期进行技术符合性检查,查阅检查记录等。
-/gbafcji/-
http://iso9001fsc.b2b168.com
