A.15 供应商关系
A.15.1 A.15.1.1供应商关系的信息安全策略 检查为减缓供应商访问组织资产带来的风险,应与供应商协商并记录相关信息安全要求
供应商关系安全 A.15.1.2供应商协议中的安全 访问组织行政部等相关部门,了解第三方协议中的安全要求的满足情况
A.15.1.3 ICT供应链 检查与供应商的协议包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求
A.15.2 供应商服务交付管理 A.15.2.1监视和评审供应商服务 查阅第三方服务的信息安全相关要求的监视和评审记录。
A.15.2.2供应商服务变更管理 查阅第三方服务的信息安全要求的变更控制记录。
A.16 信息安全事故管理
A.16.1 信息安全事件管理和改进 A.16.1.1职责和规程 查阅信息安全事件管理程序等相关文件。
A.16.1.2报告信息安全事态 查阅信息安全事件报告记录。
A.16.1.3报告安全弱点 查阅安全弱点报告记录
A.16.1.4信息安全事态的评估和确定 检查信息安全事态是否被评估与决策,并且确定是否划分成信息安全事件
A.16.1.5信息安全事件的响应 检查是否对信息安全事件应依照程序文件响应
A.16.1.6从信息安全事件中学习 查阅信息安全事件学习和总结记录
A.16.1.7 证据的收集 询问、验证事件处理过程中的证据收集的措施。
由公司负责人授权全权负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色等。
a) 提出信息安全目标,信息安全管理体系的建立、运行和维护;
b) 协调与信息安全管理体系有关的各项工作;
c) 确保在公司内提高员工的信息安全意识;
d) 督促信息安全管理体系内部审核和信息安全检查的开展;
e) 协助管理者进行信息安全管理体系的管理评审;
f) 向管理者报告信息安全管理体系的执行情况和改进要求。
信息安全管理小组
信息安全管理体系的决策机构,确定信息安全管理体系的建设方向,制订方针目标等。
a) 确立公司信息安全和风险管理的方针政策,并贯彻落实;
b) 组织制定公司信息安全和风险管理的总体规划;
c) 对信息安全事件提出处置策略;
d) 研究部署和讨论决定公司信息安全和风险管理工作的重大事项;
e) 授权相关部门对公司信息安全工作进行考核,审批考核结果并做决策。
f) 每年在管理评审会上对信息安全方针进行评审。
-/gbafcji/-
http://iso9001fsc.b2b168.com
