1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的计算方法,以便于目标达成情况的考核。
适用于本公司信息安全目标的制定、计算。
2. 职责和权限
1) 信息安全管理小组:负责建立、批准与评审公司的信息安全目标。
2) 体系负责人:负责向信息安全小组会汇报公司的信息安全目标达成情况,并组织相关人员每年对信息安全目标进行评审。
3) 各部门:负责与本部门相关的信息安全目标的统计、分析,当目标不能达标时,进行原因分析并进行改进。
3. 控制流程
3.1. 信息安全目标
1) 全年不发生重大信息安全事件和“二级”以上运行安全事故;
2) 重要**时期不发生三级以上事故。
对于未达成信息安全目标的,相关部门要进行原因分析,并提出解决办法;对于连续未达成目标的,信息安全工作小组要向相关部门开出《不符合纠正预防措施通知单》进行处理。
A.12操作安全
A.12.1 A.12.1.1 文件化的操作规程 查阅相关设备操作规定,操作记录等。
操作规程和职责 A.12.1.2 变更管理 查阅和验证信息系统的变更控制。
A.12.1.3容量管理 访查阅系统建设前的容量规划记录。
A.12.1.4开发、测试和运行设施分离 访问在线运维人员,验证开发、测试和运行设施的分离状况。
A.12.2防范恶意和移动代码 A.12.2.1 控制恶意代码 检查计算机病毒等恶意代码防范软件,及代码库的更新情况。可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.12.3 备份 A.12.3.1 信息备份 查阅备份策略等相关文件,抽查备份介质,并要求测试、验证。
A.12.4日志和监视 A.12.4.1 查阅重要系统的日志信息。
事件日志
A.12.4.2 日志信息的保护 询问、验证日志信息的包括措施。
A.12.4.3 管理员和操作员日志 查阅、验证管理员和操作员日志。
A.12.4.4 时钟同步 检查、验证时钟同步措施。
A.12.5 A.12.5.1 运行软件的控制 询问、验证对运行软件的控制措施。
条款4.2.1 建立ISMS 检查内容
a) 组织要定义ISMS的范围 l 组织是否有一个定义ISMS范围的过程?
l 是否有对任何范围的删减?
b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文件?
c) 组织要定义风险评估方法 l 组织是否有一个定义风险评估方法的文件?
l 组织的风险评估方法是否适合ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求?
l 接受风险的准则是否已经确定?并根据此准则,确定了可接受的风险级别?
d) 组织要识别安全风险 l 组织是否有一个识别安全风险的过程?
l 识别安全风险的过程是否符合规定?
e) 组织要分析和评价安全风险 l 组织是否有一个用于评估安全风险的过程?
l 是否评估了安全破坏可能产生对组织的业务影响?
l 这个安全风险评估过程是否符合规定?
f) 组织要识别和评价风险处理选择措施 l 组织是否有一个用于识别和评价风险处理选择措施的过程?
l 这个过程是否虑了4种可能的选择?
g) 组织要选择风险处理所需的控制目标和控制措施 l 组织是否有一个用于选择ISO/IEC 27001:2005附录A的风险处理控制目标和控制措施的过程?
l 这个过程是否确保所选择的控制目标和控制措施满足相关要求?
l 附录A的控制目标和控制措施是否都被选择?
l 如果不选择,是否有正当性理由?
l 是否选择了附录A以外的控制措施?
-/gbafcji/-
http://iso9001fsc.b2b168.com
