A.12.6 A.12.6.1 技术脆弱性的控制 检查、验证技术脆弱性的控制措施。是否更新软件补丁,可以利用脆弱性扫描等工具软件来获得审核证据。
技术脆弱性
管理 A.12.6.2限制软件安装 检查服务器、客户端的软件安装情况
A.12.7 A.12.7.1 信息系统审计控制措施 询问、验证组织对信息系统审计的控制措施情况。
信息系统审计考虑
A.13通信安全
A.13.1 A.13.1.1 网络控制 访问信息安全管理小组等相关部门,验证网络控制措施情况。
网络安全 A.13.1.2 网络服务安全 查阅网络服务协议等相关文件,验证网络服务中的安全要求是否被满足。
管理 A.13.1.3 网络隔离 检查、验证网络间服务、用户等的隔离措施,如划分子网等。
A.13.2 A.13.2.1 信息交换策略和规程 查阅、验证组织的信息交换策略和规程等相关文件。
信息的传输 A.13.2.2 信息传输协议 访问信息安全管理小组,查阅信息传输协议。
A.13.2.3 电子消息 询问、验证对电子邮件等信息发送的安全保护措施。
A.13.2.4 保密性协议 查阅组织与员工、外部相关方等签署的保密性或不泄露协议。
信息安全管理小组
信息安全管理体系的决策机构,确定信息安全管理体系的建设方向,制订方针目标等。
a) 确立公司信息安全和风险管理的方针政策,并贯彻落实;
b) 组织制定公司信息安全和风险管理的总体规划;
c) 对信息安全事件提出处置策略;
d) 研究部署和讨论决定公司信息安全和风险管理工作的重大事项;
e) 授权相关部门对公司信息安全工作进行考核,审批考核结果并做决策。
f) 每年在管理评审会上对信息安全方针进行评审。
1. 记录储存
1) 各部门形成的记录由发生部门及接收部门储存保管,以随时提供信息安全管理体系有效运行的证实。
2) 各部门需要归档的记录,由发生部门进行整理,交总裁办负责归档手续,纸质记录存入文件柜中,电子记录存放在*存储介质中。
2. 记录的保护
1) 现场使用的记录应用文件夹保护,有密级控制要求的记录要控制其分发。
2) 归档的纸质记录应放入文件柜保护,由信息安全工作小组或相应责任部门专人负责,防止丢失。
3) 归档的电子记录存贮在安全的存储介质中,以防病毒、误删除侵害。
4) 所有存放记录的地方应做到防潮、防火、通风干燥、防虫蛀、防鼠害、防损坏、防变质、防污染。
3. 保存期
1) 为控制记录并提供证实,实行保存期控制;
2) 由信息安全工作小组归档的记录保存年限,一般分为长期和3年;
3) 由部门保存的记录保存3年。
4. 记录借阅及处置
1) 涉秘记录借阅由借阅人提出申请,经得保管部门负责人同意方可借阅。文件在查阅、借阅时不得做任何标记,更不能涂改及自行复制。
2) 对**过保存期的记录,应进行销毁处置。由保管部门填写《记录销毁处置审批表》,经体系负责人批准后予以销毁。
-/gbafcji/-
http://iso9001fsc.b2b168.com
