A.8.2 A.8.2.1 分类指南 访问行政部等相关部门,了解组织信息资产的分类和标识情况,并在各部门进行验证。
信息分级 A.8.2.2 信息的标记和处理
A.8.2.3
A.8.3 A.8.3.1 可移动介质的管理 访问行政部等相关部门,验证对可移动介质的管理是否满足安全要求。
介质处置 A.8.3.2 介质的处置 访问各部门,验证对介质的处置是否满足安全要求。
A.8.3.3 信息处理规程 查阅、验证信息处理规程。
A.9 访问控制
A.9.1 A.9.1.1 访问控制策略 查阅访问控制程序等相关文件。
访问控制的业务要求
A.9.1.2网络和网络服务的访问控制
A.9.2 A.9.2.1 用户注册和注销 查阅用户注册、注销的流程等相关文件。
用户访问 A.9.2.2用户访问的提供
管理 A.9.2.3 特殊权限管理 询问、验证**级用户等特殊权限的管理控制措施。
A.9.2.4 用户秘密认证信息的管理 检查、验证用户口令秘密认证信息的管理控制措施。
A.9.2.5 用户访问权的复查 查阅用户访问权的复查、评审记录。
A.9.2.6移除或调整访问权限
条款:4.3.2 文件控制
1) ISMS所要求的文件要加以保护和控制 是否有一个用于保护和控制ISMS文件的过程?
2) ISMS文件控制程序要形成文件 是否有一个形成文件的文件控制程序?
a)“文件控制程序文件”要定义“文件发布前要得到批准” l 是否文件发布前要得到批准?
b)“文件控制程序文件”要定义“必要时评审与更新文件,并再次获得批准” l 是否必要时评审与更新文件,并再次批准文件?
c)“文件控制程序文件”要定义“文件的更改和现行修订状态得到标识” l 是否文件的更改和现行修订状态得到标识?
d)“文件控制程序文件”要定义“在使用处可获得有关版本的适用文件” l 是否在使用处可获得有关版本的适用文件?
e) “文件控制程序文件”要定义“文件保持清晰、易于识别” l 是否文件保持清晰、易于识别?
f) “文件控制程序文件”要定义“文件可为需要的人员使用,并依照相关程序进行传输、贮存和终销毁” l 是否文件可为需要的人员使用,并依照相关程序进行传输、贮存和终销毁?
g) “文件控制程序文件”要定义“外来文件得到标识” l 是否外来文件得到标识?
h) “文件控制程序文件”要定义“文件的分发受控制” l 是否文件的分发受控制?
i) “文件控制程序文件”要定义“防止作废文件非预期使用” l 是否“防止作废文件非预期使用”?
j) “文件控制程序文件”要定义“对需要保留的作废文件做出适当的标识” l 是否“对需要保留的作废文件做出适当的标识”?
通信安全
实施网络安全管理,划分网络安全区域,对网络设备、网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施,具体管理策略请参见《通信安全管理制度》。
系统获取、开发和维护
1. 在进行信息系统开发活动前,应明确在信息系统中包含基本的自动控制措施,以及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。
2. 在信息系统设计和开发过程中,应将数据的校验和检查功能集成在信息系统数据处理的整个过程,以保证信息系统在处理数据的过程中,数据的完整性没有丧失或遭到破坏。
3. 在进行信息系统建设的过程中,需进行安全风险评估以判定是否需要保证消息完整性,并确定合适的实施方法。
-/gbafcji/-
http://iso9001fsc.b2b168.com
