由公司负责人授权全权负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色等。
a) 提出信息安全目标,信息安全管理体系的建立、运行和维护;
b) 协调与信息安全管理体系有关的各项工作;
c) 确保在公司内提高员工的信息安全意识;
d) 督促信息安全管理体系内部审核和信息安全检查的开展;
e) 协助管理者进行信息安全管理体系的管理评审;
f) 向管理者报告信息安全管理体系的执行情况和改进要求。
通信安全
实施网络安全管理,划分网络安全区域,对网络设备、网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施,具体管理策略请参见《通信安全管理制度》。
系统获取、开发和维护
1. 在进行信息系统开发活动前,应明确在信息系统中包含基本的自动控制措施,以及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。
2. 在信息系统设计和开发过程中,应将数据的校验和检查功能集成在信息系统数据处理的整个过程,以保证信息系统在处理数据的过程中,数据的完整性没有丧失或遭到破坏。
3. 在进行信息系统建设的过程中,需进行安全风险评估以判定是否需要保证消息完整性,并确定合适的实施方法。
A.5 安全方针(每年一次,结合管理评审时进行)
A.5.1 A.5.1.1信息安全方针文件 审核ISMS方针文件
信息安全 访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
方针 A.5.1.2信息安全方针的评审 查阅ISMS方针文件的评审和修订记录。
A.6 信息安全组织(每年一次,结合管理评审时进行)
A.6.1 A.6.1.1 结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
内部组织 信息安全角色和职责
A.6.1.2 责任分割 访问组织的信息安全管理机构,包括其职责。
A.6.1.3 与监管机构的联系 查阅信息安全职责分配或描述等方面的文件。
A.6.1.4 与特定利益集团的联系 访问信息安全管理机构,询问与相关信息安全*、专业协会、学会等联络情况
A.6.1.5 项目管理中的信息安全 检查项目过程中关键节点对信息安全的控制。
A.6.2 A.6.2.1移动设备策略 询问、验证移动计算和通信的安全措施。
移动的设备和远程工作 A.6.2.2远程办公安全 询问、验证移动计算和通信的安全措施。
A.6.2.3 处理第三方协议中的安全问题 访问组织人力资源部等相关部门,了解第三方协议中的安全要求的满足情况。
-/gbafcji/-
http://iso9001fsc.b2b168.com
