A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的计算方法,以便于目标达成情况的考核。
适用于本公司信息安全目标的制定、计算。
2. 职责和权限
1) 信息安全管理小组:负责建立、批准与评审公司的信息安全目标。
2) 体系负责人:负责向信息安全小组会汇报公司的信息安全目标达成情况,并组织相关人员每年对信息安全目标进行评审。
3) 各部门:负责与本部门相关的信息安全目标的统计、分析,当目标不能达标时,进行原因分析并进行改进。
3. 控制流程
3.1. 信息安全目标
1) 全年不发生重大信息安全事件和“二级”以上运行安全事故;
2) 重要**时期不发生三级以上事故。
对于未达成信息安全目标的,相关部门要进行原因分析,并提出解决办法;对于连续未达成目标的,信息安全工作小组要向相关部门开出《不符合纠正预防措施通知单》进行处理。
由公司负责人授权全权负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色等。
a) 提出信息安全目标,信息安全管理体系的建立、运行和维护;
b) 协调与信息安全管理体系有关的各项工作;
c) 确保在公司内提高员工的信息安全意识;
d) 督促信息安全管理体系内部审核和信息安全检查的开展;
e) 协助管理者进行信息安全管理体系的管理评审;
f) 向管理者报告信息安全管理体系的执行情况和改进要求。
-/gbafcji/-
http://iso9001fsc.b2b168.com
