资产管理
1. 对信息资产进行识别和管理;根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。
2. 通过实施用户管理,确保相关人员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度,完善密码使用和管理,制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。
条款 8.3 预防措施
a. 组织要采取措施,消除潜在的不符合ISMS要求的原因 l 是否有一个用于确保采取措施,消除潜在的不符合ISMS要求的原因的过程?
b. 所采取的预防措施要与潜在问题的影响程度相适应 l 所采取的预防措施是否适于潜在问题的影响?
c. 组织要建立一个预防措施程序文件,定义5条相关要求 l 是否有一个定义5条相关要求的预防措施程序文件?
d. 组织要识别已经发生了变化的风险 l 是否有一个用于识别已经发生了变化的风险的过程?
e. 组织要识别对已经发生了变化的风险的预防措施的要求 l 对已经发生了重大变化的风险,是否识别其预防措施要求?
f. 预防措施的**级要根据风险评估的结果确定 l 是否预防措施的**级根据风险评估的结果而确定?
由公司负责人授权全权负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色等。
a) 提出信息安全目标,信息安全管理体系的建立、运行和维护;
b) 协调与信息安全管理体系有关的各项工作;
c) 确保在公司内提高员工的信息安全意识;
d) 督促信息安全管理体系内部审核和信息安全检查的开展;
e) 协助管理者进行信息安全管理体系的管理评审;
f) 向管理者报告信息安全管理体系的执行情况和改进要求。
-/gbafcji/-
http://iso9001fsc.b2b168.com
