A.17 信息安全方面的业务连续性管理
A.17.1 信息安全连续性 A.17.1.1信息安全连续性策划 询问、验证组织是否实施了业务中断的风险评估,包括中断的事件、发生的概率和影响等。
A.17.1.2实施信息安全连续性 检查实施记录
A.17.1.3 测试、维护和再评估业务连续性计划 检查、验证组织对业务连续性计划的测试、保持,查阅测试记录等。
A17.2冗余 A.17.2.1信息处理设施的可用性 询问信息处理设施是否有冗余的设计以保证系统的可用性
A.18 符合性
A.18.1 A.18.1.1 可用法律的识别 查阅组织识别的适用的信息安全法律法规。
符合法律要求 A.18.1.2 知识产权(IPR) 询问、验证组织知识产权保护措施。
A.18.1.3 保护组织的记录 询问、查阅组织对相关记录的保护措施。
A.18.1.4 数据保护和个人信息的隐私 询问组织对数据和个人隐私的包括措施。
A.18.1.5 密码控制措施的规则 询问、验证组织密码控制措施情况。
A.18.2 A.18.2.1独立的信息安全评审 询问是否定期或发生较大变更时对组织的信息安全处置和实施方法(即控制目标、控制、策略、过程和信息安全程序)进行评审
信息安全评审 A.18.2.2 符合安全策略和标准 检查、验证员工遵守信息安全策略、规程等情况。
A.18.2.3 技术符合性核查 询问、验证组织是否定期进行技术符合性检查,查阅检查记录等。
目的
规定审核的组织人员选择和考核方法,对各部门的内部审核列出重点审核的资产范围,列出可能出现的主要风险,规定审核制度安排。
规范
一、审核组织定义
1、组织:
内审组长:由管理者代表从符合资格的内审员里*。
内审成员:由内审组长从具有内审资格的员工中*1-2名。
2、内审员培训:
对有必要参加内审的员工,公司就对其进行信息安全管理体系知识、信息安全评审方法方面的培训,使其具备相关的评审能力。
3、内审员考核:
由信息安全工作小组培训讲师,组织进行对内审员的考核,考核合格,方可确定其符合内审员资格身份。
操作安全
1. 信息处理和通信设施的系统活动须具备成文的制度规范,例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。
2. 确保每一个信息系统都能够识别容量要求,确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。
3. 建立有效的计算机病毒预防及查杀机制,实施防止恶意软件的侦查与防护控制,并提高员工的防范意识。
4. 根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
5. 在选用介质时应当考虑备份的信息需要保存的周期长短,保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介,为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏,应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。
6. 应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别,处置和标记所有介质。明确防止未授权人员访问的限制要求,并根据制造商的存储规范来保存介质,同时,清晰**记数据的所有拷贝,以引起数据所有者的关注。
7. 应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题,重要的审计日志需要被存档保存,审计日志包括用户ID、日期、时间和关键事态等细节,以及系统配置、特殊权限、系统实用工具和应用程序的使用。
-/gbafcji/-
http://iso9001fsc.b2b168.com
