1. 在制定密码策略时,应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。
2. 公司对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问需严格控制,对于程序源代码的保存,通过代码的存储控制来实现,是放在源程序库中。
3. 评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。
4. 需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,以减少第三方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况下,定期监视个人和系统的活动。监视计算机系统的资源使用。
5. 需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信息,评估组织对此类技术脆弱点的保护,并采取适当的控制措施。
具体管理策略请参见《信息系统获取、开发及维护管理制度》。
条款 7.3 评审输出
a)管理评审的输出要包括ISMS有效性的改进 l 是否有一个确保管理评审的输出包括5方面要求的过程?
l 是否管理评审做出了改进ISMS有效性的决定?
b)管理评审的输出要包括风险评估和风险处理计划的更新 l 是否管理评审做出了更新风险评估和风险处理计划的决定?
c) 管理评审的输出要包括必要时对影响信息安全的程序和控制措施的修改,以应对可能冲击ISMS的内外事件 l 是否管理评审做出了在必要时对影响信息安全的程序和控制措施的修改决定,以应对可能冲击ISMS的内外事件?
d) 管理评审的输出要包括对资源需求的决定 l 是否管理评审做出了对资源需求的决定?
e) 管理评审的输出要包括改进测量控制措施有效性的方法 l 是否包含有控制措施有效性测量方法的改进?
条款 8.1 持续改进
组织要持续改进ISMS的有效性 l 是否有一个确保组织持续改进ISMS有效性的过程?
信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
-/gbafcji/-
http://iso9001fsc.b2b168.com
