4.4 文件的发放
所有体系文件由相关文档负责人负责维护,经审批后以邮件进行发布或修订通知。确保所有相关人员能够查阅、获得现行有效版本的文件和资料。
4.5 文件的控制
1) 文件领用人应对领用的文件加以妥善保管和使用。
2) 所有文件,按密级管理规定发放,F1-F4类文件需填写《内部人员借阅文件登记表》/《向第三方人员提供材料申请表》经审批同意后方可进行打印、复印或对流、外借或外送。其中F4类文件需负责部门经理/总监签字;F3类文件需负责部门副总签字;F1-F2类文件需总裁签字。
3) 调到与信息安全无关岗位的,原使用文件由其直属部门负责收回。
4) 总裁办为确保文件的有效性,每年发布一次现行有效的《信息安全体系文件管理矩阵表》,及时调整新增和作废文件。
4.6 文件的更改
4.6.1 文件更改申请
文件更改提出者或提出部门填写《文件变更审批表》,说明更改原因。
4.6.2 文件更改的审批或评审
由文件的原审批人对文件的更改申请进行审批,当原审批人不在岗时应由其接替者审批。
4.6.3 文件更改的实施
文件更改被批准后,应由信息安全工作小组*相关人员负责实施更改。
更改后的文件按照原审批程序进行审批,批准后的原件仍送交总裁办保存管理,由总裁办在原发放范围和发放方式的基础上进行更改和发布,并公布《文件变更审批表》,保证相关人员能了解到变更的内容。
A.5 安全方针(每年一次,结合管理评审时进行)
A.5.1 A.5.1.1信息安全方针文件 审核ISMS方针文件
信息安全 访问管理者(或管理者代表)、员工、或相关方人员(如必要),了解他们对ISMS方针和目标的理解和贯彻状况。
方针 A.5.1.2信息安全方针的评审 查阅ISMS方针文件的评审和修订记录。
A.6 信息安全组织(每年一次,结合管理评审时进行)
A.6.1 A.6.1.1 结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
内部组织 信息安全角色和职责
A.6.1.2 责任分割 访问组织的信息安全管理机构,包括其职责。
A.6.1.3 与监管机构的联系 查阅信息安全职责分配或描述等方面的文件。
A.6.1.4 与特定利益集团的联系 访问信息安全管理机构,询问与相关信息安全*、专业协会、学会等联络情况
A.6.1.5 项目管理中的信息安全 检查项目过程中关键节点对信息安全的控制。
A.6.2 A.6.2.1移动设备策略 询问、验证移动计算和通信的安全措施。
移动的设备和远程工作 A.6.2.2远程办公安全 询问、验证移动计算和通信的安全措施。
A.6.2.3 处理第三方协议中的安全问题 访问组织人力资源部等相关部门,了解第三方协议中的安全要求的满足情况。
资产管理
1. 对信息资产进行识别和管理;根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。
2. 通过实施用户管理,确保相关人员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度,完善密码使用和管理,制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。
-/gbafcji/-
http://iso9001fsc.b2b168.com
