A.12操作安全
A.12.1 A.12.1.1 文件化的操作规程 查阅相关设备操作规定,操作记录等。
操作规程和职责 A.12.1.2 变更管理 查阅和验证信息系统的变更控制。
A.12.1.3容量管理 访查阅系统建设前的容量规划记录。
A.12.1.4开发、测试和运行设施分离 访问在线运维人员,验证开发、测试和运行设施的分离状况。
A.12.2防范恶意和移动代码 A.12.2.1 控制恶意代码 检查计算机病毒等恶意代码防范软件,及代码库的更新情况。可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.12.3 备份 A.12.3.1 信息备份 查阅备份策略等相关文件,抽查备份介质,并要求测试、验证。
A.12.4日志和监视 A.12.4.1 查阅重要系统的日志信息。
事件日志
A.12.4.2 日志信息的保护 询问、验证日志信息的包括措施。
A.12.4.3 管理员和操作员日志 查阅、验证管理员和操作员日志。
A.12.4.4 时钟同步 检查、验证时钟同步措施。
A.12.5 A.12.5.1 运行软件的控制 询问、验证对运行软件的控制措施。
通信安全
实施网络安全管理,划分网络安全区域,对网络设备、网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施,具体管理策略请参见《通信安全管理制度》。
系统获取、开发和维护
1. 在进行信息系统开发活动前,应明确在信息系统中包含基本的自动控制措施,以及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。
2. 在信息系统设计和开发过程中,应将数据的校验和检查功能集成在信息系统数据处理的整个过程,以保证信息系统在处理数据的过程中,数据的完整性没有丧失或遭到破坏。
3. 在进行信息系统建设的过程中,需进行安全风险评估以判定是否需要保证消息完整性,并确定合适的实施方法。
信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
-/gbafcji/-
http://iso9001fsc.b2b168.com
