1. 职责和权限
1) 管理者代表:负责批准《内部审核计划》和《内部审核报告》。
2) 行政部:内审记录存档。
3) 信息安全工作小组:负责组织对不符合项的验证跟踪及相应文件的管理工作。
4) 内审组组长:负责编制《内部审核计划》,组织编写《内部审核检查表》,根据计划组织实施信息安全管理体系内部审核;编写内审报告。
5) 各部门:积极配合体系内部审核,对审核过程中发现的问题及时采取纠正措施。
2. 活动描述
2.1. 内部审核策划
2.1.1 内部审核周期及范围
在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核,信息安全工作小组组织协调。
当发生下列情况之一时(不限于),体系负责人可临时决定组织内部审核,临时内审范围由体系负责人根据实际情况确定:
1) 当管理体系、业务内容发生重大改变时;
2) 当外部要求,需对体系做出评价时;
3) 当体系发生重大变化时,如组织机构大调整、文件大量修改等;
4) 当发生严重不合格、或出现重大客户投诉或信息安全事故时;
5) 采用标准、适用法律或验证方法出现重大变化时;
6) 第三方认证机构审核前;
7) 其它需要增加内审的情形。
供应商关系
1. 第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面内容。确保第三方有足够的服务能力、拥有可用性可持续性计划,以确保商定的服务在故障或灾难后能够得以继续保持。
2. 检查协议的要求,监管协议执行的一致性,以确保交付的服务满足与第三方商定的所有要求。
具体管理策略请参见《第三方服务管理控制制度》。
信息安全事故
信息安全事故应进行集中管控、统计、分析,并采取相应的措施,建立和完善信息安全事故的监测、报告、预警、处置和整改机制。
具体管理策略请参见《信息安全事件管理制度》。
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
-/gbafcji/-
http://iso9001fsc.b2b168.com
