通信安全
实施网络安全管理,划分网络安全区域,对网络设备、网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施,具体管理策略请参见《通信安全管理制度》。
系统获取、开发和维护
1. 在进行信息系统开发活动前,应明确在信息系统中包含基本的自动控制措施,以及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。
2. 在信息系统设计和开发过程中,应将数据的校验和检查功能集成在信息系统数据处理的整个过程,以保证信息系统在处理数据的过程中,数据的完整性没有丧失或遭到破坏。
3. 在进行信息系统建设的过程中,需进行安全风险评估以判定是否需要保证消息完整性,并确定合适的实施方法。
条款 7.1 ISMS的管理评审总则
(1) 管理者要每年至少评审1次ISMS l 是否有一个确保管理者每年至少评审1次ISMS的过程?
l 是否检查了ISMS的实施情况,以确保ISMS持续的适宜性、充分性和有效性?
(2) 评审要包括评估改进的机会和变更ISMS的需要 l 在管理评审时,是否评估了ISMS(包括信息安全方针和信息安全目标)改进的机会和变更的需要?
(3)评审的结果要形成文件 l 评审结果是否形成了文件?
(4)评审的记录要加以保持 l 记录是否按照“记录控制”的要求加以保持?
条款 7.2 评审输入
a) 管理评审的输入要包括审核和评审结果 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程?
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方的反馈 l 是否管理评审的输入包括相关方的反馈?
c)管理评审的输入要包括可用于改进ISMS的技术、产品或程序 l 是否管理评审的输入包括可用于改进ISMS的技术、产品或程序?
d)管理评审的输入要包括预防和纠正措施的状况 l 是否管理评审的输入包括预防和纠正措施的状况?
e)管理评审的输入要包括以往风险评估没有充分解决的脆弱点或威胁 l 是否管理评审的输入包括预防和纠正措施的状况?
f)管理评审的输入要包括有效性测量的结果 l 是否管理评审的输入包括ISMS有效性的测量结果?
g)管理评审的输入要包括以往管理评审的跟踪措施 l 是否管理评审的输入包括以往管理评审的跟踪措施?
h)管理评审的输入要包括可能影响ISMS的任何变更 l 是否管理评审的输入包括可能影响ISMS的任何变更?
i) 管理评审的输入要包括改进的建议 l 是否管理评审的输入包括任改进的建议?
A.7人力资源安全
A7.1 A.7.1.1审查 访问人力资源部等相关部门,验证人员任用前的审查工作。
任用之前 A.7.1.2 任用条款和条件 查阅任用合同中的信息安全相关的任用条款
A7.2 A.7.2.1 管理职责 访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
任用中 A.7.2.2 信息安全意识、教育和培训 查阅培训计划和培训记录。
A7.2.3 纪律处理过程 访问人力资源部等相关部门,以及查阅信息安全奖惩制度。
A.7.3 A.7.3.1 终止职责 访问人力资源部,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
任用的终止或变化
A.8资产管理
A.8.1 A.8.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单。
对资产负责 A.8.1.2 资产责任人
A8.1.3 资产的允许使用 访问各部门,了解对信息资产使用的控制。
A.8.1.4 资产的归还 访问行政部、人力资源部等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
-/gbafcji/-
http://iso9001fsc.b2b168.com
