返回
适用性声明(管理系统内容)

适用性声明(管理系统内容)

ID:34675865

大小:311.38 KB

页数:13页

时间:2019-03-09

适用性声明(管理系统内容)_第1页
适用性声明(管理系统内容)_第2页
适用性声明(管理系统内容)_第3页
适用性声明(管理系统内容)_第4页
适用性声明(管理系统内容)_第5页
资源描述:

《适用性声明(管理系统内容)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、实用标准A.5安全方针A.5.1信息安全方针相关条款控制要求与检查内容实施的方法,或删减的正当性A.5.1.1信息安全方针文件是否有信息安全方针文件?手册:安全方针信息安全方针文件是否获得管理者批准、发布和传达给所有员工和相关的外方?手册:方针批准页信息安全方针文件是否符合标准的要求,如是否说明管理承诺,并提出组织管理信息安全的方法?手册:安全方针内容A.5.1.2信息安全方针的评审为了确保信息安全方针持续的适宜性、充分性和有效性,是否按既定的时间间隔(或当发生重大变化时)对其进行评审?手册:规定方针定期评审管评内容:评

2、审方针A.6信息安全的组织A.6.1内部的组织相关条款控制要求与检查内容实施的方法,或删减的正当性A.6.1.1信息安全的管理承诺管理者是否通过清晰的方向、可证实的承诺、明确的任务,和信息安全职责的承认,来积极支持组织内的安全?手册:管理者承诺A.6.1.2信息安全协调信息安全活动是否由不同部门的代表协调相关工作?手册:“信息安全推进小组”A.6.1.3信息安全职责的分配所有的信息安全职责(包括保护各个资产的职责和执行特定安全过程的职责)是否有明确的规定?部门安全职责、岗位任职条件A.6.1.4信息处理设施的授权过程对新

3、信息处理设施,是否有管理授权过程?《信息处理设施管理规定》——3.1授权文件:安全信息处理设施责任人授权批准书A.6.1.5保密性协议是否所有员工都要签署一个反映组织信息保护需要的保密协议(或不泄露协议)?《人员管理和培训程序》——4.2员工签署保密协议保密协议(或不泄露协议)是否得到识别和定期评审?《人员管理和培训程序》——4.2协议定期评审A.6.1.6联系权威部门组织是否与相关权威部门(例如,执法部门、消防部门和监管部门)保持适当的联系?政府部门联系清单A.6.1.7联系特殊利益团体组织是否与特殊利益团体、安全专家

4、组和专业协会保持适当的联系?利益团体联系清单A.6.1.8信息安全的独立评审组织是否对其管理信息安全的方法与实践(即信息安全控制目标与控制措施、方针、过程和程序),按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审?评审:方针、目标、措施、风险评估、内审A.6.2外方相关条款控制要求与检查内容实施的方法,或删减的正当性文档实用标准A.6.2.1外方相关风险的识别组织的信息和信息处理设施受外方访问或管理而产生的风险,是否进行识别?《第三方服务提供管理规定》——3.1风险识别:外方访问组织的信息和信息处理设施,在允许

5、外方访问前,是否执行适当的控制措施?《第三方服务提供管理规定》——3.2风险控制A.6.2.2处理与顾客有关的安全问题在允许顾客访问组织信息或资产之前,所有确定的安全要求是否得到解决?《第三方服务提供管理规定》——3.3访问安全要求A.6.2.3处理第三方协议中的安全问题涉及访问、处理、交流(或管理)组织的信息或信息处理设施的第三方协议,是否涵盖所有相关的安全要求?第三方服务协议中安全要求第三方:快递、网络、运输、客户、分包方、仪器设备供应方A.7资产A.7.1对资产的职责相关条款控制要求与检查内容实施的方法,或删减的正

6、当性A.7.1.1资产清单是否所有资产都进行了识别?资产识别清单是否所有重要资产都进行了登记、建立了清单文件并加以维护?硬件、软件、人员、网络、数据、文件A.7.1.2资产责任人所有信息和信息处理设施相关资产,是否都有责任人?清单——资产的使用部门、使用区域、责任人A.7.1.3资产的可接受使用信息和信息处理设施相关资产的可接受使用规则,是否确定、形成了文件并加以实施?《信息资产管理规定》A.7.2信息分类相关条款控制要求与检查题实施的方法,或删减的正当性A.7.2.1分类指南是否有一个信息分类指南(或分类法)?《信息资

7、产管理规定》——分类方法信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类?《信息资产管理规定》——资产分类原则:价值、法律要求、敏感性、关键性A.7.2.2信息的标记和处理信息标记与处理程序是否按照组织采用的分类法,加以开发和实施?分四类:一般、保密、秘密、绝密A.8人力资源安全A.8.1雇用之前相关条款控制要求与检查内容实施的方法,或删减的正当性A.8.1.1角色和职责雇员、承包人和第三方用户的安全角色和职责是否按照组织的信息安全方针加以定义并形成了文件?《岗位职责工作程序》——信息安全相关岗位人员职责、承

8、包人和第三方用户服协议A.8.1.2筛选对所有雇用的候选者、承包人和第三方用户,是否按照相关法律法规、道德规范、相应的业务要求、要被访问信息的类别、和已察觉的风险,进行背景验证检查?《人员管理和培训程序》——4.2聘用筛选A.8.1.3雇用的条款和条件雇员、承包人和第三方用户是否签署了雇用合同的条款和条件,作为他们合

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。