ISMS-A-02信息安全適用性聲明

參考模版,僅供參考

劃重點(diǎn)

1. 目的

為描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔,制定此文件。

2. 適用范圍

本聲明所列的控制目標(biāo)和控制措施直接源于ISO/IEC27001:2013的要求,以保證公司進(jìn)行信息安全管理體系認(rèn)證實施的有效性及適用性。

3. 職責(zé)

信息安全部負(fù)責(zé)編制、修訂本聲明。

4. 申明

本公司按信息安全管理體系規(guī)范建立信息安全管理體系。

5. 安全方針

條款號 標(biāo)題 目標(biāo)/控制 是否選擇 選擇理由 程序文件 制度文件
5.1 信息安全方針 目標(biāo) 依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理方向并支持信息安全。
5.1.1 信息安全方針文件 控制 信息安全管理實施需要 信息安全管理手冊 參考程序文件
5.1.2 信息安全策略的評審 控制 確保方針持續(xù)使用 信息安全體系運(yùn)行評審制度
信息安全內(nèi)部審核管理制度
A6 信息安全組織
A6.1 內(nèi)部組織 目標(biāo) 在組織內(nèi)管理信息安全
A6.1.1 信息安全角色和職責(zé) 控制 定義和分配公司內(nèi)所有的信息安全職責(zé)。 信息安全管理手冊 參考程序文件
第三方安全管理策略
A6.1.2 職責(zé)分配 控制 按照信息資產(chǎn)和完成特定安全過程的職責(zé)進(jìn)行規(guī)定并分配權(quán)責(zé) 信息安全管理手冊 參考程序文件
第三方安全管理策略
A6.1.3 與政府部門的聯(lián)系 控制 為更好地了解信息安全新動向以及得到相關(guān)支持
A6.1.4 與特定利益集團(tuán)的聯(lián)系 控制 為更好地了解信息安全新動向以及得到相關(guān)支持 信息安全管理手冊 參考程序文件
A6.1.5 項目管理中的信息安全 控制 將信息安全嵌入到項目管理中 信息安全管理手冊 參考程序文件
A6.2 移動設(shè)備 目標(biāo) 確保遠(yuǎn)程工作和使用移動設(shè)備時的安全。
A6.2.1 移動設(shè)備策略 控制 應(yīng)采用策略和安全措施管理由于使用移動設(shè)備帶來的風(fēng)險。 移動設(shè)備和介質(zhì)管理策略 參考程序文件
A6.2.2 遠(yuǎn)程工作 控制 管理遠(yuǎn)程工作場地訪問本地信息的風(fēng)險 網(wǎng)絡(luò)安全管理策略 vpn接入管理制度
A7 人力資源安全
A7.1 任用之前 目標(biāo) 確保雇員和承包方人員理解其職責(zé)、適于考慮讓其承擔(dān)的角色。
A7.1.1 審查 控制 人力資源管理策略 人力資源管理制度
A7.1.2 任用條款和條件 控制 確保雇員和承包方人員明確他們和組織的信息安全職責(zé)
A7.2 任用中 目標(biāo) 確保雇員和承包方人員知悉并履行其信息安全職責(zé)。
A7.2.1 管理職責(zé) 控制 明確權(quán)責(zé) 人力資源管理策略 人力資源管理制度
A7.2.2 信息安全意識、教育和培訓(xùn) 控制 安全意識、教育和培訓(xùn)是開展信息安全管理的前提
A7.2.3 紀(jì)律處理過程 控制 是信息安全事故時間的必要手段
A7.3 任用的終止或變更 目標(biāo) 將保護(hù)組織利益作為變更或終止任用過程的一部分。
A7.3.1 任用終止或變更的職責(zé) 控制 應(yīng)定義信息安全職責(zé)和義務(wù)在任用終止或變更后保持有效的要求,并傳達(dá)給雇員或承包方人員,予以執(zhí)行。 人力資源管理策略 人力資源管理制度
A8 資產(chǎn)管理
A8.1 對資產(chǎn)負(fù)責(zé) 目標(biāo) 識別組織資產(chǎn),并定義適當(dāng)?shù)谋Wo(hù)職責(zé)。
A8.1.1 資產(chǎn)清單 控制 明晰公司資產(chǎn)情況 資產(chǎn)安全管理策略 資產(chǎn)安全管理制度
A8.1.2 資產(chǎn)所有權(quán) 控制 清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。
A8.1.3 資產(chǎn)的可接受使用 控制 將資產(chǎn)使用通過制度的形式進(jìn)行規(guī)范使用
A8.1.4 資產(chǎn)的歸還 控制 所有的雇員和外部方人員在終止任用、合同或協(xié)議時,應(yīng)歸還他們使用的所有組織資產(chǎn)。
A8.2 信息分類 目標(biāo) 確保信息按照其對組織的重要性受到適當(dāng)級別的保護(hù)。
A8.2.1 信息的分類 控制 便于對信息的分級管理。 資產(chǎn)安全管理策略 資產(chǎn)安全管理制度
A8.2.2 信息的標(biāo)記 控制 按照信息分級的不同,信息處理的安全要求也不同。
A8.2.3 信息的處理 按照信息分級的不同,信息處理的安全要求也不同。
A8.3 介質(zhì)處置 目標(biāo) 防止存儲在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動或銷毀。
A8.3.1 可移動介質(zhì)的管理 控制 防止信息泄露 移動設(shè)備和介質(zhì)管理策略 移動存儲介質(zhì)管理制度
A8.3.2 介質(zhì)的處置 控制 防止信息泄露
A8.3.3 物理介質(zhì)傳輸 控制 包含信息的介質(zhì)在運(yùn)送時,應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或毀壞。
A9 訪問控制
A9.1 訪問控制的業(yè)務(wù)要求 目標(biāo) 限制對信息和信息處理設(shè)施的訪問。
A9.1.1 訪問控制策略 控制 控制對系統(tǒng)的訪問 訪問控制策略 參考程序文件
A9.1.2 網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問 控制 用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。
A9.2 用戶訪問管理 目標(biāo) 確保授權(quán)用戶訪問系統(tǒng)和服務(wù),并防止未授權(quán)的訪問。
A9.2.1 用戶注冊及注銷 控制 使用唯一用戶身份識別 訪問控制策略 用戶賬號管理制度
A9.2.2 用戶訪問開通及變更 控制 使用唯一用戶身份識別。
A9.2.3 特殊訪問權(quán)限管理 控制 保持對數(shù)據(jù)和信息服務(wù)訪問的有效控制。
A9.2.4 用戶秘密鑒別信息管理 控制 應(yīng)通過正式的管理過程控制秘密鑒別信息的分配。
A9.2.5 用戶訪問權(quán)限的復(fù)查 控制 資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問權(quán)限。
A9.2.6 撤銷或調(diào)整訪問權(quán)限 控制 所有雇員、外部方人員對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在任用、合同或協(xié)議終止時撤銷,或在變化時調(diào)整。
A9.3 用戶職責(zé) 目標(biāo) 使用戶承擔(dān)保護(hù)認(rèn)證信息安全的責(zé)任。
A9.3.1 使用秘密鑒別信息 控制 應(yīng)要求用戶在使用秘密鑒別信息時,遵循組織的實踐。 訪問控制策略 用戶賬號管理制度
A9.4 系統(tǒng)和應(yīng)用訪問控制 目標(biāo) 防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問。
A9.4.1 信息訪問限制 控制 應(yīng)依照訪問控制策略限制對信息和應(yīng)用系統(tǒng)功能的訪問。 訪問控制策略 參考程序文件
A9.4.2 安全登錄規(guī)程 控制 遵循良好的信息安全習(xí)慣,對非權(quán)限內(nèi)的網(wǎng)絡(luò)或設(shè)備進(jìn)行控制。
A9.4.3 口令管理系統(tǒng) 控制 遵循良好的信息安全習(xí)慣,對非權(quán)限內(nèi)的網(wǎng)絡(luò)或設(shè)備進(jìn)行控制。
A9.4.4 特殊權(quán)限實用工具軟件的使用 控制 對于可能超越系統(tǒng)和應(yīng)用程序控制措施的適用工具軟件的使用應(yīng)加以限制并嚴(yán)格控制。
A9.4.5 對程序源代碼的訪問控制 控制 應(yīng)限制訪問程序源代碼。 軟件開發(fā)版本安全管理制度
A10 密碼學(xué)
A10.1.1 密碼控制 目標(biāo) 恰當(dāng)和有效的利用密碼學(xué)保護(hù)信息的保密性、真實性或完整性。 密碼技術(shù)管理策略 參考程序文件
A10.1.2 密鑰管理 控制 保證數(shù)據(jù)真實有效。
A11 物理和環(huán)境安全
A11.1 安全區(qū)域 目標(biāo) 防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。
A11.1.1 物理安全周邊 控制 對重要信息進(jìn)行保護(hù) 物理安全管理策略 機(jī)房安全管理制度
視頻監(jiān)控管理制度
出入訪問管理制度
A11.1.2 物理入口控制 控制 對重要信息進(jìn)行保護(hù)
A11.1.3 辦公室、房間和設(shè)施的安全保護(hù) 控制 對重要信息進(jìn)行保護(hù)
A11.1.4 外部和環(huán)境威脅的安全防護(hù) 控制 對重要信息進(jìn)行保護(hù)
A11.1.5 在安全區(qū)域工作 控制 對重要信息進(jìn)行保護(hù)
A11.1.6 交接區(qū)安全 控制 對重要信息進(jìn)行保護(hù)
A11.2 設(shè)備 目標(biāo) 防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷。
A11.2.1 設(shè)備安置和保護(hù) 控制 保證設(shè)備安全 設(shè)備安全管理策略 參考程序文件
A11.2.2 支持性設(shè)施 控制 保證設(shè)備安全
A11.2.3 線纜安全 控制 保證設(shè)備安全
A11.2.4 設(shè)備維護(hù) 控制 保證設(shè)備安全
A11.2.5 資產(chǎn)的移動 控制 保證設(shè)備安全
A11.2.6 組織場外設(shè)備和資產(chǎn)的安全 控制 保證設(shè)備安全
A11.2.7 設(shè)備的安全處置或再利用 控制 保證設(shè)備安全
A11.2.8 無人值守的用戶設(shè)備 控制 保證設(shè)備安全
A11.2.9 清空桌面和屏幕策略 控制 遵循良好的信息安全習(xí)慣,對非權(quán)限內(nèi)的網(wǎng)絡(luò)或設(shè)備進(jìn)行控制。 計算機(jī)管理策略 參考程序文件
A12 操作安全
A12.1 操作規(guī)程和職責(zé) 目標(biāo) 確保正確、安全的操作信息處理設(shè)施。
A12.1.1 文件化的操作規(guī)程 控制 操作規(guī)程應(yīng)形成文件并對所有需要的用戶可用。 安全運(yùn)維管理策略 安全運(yùn)維管理制度
A12.1.2 變更管理 控制 對影響信息安全的組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)等的變更應(yīng)加以控制。 變更管理安全策略 變更管理安全制度
A12.1.3 系統(tǒng)性能及負(fù)載管理 控制 資源的使用應(yīng)加以監(jiān)視、調(diào)整,并作出對于未來容量要求的預(yù)測,以確保擁有所需的系統(tǒng)性能。 安全運(yùn)維管理策略 安全運(yùn)維管理制度
A12.1.4 開發(fā)、測試和運(yùn)行環(huán)境分離 控制 開發(fā)、測試和運(yùn)行環(huán)境應(yīng)分離,以減少未授權(quán)訪問或改變運(yùn)行環(huán)境的風(fēng)險。 軟件開發(fā)安全策略 軟件開發(fā)安全管理制度
A12.2 惡意軟件防護(hù) 目標(biāo) 確保對信息和信息處理設(shè)施進(jìn)行惡意軟件防護(hù)。
A12.2.1 控制惡意軟件 控制 應(yīng)實施惡意軟件的檢測、預(yù)防和恢復(fù)的控制措施,以及適當(dāng)?shù)奶岣哂脩舭踩庾R。 計算機(jī)管理策略 參考程序文件
A12.3 備份 目標(biāo) 為了防止數(shù)據(jù)丟失。
A12.3.1 信息備份 控制 對重要信息進(jìn)行備份,防止系統(tǒng)斷電等危害引起數(shù)據(jù)丟失。 信息備份管理策略 數(shù)據(jù)備份恢復(fù)管理制度
A12.4 日志和監(jiān)視 目標(biāo) 記錄事態(tài)和生成證據(jù)。
A12.4.1 事態(tài)記錄 控制 應(yīng)產(chǎn)生記錄用戶活動、異常情況、故障和信息安全事態(tài)的事態(tài)日志,并保持定期評審。 安全審計管理策略 參考程序文件
A12.4.2 日志信息的保護(hù) 控制 對系統(tǒng)日志信息進(jìn)行保護(hù),
A12.4.3 管理員和操作員日志 控制 對管理員和操作員的系統(tǒng)操作活動進(jìn)行控制,防止非法操作。
A12.4.4 時鐘同步 控制 組織內(nèi)部所有相關(guān)信息處理設(shè)施的時鐘需使用單一參考時間源進(jìn)行同步。
A12.5 運(yùn)行軟件的控制 目標(biāo) 確保運(yùn)行系統(tǒng)的完整性。
A12.5.1 在運(yùn)行系統(tǒng)上安裝軟件 控制 應(yīng)實施規(guī)程來控制在運(yùn)行系統(tǒng)上安裝軟件。 計算機(jī)管理策略 參考程序文件
A12.6 技術(shù)脆弱性管理 目標(biāo) 防止技術(shù)脆弱性被利用。
A12.6.1 技術(shù)脆弱性的控制 控制 應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息,評價組織對這些脆弱性的暴露程度,并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險。 安全運(yùn)維管理策略 安全運(yùn)維管理制度
A12.6.2 限制軟件安裝 控制 應(yīng)建立和實施軟件安裝的用戶管理規(guī)則。 計算機(jī)管理策略 參考程序文件
A12.7 信息系統(tǒng)審計考慮 目標(biāo) 將運(yùn)行系統(tǒng)審計活動的影響最小化。
A12.7.1 信息系統(tǒng)審計控制措施 控制 涉及對運(yùn)行系統(tǒng)驗證的審計要求和活動,應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便使造成業(yè)務(wù)過程中斷最小化。 安全審計管理策略 參考程序文件
A13 通信安全
A13.1 網(wǎng)絡(luò)安全管理 目標(biāo) 確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性信息處理設(shè)施。
A13.1.1 網(wǎng)絡(luò)控制 控制 應(yīng)管理和控制網(wǎng)絡(luò),以保護(hù)系統(tǒng)中信息和應(yīng)用程序的安全。 網(wǎng)絡(luò)安全管理策略 防火墻策略管理制度
A13.1.2 網(wǎng)絡(luò)服務(wù)安全 控制 安全機(jī)制、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中,無論這些服務(wù)是由內(nèi)部提供的還是外包的。 參考程序文件
A13.1.3 網(wǎng)絡(luò)隔離 控制 應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。 參考程序文件
A13.2 信息傳遞 目標(biāo) 確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性信息處理設(shè)施。
A13.2.1 信息傳遞策略和規(guī)程 控制 應(yīng)有正式的傳遞策略、規(guī)程和控制措施,以保護(hù)通過使用各種類型通信設(shè)施的信息傳遞。 網(wǎng)絡(luò)安全管理策略 參考程序文件
A13.2.2 信息傳遞協(xié)議 控制 協(xié)議應(yīng)解決組織與外部方之間業(yè)務(wù)信息的安全傳遞。
A13.2.3 電子消息發(fā)送 控制 包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Wo(hù)。
A13.2.4 保密性或不泄露協(xié)議 控制 應(yīng)識別、定期評審并記錄反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求。
A14 系統(tǒng)獲取、開發(fā)和維護(hù)
A14.1 信息系統(tǒng)的安全要求 目標(biāo) 確保信息安全是信息系統(tǒng)整個生命周期中的一個有機(jī)組成部分。這也包括提供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求。
A14.1.1 信息安全要求分析和說明 控制 在系統(tǒng)開發(fā)過程中,需要考慮信息安全因素。 軟件開發(fā)安全策略 軟件開發(fā)安全管理制度
A14.1.2 公共網(wǎng)絡(luò)應(yīng)用服務(wù)安全 控制 應(yīng)保護(hù)公共網(wǎng)絡(luò)中的應(yīng)用服務(wù)信息,以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改。
A14.1.3 保護(hù)應(yīng)用服務(wù)交易 控制 應(yīng)保護(hù)涉及應(yīng)用服務(wù)交易的信息,以防止不完整傳送、錯誤路由、未授權(quán)消息變更、未授權(quán)泄露、未授權(quán)消息復(fù)制或重放。
A14.2 開發(fā)和支持過程中的安全 目標(biāo) 應(yīng)確保進(jìn)行信息安全設(shè)計,并確保其在信息系統(tǒng)開發(fā)生命周期中實施。
A14.2.1 安全開發(fā)策略 控制 應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則,并應(yīng)用于組織內(nèi)的開發(fā)。 軟件開發(fā)安全策略 軟件開發(fā)安全管理制度
A14.2.2 系統(tǒng)變更控制規(guī)程 控制 應(yīng)通過使用正式變更控制程序控制開發(fā)生命周期中的系統(tǒng)變更。
A14.2.3 運(yùn)行平臺變更后應(yīng)用的技術(shù)評審 控制 當(dāng)運(yùn)行平臺發(fā)生變更時,應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試,以確保對組織的運(yùn)行和安全沒有負(fù)面影響。
A14.2.4 軟件包變更的限制 控制 應(yīng)對軟件包的修改進(jìn)行勸阻,只限于必要的變更,且對所有的變更加以嚴(yán)格控制。
A14.2.5 安全系統(tǒng)工程原則 控制 應(yīng)建立、記錄和維護(hù)安全系統(tǒng)工程原則,并應(yīng)用到任何信息系統(tǒng)實施工作。
A14.2.6 安全開發(fā)環(huán)境 控制 組織應(yīng)建立并適當(dāng)保護(hù)系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境,覆蓋整個系統(tǒng)開發(fā)生命周期。
A14.2.7 外包開發(fā) 控制 組織應(yīng)管理和監(jiān)視外包系統(tǒng)開發(fā)活動。
A14.2.8 系統(tǒng)安全測試 控制 在開發(fā)過程中,應(yīng)進(jìn)行安全功能測試。
A14.2.9 系統(tǒng)驗收測試 控制 確保信息系統(tǒng)符合甲方要求
A14.3 測試數(shù)據(jù) 目標(biāo) 確保保護(hù)測試數(shù)據(jù)。
A14.3.1 系統(tǒng)測試數(shù)據(jù)的保護(hù) 控制 測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。 軟件開發(fā)安全策略 軟件開發(fā)安全管理制度
A15 供應(yīng)商關(guān)系
A15.1 供應(yīng)商關(guān)系的信息安全 目標(biāo) 確保保護(hù)可被供應(yīng)商訪問的組織資產(chǎn)。
A15.1.1 供應(yīng)商關(guān)系的信息安全策略 控制 為減緩供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險,應(yīng)與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求。 第三方安全管理策略 參考程序文件
A15.1.2 處理供應(yīng)商協(xié)議中的安全問題 控制 應(yīng)與每個可能訪問、處理、存儲組織信息、與組織進(jìn)行通信或為組織提供 IT 基礎(chǔ)設(shè)施組件的供應(yīng)商建立并協(xié)商所有相關(guān)的信息安全要求
A15.1.3 信息和通信技術(shù)供應(yīng)鏈 控制 供應(yīng)商協(xié)議應(yīng)包括信息和通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)信息安全風(fēng)險處理的要求。
A15.2 供應(yīng)商服務(wù)交付管理 目標(biāo) 保持符合供應(yīng)商交付協(xié)議的信息安全和服務(wù)交付的商定水準(zhǔn)。
A15.2.1 供應(yīng)商服務(wù)的監(jiān)視和評審 控制 組織應(yīng)定期監(jiān)視、評審和審計供應(yīng)商服務(wù)交付。 第三方安全管理策略 參考程序文件
A15.2.2 供應(yīng)商服務(wù)的變更管理 控制 應(yīng)管理供應(yīng)商服務(wù)提供的變更,包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施,并考慮到業(yè)務(wù)信息、系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的再評估。
A16 信息安全事件管理
A16.1 信息安全事件和改進(jìn)的管理 目標(biāo) 確保采用一致和有效的方法對信息安全事件進(jìn)行管理,包括安全事件和弱點(diǎn)的傳達(dá)。
A16.1.1 職責(zé)和規(guī)程 控制 保證工作有序進(jìn)行。 信息安全事件管理策略 信息安全事件管理制度
A16.1.2 報告信息安全事態(tài)(發(fā)生) 控制 軟件開發(fā)要求,確保及時掌握報告信息安全事態(tài)。
A16.1.3 報告信息安全弱點(diǎn) (未發(fā)生) 控制 軟件開發(fā)要求。
A16.1.4 評估和確定信息安全事態(tài) 控制 信息安全事態(tài)應(yīng)被評估,并且確定是否劃分成信息安全事件。
A16.1.5 信息安全事件響應(yīng) 控制 應(yīng)具有與信息安全事件響應(yīng)相一致的文件化規(guī)程。
A16.1.6 對信息安全事件的總結(jié) 控制 獲取信息安全事件分析和解決的知識應(yīng)被用戶降低將來事件發(fā)生的可能性或影響。
A16.1.7 證據(jù)的收集 控制 律法規(guī)要求。
A17 業(yè)務(wù)連續(xù)性管理的信息安全方面
A17.1 信息安全連續(xù)性 目標(biāo) 組織的業(yè)務(wù)連續(xù)性管理體系中應(yīng)體現(xiàn)信息安全連續(xù)性。
A17.1.1 信息安全的連續(xù)性計劃 控制 組織應(yīng)確定不利情況下(例如,一個危機(jī)或危難時)信息安全的要求和信息安全管理連續(xù)性。 業(yè)務(wù)連續(xù)性管理策略 參考程序文件
A17.1.2 實施信息安全連續(xù)性計劃 控制 組織應(yīng)建立、文件化、實施和維護(hù)過程、規(guī)程和控制措施,確保在負(fù)面情況下要求的信息安全連續(xù)性級別。
A17.1.3 驗證、評審和評價信息安全連續(xù)性計劃 控制 組織應(yīng)定期驗證已制定和實施信息安全業(yè)務(wù)連續(xù)性計劃的控制措施,以確保在負(fù)面情況下控制措施的及時性和有效性。
A17.2 冗余 目標(biāo) 確保信息處理設(shè)施的有效性。
A17.2.1 信息處理設(shè)施的可用性 控制 信息處理設(shè)備應(yīng)冗余部署,以滿足高可用性需求。 業(yè)務(wù)連續(xù)性管理策略 參考程序文件
A18 符合性
A18.1 符合法律和合同要求 目標(biāo) 避免違反任何法律、法令、法規(guī)或合同義務(wù)以及任何安全要求。
A18.1.1 可用法律及合同要求的識別 控制 法律法規(guī)要求。 信息安全法律法規(guī)策略 信息安全法律法規(guī)管理制度
A18.1.2 知識產(chǎn)權(quán)(IPR) 控制 法律法規(guī)要求。
A18.1.3 保護(hù)記錄 控制 法律法規(guī)要求。
A18.1.4 隱私和個人身份信息保護(hù) 控制 法律法規(guī)要求。
A18.1.5 密碼控制措施的規(guī)則 控制 法律法規(guī)要求。 密碼技術(shù)管理策略 參考程序文件
A18.2 信息安全評審 目標(biāo) 確保信息安全實施及運(yùn)行符合組織策略和程序。
A18.2.1 獨(dú)立的信息安全評審 控制 應(yīng)定期或發(fā)生較大變更時對組織的信息安全處置和實施方法(即控制目標(biāo)、控制、策略、過程和信息安全程序)進(jìn)行評審。 信息安全管理手冊 信息安全體系運(yùn)行評審程序
內(nèi)部審核管理程序
A18.2.2 符合安全策略和標(biāo)準(zhǔn) 控制 法律法規(guī)要求。
A18.2.3 技術(shù)符合性評審 控制 法律法規(guī)要求。
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

友情鏈接更多精彩內(nèi)容