ISO27001標準附錄 A.6.1 內部組織
【內容解析】
通過高層管理者的支持和協調,基于組織的文化、業務目標和要求在組織內實施信息安全管理。
ISO27001標準附錄 A.6.1.1 信息安全的管理承諾
【內容解析】
管理承諾體現了高層管理對信息安全管理的領導力。管理層的基本承諾見本標準的5.1條款。
ISO27001標準附錄 A.6.1.2 信息安全協調
【內容解析】
信息安全工作需要在各部門或不同的領域間協調,有關信息安全的考慮和工作應有一種溝通及驅動機制,如建立跨部門的協調機構或安全負責人會議。協調程度與組織的規模有關聯,對于一個小型組織可能沒有明確的協調組,關鍵點是規定責任人。
ISO27001標準附錄 A.6.1.3 信息安全職責的分配
【內容解析】
信息安全的職責應在組織內分配并針對所涉及的崗位以書面的方式做出規定(如,崗位職責說明)。安全管理職責的規范應從最直接的角色作為起點并擴展到相關層面的崗位。
ISO27001標準附錄 A.6.1.4 信息處理設施的授權過程
【內容解析】
對于新的信息處理設施(包括個人的信息處理設備)或更新的設備進入組織的網絡和業務環境,管理層應制定并發布一個正式的授權過程,向下可貫徹到部門級。授權應在運行管理和技術兩方面把控。
ISO27001標準附錄 A.6.1.5 保密性協議
【內容解析】
組織應按適用的法律規定編制保密協議或不泄密協議并在一定范圍內要求相關人員簽署,以保護機密信息。管理層應咨詢內部或外部的法律專家或顧問以確保這種類型的協議是恰當準確的,并反映了組織的要求。保密協議的要求應定期評審,以適應組織信息保護的需要。
保密協議可適用于內部人員或外部相關方及人員。
ISO27001標準附錄 A.6.1.6 與政府部門的聯系
【內容解析】
政府部門指警方、消防、安全和司法單位等。組織應與本地的這些有關安全的部門建立并保持聯系,以便確保能對負面或重大事件的發生做出快速響應。
ISO27001標準附錄 A.6.1.7 與特定利益集團的聯系
【內容解析】
組織內從事信息安全的人員應與信息安全相關的特定機構(如行業協會、安全監控中心等)建立聯系,以便獲得有關信息安全的動態信息并使之受益于本組織。
ISO27001標準附錄 A.6.1.8 信息安全的獨立評審
【內容解析】
獨立評審指獨立于評審范圍而又具有一定信息安全管理經驗、知識或技能的人員對組織信息安全管理所進行的評審。由于一個組織的信息安全管理資源的限制,執行獨立評審的人員也可能來自于組織外部的專家或第三方人員。為確保控制措施和安全防護的有效性和適用性,管理層應在計劃的周期或當環境或業務運行發生較大變更時協調資源或結合內部審核對信息安全管理的實踐(包括方針、控制目標、措施、過程和規程等的實施情況)進行評審。這里是否需要調集外部資源(如,評估師或審核員)需要管理層做出決策,評判依靠組織內部的安全審核是否已經足夠。
ISO27001標準附錄 A.6.2 外部各方
【內容解析】
為方便業務活動,外部相關方往往需要對組織的信息和信息處理設施進行訪問,溝通信息并參與信息的處理,或許還有本組織的信息和信息處理設施處于外部方的管理之下,對此組織應有充分的安全準備,以確保信息和信息處理設施的安全。
ISO27001標準附錄 A.6.2.1 與外部各方相關風險的識別
【內容解析】
在與外部組織合作開展業務前應識別信息安全風險,基于風險評估的結果,在合作業務運行前應安排并實施控制措施。
ISO27001標準附錄 A.6.2.2 處理與顧客有關的安全問題
【內容解析】
在允許顧客訪問組織的信息或資產之前,通過信息安全風險評估已經識別的風險應全部處理完成并驗證滿足要求。
ISO27001標準附錄 A.6.2.3 處理第三方協議中的安全問題
【內容解析】
外部第三方在訪問、處理或交流組織的信息、訪問組織的信息處理設施或在信息處理設施中增加產品或服務前要預先簽訂協議,其中應包含對信息安全的全部要求。可以就信息安全的要求單獨簽署協議,也可以將信息安全要求作為整個協議的組成部分。
共有條評論 網友評論