厂商 :上海赛谷信息科技有限公司
上海 上海- 主营产品:
- ISO9001认证
- ISO27001认证
- ISO20000认证
联系电话 :13524162964
商品详细描述
6. 组织信息安全
6.1内部组织
目标:在组织内管理信息安全
应在组织内建立管理框架以启动和控制信息安全的实施。
管理层应核准信息安全策略,指派安全职务、及协调与评审全组织安全的实施。
必要时,应建立信息安全专家建议的管道,提供给整个组织使用。要发展与包括有关单位等外部安全专家或团体的联系,以符合业界的趋势,监控标准和评估方法、并提供处理信息安全事故时合适的联络点/人。并鼓励信息安全的多种培训方法。
6.1.1 管理层对信息安全的承诺
控制
管理层在组织内应通过清楚的指示、显示承诺、明确的指派、和承认信息安全责任、主动地支持安全有关计划。
实施指南
管理层应:
a)确保识别信息安全目标、达到组织要求,并整合相关过程;
b)制定、评审、及核准信息安全策略;
c)评审信息安全策略实施有效性
d)提供清楚的指示和可见的对安全主动性的管理支持;
e)提供信息安全所需资源;
f)核准整个组织信息安全特定职务/职责的指派;
g)发起规划和计划以维护信息安全认知;
h)确保协调组织整体信息安全控制的实施;
管理层应识别内部或外部专家的信息安全建议之需求,并评审与协调整体组织该建议的结果。
依据组织规模,其职责能由专职的管理委员会或现有的管理层团体如董事会处理。
其它信息
ISO/IEC 13335-1:2004有更多信息。
6.1.2 信息安全协调工作
控制
信息安全活动应由组织内拥有相关角色与工作功能,不同部门的代表协调。
实施指南
一般而言,信息安全协调工作应包括管理人员、使用者、行政管理人员、应用程序开发人员、审核、安全人员,以及保险、法务人员、人力资源、IT或风险管理等领域的专家。其活动应:
a)确保安全活动的执行符合信息安全策略;
b)识别如何处理不符合;
c)批准信息安全的方法与过程,如风险评估,信息分类;
d)识别重大的威胁变更,,以及信息与信息处理设施对威胁的暴露;
e)评估信息安全控制措施的充份性与协调其实施;
f)有效地在安全组织推广信息安全认识、教育、及培训;
g)评审信息由监控所收到的信息、评审信息安全事故、及建议适当的动作以响应已识别的信息安全事故。
若组织不使用各领域的群体,例如组织规模不适合该群体,以上所描述的动作应由另一适合的管理层人员或个别的管理员承担。
6.1.3 信息安全职责的分配
控制
应明确定义所有信息安全责任
实施指南
信息安全职责的分配应依据信息安全策略(见5)。保护个别资产与执行特定安全操作过程的责任应明确的识别。必要时,应为特定场所与信息处理设施补充更详细的指南。保护资产与执行特定安全作业过程(如业务连续性管理规划)的当地责任应明确定义。
已分配安全责任的个人可将安全任务授权给其它人,然而他们仍负有责任,且应确定授权的任务正确的执行。
应明确的陈述每个人所负责的范围;特别要做到以下事项:
a)应识别与明确定义与每一特定系统有关的资产及安全作业过程
b)应指派负责各个资产或安全作业过程的实体,其责任的细节都应文件化(请参考7.1.2 )
c)应明确定义授权层级并文件化。
其它信息
很多组织会指定信息安全领导负责所有发展与实施安全事项,并协助识别控制措施。然而控制措施的资源分配与实施的责任通常仍是由各个管理人员负责。常见的做法是为每项信息资产指定一个所有者,负责该资产的日常安全。
6.1.4 信息处理设施的授权程序
控制
应定义与实施新信息处理设施的管理层授权过程。
实施指南
授权过程应考虑以下指导纲要:
a)新设施应有适当的使用者管理层授权,批准其用途及使用。另外应获得负责维护该区信息系统安全环境的管理人员授权,以确保符合所有相关安全策略和要求;
b)必要时应核对硬件和软件,以确保与其它系统组件兼容;
c)使用如笔记本计算机、台式机或手持设备等个人或私人拥有的信息处理设施处理业务信息,可造成新的脆弱性,应识别并实施必要的控制措施。
6.1.5 保密协议
控制
应识别与定期评审返馈组织对保护信息需求的机密要求或保密协议要求。
实施指南
机密或保密协议应使用可实施的法律名词处理,保护机密信息的要求。为识别机密或保密协议的要求,应考虑以下组件:
a)要定义被保护信息 (如机密信息)
b)期望协议的时间周期,包括机密可能需要无限期维持的案例;
c)协议终止时所需的动作;
d)签名者的责任与动作,以避免未经授权的信息泄露(如 “仅知” )
e)信息、交易秘密、与知识产权的拥有,以及与机密信息保护的关联;
f)机密信息的准许使用,与签名者使用信息的权利;
g)审核与监控涉及机密信息活动的权利;
h)通知与通报未经授权的泄露或机密信息破坏的过程;
i)协议中断时信息归还或销毁的期限;
j)一旦违反该协议时,期望采取的动作。
基于各组织的安全要求,在机密或保密协议中可能需要其它的组件。
机密和保密协议保护组织的信息并告知签名者保护、使用、以及负责且经授权的方式泄露信息的责任。
组织可能有需要在不同情况使用不同形式的机密或保密协议。
6.1.6
控制
应与有关单位维持适当的联系
实施指南
组织应有指定若怀疑可能违反法律时,何时与有关单位(如执法单位、消防单位、主管单位)联系,如何及时通报已识别的信息安全事故的合适程序。
被网际网络攻击的组织可能需要外部第三方(如网络服务提供者或通讯操作员)采取行动以对抗攻击来源。
其它信息
维持该种联系可能是支持信息安全事故管理(13.2)或业务连续性与应变规划(14)的一项要求。与管理单位的联系也是必要的,可为预期和即将到来的、组织必须符合的法律或管理规定变更作准备。与其它包括公用事业、紧急服务、及健康与安全部门等单位联系,如消防单位(与业务连续性有关,见14) 、电信运营商(与线路/路由和可用性有关) 、水供应公司(与设备的冷却设施有关) 。
6.1内部组织
目标:在组织内管理信息安全
应在组织内建立管理框架以启动和控制信息安全的实施。
管理层应核准信息安全策略,指派安全职务、及协调与评审全组织安全的实施。
必要时,应建立信息安全专家建议的管道,提供给整个组织使用。要发展与包括有关单位等外部安全专家或团体的联系,以符合业界的趋势,监控标准和评估方法、并提供处理信息安全事故时合适的联络点/人。并鼓励信息安全的多种培训方法。
控制
管理层在组织内应通过清楚的指示、显示承诺、明确的指派、和承认信息安全责任、主动地支持安全有关计划。
实施指南
管理层应:
a)确保识别信息安全目标、达到组织要求,并整合相关过程;
b)制定、评审、及核准信息安全策略;
c)评审信息安全策略实施有效性
d)提供清楚的指示和可见的对安全主动性的管理支持;
e)提供信息安全所需资源;
f)核准整个组织信息安全特定职务/职责的指派;
g)发起规划和计划以维护信息安全认知;
h)确保协调组织整体信息安全控制的实施;
管理层应识别内部或外部专家的信息安全建议之需求,并评审与协调整体组织该建议的结果。
依据组织规模,其职责能由专职的管理委员会或现有的管理层团体如董事会处理。
其它信息
ISO/IEC 13335-1:2004有更多信息。
控制
信息安全活动应由组织内拥有相关角色与工作功能,不同部门的代表协调。
实施指南
一般而言,信息安全协调工作应包括管理人员、使用者、行政管理人员、应用程序开发人员、审核、安全人员,以及保险、法务人员、人力资源、IT或风险管理等领域的专家。其活动应:
a)确保安全活动的执行符合信息安全策略;
b)识别如何处理不符合;
c)批准信息安全的方法与过程,如风险评估,信息分类;
d)识别重大的威胁变更,,以及信息与信息处理设施对威胁的暴露;
e)评估信息安全控制措施的充份性与协调其实施;
f)有效地在安全组织推广信息安全认识、教育、及培训;
g)评审信息由监控所收到的信息、评审信息安全事故、及建议适当的动作以响应已识别的信息安全事故。
若组织不使用各领域的群体,例如组织规模不适合该群体,以上所描述的动作应由另一适合的管理层人员或个别的管理员承担。
控制
应明确定义所有信息安全责任
实施指南
信息安全职责的分配应依据信息安全策略(见5)。保护个别资产与执行特定安全操作过程的责任应明确的识别。必要时,应为特定场所与信息处理设施补充更详细的指南。保护资产与执行特定安全作业过程(如业务连续性管理规划)的当地责任应明确定义。
已分配安全责任的个人可将安全任务授权给其它人,然而他们仍负有责任,且应确定授权的任务正确的执行。
应明确的陈述每个人所负责的范围;特别要做到以下事项:
a)应识别与明确定义与每一特定系统有关的资产及安全作业过程
b)应指派负责各个资产或安全作业过程的实体,其责任的细节都应文件化(请参考
c)应明确定义授权层级并文件化。
其它信息
很多组织会指定信息安全领导负责所有发展与实施安全事项,并协助识别控制措施。然而控制措施的资源分配与实施的责任通常仍是由各个管理人员负责。常见的做法是为每项信息资产指定一个所有者,负责该资产的日常安全。
控制
应定义与实施新信息处理设施的管理层授权过程。
实施指南
授权过程应考虑以下指导纲要:
a)新设施应有适当的使用者管理层授权,批准其用途及使用。另外应获得负责维护该区信息系统安全环境的管理人员授权,以确保符合所有相关安全策略和要求;
b)必要时应核对硬件和软件,以确保与其它系统组件兼容;
c)使用如笔记本计算机、台式机或手持设备等个人或私人拥有的信息处理设施处理业务信息,可造成新的脆弱性,应识别并实施必要的控制措施。
控制
应识别与定期评审返馈组织对保护信息需求的机密要求或保密协议要求。
实施指南
机密或保密协议应使用可实施的法律名词处理,保护机密信息的要求。为识别机密或保密协议的要求,应考虑以下组件:
a)要定义被保护信息 (如机密信息)
b)期望协议的时间周期,包括机密可能需要无限期维持的案例;
c)协议终止时所需的动作;
d)签名者的责任与动作,以避免未经授权的信息泄露(如 “仅知” )
e)信息、交易秘密、与知识产权的拥有,以及与机密信息保护的关联;
f)机密信息的准许使用,与签名者使用信息的权利;
g)审核与监控涉及机密信息活动的权利;
h)通知与通报未经授权的泄露或机密信息破坏的过程;
i)协议中断时信息归还或销毁的期限;
j)一旦违反该协议时,期望采取的动作。
基于各组织的安全要求,在机密或保密协议中可能需要其它的组件。
机密和保密协议保护组织的信息并告知签名者保护、使用、以及负责且经授权的方式泄露信息的责任。
组织可能有需要在不同情况使用不同形式的机密或保密协议。
控制
应与有关单位维持适当的联系
实施指南
组织应有指定若怀疑可能违反法律时,何时与有关单位(如执法单位、消防单位、主管单位)联系,如何及时通报已识别的信息安全事故的合适程序。
被网际网络攻击的组织可能需要外部第三方(如网络服务提供者或通讯操作员)采取行动以对抗攻击来源。
其它信息
维持该种联系可能是支持信息安全事故管理(13.2)或业务连续性与应变规划(14)的一项要求。与管理单位的联系也是必要的,可为预期和即将到来的、组织必须符合的法律或管理规定变更作准备。与其它包括公用事业、紧急服务、及健康与安全部门等单位联系,如消防单位(与业务连续性有关,见14) 、电信运营商(与线路/路由和可用性有关) 、水供应公司(与设备的冷却设施有关) 。
相关产品推荐