ISO27001標(biāo)準(zhǔn)附錄“A.6信息安全組織”解析

2019/3/8 15:21:56 次

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1　內(nèi)部組織

　　【內(nèi)容解析】

　　通過(guò)高層管理者的支持和協(xié)調(diào)，基于組織的文化、業(yè)務(wù)目標(biāo)和要求在組織內(nèi)實(shí)施信息安全管理。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.1　信息安全的管理承諾

　　【內(nèi)容解析】

　　管理承諾體現(xiàn)了高層管理對(duì)信息安全管理的領(lǐng)導(dǎo)力。管理層的基本承諾見(jiàn)本標(biāo)準(zhǔn)的5.1條款。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.2　信息安全協(xié)調(diào)

　　【內(nèi)容解析】

　　信息安全工作需要在各部門(mén)或不同的領(lǐng)域間協(xié)調(diào)，有關(guān)信息安全的考慮和工作應(yīng)有一種溝通及驅(qū)動(dòng)機(jī)制，如建立跨部門(mén)的協(xié)調(diào)機(jī)構(gòu)或安全負(fù)責(zé)人會(huì)議。協(xié)調(diào)程度與組織的規(guī)模有關(guān)聯(lián)，對(duì)于一個(gè)小型組織可能沒(méi)有明確的協(xié)調(diào)組，關(guān)鍵點(diǎn)是規(guī)定責(zé)任人。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.3　信息安全職責(zé)的分配

　　【內(nèi)容解析】

　　信息安全的職責(zé)應(yīng)在組織內(nèi)分配并針對(duì)所涉及的崗位以書(shū)面的方式做出規(guī)定(如，崗位職責(zé)說(shuō)明)。安全管理職責(zé)的規(guī)范應(yīng)從最直接的角色作為起點(diǎn)并擴(kuò)展到相關(guān)層面的崗位。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.4　信息處理設(shè)施的授權(quán)過(guò)程

　　【內(nèi)容解析】

　　對(duì)于新的信息處理設(shè)施(包括個(gè)人的信息處理設(shè)備)或更新的設(shè)備進(jìn)入組織的網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境，管理層應(yīng)制定并發(fā)布一個(gè)正式的授權(quán)過(guò)程，向下可貫徹到部門(mén)級(jí)。授權(quán)應(yīng)在運(yùn)行管理和技術(shù)兩方面把控。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.5　保密性協(xié)議

　　【內(nèi)容解析】

　　組織應(yīng)按適用的法律規(guī)定編制保密協(xié)議或不泄密協(xié)議并在一定范圍內(nèi)要求相關(guān)人員簽署，以保護(hù)機(jī)密信息。管理層應(yīng)咨詢內(nèi)部或外部的法律專家或顧問(wèn)以確保這種類型的協(xié)議是恰當(dāng)準(zhǔn)確的，并反映了組織的要求。保密協(xié)議的要求應(yīng)定期評(píng)審，以適應(yīng)組織信息保護(hù)的需要。

　　保密協(xié)議可適用于內(nèi)部人員或外部相關(guān)方及人員。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.6　與政府部門(mén)的聯(lián)系

　　【內(nèi)容解析】

　　政府部門(mén)指警方、消防、安全和司法單位等。組織應(yīng)與本地的這些有關(guān)安全的部門(mén)建立并保持聯(lián)系，以便確保能對(duì)負(fù)面或重大事件的發(fā)生做出快速響應(yīng)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.7　與特定利益集團(tuán)的聯(lián)系

　　【內(nèi)容解析】

　　組織內(nèi)從事信息安全的人員應(yīng)與信息安全相關(guān)的特定機(jī)構(gòu)(如行業(yè)協(xié)會(huì)、安全監(jiān)控中心等)建立聯(lián)系，以便獲得有關(guān)信息安全的動(dòng)態(tài)信息并使之受益于本組織。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.1.8　信息安全的獨(dú)立評(píng)審

　　【內(nèi)容解析】

　　獨(dú)立評(píng)審指獨(dú)立于評(píng)審范圍而又具有一定信息安全管理經(jīng)驗(yàn)、知識(shí)或技能的人員對(duì)組織信息安全管理所進(jìn)行的評(píng)審。由于一個(gè)組織的信息安全管理資源的限制，執(zhí)行獨(dú)立評(píng)審的人員也可能來(lái)自于組織外部的專家或第三方人員。為確保控制措施和安全防護(hù)的有效性和適用性，管理層應(yīng)在計(jì)劃的周期或當(dāng)環(huán)境或業(yè)務(wù)運(yùn)行發(fā)生較大變更時(shí)協(xié)調(diào)資源或結(jié)合內(nèi)部審核對(duì)信息安全管理的實(shí)踐(包括方針、控制目標(biāo)、措施、過(guò)程和規(guī)程等的實(shí)施情況)進(jìn)行評(píng)審。這里是否需要調(diào)集外部資源(如，評(píng)估師或?qū)徍藛T)需要管理層做出決策，評(píng)判依靠組織內(nèi)部的安全審核是否已經(jīng)足夠。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.2　外部各方

　　【內(nèi)容解析】

　　為方便業(yè)務(wù)活動(dòng)，外部相關(guān)方往往需要對(duì)組織的信息和信息處理設(shè)施進(jìn)行訪問(wèn)，溝通信息并參與信息的處理，或許還有本組織的信息和信息處理設(shè)施處于外部方的管理之下，對(duì)此組織應(yīng)有充分的安全準(zhǔn)備，以確保信息和信息處理設(shè)施的安全。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.2.1　與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別

　　【內(nèi)容解析】

　　在與外部組織合作開(kāi)展業(yè)務(wù)前應(yīng)識(shí)別信息安全風(fēng)險(xiǎn)，基于風(fēng)險(xiǎn)評(píng)估的結(jié)果，在合作業(yè)務(wù)運(yùn)行前應(yīng)安排并實(shí)施控制措施。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.2.2　處理與顧客有關(guān)的安全問(wèn)題

　　【內(nèi)容解析】

　　在允許顧客訪問(wèn)組織的信息或資產(chǎn)之前，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估已經(jīng)識(shí)別的風(fēng)險(xiǎn)應(yīng)全部處理完成并驗(yàn)證滿足要求。

　　ISO27001標(biāo)準(zhǔn)附錄 A.6.2.3　處理第三方協(xié)議中的安全問(wèn)題

　　【內(nèi)容解析】

　　外部第三方在訪問(wèn)、處理或交流組織的信息、訪問(wèn)組織的信息處理設(shè)施或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)前要預(yù)先簽訂協(xié)議，其中應(yīng)包含對(duì)信息安全的全部要求。可以就信息安全的要求單獨(dú)簽署協(xié)議，也可以將信息安全要求作為整個(gè)協(xié)議的組成部分。