ISO27001信息安全体系培训(条款A6-信息安全组织)..docVIP

ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施 (条款A6-信息安全组织 2009年11月 董翼枫(dongyifeng78@ 条款A6 信息安全组织 A6.1内部组织 ?目标: 在组织内管理信息安全。 ?应建立管理框架,以启动和控制组织范围内的信息安全的实施。?管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。 ?若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。 实施指南 ?管理者应: a确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中; b制定、评审、批准信息安全方针; c评审信息安全方针实施的有效性; d为安全启动提供明确的方向和管理者明显的支持; e为信息安全提供所需的资源; f批准整个组织内信息安全专门的角色和职责分配; g启动计划和程序来保持信息安全意识; h确保整个组织内的信息安全控制措施的实施是相互协调的(见A6.1.2。 ?管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。 ?根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会承担。 A6.1.2信息安全协调 信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行协调。 A6.1.2信息安全协调 ?典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员 、审核员和安全专员,以及保险、法律、人力资源、 IT 或风险管理等领域 专家的协调和协作。这些活动应: 确保安全活动的实施与信息安全方针相一致; 确定如何处理不符合项; 核准信息安全的方法和过程,例如风险评估、信息分类; 识别重大的威胁变更和暴露于威胁下的信息和信息处理设施; 评估信息安全控制措施实施的充分性和协调性; 有效地促进整个组织内的信息安全教育、培训和意识; 评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安 全事件。 ?如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织 规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单 A6.1.3信息安全职责的分配 所有的信息安全职责应予以清晰地定义。 A6.1.3信息安全职责的分配 ?信息安全职责的分配应和信息安全方针(见 A5相一致。各个资产的保护 和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补 充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特 定安全过程(诸如业务连续性计划的局部职责应予以清晰地定义。 ?分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们 仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执 行。 ?个人负责的领域要予以清晰地规定;特别是,应进行下列工作: 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义; 应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见 A7.1.2 ; 授权级别应清晰地予以定义,并形成文件。 A6.1.4信息处理设施的授权过程 ?新信息处理设施应定义和实施一个管理授权过程。 ?授权过程应考虑下列指南: 新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统 安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足; 若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容; 使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备处理业务信 息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。 A6.1.5保密性协议 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议 的要求。 A6.1.5保密性协议 ?保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄 露协议的要求,需考虑下列因素: a 定义 要保护的信息(如机密信息; b 协议的期望 持续时间 ,包括不确定的需要维持保密性的情形; c 协议终止时所需的 措施 ; d 为避免未授权信息泄露的签署者的 职责和行为 ; e 信息所有者、商业秘密和 知识产权 ,以及他们如何与机密信息保护相关联; f 机密信息的许可使用,及签署者使用信息的 权力 ; g 对涉及机密信息的活动的 审核和监视 权力; h 未授权泄露或机密信息破坏的 通知 和报告过程; i 关于协议终止时信息 归档或销毁 的条款; j 违反