ISMS信息安全管理体系遵从性控制.docVIP

PAGE / NUMPAGES ISMS信息安全管理体系遵从性 遵守法律要求 目标：避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。 对信息系统的设计、操作、使用和管理可能要根据法律、法规和合同的安全要求。 详细而精确的法律要求方面的建议应该从组织的法律顾问，或者合格的法律从业人员处获得。从一个国家到另一个国家以及对于在一个国家产生的信息传送到另一国家（例如：跨国信息流动）的法律要求会有所不同。 1．识别现行的法律 所有相关法律、法规和合同的要求应该针对每一个信息系统进行详细的定义和纪录。为满足这些要求而采取的控制措施和规定的个人责任相似的也应该进行详细的定义和纪录。 2． 知识产权（IPR） (1) 版权 在使用可能与知识产权，如：版权、设计权、商标权相关的材料时，应采取适当程序来确保遵守法律规定。侵犯版权的行为可能导致法律诉讼甚至刑事诉讼。 法律、法规和合同的要求可能对使用专利产品进行了限制。在某些情况下，法律、法规可能规定只有组织自己开发、或者取得了许可证或者由开发者提供给组织的产品，才能被使用。 (2) 软件版权 专利软件产品通常在许可协议下被提供，将产品的使用限制在特定的机器上，并且复制也只能用于备份。下面的控制措施应当被考虑： 公布一个软件版权遵守方针，定义对软件和信息产品的合法使用； 为取得软件产品的程序制定标准； 保持对软件版权和取得方针的注意，并提请注意：如果员工违反规定将受到惩罚； 保持适当的资产记录； 保有对拥有许可证、母盘和手册等权利的证据； 执行控制措施来确保任何产品使用者的数量都没有超过限制； 进行检查以确保只有经受权的软件和取得许可证的产品才能被安装； 为保证适当的许可证环境制订一个方针； 为处理和传递软件给他人制订一个方针； 使用恰当的审计工具； 遵守从公共网络取得软件和信息的条款和条件。（同样的看8.7.6）。 3. 保护组织纪录 组织的重要记录应该被保护以防止丢失、毁坏和被篡改。如同支持基本的商业活动一样，一些记录可能需要被安全的保留，以达到法律或法规的要求。相应的例子是一些被作为证据的记录，证明组织在法律、法规的范围内运营，或者确保足以防止潜在的民事、刑事诉讼，或者确认与股东、合作伙伴和审计人员相关的财务数据。信息的内容和保留的时间可能由国家法律、法规规定。 记录应该被划分为不同种类，如：财务记录、数据库记录、处理日志、审计日志和操作程序，每一种记录都应详细规定保存期限和存储媒体的种类，如：纸、微缩胶片、磁介质、光介质。任何与加密文档和数字签名相关的密钥（看10.3.2和10.3.3）应该被安全的保管并在需要时能被经受权的人获得。 应考虑到用于存储记录的媒体的损坏问题。应根据生产商的建议来执行存储和持有程序。 一旦选择了电子存储媒体，应建立程序确保在整个保存期间对数据具有访问能力（储存媒体和储存格式的可读性），防止由于未来技术变化造成的数据丢失。 应该选择这种数据存储系统，使所要求的数据能够以一种法庭所接受的方式被找回，如：所有被要求的数据能够被以可接受的时间结构和可接受的存储格式找回。 存储和持有系统应该确保记录的明确分类和法律、法规所要求的保留其间。在该期间届满后，如果这些记录组织不需要，应该能够对这些数据以恰当的方式销毁。 为了履行这些责任，下面的步骤应该在组织内采用： 应该公布保留、存储、持有、和处理记录与信息的指导原则。 应该草拟一个保留时间表来确认基本记录种类和它们应该被保留的时间。 应该保留一个关键信息资源的详细目录。 应该执行恰当的控制措施来保护基本记录和信息，防止丢失、损坏和被篡改。 4. 数据保护和个人信息隐私 一些国家已经制定法律对个人数据的处理和传送进行控制（与个人有关的信息，人们可以通过这些信息确认他的身份）。这类控制措施可能对收集、处理和传播个人信息设置了义务，并且可能对从一个国家到另一个国家传递这类数据设置了限制。 遵守数据保护法需要适当的管理结构和控制。通常，最好的做法是由一个数据保护专员来进行指导，他应该针对管理者、使用者、和服务提供商的个人责任和应该遵守的详细程序提供指导。为了维护在结构性文件中的个人数据，并且确保意识到定义在相关法律中的数据保护原则，将相关建议告诉数据保护专员应该是信息所有者的责任。 5. 防止对信息处理设备的滥用 组织的信息处理设备是为了商业目的而提供的。管理层应该对信息设备的使用进行授权。在没有得到管理层的同意时，任何出于非商业或非经授权目的的使用，都应该被看作不适当得使用设备。如果这类活动通过监督或者其他途径被确认，就应该引起人员管理者的注意，考虑对此进行适当的惩罚。 使用监督措施的合法性在不同的国家情况是不同的，并且可能要求事先通知雇员或者得到他们的同意。在实施监督程序前，应该听取法律建议。 许多国家已经制定