國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識(shí)園地
ISO27001標(biāo)準(zhǔn)附錄 A.8.1 任用之前
【內(nèi)容解析】
有效的信息安全一定會(huì)關(guān)聯(lián)到人員及其行為。應(yīng)使各類人員在被任用前理解其在信息安全上的角色和職責(zé),,并通過任用前的篩查和任用合同的條款等手段以降低人員對(duì)信息安全的風(fēng)險(xiǎn),。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.1 角色和職責(zé)
【內(nèi)容解析】
訪問組織信息處理設(shè)施、接觸或使用組織信息的全體人員都應(yīng)承擔(dān)信息安全責(zé)任,。組織的信息安全方針通常只是簡述信息安全的角色和職責(zé),,在人力資源管理或各單位的人員管理文件(如,崗位職責(zé)說明)中應(yīng)詳細(xì)規(guī)定各類人員在信息安全方面負(fù)有的職責(zé),。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.2 審查
【內(nèi)容解析】
對(duì)所有待任用候選者(包括雇員,、承包方人員和第三方人員)的背景都要進(jìn)行審查,確保任用的職位和對(duì)組織的風(fēng)險(xiǎn)是相協(xié)調(diào)的,。通常任用候選者對(duì)組織保密和敏感信息的訪問范圍越深對(duì)其審查力度越嚴(yán),。對(duì)背景的審查應(yīng)與相關(guān)法規(guī)和具體的業(yè)務(wù)要求相一致。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.3 任用條款和條件
【內(nèi)容解析】
任用合同的條款和條件應(yīng)清晰地說明進(jìn)入到本組織所要承擔(dān)的有關(guān)信息安全的職責(zé),。任用合同通常是較為復(fù)雜的法律文書,,以保護(hù)組織的業(yè)務(wù)利益,包括組織對(duì)違反信息安全方針和要求而要采取的措施,,有的條款甚至覆蓋了離職后一段時(shí)間的責(zé)任,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2 任用中
【內(nèi)容解析】
使組織內(nèi)部和外部的各方人員了解其工作環(huán)境關(guān)聯(lián)的信息安全威脅,、知曉對(duì)安全違規(guī)的處置,,在業(yè)務(wù)運(yùn)行中遵循安全方針、安全管理制度和規(guī)程,,減少人為失誤,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.1 管理職責(zé)
【內(nèi)容解析】
管理層對(duì)制定、發(fā)布和監(jiān)督執(zhí)行信息安全方針策略,、規(guī)程和指南以保護(hù)組織和員工的利益負(fù)有責(zé)任,。為確保所有各方(內(nèi)部或外部的)都能理解、遵守發(fā)布的方針策略,、規(guī)程和指南,,管理層應(yīng)安排對(duì)安全方針策略的宣貫和執(zhí)行狀況進(jìn)行監(jiān)督;如果信息處理設(shè)施的用戶未能清晰地意識(shí)到自身的信息安全職責(zé),,那么管理層也就不能確保安全方針策略得到遵循,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.2 信息安全意識(shí)、教育和培訓(xùn)
【內(nèi)容解析】
組織信息處理設(shè)施的用戶(包括雇員,、承包方人員,、合作方人員和第三方人員)都應(yīng)接受針對(duì)其在組織內(nèi)的 角色和職能為具體目標(biāo)的信息安全意識(shí)宣貫,、教育或培訓(xùn)。培訓(xùn)意味著要培養(yǎng)新的概念并建立初步的基本技能,;而教育則要提供相關(guān)的知識(shí)并進(jìn)一步提升能力,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.3 紀(jì)律處理過程
【內(nèi)容解析】
針對(duì)違反信息安全方針策略和相關(guān)規(guī)定的員工,管理層要明確地規(guī)定,、發(fā)布和執(zhí)行紀(jì)律處理措施和過程,。紀(jì)律處理過程應(yīng)納入信息安全意識(shí)的宣貫中以產(chǎn)生警示作用。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3 任用的終止或變化
【內(nèi)容解析】
內(nèi)部和外部各方人員的任用終止或任用狀況的改變需要按書面的管理規(guī)定進(jìn)行,,避免信息安全的負(fù)面后果,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.1 終止職責(zé)
【內(nèi)容解析】
當(dāng)一個(gè)員工或組織信息處理設(shè)施的外部用戶被終止其職責(zé)或調(diào)動(dòng)崗位時(shí),管理層應(yīng)有明確的過程確保工作的 終止,、交接或轉(zhuǎn)換,,充分考慮到對(duì)信息安全的保障。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.2 資產(chǎn)的歸還
【內(nèi)容解析】
所有的內(nèi)部或是外部人員當(dāng)其雇傭,、協(xié)議或合同終止時(shí)都必須要求返還其所持有的全部組織資產(chǎn)(包括文件),。組織的管理文件或用人協(xié)議(或合同)的條款對(duì)此應(yīng)有明確的規(guī)定;屆時(shí)組織應(yīng)指派專人接受并查驗(yàn)返還的資產(chǎn),。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.3 撤銷訪問權(quán)
【內(nèi)容解析】
員工或外部相關(guān)人員一旦被終止職責(zé)或個(gè)人狀況發(fā)生顯著變化時(shí)應(yīng)立即終止或消除其全部訪問權(quán),,包括物理的和邏輯的。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信