國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISO27001標準附錄 A.8.1 任用之前
【內(nèi)容解析】
有效的信息安全一定會關(guān)聯(lián)到人員及其行為。應(yīng)使各類人員在被任用前理解其在信息安全上的角色和職責(zé),并通過任用前的篩查和任用合同的條款等手段以降低人員對信息安全的風(fēng)險。
ISO27001標準附錄 A.8.1.1 角色和職責(zé)
【內(nèi)容解析】
訪問組織信息處理設(shè)施、接觸或使用組織信息的全體人員都應(yīng)承擔(dān)信息安全責(zé)任。組織的信息安全方針通常只是簡述信息安全的角色和職責(zé),在人力資源管理或各單位的人員管理文件(如,崗位職責(zé)說明)中應(yīng)詳細規(guī)定各類人員在信息安全方面負有的職責(zé)。
ISO27001標準附錄 A.8.1.2 審查
【內(nèi)容解析】
對所有待任用候選者(包括雇員、承包方人員和第三方人員)的背景都要進行審查,確保任用的職位和對組織的風(fēng)險是相協(xié)調(diào)的。通常任用候選者對組織保密和敏感信息的訪問范圍越深對其審查力度越嚴。對背景的審查應(yīng)與相關(guān)法規(guī)和具體的業(yè)務(wù)要求相一致。
ISO27001標準附錄 A.8.1.3 任用條款和條件
【內(nèi)容解析】
任用合同的條款和條件應(yīng)清晰地說明進入到本組織所要承擔(dān)的有關(guān)信息安全的職責(zé)。任用合同通常是較為復(fù)雜的法律文書,以保護組織的業(yè)務(wù)利益,包括組織對違反信息安全方針和要求而要采取的措施,有的條款甚至覆蓋了離職后一段時間的責(zé)任。
ISO27001標準附錄 A.8.2 任用中
【內(nèi)容解析】
使組織內(nèi)部和外部的各方人員了解其工作環(huán)境關(guān)聯(lián)的信息安全威脅、知曉對安全違規(guī)的處置,在業(yè)務(wù)運行中遵循安全方針、安全管理制度和規(guī)程,減少人為失誤。
ISO27001標準附錄 A.8.2.1 管理職責(zé)
【內(nèi)容解析】
管理層對制定、發(fā)布和監(jiān)督執(zhí)行信息安全方針策略、規(guī)程和指南以保護組織和員工的利益負有責(zé)任。為確保所有各方(內(nèi)部或外部的)都能理解、遵守發(fā)布的方針策略、規(guī)程和指南,管理層應(yīng)安排對安全方針策略的宣貫和執(zhí)行狀況進行監(jiān)督;如果信息處理設(shè)施的用戶未能清晰地意識到自身的信息安全職責(zé),那么管理層也就不能確保安全方針策略得到遵循。
ISO27001標準附錄 A.8.2.2 信息安全意識、教育和培訓(xùn)
【內(nèi)容解析】
組織信息處理設(shè)施的用戶(包括雇員、承包方人員、合作方人員和第三方人員)都應(yīng)接受針對其在組織內(nèi)的 角色和職能為具體目標的信息安全意識宣貫、教育或培訓(xùn)。培訓(xùn)意味著要培養(yǎng)新的概念并建立初步的基本技能;而教育則要提供相關(guān)的知識并進一步提升能力。
ISO27001標準附錄 A.8.2.3 紀律處理過程
【內(nèi)容解析】
針對違反信息安全方針策略和相關(guān)規(guī)定的員工,管理層要明確地規(guī)定、發(fā)布和執(zhí)行紀律處理措施和過程。紀律處理過程應(yīng)納入信息安全意識的宣貫中以產(chǎn)生警示作用。
ISO27001標準附錄 A.8.3 任用的終止或變化
【內(nèi)容解析】
內(nèi)部和外部各方人員的任用終止或任用狀況的改變需要按書面的管理規(guī)定進行,避免信息安全的負面后果。
ISO27001標準附錄 A.8.3.1 終止職責(zé)
【內(nèi)容解析】
當一個員工或組織信息處理設(shè)施的外部用戶被終止其職責(zé)或調(diào)動崗位時,管理層應(yīng)有明確的過程確保工作的 終止、交接或轉(zhuǎn)換,充分考慮到對信息安全的保障。
ISO27001標準附錄 A.8.3.2 資產(chǎn)的歸還
【內(nèi)容解析】
所有的內(nèi)部或是外部人員當其雇傭、協(xié)議或合同終止時都必須要求返還其所持有的全部組織資產(chǎn)(包括文件)。組織的管理文件或用人協(xié)議(或合同)的條款對此應(yīng)有明確的規(guī)定;屆時組織應(yīng)指派專人接受并查驗返還的資產(chǎn)。
ISO27001標準附錄 A.8.3.3 撤銷訪問權(quán)
【內(nèi)容解析】
員工或外部相關(guān)人員一旦被終止職責(zé)或個人狀況發(fā)生顯著變化時應(yīng)立即終止或消除其全部訪問權(quán),包括物理的和邏輯的。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信