國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國(guó):010-56542716
天津:022-27810977
國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國(guó):010-56542716
天津:022-27810977
常見(jiàn)問(wèn)題&知識(shí)園地
ISO27001標(biāo)準(zhǔn)附錄 A.8.1 任用之前
【內(nèi)容解析】
有效的信息安全一定會(huì)關(guān)聯(lián)到人員及其行為,。應(yīng)使各類人員在被任用前理解其在信息安全上的角色和職責(zé),并通過(guò)任用前的篩查和任用合同的條款等手段以降低人員對(duì)信息安全的風(fēng)險(xiǎn),。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.1 角色和職責(zé)
【內(nèi)容解析】
訪問(wèn)組織信息處理設(shè)施,、接觸或使用組織信息的全體人員都應(yīng)承擔(dān)信息安全責(zé)任。組織的信息安全方針通常只是簡(jiǎn)述信息安全的角色和職責(zé),,在人力資源管理或各單位的人員管理文件(如,,崗位職責(zé)說(shuō)明)中應(yīng)詳細(xì)規(guī)定各類人員在信息安全方面負(fù)有的職責(zé),。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.2 審查
【內(nèi)容解析】
對(duì)所有待任用候選者(包括雇員、承包方人員和第三方人員)的背景都要進(jìn)行審查,,確保任用的職位和對(duì)組織的風(fēng)險(xiǎn)是相協(xié)調(diào)的,。通常任用候選者對(duì)組織保密和敏感信息的訪問(wèn)范圍越深對(duì)其審查力度越嚴(yán)。對(duì)背景的審查應(yīng)與相關(guān)法規(guī)和具體的業(yè)務(wù)要求相一致,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.3 任用條款和條件
【內(nèi)容解析】
任用合同的條款和條件應(yīng)清晰地說(shuō)明進(jìn)入到本組織所要承擔(dān)的有關(guān)信息安全的職責(zé),。任用合同通常是較為復(fù)雜的法律文書(shū),以保護(hù)組織的業(yè)務(wù)利益,,包括組織對(duì)違反信息安全方針和要求而要采取的措施,,有的條款甚至覆蓋了離職后一段時(shí)間的責(zé)任。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2 任用中
【內(nèi)容解析】
使組織內(nèi)部和外部的各方人員了解其工作環(huán)境關(guān)聯(lián)的信息安全威脅,、知曉對(duì)安全違規(guī)的處置,,在業(yè)務(wù)運(yùn)行中遵循安全方針、安全管理制度和規(guī)程,,減少人為失誤,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.1 管理職責(zé)
【內(nèi)容解析】
管理層對(duì)制定、發(fā)布和監(jiān)督執(zhí)行信息安全方針策略,、規(guī)程和指南以保護(hù)組織和員工的利益負(fù)有責(zé)任。為確保所有各方(內(nèi)部或外部的)都能理解,、遵守發(fā)布的方針策略,、規(guī)程和指南,管理層應(yīng)安排對(duì)安全方針策略的宣貫和執(zhí)行狀況進(jìn)行監(jiān)督,;如果信息處理設(shè)施的用戶未能清晰地意識(shí)到自身的信息安全職責(zé),,那么管理層也就不能確保安全方針策略得到遵循。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.2 信息安全意識(shí),、教育和培訓(xùn)
【內(nèi)容解析】
組織信息處理設(shè)施的用戶(包括雇員,、承包方人員、合作方人員和第三方人員)都應(yīng)接受針對(duì)其在組織內(nèi)的 角色和職能為具體目標(biāo)的信息安全意識(shí)宣貫,、教育或培訓(xùn),。培訓(xùn)意味著要培養(yǎng)新的概念并建立初步的基本技能;而教育則要提供相關(guān)的知識(shí)并進(jìn)一步提升能力,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.3 紀(jì)律處理過(guò)程
【內(nèi)容解析】
針對(duì)違反信息安全方針策略和相關(guān)規(guī)定的員工,,管理層要明確地規(guī)定、發(fā)布和執(zhí)行紀(jì)律處理措施和過(guò)程,。紀(jì)律處理過(guò)程應(yīng)納入信息安全意識(shí)的宣貫中以產(chǎn)生警示作用,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3 任用的終止或變化
【內(nèi)容解析】
內(nèi)部和外部各方人員的任用終止或任用狀況的改變需要按書(shū)面的管理規(guī)定進(jìn)行,避免信息安全的負(fù)面后果,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.1 終止職責(zé)
【內(nèi)容解析】
當(dāng)一個(gè)員工或組織信息處理設(shè)施的外部用戶被終止其職責(zé)或調(diào)動(dòng)崗位時(shí),,管理層應(yīng)有明確的過(guò)程確保工作的 終止,、交接或轉(zhuǎn)換,充分考慮到對(duì)信息安全的保障,。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.2 資產(chǎn)的歸還
【內(nèi)容解析】
所有的內(nèi)部或是外部人員當(dāng)其雇傭,、協(xié)議或合同終止時(shí)都必須要求返還其所持有的全部組織資產(chǎn)(包括文件)。組織的管理文件或用人協(xié)議(或合同)的條款對(duì)此應(yīng)有明確的規(guī)定,;屆時(shí)組織應(yīng)指派專人接受并查驗(yàn)返還的資產(chǎn),。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.3 撤銷訪問(wèn)權(quán)
【內(nèi)容解析】
員工或外部相關(guān)人員一旦被終止職責(zé)或個(gè)人狀況發(fā)生顯著變化時(shí)應(yīng)立即終止或消除其全部訪問(wèn)權(quán),包括物理的和邏輯的,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信