【精品推荐】ISO27001信息安全管理体系全套文件

1评审不符合; 2确定不符合的原因;

3确定类似的不符合是否存在,或可能发生; c实施需要的措施;

d评审所采取的纠正措施的有效性; e必要时,对信息安全管理体系进行变更。

纠正措施应与所遇到的不符合的影响程度相适应。 组织应保留文件化信息作为以下方面的证据: f不符合的性质及所采取的后续措施; g纠正措施的结果。 10.2 持续改进

组织应持续改进信息安全管理体系的适宜性、充分性和有效性。 附录A(规范性附录 参考控制目标和控制措施

表A.1所列的控制目标和控制措施是直接源自并与ISO/IEC DIS 27002[1]第5到18章一致,并在6.1.3环境中被使用。

表A.1 控制目标和控制措施 A.5 信息安全方针和策略(POLICES A.5.1 信息安全管理指导

目标:依据业务要求和相关法律法规为信息安全提供管理指导和支持。 A.5.1.1 信息安全方针和策略控制措施

信息安全方针和策略应由管理者批准、发布并传 达给所有员工和外部相关方。

A.5.1.2 信息安全方针和策略的评审控制措施 应按计划的时间间隔或当重大变化发生时进行信 息安全方针和策略评审,以确保其持续的适宜性、 充分性和有效性。 A.6 信息安全组织 A.6.1 内部组织

目标:建立一个管理框架,以启动和控制组织内信息安全的实施和运行。 A.6.1.1 信息安全角色和职责控制措施 所有的信息安全职责应予以定义和分配。 A.6.1.2 责任分割控制措施

应分割冲突的责任和职责范围,以降低未授权或 无意的修改或者不当使用组织资产的机会。 A.6.1.3 与政府部门的联系控制措施 应保持与政府相关部门的适当联系。 A.6.1.4 与特定相关方的联系控制措施

应保持与特定相关方、其他专业安全论坛和专业 协会的适当联系。

A.6.1.5 项目管理中的信息安全控制措施 应解决项目管理中的信息安全问题,无论项目类 型。

A.6.2 移动设备和远程工作

目标:确保远程工作和移动设备使用的安全。 A.6.2.1 移动设备策略控制措施

应采用策略和支持性安全措施以管理使用移动设 备时带来的风险。 A.6.2.2 远程工作控制措施

应实施策略和支持性安全措施以保护在远程工作 地点访问、处理或存储的信息。 A.7 人力资源安全 A.7.1 任用前

目标:确保员工和承包方理解其职责,并适合其角色。 A.7.1.1 审查控制措施

对所有任用候选者的背景验证核查应按照相关法 律法规和道德规范进行,并与业务要求、访问信

息的等级(8.2和察觉的风险相适宜。 A.7.1.2 任用条款及条件控制措施

应在员工和承包商的合同协议中声明他们和组织 对信息安全的职责。 A.7.2 任用中

目标:确保员工和承包方意识到并履行其信息安全职责。 A.7.2.1 管理职责控制措施

管理者应要求所有员工和承包商按照组织已建立 的方针策略和规程应用信息安全。

A.7.2.2 信息安全意识、教育和培训控制措施 组织所有员工,适当时包括承包商,应接受与其 工作职能相关的适宜的意识教育和培训,及组织 方针策略及规程的定期更新的信息。 A.7.2.3 纪律处理过程控制措施

应建立正式的且被传达的纪律处理过程以对信息 安全违规的员工采取措施。 A.7.3 任用的终止和变更

目标:在任用变更或终止过程中保护组织的利益。(PART未体现 A.7.3.1 任用职责的终止或变更控制措施