认证咨询

联系我们

深圳市安信达咨询有限公司 
电      话:+86 755-82800259
                +86 755-82800087
值班经理:13714167519(微信)
邮       箱:anxinda888#126.com  (#换@)
网      址:www.ts16949cn.com








ISO27001认证咨询您当前所在的位置:网站首页 > 认证咨询 > ISO27001认证咨询

ISO27001认证咨询——ISO27002:2013信息安全控制实用守则之信息安全组织

 
 
6 信息安全组织
6.1 内部组织
目标:建立一个管理框架,发起和控制组织内信息安全的实施和运行。
 
6.1.1 信息安全角色和职责(原 6.1.3)
控制措施
所有的信息安全职责应被定义和分配。
实施指南
信息安全职责的分配应和信息安全方针(见 5.1.1)相一致。各个资产的保护和执行特定安全过程的职责应被清晰的识别。信息安全风险管理活动的职责,特别是残余风险的接受被定义。这些职责应在必要时加以补充,为特定场所和信息处理设施提供更详细的指南。资产保护和执行特定安全过程的局部职责应予以清晰地定义。
 
分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并且他们应能够确定任何被委托的任务已被正确地执行。个人负责的领域要予以清晰地规定;特别是,应进行下列工作:
a) 资产和信息安全过程应予以识别并清晰地定义;
b) 应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见8.1.2);
c) 授权级别应清晰地予以定义,并形成文件;
d) 被指定为在信息安全领域能履行职责的个人,应在这个领域有能力并给出最新发展的机会;
e) 供应商关系信息安全方面的协调和监管应被确定并形成文档。
其它信息
许多组织任命一名信息安全管理人员全面负责信息安全的开发和实施,并支持控制措施的识别。然而,资源和实施控制措施的职责归于个别的管理人员。一种通常的做法是对每一资产指定一名所有人,他也就对该信息资产的日常保护负责。
 
6.1.2 职责分离(原 10.1.3)
控制措施
冲突的职责和权限应被分开,减少对组织资产未经授权或无意的修改或误用。
实施指南
应注意,在无授权或未被监测时,应使个人不能访问、修改或使用资产。事件的启动要与其授权分离。勾结的可能性应在设计控制措施时予以考虑。小型组织可能感到难以实现这种责任分割,但就可能性和可行性来说,该原则是适用的。如果难以分割,应考虑其他控制措施,例如对活动的监视、审计跟踪和管理监督应被考虑。
其它信息
职责分离是减小无意或有意滥用组织资产的一个方法。
 
6.1.3 与监管机构的联系(原 6.1.6)
控制措施
应与监管机构保持适当的联系。
实施指南
组织应有程序指明什么时候应当与哪个部门(例如,执法部门、监管团体、监管机构)联系,以及如何确认信息安全事件及时的报告(如,怀疑可能触犯了法律时)。
其它信息
来自互联网攻击下的组织,可能需要授权采取行动来抵制攻击源。保持这样的联系可能是支持信息安全事件管理(第 16)或业务连续性和应急计划过程(第 17)的要求。与监管团体的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做好准备。与其他监管部门的联系包括公共事业、应急服务、电力供应、健康和安全等。如,消防部门(业务连续性连接有关)、电信提供商(与路由连接性和可用性有关)、供水部门(与设备的冷却设施有关)。
 
6.1.4与特定利益集团的联系(原 6.1.7)
控制措施
与特殊权益团体、其他专业安全论坛和行业协会保持适当联系。
实施指南
应考虑成为特定利益集团或论坛的成员,以便:
a) 增进对最佳实践和最新相关安全信息的了解;
b) 确保当前的信息安全环境的了解是最近的和完整的;
c) 尽早收到关于攻击和脆弱性的预警、建议和补丁;
d) 获得信息安全专家的建议;
e) 分享和交换关于新的技术、产品、威胁或脆弱性的信息;
f)  提供处理信息安全事件时适当的联络点(见 16)。
其它信息
建立信息共享协议来改进安全问题的协作和协调。这种协议应识别出保护保密信息的要求。
 
6.1.5项目管理中的信息安全(新增)
控制措施
信息安全应融入项目管理中,与项目类型无关。
实施指南
信息安全应被集成到组织的项目管理方法中,以确保信息安全风险被识别并以项目的一部分被处理。这个一般应用到任何项目中,不管项目的性质,如,核心业务过程的项目、IT、设备管理和其它的支持过程。使用的项目管理方法应要求:
a) 信息安全目标包含在项目目标中;
b) 一个信息安全风险评估被执行在项目的早期阶段,以识别必要的控制措施;
c) 信息安全是应用项目方法所有阶段的一部分。
信息安全影响在所有项目中应被处理并定期评审。信息安全的职责应被定义并分配给
项目管理方法中定义的特定的角色。
 
6.2移动设备和远程工作
目标:确保远程工作和移动设备使用的安全。
 
6.2.1移动设备策略(原 11.7.1)
控制措施
一个策略和配套的安全措施应被采用,以管理使用移动设备带来的风险。
实施指南
当使用移动设备时,应特别小心以确保业务信息不被破坏。移动设备策略应考虑到在不受保护的环境下使用移动设备工作的风险。
移动设备策略应考虑:
a) 移动设备的注册;
b) 物理保护的要求;
c) 软件安装的限制;
d) 移动设备软件版本和应用补丁的要求;
e) 连接到信息服务的限制;
f) 访问控制;
g) 密码技术;
h) 恶意软件保护;
i) 远程禁用、删除或锁定;
j) 备份;
k) Web 服务和 web 应用的使用。
在公共场所、会议室和其它未受保护的区域使用移动设备时应特别小心。应保护在这些场所的设备避免未授权访问或泄露这些设施所存储和处理的信息,如,使用密码技术(见10)和强制使用秘密身份认证信息(见 9.2.4)。移动设备也应物理保护,避免被盗,尤其当离开(如,在汽车和其它运输形式、宾馆、会议中心和会议室)的时候。一个明确的程序应被建立,考虑法律、保险和组织的其它安全要求,在移动设备被盗或丢失的情况下。设备携带重要的、敏感的或关键的业务信息,不应离开无人看管,如果可能,应物理上锁带离或特殊锁应被使用来保护这个设备。对于使用移动计算设施的人员应安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且应实施控制措施。移动设备策略允许拥有移动设备的个人使用的地方,这个策略和相关安全测量也应考虑:
a) 设备个人和业务使用分离,包括使用软件来支持分离和保护个人设备上的业务数据;
b) 提供对业务信息的访问,仅当用户签署一个终端用户协议了解他们的职责之后(物理保护、软件更新等),宣布放弃业务数据的所有权、在设备被盗或丢失的情况下允许由组织远程擦去数据,或当不再被授权使用这个设备的时候。这个策略需要考虑隐私法。
其它信息
移动设备无线网络连接类似于其他类型的网络连接,但在确定控制措施时,应考虑两者的重要区别。典型的区别有:
a) 一些无线安全协议是不成熟的,并有已知的弱点;
b) 存储在移动设备上信息可能不能备份,因为受限的网络带宽和/或因为移动设备在规定的备份时间不能进行连接。移动设备通常共享普通的功能,如网络、互联网访问、e-mail 和文件处理,固定的使用设备。移动设备信息安全控制措施通常由采用那些固定使用设备和那些在组织附属建筑外的使用的威胁增加的设备。
 
6.2.2远程工作(原 11.7.2)
控制措施
应实施策略和配套的安全措施来保护信息被访问、被处理或被存储在远程工作站点。
实施指南
组织允许远程工作活动应发布一个策略,定义使用远程工作的条件和限制。被视为合适的和由法律允许的地方,应考虑下面的问题:
a) 远程工作场地的现有物理安全,要考虑到建筑物和本地环境的物理安全;
b) 推荐的物理的远程工作环境;
c) 通信安全要求,要考虑远程访问组织内部系统的需要、被访问的并且在通信链路
上传递的信息的敏感性,以及内部系统的敏感性;
d) 预防私有设备上处理和存储信息的虚拟桌面访问的规定
e) 未授权访问信息或由其它人使用住宿的资源的威胁,如,家人和朋友;
f) 家庭网络的使用和无线网络服务配置的要求或限制;
g) 针对私有设备开发的预防知识产权争论的策略和程序;
h) 法律禁止的对私有设备的访问(检查机器安全或在调查期间);
i) 使组织对雇员或外部团体用户私人拥有的工作站上的客户端软件负有责任的软件许可协议;
j) 恶意软件保护和防火墙要求。
要考虑的指南和安排应包括:
a) 当不允许使用不在组织控制下的私有设备时,对远程工作活动提供合适的设备和存储设施;
b) 确定允许的工作、工作小时数、可以保持的信息分类和授权远程工作者访问的内部系统和服务;
c) 提供适合的通信设备,包括使远程访问安全的方法;
d) 物理安全;
e) 有关家人和来宾访问设备和信息的规则和指南;
f) 硬件和软件支持和维护的规定;
g) 保险的规定;
h) 用于备份和业务连续性的程序;
i) 审计和安全监视;
j) 当远程工作活动终止时,撤销授权和访问权,并返回设备。
其它信息
远程工作指的是各种形式的办公室外面,包括非传统的工作环境, 如那些被称为“远程办公”,“灵活的工作场所”,“远程工作”和“虚拟网络” 环境。
 
 
 
***************************************************************************************************************************************************************************************************************************************

深圳市安信达咨询公司——23年老品牌国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!

在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!

 

因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。

公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。

公司有规范、完善的内部管理系统:

业内首家实行:

1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。

2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)

3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。

 

目前开展的ISO系列认证有:ISO9001认证ISO14001认证IATF16949认证ISO13485认证OHSAS18001认证QC080000认证AS9100认证HACCP认证ISO22000认证ISO27001认证ISO20000认证FSSC22000认证SA8000认证、ISO26000认证、ISO17025认证QS认证咨询英国BRC认证美国AIB认证TAPA认证ICTI认证ISO14604认证ISO50001认证等。点击标准查看详细信

为您服务的电话:0755-82800259,0755-82800087,24小时咨询电话:13714167519,甘先生,您的一个电话,我们将全力以赴!


联系我们
深圳市安信达咨询有限公司 (始于1996)          
0755-82800259      0755-82800087
值班经理:13714167519(微信) 甘经理
邮       箱:anxinda888@126.com  
Feedback我要留言
姓名 *
电话
Email
其他联系 如QQ等
留言内容 *
验证码
  
CHOOSE THE ANGEL STAR 企业管理咨询机构鱼龙混杂,如何选择适合自己企业的专业机构,日益成为企业发展道路上一个重要的课题!安信达咨询机构具有二十年中小企业管理诊断、咨询、培训、辅导一条龙服务经验。在当下急功近利社会环境,安信达不忘初衷、始终如一坚持 “提升管理,为客户创造价值”的理念,真正关注客户的需求,关注咨询给客户带来的价值。安信达咨询是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌咨询机构!安信达咨询机构是您最佳的企业管理顾问!