- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ISO27001:2013 控制项差距评分工具
编号 控制名称 控制措施 检查发现 评分
A.5 安全方针
信息安全方针
A.5.1
目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。
A.5.1.1 信息安全方针 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性
A.5.1.2 信息安全方针的评审
和有效性。
A.6 信息安全组织
内部组织
A.6.1
目标:应在组织内建立信息安全管理架构以启动和控制信息安全的实施。
A.6.1.1 信息安全的角色和职责 应全面定义和分配信息安全职责。
有冲突的职责和责任范围应加以分离,以减少对组织资产未经授权访问、无意修改
A.6.1.2 职责分离
或误用的机会。
A.6.1.3 与监管机构的联系 应与相关监管机构保持适当联系。
与特殊利益团体、其他专业安全协会或行业协会应保
A.6.1.4 与特殊利益团体的联系
持适当联系。
A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。
移动设备和远程办公
A.6.2
目标:应确保远程办公和使用移动设备的安全性。
A.6.2.1 移动设备策略 应采取安全策略和配套的安全措施管控使用移动设备带来的风险。
应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安
A.6.2.2 远程办公
全。
A.7 人力资源安全
任用前
A.7.1
目标:确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任。
根据相关法律、法规、道德规范,对所有应聘人员进行背景调查,调查应符合业务
A.7.1.1 人员筛选
需求、所访问的信息类别及已知风险。
A.7.1.2 任用条款和条件 与员工和承包方的合同协议应当规定他们对组织的信息安全责任。
任用中
A.7.2
目标:确保员工和合同方了解并履行他们的信息安全责任。
A.7.2.1 管理职责 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。
信息安全意识、教育与培 组织内所有员工、相关合同人员及合同方人员应接受适当的安全意识培训,并定期
A.7.2.2
训 更新与他们工作相关的组织策略及程序。
A.7.2.3 纪律处理过程 应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。
任用终止和变更
A.7.3
目标:在任用变更或中止过程保护组织利益
应定义信息安全责任和义务在任用终止或变更后仍然有效,并向员工和合同方传达
A.7.3.1 任用终止或变更的责任
并执行。
A.8 资产管理
资产的责任
A.8.1
目标:识别组织资产并确定适当的保护责任。
A.8.1.1 资产清单 应识别信息和信息处理设施的相关资产并制定和维护资产清单。
A.8.1.2 资产责任人 资产清单中应指定资产责任人。
应明确信息和信息处理设施相关资产的合理使用准
A.8.1.3 资产的合理使用
您可能关注的文档
- 企业为什么要实施ISO 27001信息安全管理体系.pdf
- ISO 27001 新版标准解析(2013版) - 谷安.pdf
- ISMS 信息安全技术基础模拟题.docx
- 2016年12月信息安全管理体系(ISMS)审核知识 试卷.pdf
- 2017年3月信息安全管理体系(ISMS)基础知识 试卷.pdf
- 2017年9月信息安全管理体系(ISMS)基础知识 试卷.pdf
- 2017年9月信息安全管理体系(ISMS)审核知识 试卷.pdf
- 2018年3月信息安全管理体系(ISMS)基础知识 试卷.pdf
- 2016年12月信息安全管理体系(ISMS)基础知识 试卷.pdf
- ISO27001标准详解(培训课件).pdf
文档评论(0)