福建深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)
廣東深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)
5.1 信息分類
目標(biāo):確保信息資產(chǎn)得到恰當(dāng)?shù)谋Wo(hù)。
對(duì)信息進(jìn)行分類,顯示其用途、優(yōu)先程度和保護(hù)級(jí)別。
信息具有不同的敏感度和重要性。有些信息需要額外的保護(hù)和處置。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級(jí)別,并采取恰當(dāng)?shù)奶厥馓幹檬侄巍?/p>
5.1.1 分類原則
信息分類及相關(guān)的保護(hù)管理辦法應(yīng)符合分享信息或限制信息的要求,符合此類需要所帶來(lái)的相關(guān)后果,例如,對(duì)信息的未經(jīng)批準(zhǔn)的使用和毀壞??偠灾?,對(duì)信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個(gè)捷徑。要對(duì)數(shù)據(jù)分類系統(tǒng)的信息和輸出進(jìn)行標(biāo)示,以決定此類信息對(duì)單位而言其價(jià)值和敏感度的級(jí)別。同樣也可按照此類信息對(duì)單位的重要程度進(jìn)行分類標(biāo)示,例如,按照其完整性和可得性。
經(jīng)過(guò)一段時(shí)間之后,信息經(jīng)常不再敏感或重要,例如,在信息變成公開(kāi)信息之后。因此,要考慮這些方面,因?yàn)檫^(guò)細(xì)的分類會(huì)增加額外的費(fèi)用。分類知道大綱應(yīng)當(dāng)預(yù)測(cè)并承認(rèn)信息分類有時(shí)間性并歲政策變化而變化這一事實(shí)(見(jiàn)9.1)。
還要考慮分類范疇的標(biāo)號(hào)及其益處。太復(fù)雜的標(biāo)號(hào)系統(tǒng)用起來(lái)很費(fèi)勁,即不經(jīng)濟(jì)也不實(shí)用。在接觸和使用別單位的標(biāo)號(hào)系統(tǒng)時(shí)要注意,因?yàn)樗麄兊臉?biāo)號(hào)雖然和本單位的相同但含義可能完全不同。
對(duì)信息類事務(wù)(包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤)分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來(lái)的的制造者或的主管人員來(lái)完成。
5.1.2 信息標(biāo)示及攜帶
根據(jù)單位制定的分類原則,制定一整套信息標(biāo)識(shí)和操作流程是非常重要的。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。針對(duì)每個(gè)類別,所定義的操作流程要包括如下類型的信息處理活動(dòng):
- 復(fù)制
- 存儲(chǔ)
- 以郵件、傳真、電子郵件方式進(jìn)行的傳送
- 以聲音,包括移動(dòng)電話、語(yǔ)音郵件、答錄機(jī)等方式進(jìn)行的傳送
- 銷毀
含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。此標(biāo)示要求能夠反應(yīng)根據(jù)5.2.1條款進(jìn)行分類的類別。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報(bào)告、屏幕顯示、被記錄的媒體(包括磁帶、軟盤、光盤、錄音帶等)、電子消息和傳送等。
物理標(biāo)示通常是最恰當(dāng)?shù)臉?biāo)示。但是,有的信息資產(chǎn)如以電子方式存在的文件,不能對(duì)其進(jìn)行物理標(biāo)示,在此情況下需考慮對(duì)其進(jìn)行電子標(biāo)示。
六、個(gè)人信息安全守則
6.1 工作執(zhí)掌及資源的安全管理
目標(biāo):降低錯(cuò)誤、偷竊、欺騙或設(shè)備誤用的風(fēng)險(xiǎn)。
安全的權(quán)責(zé)應(yīng)當(dāng)在對(duì)員工進(jìn)行聘用的階段就開(kāi)始實(shí)施,還應(yīng)包括在合同中,并在以后員工的聘用期內(nèi)時(shí)時(shí)進(jìn)行監(jiān)督。
對(duì)潛在的待聘員工應(yīng)加以仔細(xì)充分的篩選(見(jiàn)6.1.2),特別是從事敏感工作的員工。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。
6.1.1 工作權(quán)責(zé)涵蓋的安全需求
單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明(見(jiàn)3.1)。這些要求包括實(shí)施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開(kāi)展特別安全程序或活動(dòng)時(shí)的具體權(quán)責(zé)。
6.1.2 人員任用政策
在單位終身職員申請(qǐng)工作時(shí),對(duì)其進(jìn)行資格審查。這應(yīng)當(dāng)包括如下內(nèi)容:
- 申請(qǐng)人是否具備充分的人品推薦材料,例如,可以是一份工作推薦,一份個(gè)人推薦
- 對(duì)申請(qǐng)人簡(jiǎn)歷的完整性和準(zhǔn)確性進(jìn)行檢查
- 對(duì)申請(qǐng)人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證
- 獨(dú)立的身份認(rèn)證(通過(guò)護(hù)照或相應(yīng)的身份證明材料)
工任命或提升員工時(shí),只要其涉及到接觸信息處理設(shè)備,特別是處理敏感信息的設(shè)備,如處務(wù)信息或其它高度機(jī)密的信息的設(shè)備,單位需要對(duì)該員工進(jìn)行信用調(diào)查。對(duì)握有大權(quán)的員工此類信用調(diào)查更要定期開(kāi)展。
對(duì)合同工和臨時(shí)工也要開(kāi)展類似的審查。如果上述人員通過(guò)中介機(jī)構(gòu)推薦給單位,則單位要和該機(jī)構(gòu)簽訂合同,在合同中載明該中介機(jī)構(gòu)要對(duì)被推薦人進(jìn)行審查責(zé)任,以及中介機(jī)構(gòu)在未對(duì)被推薦人進(jìn)行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時(shí)通知單位的必要程序。
管理人員要對(duì)那些新來(lái)的或沒(méi)有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。對(duì)所有員工的工作都要進(jìn)行定期審核,審核審批的程序有員工中的某位資深人士來(lái)制定。
管理人員應(yīng)當(dāng)認(rèn)識(shí)到其部下的個(gè)人環(huán)境會(huì)影響其工作。個(gè)人或財(cái)務(wù)上的問(wèn)題會(huì)影響他們的工作,導(dǎo)致行為或生活方式的改變及多次曠工;壓力或憂郁的表現(xiàn)可能導(dǎo)致欺詐、盜竊、錯(cuò)誤或其它安全問(wèn)題。對(duì)這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以解決。
6.1.3 保密協(xié)議
保密協(xié)議的目的是對(duì)信息的保密性加以說(shuō)明。雇員在受雇時(shí),應(yīng)和單位簽署保密協(xié)議,此協(xié)議為員工守則的一部分。
沒(méi)有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。
在雇傭合同或條款發(fā)生變動(dòng)時(shí),特別是員工要離開(kāi)單位或其合同到期時(shí),要對(duì)保密協(xié)議進(jìn)行審訂。
6.1.4 員工守則
該守則應(yīng)載明雇員在信息安全方面的職責(zé)。如有必要,這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時(shí)應(yīng)采取的行動(dòng)。
員工的合法職責(zé)和權(quán)利,例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé),應(yīng)得以清楚定義,并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。如有必要,員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi),而是可以延伸到單位以外或正常工作時(shí)間以外,例如在家工作的情況。(參見(jiàn)7.2.5 和 9.8.1)
6.2 教育訓(xùn)練
目標(biāo):確保使用者在日常工作中了解如何看待和關(guān)心信息安全,并支持單位的安全政策。
使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn),以將可能的安全風(fēng)險(xiǎn)降至限度。
6.2.1 信息安全的教育和培訓(xùn)
單位的所有職員,以及在必要情況下涉及的第三方用戶,都應(yīng)定期接受安全政策和流程方面的教育和培訓(xùn)。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制,以及正確使用信息處理設(shè)備方面的培訓(xùn),例如,登錄流程、軟件包的使用等。
6.3 易發(fā)事件及故障處理
目標(biāo):發(fā)生易發(fā)事件及故障時(shí)如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。
安全事故應(yīng)通過(guò)適當(dāng)?shù)墓芾砬辣M快加以回報(bào)。
所有員工和合同方都要認(rèn)識(shí)如何回報(bào)影響單位資產(chǎn)安全的不同類型的事故。發(fā)生事故后,他們要把所有看到或懷疑的事故盡快地報(bào)告給聯(lián)絡(luò)人。單位要建立正式的處罰條例來(lái)懲治違反安全規(guī)定的員工。要恰當(dāng)?shù)貙?duì)事故進(jìn)行處理,雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)(參見(jiàn)12.1.7)。
6.3.1 安全事故回報(bào)
發(fā)現(xiàn)安全事故后,應(yīng)立即通過(guò)適當(dāng)管理渠道回報(bào)。
要建立正規(guī)的回報(bào)流程和事故反應(yīng)流程,規(guī)定接到事故報(bào)告后應(yīng)采取的行動(dòng)。所有員工和合同方都應(yīng)認(rèn)識(shí)回報(bào)安全事故的操作流程,并被要求盡快加以回報(bào)。同時(shí),建立適當(dāng)?shù)姆答伭鞒虂?lái)確保這些安全事故在處理完畢之后處理結(jié)果得以反饋。發(fā)生過(guò)的安全事故可用作安全培訓(xùn)的例子,向使用者解釋會(huì)發(fā)生哪些事故,如何反應(yīng),及以后如何避免此類事件等(參見(jiàn)12.1.7)。
6.3.2 安全漏洞回報(bào)
要求信息服務(wù)用戶記錄并回報(bào)任何其覺(jué)察或懷疑存在的安全漏洞。他們要把這些漏洞或者報(bào)告給管理人員或者直接盡快報(bào)告給服務(wù)提供商。應(yīng)向使用者強(qiáng)調(diào),無(wú)論在何種情況下,他們都不要試圖對(duì)懷疑的漏洞進(jìn)行論證。這對(duì)他們自身有益處,因?yàn)樗麄冞M(jìn)行論證的行為有可能被誤認(rèn)為是潛在地錯(cuò)誤使用系統(tǒng)。
6.3.3 軟件功能障礙回報(bào)
要求建立并遵守軟件功能障礙回報(bào)流程??梢钥紤]采取如下行動(dòng):
- 問(wèn)題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄
- 如有可能,對(duì)電腦進(jìn)行隔離,并停止繼續(xù)使用。并馬上通知有關(guān)當(dāng)局。如需要對(duì)設(shè)備進(jìn)行檢查,在重新啟動(dòng)之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。使用的軟盤不得再在其它電腦上使用。
- 有關(guān)事故應(yīng)馬上回報(bào)給信息安全經(jīng)理。
6.3.4 從事故中學(xué)習(xí)
要求建立相應(yīng)機(jī)制,對(duì)事故或功能障礙的類型、級(jí)別和損失程度進(jìn)行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來(lái)限制未來(lái)事故的發(fā)生頻率、降低其危害和成本,并審訂安全審核流程。
6.3.5 違規(guī)處置流程
雇員如違反單位安全政策和流程,應(yīng)通過(guò)正式的違規(guī)處置流程加以處理(參見(jiàn)6.1.4和 12.1.7)。此類流程可用作警示,防止員工忽視單位的安全流程。此外,要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。
廣東深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)
深圳ISO27001認(rèn)證深圳ISO27001認(rèn)證概述ISO27001是國(guó)際信息安全管理體系標(biāo)準(zhǔn),也是目前的信息安全標(biāo)準(zhǔn)之一。ISO27001認(rèn)證是一種全球認(rèn)可的信……
東莞ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證辦理要求及過(guò)程
東莞ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證辦理要求及過(guò)程?hào)|莞ISO27000認(rèn)證:ISO27000信息安全體系認(rèn)證辦理要求及過(guò)程ISO27000是ISO/IEC JT……
佛山ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證申請(qǐng)要求及過(guò)程
佛山ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證申請(qǐng)要求及過(guò)程佛山ISO27000認(rèn)證 ISO27000信息安全體系認(rèn)證是國(guó)際公認(rèn)的信息安全管理標(biāo)準(zhǔn),也是……
ISO27000信息安全體系 深圳ISO27000體系認(rèn)證認(rèn)證流程及費(fèi)用
ISO27000信息安全體系 深圳ISO27000體系認(rèn)證認(rèn)證流程及費(fèi)用ISO27000信息安全體系:深圳ISO27000體系認(rèn)證認(rèn)證流程及費(fèi)用ISO27000信息安全體……
中企認(rèn)證咨詢網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn),各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開(kāi)展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易,調(diào)整經(jīng)濟(jì)結(jié)構(gòu),保護(hù)消費(fèi)者安全健康,構(gòu)建社會(huì)誠(chéng)信體系,參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí),自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念,正在朝著建立社會(huì)公信力高,有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開(kāi)展,為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。
中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠,證書(shū)真實(shí)有效,認(rèn)監(jiān)委可查,如有疑問(wèn),可點(diǎn)擊kaotong66.com了解詳情,竭誠(chéng)為您服務(wù)!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
本文標(biāo)題:福建深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)
本文地址:http://kaotong66.com/isos/202306/zs_4486.html