ISO27001标准附录“A.6信息安全组织”解析
ISO27001标准附录 A.6.1 内部组织
【内容解析】
通过高层管理者的支持和协调,基于组织的文化、业务目标和要求在组织内实施信息安全管理。
ISO27001标准附录 A.6.1.1 信息安全的管理承诺
【内容解析】
管理承诺体现了高层管理对信息安全管理的领导力。管理层的基本承诺见本标准的5.1条款。
ISO27001标准附录 A.6.1.2 信息安全协调
【内容解析】
信息安全工作需要在各部门或不同的领域间协调,有关信息安全的考虑和工作应有一种沟通及驱动机制,如建立跨部门的协调机构或安全负责人会议。协调程度与组织的规模有关联,对于一个小型组织可能没有明确的协调组,关键点是规定责任人。
ISO27001标准附录 A.6.1.3 信息安全职责的分配
【内容解析】
信息安全的职责应在组织内分配并针对所涉及的岗位以书面的方式做出规定(如,岗位职责说明)。安全管理职责的规范应从最直接的角色作为起点并扩展到相关层面的岗位。
ISO27001标准附录 A.6.1.4 信息处理设施的授权过程
【内容解析】
对于新的信息处理设施(包括个人的信息处理设备)或更新的设备进入组织的网络和业务环境,管理层应制定并发布一个正式的授权过程,向下可贯彻到部门级。授权应在运行管理和技术两方面把控。
ISO27001标准附录 A.6.1.5 保密性协议
【内容解析】
组织应按适用的法律规定编制保密协议或不泄密协议并在一定范围内要求相关人员签署,以保护机密信息。管理层应咨询内部或外部的法律专家或顾问以确保这种类型的协议是恰当准确的,并反映了组织的要求。保密协议的要求应定期评审,以适应组织信息保护的需要。
保密协议可适用于内部人员或外部相关方及人员。
ISO27001标准附录 A.6.1.6 与政府部门的联系
【内容解析】
政府部门指警方、消防、安全和司法单位等。组织应与本地的这些有关安全的部门建立并保持联系,以便确保能对负面或重大事件的发生做出快速响应。
ISO27001标准附录 A.6.1.7 与特定利益集团的联系
【内容解析】
组织内从事信息安全的人员应与信息安全相关的特定机构(如行业协会、安全监控中心等)建立联系,以便获得有关信息安全的动态信息并使之受益于本组织。
ISO27001标准附录 A.6.1.8 信息安全的独立评审
【内容解析】
独立评审指独立于评审范围而又具有一定信息安全管理经验、知识或技能的人员对组织信息安全管理所进行的评审。由于一个组织的信息安全管理资源的限制,执行独立评审的人员也可能来自于组织外部的专家或第三方人员。为确保控制措施和安全防护的有效性和适用性,管理层应在计划的周期或当环境或业务运行发生较大变更时协调资源或结合内部审核对信息安全管理的实践(包括方针、控制目标、措施、过程和规程等的实施情况)进行评审。这里是否需要调集外部资源(如,评估师或审核员)需要管理层做出决策,评判依靠组织内部的安全审核是否已经足够。
ISO27001标准附录 A.6.2 外部各方
【内容解析】
为方便业务活动,外部相关方往往需要对组织的信息和信息处理设施进行访问,沟通信息并参与信息的处理,或许还有本组织的信息和信息处理设施处于外部方的管理之下,对此组织应有充分的安全准备,以确保信息和信息处理设施的安全。
ISO27001标准附录 A.6.2.1 与外部各方相关风险的识别
【内容解析】
在与外部组织合作开展业务前应识别信息安全风险,基于风险评估的结果,在合作业务运行前应安排并实施控制措施。
ISO27001标准附录 A.6.2.2 处理与顾客有关的安全问题
【内容解析】
在允许顾客访问组织的信息或资产之前,通过信息安全风险评估已经识别的风险应全部处理完成并验证满足要求。
ISO27001标准附录 A.6.2.3 处理第三方协议中的安全问题
【内容解析】
外部第三方在访问、处理或交流组织的信息、访问组织的信息处理设施或在信息处理设施中增加产品或服务前要预先签订协议,其中应包含对信息安全的全部要求。可以就信息安全的要求单独签署协议,也可以将信息安全要求作为整个协议的组成部分。
