是否适用文件和落实有效性测量(年度)A.5.1.2信息安全方针文件信息安全方针的评审《信息安全管理手册》条款9.3是是是是A.6.1.7 与特定权益团体的联系控制措施A.6.1.6与政府部门的联系控制措施应保持与政府相关部门的适当联系。A.6.1.5保密性协议控制措施应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。A.6.1.4信息处理设施的授权过程控制措施新信息处理设施应定义和实施一个管理授权过程。A.6.1.3信息安全职责的分配控制措施信息安全的管理承诺控制措施管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的信息安全。是是A.6.1.2信息安全协调应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。《信息安全管理手册》条款5.1《信息安全管理手册》条款5.3 1)《信息安全管理手册》条款4条款9.1所有的信息安全职责应予以清晰地定义。控制措施信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。是A.6信息安全组织A.6.1.1控制目标控制措施A.5 信息安全方针控制措施A.5.1.1A.5.1 信息安全方针目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。《信息安全管理手册》条款9.2《信息安全管理手册》条款4《系统 开 发与维 护管理制度》条款4《人 员 和物理环 境 信息安全管理制度》条款4.1.5条款4.2.1《信息安全管理手册》条款9.3内审或管理评审时评估 ,对 信息安全组织进行评审周 期:一年一次检 查 部门:内审小 组记 录 在 内审报 告 中 。信息安全方针文件应由管理者批 准 、发布并传 达 给 所有员 工和外 部相关方。是控制措施是A.6.2.2A.6.2.3A.7.1.1A.7.1.2处理与顾客有关的信息安全问题处理第三方协议中的信息安全问题《软件与信息管理制度》条款4.3抽查使用中的资产(设备,数据,软件等)是否在清单中。抽样频度:任意抽取一个系统,根据资产清单按百分之一抽样检查周期:一年一次检查部门:内审小组资产责任人控制措施是资产清单控制措施涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的信息安全要求。是控制措施应在允许顾客访问组织信息或资产之前处理所有确定的信息安全要求。A.7资产管理应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适...
