款项控制目标控制项描述合计A .52A .5.1A .5.1.1信息安全方针文件信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。A .5.1.2 信息安全方针的评审宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。A .611A .6.1A .6.1.1 信息安全的管理承诺管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。A .6.1.2 信息安全协调信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。A .6.1.3信息安全职责的分配所有的信息安全职责应予以清晰地定义。A.6.1.4 信息处理设施的授权过程应为新的信息处理设施定义和实施一个管理授权过程。A .6.1.5 保密性协议应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。A .6.1.6 与政府部门的联系应保持与政府相关部门的适当联系。A .6.1.7 与特定利益集团的联系应保持与特殊利益集团、其他安全专家组和专业协会的适当联系。A .6.1.8 信息安全的独立评审组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和规程)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。A .6.2A .6.2.1与外部各方相关风险的识别应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。A .6.2.2处理与顾客有关的安全问题应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A .6.2.3处理第三方协议中的安全问题涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全需求。A .75A .7.1A .7.1.1 资产清单应清晰的识别所有资产,编制并维护所有重要资产的清单。A .7.1.2 资产责任人与信息处理设施有关的所有信息和资产应由组织的指定部门和人员承担责任。A .7.1.3 资产的可接受使用与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施。A .7.2A .7.2.1 分类指南信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。A .7.2.2 信息的标记和处理应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理规程。A .89外部伙伴资产管理人力资源安全信息安全方针信息安全组织内部组织信息安全方针资产责任信息分...
