表A.1 控制目标和控制措施 A.5 安全方针 A.5.1 信息安全方针 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 A.5.1.1 信息安全方针文件 控制措施 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 A.5.1.2 信息安全方针的评审 控制措施 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。 A.6 信息安全组织 A.6.1 内部组织 目标:在组织内管理信息 A.6.1.1 信息安全的管理承诺 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。 A.6.1.2 信息安全协调 控制措施 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 A.6.1.3 信息安全职责的分配 控制措施 所有的信息安全职责应予以清晰地定义。 A.6.1.4 信息处理设施的授权过程 控制措施 新信息处理设施应定义和实施一个管理授权过程。 A.6.1.5 保密性协议 控制措施 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 A.6.1.6 与政府部门的联系 控制措施 应保持与政府相关部门的适当联系。 A.6.1.7 与特定利益团体的联系 控制措施 应保持与特定利益团体、其他安全专家组和专业协会的适当联系。 A.6.1.8 信息安全的独立 评审 控制措施 组织管理信息安全的方法及其实施( 例 如 信息安全的控制目标、控制措施、策 略 、过程和程序 ) 应按计划的时间间隔进行独 立 评审,当安全实施发生重大变化时,也 要进行独 立 评审。 A.6.2 外部各 方 目标:保持组织的被 外部各 方访 问 、处理、管理或与外部进行通信的信息和信息处理设施的安全。 A.6.2.1 与外部各 方相关风 险 的识别 控制措施 应识别涉 及外部各 方业务过程中 组织的信息和信息处理设施的风 险 ,并在允 许 访 问 前 实施适当的控制措施。 A.6.2.2 处理与顾 客 有关的安全问 题 控制措施 应在允 许 顾 客 访 问 组织信息或资 产 之 前 处理所有确定的安全要求。 A.6.2.3 处 理 第 三 方 协议 中 的 安 全 问题 控 制 措 施 涉 及 访 问 、 处 理 或 管 理 组 织 的 信 息 或 信 息 处 理 设 施 以 及 与 之 通 信 的 第三 方 协 议 , 或 在 信 息 处 理 设 施 中 增 加 ...
