1 1 安全策略 章节号 标题 控制项 结果 结论 1 安全策略 审计问题 发现 符合性 1.1 信息安全策略 1.1.1 信息安全策略文档 信息安全策略应陈述管理层承担的义务并展示组织管理信息安全的方法。策略文档应包含的陈述包含: a)信息安全的定义,总体目标和范畴以及作为促使信息共享机制的安全的重要性。 b)支持符合业务战略和目标的信息安全目标和原则。 c)建立安全控制目标和控制过程的体系,包括风险评估和风险管理。 d)对信息安全策略、原则、标准的简要解释,以及对组织特别重要需求的遵循,包括: 1、符合法律、规章和合约的需求; 2、安全教育、培训、意识的需求; 3、业务持续性管理; 4、违反信息安全策略的后果。 e)信息安全管理者一般和特殊职责的定义,包括报告信息安全事件。 f)可能支持策略的参考文档。用户应遵守的对指定信息系统或安全规则更细致的安全策略和流程。 2 1 .1 .2 信息安全策略的检查 信息安全策略应有一个经批准的所有者对安全策略的开发、检查、评估负有责任。检查应包括对组织安全策略的改进以及为适应组织环境、业务环境、法律条件、技术环境而采用的管理信息安全的方法的评估。 信息安全策略的检查应考虑管理检查的结果。应存在一定的管理检查流程,包括计划或检查周期。 应维护管理检查的纪录。 对策略的修订应获得管理层的批准。 3 2 信息安全组织 2 信息安全组织 审计问题 发现 符合性 2.1 内部组织 2.1.1 信息安全管理委员会 管理需要: a)确保信息安全目标被确定,并统一到相关的流程中去; b)阐述、检查、批准信息安全策略; c)检查信息安全策略贯彻的效果; d)对安全工作提供清楚的方向和可见的管理支持; e)为信息安全提供资源; f)批准贯穿这个组织的信息安全角色和责任的分配; g )发起维护安全意识的计划和程序; h )确保信息安全控制的执行在贯穿整个组织过程中被调整。 管理层应识别对内部或外部专家的信息安全建议,并根据组织情况对建议结果进行检查和调整。 根据组织规模的大小,这些职责可以由专门的管理机构掌握,也可以由现有的管理实体,如董事会等来兼任。 2.1.2 信息安全调整 信息安全活动应由来自组织内不同部门的、不同的相 4 关角色和工作内容的代表进行调整。 2 .1 .3 信息安全责任分配 所有信息安全职责必需明确确定。 2 .1 .4 对信息处理设备的授权步骤 一个管理层对新的信息处理设备的授权流程必需别定义...
