ISO27001标准附录 A.15.1 符合法律要求
ISO27001标准附录 A.15.1.1 可用法律的识别
【内容解析】
识别与信息安全相关的全部法律法规和合同的要求是执行管理层的职责,组织应将为满足这些要求而采用的策略、方法、措施和相关人员的职责形成文件。
ISO27001标准附录 A.15.1.2 知识产权(IPR)
【内容解析】
知识产权是指对智力劳动成果依法所享有的占有、使用、处置和收益的权利。组织应制定有关规程,确保对涉及知识产权的事项符合法律、法规和合同的要求。
ISO27001标准附录 A.15.1.3 保护组织的记录
【内容解析】
组织的业务和管理活动产生的大量记录,其中可能包含敏感信息。组织应按照法律法规、合同以及业务要求制定并实施有关记录管理的规定和规程,以保护组织的记录,防止未授权的访问、修改、损坏和销毁。
ISO27001标准附录 A.15.1.4 数据保护和个人信息的隐私
【内容解析】
组织应按照法律法规的要求保护员工和顾客的个人信息。通常应制定并实施保护数据和个人信息隐私策略,并由指定的责任人负责处理相关事宜。
ISO27001标准附录 A.15.1.5 防止滥用信息处理设施
【内容解析】
组织建立的信息处理设施的目的是为了进行业务以及业务相关活动的。组织应规定哪种非业务需要而使用信息处理设施的行为是不恰当或滥用(例如,未经授权试图进入非授权访问的系统,在上班时间炒股或玩网络游戏等),并告知用户对使用信息处理设施的行为是否有监视手段。组织使用的监视工具或监视记录应符合相关法律法规的要求。
ISO27001标准附录 A.15.1.6 密码控制措施的规则
【内容解析】
密码控制措施的使用是为了保护组织资产的保密性和完整性,但首先要了解国际上和我国有关密码控制的法律法规要求(例如,对执行密码功能的计算机软硬件的进出口限制,以及使用密码的限制)。在涉及密码控制领域开展业务活动和安全管理时确保符合法律法规的限制要求。为此组织应制定有关使用密码控制措施的文件,对密码控制措施的使用提供指南。
ISO27001标准附录 A.15.2 符合安全策略和标准以及技术符合性
ISO27001标准附录 A.15.2.1 符合安全策略和标准
【内容解析】
管理层为确保组织发布的各项安全方针策略和标准的到普遍的遵循,应有适当的检查或审核手段,组织的各级管理者对其职责范围内安全管理除了日常关注还应定期进行评审。
ISO27001标准附录 A.15.2.2 技术符合性核查
【内容解析】
为确保敏感信息和信息处理设施的安全,组织会采取各种措施,其中包括技术方法和手段在内的技术措施。这些技术措施是否达到了预定的安全标准和要求,组织需在安全技术人员(包括外部专家或第三方机构)的参与下对信息系统进行定期的核查,以验证技术安全保护和控制措施持续有效、满足要求。对系统进行必要的测试(如,渗透测试)和评估(如,脆弱性评估)。核查结果形成报告并提交管理层。
ISO27001标准附录 A.15.3 信息系统审计考虑
ISO27001标准附录 A.15.3.1 信息系统审计控制措施
【内容解析】
对信息系统可进行内部或外部审计,外部审计通常为满足特定要求而进行的。组织的相关人员应与审计方进行仔细的策划和协调,使审计过程尽量避免或减少对组织业务运行的影响,并满足审计目标和要求。
ISO27001标准附录 A.15.3.2 信息系统审计工具的保护
【内容解析】
审计工具具有揭示受保护信息和隐私信息的能力。组织对此应特别小心,防止审计工具受到未授权的安装、使用或是被滥用。