gogo大胆啪啪艺术自慰_久久综合视频无码99_久久综合九色综合免费99_亚洲精选无码av

新聞資訊

傳遞信任 創(chuàng)造價值 共同成長

ISO27001認證審核中關于“適用性聲明”的合理性的探討

發(fā)布時間:2023-05-29

“適用性聲明”是組織描述應用于ISO27001信息安全管理體系(ISMS)的控制目標和控制措施。在

ISO27001:2005、GB/T22080-2008《信息技術安全技術信息安全管理體系要求》標準3.16條款指出:與組織信息安全管理體系相關并適用于組織信息安全管理體系(ISMS)的控制目標和控制措施的文件化的陳述。控制目標和控制措施是基于風險評估和風險處理過程的結果和結論、法律法規(guī)的要求、合同業(yè)務和組織對信息安全業(yè)務要求。

由此可見,重視組織信息安全管理體系ISMS策劃結果,是現(xiàn)場審核評價所選用適用性聲明是否合理的基礎,應盡可能在不影響組織正常運作前提下,設定異常、緊急極限條件,善于運用“順向追蹤”和“逆向追溯"相結合的靈活多樣的審核方式,讓組織信息安全風險得以充分釋放;讓不易察覺或容易被忽視的風險在現(xiàn)場審核得以充分顯現(xiàn)。

1、需逐條確認組織“選用”與“不選用”適用性聲明的合理性

適用性聲明共有133條控制目標與控制措施。組織通常會采納其中的絕大部分,但對于A.10.9“電子商務服務”這3條,許多組織都將其刪減。

一些組織在實施ISO27001信息安全管理體系時認為,若用Internet網(wǎng)等進行交易,才屬于電子商務服務,其實不然。筆者認為:只要交易活動與后臺物流及相關服務集成在一個IT系統(tǒng)中完成,就構成電子商務服務。如某銀行通過“線下型”電話推銷等形式向客戶進行理財產(chǎn)品服務,并把服務予以外包。試想,作為銀行如何保證外包方在向客戶提供服務過程中’其所獲得信息是被銀行充分授權且不會產(chǎn)生非授權使用?外包方在提供服務過程中如何對客戶身份進行甄別?確保信息傳遞中不發(fā)生“張冠李戴"或由此帶來的信息泄露。很顯然,若組織存在上述活動,不選用“電子商務服務”控制目標與控制措施是不合理的。

隨著非網(wǎng)絡交易形式日益增多,如存在推銷活動的證券、保險、電信和委托房屋買賣等,雖可能不存在“在線交易”,但卻同樣可能造成個人隱私乃至組織商業(yè)利益被泄露、竊聽、冒充、算改或抵賴等,甚至它還有可能引起組織信息系統(tǒng)癱瘓,故不能刪減A.10.9.1“電子商務”與A.10.9.3“公共可用信息”等控制措施。

2、需對使用最普通、最頻繁的信息資產(chǎn)和使用過程中所產(chǎn)生衍生物的風險予以評估,制定、實施有效的控制措施

每天使用的手機,臺式、便攜式電腦,U盤,存儲設備和光盤等,已成為最普通、最頻繁的使用物品,并已成為開展工作不可或缺的信息交換工具。隨著信息技術曰新月異,這些產(chǎn)品的功能不斷增加、升級換代周期大為縮短,如手機具有信息存儲等功能之外,還可進行電子商務活動等。在現(xiàn)場審核時,要關注使用這些信息資產(chǎn)及由此產(chǎn)生如電磁波輻射以及商業(yè)間諜等衍生物風險,特別需高度關注組織對這些風險管理的有效性。

全國服務熱線:

400-675-8617

總部地址:山東省青島市高新區(qū)竹園路2號

認證中心:山東省青島市市南區(qū)東海西路15號英德隆大廈21樓

  • 瀏覽手機端

  • 關注公眾號

Copyright ? 2018-2024 山東世通國際認證有限公司 All Rights Reserved. 備案號:魯ICP備09071377號

技術支持:微動力網(wǎng)絡