企业新闻

信息安全之符合性三

2018-04-02 21:10:18 | 来源:中培企业IT培训网

方法(如信息安全的控制目标、控制措施、方针、过程和规程)应独立审查。独立评审宜由管理者启动,由独立于被评审范围的人员执行,例如交叉审核(审核员A审查B的信息安全管理工作)、内部审核部门、、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。内部审查的结果应该形成正式文件并长期留存。

管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行定期评审(一般是一年一次)。为了日常评审的效率,可以考虑使用自动测量和报告工具。评审结果和管理人员采取的纠正措施应该被记录,形成管理评审报告,且这些记录宜予以维护。如果在管理评审中发现重大不符合项,则必须启动纠正改进措施。

信息系统应被定期核查(一般为半年一次或一年一次)是否符合组织的信息安全方针和标准。技术符合性核查宜由有经验的系统工程师手动地(如必要,由适当的软件工具支持)

和在自动化工具辅助下实施,以产生供技术专家进行后续解释的技术报告。如果使用渗透测试或脆弱性评估,则宜格外小心,需要提前制定应急预案和做好应急准备,因为这些活动可能导致系统安全的损害。这样的测试宜预先计划,形成文件,且可重复执行。任何技术符合性核查宜仅由有能力的、已授权的人员来完成,或在他们的监督下完成。

标签: 信息安全