日本妞XXXXXXXXX68,亚洲乱码国产乱码精品精姦,亚洲处破女,国产精品IGAO视频网网址

咨詢直線:
18825239115
聯(lián)系我們
Contact Us

倪老師:18825239115

傳真:81727770

郵箱:518106

公司網(wǎng)址:www.vq56.com

地址:深圳市光明新區(qū)公明街道別墅路偉業(yè)軒大廈A幢1103

您現(xiàn)在的位置:首頁 > ISO27001認(rèn)證咨詢 > 文章詳情
文章詳情

ISO27001:2013信息安全控制實用守則之符合性

發(fā)布時間:2018-11-07 瀏覽次數(shù):2009
18.1 符合法律和合同要求
 
控制措施
實施指南
 
控制措施
實施指南
a) 發(fā)布一個知識產(chǎn)權(quán)符合性策略,該策略定義了軟件和信息產(chǎn)品的合法使用;
c) 保持對保護(hù)知識產(chǎn)權(quán)的策略的意識,并通知對違規(guī)人員采取懲罰措施的意向;
e) 維護(hù)許可證、主盤、手冊等所有權(quán)的證明和證據(jù);
g) 進(jìn)行檢查,確保僅安裝已授權(quán)的軟件和具有許可證的產(chǎn)品;
i) 提供處理軟件或轉(zhuǎn)移軟件給其他人的策略;
k) 不對版權(quán)法不允許的商業(yè)錄音帶進(jìn)行復(fù)制、格式轉(zhuǎn)換或摘取內(nèi)容;
其它信息
通常具有所有權(quán)的軟件產(chǎn)品的供應(yīng)是根據(jù)許可協(xié)議進(jìn)行的,該許可協(xié)議規(guī)定了許可條款和條件,例如,限制產(chǎn)品用于指定的機器或限制只能拷貝到創(chuàng)建的備份副本上。組織所開發(fā)的軟件的知識產(chǎn)權(quán)的重要性和意識需要跟員工闡述清楚。法律、法規(guī)和合同的要求可以對具有所有權(quán)的材料的拷貝進(jìn)行限制。特別是,這些限制可能要求只能使用組織自己開發(fā)的資料,或者開發(fā)者許可組織使用或提供給組織的資料。版權(quán)侵害可能導(dǎo)致法律行為,這可能涉及罰款和刑事訴訟。
18.1.3
控制措施
實施指南
序。若選擇了電子存儲介質(zhì),應(yīng)建立程序,以確保在整個保存周期內(nèi)能夠訪問數(shù)據(jù)(介質(zhì)和格式的可讀性),以防范由于未來技術(shù)變化而造成的損失。應(yīng)選擇數(shù)據(jù)存儲系統(tǒng),使得所需要的數(shù)據(jù)能根據(jù)要滿足的要求,在可接受的時間內(nèi)、以可接受的格式檢索出來。存儲和處理系統(tǒng)應(yīng)確保能按照國家或地區(qū)法律或法規(guī)的規(guī)定,清晰地標(biāo)識出記錄及其保存期限。該系統(tǒng)應(yīng)允許在保存期后恰當(dāng)?shù)劁N毀記錄,如果組織不需要這些記錄的話。為滿足記錄防護(hù)目標(biāo),應(yīng)在組織范圍內(nèi)采取下列步驟:
b) 應(yīng)起草一個保存時間計劃,以標(biāo)識記錄及其應(yīng)被保存的時間周期;
其它信息
 
控制措施
實施指南
點最好通過任命一個負(fù)責(zé)人來實現(xiàn),如隱私官員,該官員應(yīng)向管理人員、用戶和服務(wù)提供商提供他們各自的職責(zé)以及應(yīng)遵守的特定程序的指南。處理個人可識別信息和確保隱私意識保護(hù)原則的職責(zé)應(yīng)根據(jù)相關(guān)法律法規(guī)來確定。應(yīng)實施適當(dāng)?shù)募夹g(shù)和組織措施以保護(hù)個人可識別信息。
ISO/IEC 29100[25] 提供一個在信息和通信技術(shù)保護(hù)系統(tǒng)中個人可識別信息保護(hù)的高層次的框架。一些國家已經(jīng)立法將個人可識別信息的控制著眼于收集、處理和傳輸過程中(一般居住的人可以從這個信息中識別出來)。根據(jù)各自國家的法律,這樣的控制可以對那些收集、處理和傳播的個人可識別信息的人承擔(dān)責(zé)任,也可以限制個人信息轉(zhuǎn)移到其他國家的能力。
18.1.5
控制措施
實施指南
a) 限制執(zhí)行密碼功能的計算機硬件和軟件的出入口;
c) 限制密碼的使用;
應(yīng)征求法律建議,以確保符合國家法律法規(guī)。在將加密信息或密碼控制措施轉(zhuǎn)移越過司法邊界之前,也應(yīng)獲得法律建議。
18.2 信息安全審查
 
控制措施
實施指南
其它信息
 
控制措施
實施指南
a) 確定不符合的原因;
c) 實施適當(dāng)?shù)募m正措施;
評審結(jié)果和管理者采取的糾正措施應(yīng)被記錄,且這些記錄應(yīng)予以維護(hù)。當(dāng)在管理者的職責(zé)范圍內(nèi)進(jìn)行獨立評審時,管理者應(yīng)將結(jié)果報告給執(zhí)行獨立評審的人員(見 18.2.1)。
12.4中包括了系統(tǒng)使用的運行監(jiān)視。
18.2.3 技術(shù)符合性檢查(原 15.2.2)
應(yīng)定期檢查信息系統(tǒng)與組織安全策略和標(biāo)準(zhǔn)的符合性。
技術(shù)符合性檢查應(yīng)優(yōu)選自動化工具的支持,生成由技術(shù)專家后續(xù)解釋的技術(shù)報告。另外,手動檢查(如果需要的話,通過適當(dāng)?shù)能浖ぞ叩闹С郑┯捎薪?jīng)驗的系統(tǒng)工程師執(zhí)行。如果使用滲透測試或脆弱性評估,則應(yīng)格外小心,因為這些活動可能導(dǎo)致系統(tǒng)安全的損害。這樣的測試應(yīng)預(yù)先計劃、形成文件和可重復(fù)的。任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員或在他們的監(jiān)督下完成。
技術(shù)符合性檢查包括檢查運行系統(tǒng),以確保硬件和軟件控制措施被正確實施。這種類型的符合性檢查需要技術(shù)專業(yè)的專家。符合性檢查還包括,例如滲透測試和脆弱性評估,該項工作可以由針對此目的而專門簽約的獨立專家來完成。符合性檢查有助于檢測系統(tǒng)的脆弱性,和檢查為預(yù)防由于這些脆弱性引起的未授權(quán)訪問而采取的控制措施的有效性。滲透測試和脆弱性評估提供系統(tǒng)在特定時間特定狀態(tài)的快照。這個快照被限制在滲透
<div background-color:#ffffff;"="" style="margin: 0px; padding: 0px; color: rgb(90, 90, 90); font-family: SimSun; background-color: rgb(255, 255, 255);">企圖時實際測試系統(tǒng)的那些部分中。滲透測試和脆弱性評估不能代替風(fēng)險評估。
客服電話
  • 18825239115