福建深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)

廣東深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)

5.1 信息分類

目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。

對信息進(jìn)行分類，顯示其用途、優(yōu)先程度和保護(hù)級別。

信息具有不同的敏感度和重要性。有些信息需要額外的保護(hù)和處置。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級別，并采取恰當(dāng)?shù)奶厥馓幹檬侄巍?/p>

5.1.1 分類原則

信息分類及相關(guān)的保護(hù)管理辦法應(yīng)符合分享信息或限制信息的要求，符合此類需要所帶來的相關(guān)后果，例如，對信息的未經(jīng)批準(zhǔn)的使用和毀壞?？偠灾?，對信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個捷徑。要對數(shù)據(jù)分類系統(tǒng)的信息和輸出進(jìn)行標(biāo)示，以決定此類信息對單位而言其價值和敏感度的級別。同樣也可按照此類信息對單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。

經(jīng)過一段時間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開信息之后。因此，要考慮這些方面，因為過細(xì)的分類會增加額外的費用。分類知道大綱應(yīng)當(dāng)預(yù)測并承認(rèn)信息分類有時間性并歲政策變化而變化這一事實（見9.1）。

還要考慮分類范疇的標(biāo)號及其益處。太復(fù)雜的標(biāo)號系統(tǒng)用起來很費勁，即不經(jīng)濟(jì)也不實用。在接觸和使用別單位的標(biāo)號系統(tǒng)時要注意，因為他們的標(biāo)號雖然和本單位的相同但含義可能完全不同。

對信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來的的制造者或的主管人員來完成。

5.1.2 信息標(biāo)示及攜帶

根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識和操作流程是非常重要的。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。針對每個類別，所定義的操作流程要包括如下類型的信息處理活動：

- 復(fù)制

- 存儲

- 以郵件、傳真、電子郵件方式進(jìn)行的傳送

- 以聲音，包括移動電話、語音郵件、答錄機(jī)等方式進(jìn)行的傳送

- 銷毀

含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。此標(biāo)示要求能夠反應(yīng)根據(jù)5.2.1條款進(jìn)行分類的類別。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。

物理標(biāo)示通常是最恰當(dāng)?shù)臉?biāo)示。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進(jìn)行物理標(biāo)示，在此情況下需考慮對其進(jìn)行電子標(biāo)示。

六、個人信息安全守則

6.1 工作執(zhí)掌及資源的安全管理

目標(biāo)：降低錯誤、偷竊、欺騙或設(shè)備誤用的風(fēng)險。

安全的權(quán)責(zé)應(yīng)當(dāng)在對員工進(jìn)行聘用的階段就開始實施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時時進(jìn)行監(jiān)督。

對潛在的待聘員工應(yīng)加以仔細(xì)充分的篩選（見6.1.2），特別是從事敏感工作的員工。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。

6.1.1 工作權(quán)責(zé)涵蓋的安全需求

單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見3.1）。這些要求包括實施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開展特別安全程序或活動時的具體權(quán)責(zé)。

6.1.2 人員任用政策

在單位終身職員申請工作時，對其進(jìn)行資格審查。這應(yīng)當(dāng)包括如下內(nèi)容：

- 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦

- 對申請人簡歷的完整性和準(zhǔn)確性進(jìn)行檢查

- 對申請人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證

- 獨立的身份認(rèn)證（通過護(hù)照或相應(yīng)的身份證明材料）

工任命或提升員工時，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處務(wù)信息或其它高度機(jī)密的信息的設(shè)備，單位需要對該員工進(jìn)行信用調(diào)查。對握有大權(quán)的員工此類信用調(diào)查更要定期開展。

對合同工和臨時工也要開展類似的審查。如果上述人員通過中介機(jī)構(gòu)推薦給單位，則單位要和該機(jī)構(gòu)簽訂合同，在合同中載明該中介機(jī)構(gòu)要對被推薦人進(jìn)行審查責(zé)任，以及中介機(jī)構(gòu)在未對被推薦人進(jìn)行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時通知單位的必要程序。

管理人員要對那些新來的或沒有經(jīng)驗的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。對所有員工的工作都要進(jìn)行定期審核，審核審批的程序有員工中的某位資深人士來制定。

管理人員應(yīng)當(dāng)認(rèn)識到其部下的個人環(huán)境會影響其工作。個人或財務(wù)上的問題會影響他們的工作，導(dǎo)致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導(dǎo)致欺詐、盜竊、錯誤或其它安全問題。對這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以解決。

6.1.3 保密協(xié)議

保密協(xié)議的目的是對信息的保密性加以說明。雇員在受雇時，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。

沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。

在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進(jìn)行審訂。

6.1.4 員工守則

該守則應(yīng)載明雇員在信息安全方面的職責(zé)。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時應(yīng)采取的行動。

員工的合法職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé)，應(yīng)得以清楚定義，并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。（參見7.2.5 和 9.8.1）

6.2 教育訓(xùn)練

目標(biāo)：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。

使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險降至限度。

6.2.1 信息安全的教育和培訓(xùn)

單位的所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面的教育和培訓(xùn)。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。

6.3 易發(fā)事件及故障處理

目標(biāo)：發(fā)生易發(fā)事件及故障時如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。

安全事故應(yīng)通過適當(dāng)?shù)墓芾砬辣M快加以回報。

所有員工和合同方都要認(rèn)識如何回報影響單位資產(chǎn)安全的不同類型的事故。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給聯(lián)絡(luò)人。單位要建立正式的處罰條例來懲治違反安全規(guī)定的員工。要恰當(dāng)?shù)貙κ鹿蔬M(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見12.1.7）。

6.3.1 安全事故回報

發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道回報。

要建立正規(guī)的回報流程和事故反應(yīng)流程，規(guī)定接到事故報告后應(yīng)采取的行動。所有員工和合同方都應(yīng)認(rèn)識回報安全事故的操作流程，并被要求盡快加以回報。同時，建立適當(dāng)?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見12.1.7）。

6.3.2 安全漏洞回報

要求信息服務(wù)用戶記錄并回報任何其覺察或懷疑存在的安全漏洞。他們要把這些漏洞或者報告給管理人員或者直接盡快報告給服務(wù)提供商。應(yīng)向使用者強(qiáng)調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進(jìn)行論證。這對他們自身有益處，因為他們進(jìn)行論證的行為有可能被誤認(rèn)為是潛在地錯誤使用系統(tǒng)。

6.3.3 軟件功能障礙回報

要求建立并遵守軟件功能障礙回報流程。可以考慮采取如下行動：

- 問題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄

- 如有可能，對電腦進(jìn)行隔離，并停止繼續(xù)使用。并馬上通知有關(guān)當(dāng)局。如需要對設(shè)備進(jìn)行檢查，在重新啟動之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。使用的軟盤不得再在其它電腦上使用。

- 有關(guān)事故應(yīng)馬上回報給信息安全經(jīng)理。

6.3.4 從事故中學(xué)習(xí)

要求建立相應(yīng)機(jī)制，對事故或功能障礙的類型、級別和損失程度進(jìn)行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。

6.3.5 違規(guī)處置流程

雇員如違反單位安全政策和流程，應(yīng)通過正式的違規(guī)處置流程加以處理（參見6.1.4和 12.1.7）。此類流程可用作警示，防止員工忽視單位的安全流程。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。

廣東深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)

深圳ISO27001認(rèn)證

深圳ISO27001認(rèn)證深圳ISO27001認(rèn)證概述ISO27001是國際信息安全管理體系標(biāo)準(zhǔn)，也是目前的信息安全標(biāo)準(zhǔn)之一。ISO27001認(rèn)證是一種全球認(rèn)可的信……

東莞ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證辦理要求及過程

東莞ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證辦理要求及過程東莞ISO27000認(rèn)證：ISO27000信息安全體系認(rèn)證辦理要求及過程ISO27000是ISO/IEC JT……

佛山ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證申請要求及過程

佛山ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證申請要求及過程佛山ISO27000認(rèn)證 ISO27000信息安全體系認(rèn)證是國際公認(rèn)的信息安全管理標(biāo)準(zhǔn)，也是……

ISO27000信息安全體系 深圳ISO27000體系認(rèn)證認(rèn)證流程及費用

ISO27000信息安全體系 深圳ISO27000體系認(rèn)證認(rèn)證流程及費用ISO27000信息安全體系：深圳ISO27000體系認(rèn)證認(rèn)證流程及費用ISO27000信息安全體……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗，各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟(jì)社會發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開展節(jié)能。在積極促進(jìn)國際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費者安全健康，構(gòu)建社會誠信體系，參與"兩型"社會建設(shè)等方面做出了積極貢獻(xiàn)。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會公信力高，有較強(qiáng)創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展，為順利實現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價格實惠，證書真實有效，認(rèn)監(jiān)委可查，如有疑問，可點擊www.969111.cn了解詳情，竭誠為您服務(wù)!