新版iso27001信息安全管理体系认证变化内容
5.1新版iso27001信息安全管理体系认证信息安全策略:
3)特定主题策略考虑以下内容:
访问控制
物理和环境安全
资产管理
信息传递
用户终端设备的安全配置和处理
网络安全
信息安全事件管理
备份
密码和密钥管理
信息分类与处理
技术漏洞管理
责任和职责区域的划分旨在区分不同人员之间相互冲突的责任,以防止各种人员执行潜在的相互冲突的责任。
5.3新版iso27001信息安全管理体系认证职责分离:
确定哪些责任和职责区域需要分离,可能要求职责划分活动的示例:
发起、批准和执行的变更
请求,批准和实施访问的权限
设计,实现和评审代码
软件开发和生产系统管理
使用和管理应用程序
使用应用程序和管理数据库
设计,审核和保证信息安全控制
在设计划分控制时,宜考虑控制之间相互联系的可能性。虽然小型组织可能会发现责任划分很难实现。但是宜在可能和切实可行的情况下尽可能采用。当难以对控制进行划分时,宜考虑其他控制,如活动监视,审核跟踪和管理监督。
在使用基于角色的访问控制系统时,宜注意确保人员不被授予相互冲突的角色。当组织设有大量角色时,组织宜考虑使用自动化工具来识别其相互冲突并促进消除这些相互冲突。宜仔细确定和配置角色,以便在取消或重新分配角色时尽量减少访问问题。
新版iso27001信息安全管理体系认证变化内容
