| A.6 信息安全组织 | ||
| A.6.1 内部组织 | ||
| 目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。 | ||
| A.6.1.1 | 信息安全的角色和责任 | 控制 所有的信息安全责任应予以定义和分配。 |
| A.6.1.2 | 职责分离 | 控制 应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。 |
| A.6.1.3 | 与职能机构的联系 | 控制 应维护与相关职能机构的适当联系。 |
| A.6.1.4 | 与特定相关方的联系 | 控制 应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。 |
| A.6.1.5 | 项目管理中的信息安全 | 控制 应关注项目管理中的信息安全问题,无论何种类型的项目。 |
| A.6.2 移动设备和远程工作 | ||
| 目标:确保移动设备远程工作及其使用的安全。 | ||
| A.6.2.1 | 移动设备策略 | 控制 应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。 |
| A.6.2.2 | 远程工作 | 控制 应实现相应的策略及其支持性的安全措施,以保护在远程工作地点上所访问的、处理的或存储的信息。 |
控制解析:
- “A.6 信息安全组织”主要是与信息安全组织和职责相关的控制要求,与正文“5.3 组织的角色,责任和权限”是遥相呼应的关系。
- 正文“5.3 组织的角色,责任和权限”要求的东西相对层次较高,例如,建立信息安全管理委员会,明确信息安全管理部门和各部门信息安全职责,任命管理者代表等。”A.6 信息安全组织”则偏向于较低层次的东西(具体信息安全控制措施的职责),例如各个信息资产的管理职责,具体控制措施的执行部门或责任人等。
- 在明确信息安全职责时,应做到职责分离,如账户和权限的申请人、审批人、和操作者不能是同一人,必须是不同的人。
- A.6.1.3和A.6.1.4,可以结合正文“7.4 沟通”一起实施,可以作为外部沟通的具体事项。A.6.1.3沟通的对象是与信息安全有关的执法部门、法规部门、监管部门等。A.6.1.4沟通对象是与信息安全相关的特定相关方、其他专业安全论坛和专业协会。
- 对于公司进行的各种类型的项目,在项目进行时必须整合必要的信息安全管理,例如,明确项目信息安全组织和职责,项目信息安全目标等;在项目开展前必须输入相关信息安全要求,进行资产识别和风险评估等。
- 对于移动设备的使用,应有相应的策略和管理规范:a) 移动设备的注册;b) 物理保护的要求; c) 软件安装的限制; d) 移动设备软件版本和应用补丁的要求; e) 连接到信息服务的限制; f) 访问控制; g) 密码技术; h) 恶意软件防范; i) 远程禁用、删除或锁定; j) 备份; k) Web服务和 Web应用程序的使用。
- 对于公司远程工作的场景,如在家办公或出差办公,应识别出相关风险,并明确相关安全措施和要求(如使用VPN访问内部系统等)。
实施本控制应输出的文档:
- 《信息安全组织管理程序》(可选)和《信息安全项目管理程序》。
- 岗位说明书。
- 信息安全管理规范和流程,以及相关运行记录。
- 外部沟通清单以及沟通记录。
- 移动设备安全策略和管理规范。
- 远程工作策略和管理规范。
本控制审核要点:
- 抽查信息安全重点岗位的岗位说明书,看是否有相关信息安全职责,职责是否与实际情况一致。
- 抽查部分信息安全流程,如账户与权限申请流程以及申请记录,检查是否符合职责分离要求。
- 检查外部沟通情况,是否有沟通清单和沟通记录。
- 是否能够提供《信息安全项目管理程序》,抽查重要项目进行过程中,是否有进行信息安全管理,是否按《信息安全项目管理程序》执行。
- 能否提供移动设备和远程工作策略和相关规范,以及相关运行记录。
