A.18 符合性 | ||
A.18.1 符合法律和合同要求 | ||
目标:避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。 | ||
A.18.1.1 | 适用的法律和合同要求的识别 | 控制 对每一个信息系统和组织而言,所有相关的法律、法规、规章和合同 要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、 形成文件并保持更新。 |
A.18.1.2 | 知识产权 | 控制 应实现适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。 |
A.18.1.3 | 记录的保护 | 控制 应根据法律、法规、规章、合同和业务要求,对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。 |
A.18.1.4 | 隐私和个人可识别信息保护 | 控制 应依照相关的法律、法规和合同条款的要求,以确保隐私和个人可识别信息得到保护。 |
A.18.1.5 | 密码控制规则 | 控制 密码控制的使用应遵从所有相关的协议、法律和法规。 |
控制解析:
- “A.18 符合性”主要是包含了两方面的要求,一是外部相关方(法律法规和合同)要求的符合性管理要求,二是内部要求(如组织策略和规程)符合性评价要求。
- “A.18 符合性”内容较为杂乱,因此建议形成书面的《信息安全符合性管理程序》,明确各控制项与其他模块或流程的对接和沟通渠道等,如“A.18.1.2 知识产权”与组织知识产权管理流程的对接和沟通渠道。
- “A.18.1.1”可以与正文“4.2 理解相关方的需求和期望”整合实施,对适用法律法规和客户合同要求进行识别和评价。
- 实施“A.18.1.2 知识产权”,应收集《中华人民共和国知识产权法》《中华人民共和国著作权法》《中华人民共和国计算机软件保护条例》等知识产权法律法规,并识别适用的条款,根据条款要求,对内使用的软件产品进行管理,并定期进行符合性的评价。
- 实施“A.18.1.3”,应与记录控制过程,数据安全管理过程进整合。应收集相关的法律法规(如《中华人民共和国个人信息保护法》),合同要求(如客户数据保护相关的要求),并这些要求整合到记录控制规范,数据安全规范中。
- 实施“A.18.1.4”,应收集《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,识别使用的要求,并按照要求管理个人信息(员工信息、访客信息等)。
- 实施“A.18.1.5”,可与“A.10 密码”整合。应收集《中华人民共和国密码法》等密码法律法规,识别适用的要求,组织应按照要求研发、销售和使用密码产品。
实施本控制应输出的文档:
- 《信息安全符合性管理程序》。
- 适用性法律法规清单及其评价记录。
- 客户信息安全要求清单及评价记录。
- 正版软件管理规范,及相关记录(如正版软件清单)。
本控制审核要点:
- 审核适用性法律法规清单及其评价记录、客户信息安全要求清单及评价记录。
- 检查员工个人信息、访客信息的管理是否符合法律法规要求。