ISO27001標(biāo)準(zhǔn)附錄 A.8.1 任用之前
【內(nèi)容解析】
有效的信息安全一定會關(guān)聯(lián)到人員及其行為。應(yīng)使各類人員在被任用前理解其在信息安全上的角色和職責(zé),并通過任用前的篩查和任用合同的條款等手段以降低人員對信息安全的風(fēng)險。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.1 角色和職責(zé)
【內(nèi)容解析】
訪問組織信息處理設(shè)施、接觸或使用組織信息的全體人員都應(yīng)承擔(dān)信息安全責(zé)任。組織的信息安全方針通常只是簡述信息安全的角色和職責(zé),在人力資源管理或各單位的人員管理文件(如,崗位職責(zé)說明)中應(yīng)詳細(xì)規(guī)定各類人員在信息安全方面負(fù)有的職責(zé)。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.2 審查
【內(nèi)容解析】
對所有待任用候選者(包括雇員、承包方人員和第三方人員)的背景都要進(jìn)行審查,確保任用的職位和對組織的風(fēng)險是相協(xié)調(diào)的。通常任用候選者對組織保密和敏感信息的訪問范圍越深對其審查力度越嚴(yán)。對背景的審查應(yīng)與相關(guān)法規(guī)和具體的業(yè)務(wù)要求相一致。
ISO27001標(biāo)準(zhǔn)附錄 A.8.1.3 任用條款和條件
【內(nèi)容解析】
任用合同的條款和條件應(yīng)清晰地說明進(jìn)入到本組織所要承擔(dān)的有關(guān)信息安全的職責(zé)。任用合同通常是較為復(fù)雜的法律文書,以保護(hù)組織的業(yè)務(wù)利益,包括組織對違反信息安全方針和要求而要采取的措施,有的條款甚至覆蓋了離職后一段時間的責(zé)任。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2 任用中
【內(nèi)容解析】
使組織內(nèi)部和外部的各方人員了解其工作環(huán)境關(guān)聯(lián)的信息安全威脅、知曉對安全違規(guī)的處置,在業(yè)務(wù)運(yùn)行中遵循安全方針、安全管理制度和規(guī)程,減少人為失誤。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.1 管理職責(zé)
【內(nèi)容解析】
管理層對制定、發(fā)布和監(jiān)督執(zhí)行信息安全方針策略、規(guī)程和指南以保護(hù)組織和員工的利益負(fù)有責(zé)任。為確保所有各方(內(nèi)部或外部的)都能理解、遵守發(fā)布的方針策略、規(guī)程和指南,管理層應(yīng)安排對安全方針策略的宣貫和執(zhí)行狀況進(jìn)行監(jiān)督;如果信息處理設(shè)施的用戶未能清晰地意識到自身的信息安全職責(zé),那么管理層也就不能確保安全方針策略得到遵循。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.2 信息安全意識、教育和培訓(xùn)
【內(nèi)容解析】
組織信息處理設(shè)施的用戶(包括雇員、承包方人員、合作方人員和第三方人員)都應(yīng)接受針對其在組織內(nèi)的角色和職能為具體目標(biāo)的信息安全意識宣貫、教育或培訓(xùn)。培訓(xùn)意味著要培養(yǎng)新的概念并建立初步的基本技能;而教育則要提供相關(guān)的知識并進(jìn)一步提升能力。
ISO27001標(biāo)準(zhǔn)附錄 A.8.2.3 紀(jì)律處理過程
【內(nèi)容解析】
針對違反信息安全方針策略和相關(guān)規(guī)定的員工,管理層要明確地規(guī)定、發(fā)布和執(zhí)行紀(jì)律處理措施和過程。紀(jì)律處理過程應(yīng)納入信息安全意識的宣貫中以產(chǎn)生警示作用。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3 任用的終止或變化
【內(nèi)容解析】
內(nèi)部和外部各方人員的任用終止或任用狀況的改變需要按書面的管理規(guī)定進(jìn)行,避免信息安全的負(fù)面后果。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.1 終止職責(zé)
【內(nèi)容解析】
當(dāng)一個員工或組織信息處理設(shè)施的外部用戶被終止其職責(zé)或調(diào)動崗位時,管理層應(yīng)有明確的過程確保工作的終止、交接或轉(zhuǎn)換,充分考慮到對信息安全的保障。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.2 資產(chǎn)的歸還
【內(nèi)容解析】
所有的內(nèi)部或是外部人員當(dāng)其雇傭、協(xié)議或合同終止時都必須要求返還其所持有的全部組織資產(chǎn)(包括文件)。組織的管理文件或用人協(xié)議(或合同)的條款對此應(yīng)有明確的規(guī)定;屆時組織應(yīng)指派專人接受并查驗(yàn)返還的資產(chǎn)。
ISO27001標(biāo)準(zhǔn)附錄 A.8.3.3 撤銷訪問權(quán)
【內(nèi)容解析】
員工或外部相關(guān)人員一旦被終止職責(zé)或個人狀況發(fā)生顯著變化時應(yīng)立即終止或消除其全部訪問權(quán),包括物理的和邏輯的。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
