福建深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)

廣東深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)

5.1 信息分類

目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)?shù)谋Ｗo(hù)。

對(duì)信息進(jìn)行分類，顯示其用途、優(yōu)先程度和保護(hù)級(jí)別。

信息具有不同的敏感度和重要性。有些信息需要額外的保護(hù)和處置。信息分類系統(tǒng)就是確認(rèn)信息的保護(hù)級(jí)別，并采取恰當(dāng)?shù)奶厥馓幹檬侄巍?/p>

5.1.1 分類原則

信息分類及相關(guān)的保護(hù)管理辦法應(yīng)符合分享信息或限制信息的要求，符合此類需要所帶來(lái)的相關(guān)后果，例如，對(duì)信息的未經(jīng)批準(zhǔn)的使用和毀壞。總而言之，對(duì)信息進(jìn)行分類是決定如何處理和保護(hù)該信息的一個(gè)捷徑。要對(duì)數(shù)據(jù)分類系統(tǒng)的信息和輸出進(jìn)行標(biāo)示，以決定此類信息對(duì)單位而言其價(jià)值和敏感度的級(jí)別。同樣也可按照此類信息對(duì)單位的重要程度進(jìn)行分類標(biāo)示，例如，按照其完整性和可得性。

經(jīng)過(guò)一段時(shí)間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開(kāi)信息之后。因此，要考慮這些方面，因?yàn)檫^(guò)細(xì)的分類會(huì)增加額外的費(fèi)用。分類知道大綱應(yīng)當(dāng)預(yù)測(cè)并承認(rèn)信息分類有時(shí)間性并歲政策變化而變化這一事實(shí)（見(jiàn)9.1）。

還要考慮分類范疇的標(biāo)號(hào)及其益處。太復(fù)雜的標(biāo)號(hào)系統(tǒng)用起來(lái)很費(fèi)勁，即不經(jīng)濟(jì)也不實(shí)用。在接觸和使用別單位的標(biāo)號(hào)系統(tǒng)時(shí)要注意，因?yàn)樗麄兊臉?biāo)號(hào)雖然和本單位的相同但含義可能完全不同。

對(duì)信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來(lái)的的制造者或的主管人員來(lái)完成。

5.1.2 信息標(biāo)示及攜帶

根據(jù)單位制定的分類原則，制定一整套信息標(biāo)識(shí)和操作流程是非常重要的。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。針對(duì)每個(gè)類別，所定義的操作流程要包括如下類型的信息處理活動(dòng)：

- 復(fù)制

- 存儲(chǔ)

- 以郵件、傳真、電子郵件方式進(jìn)行的傳送

- 以聲音，包括移動(dòng)電話、語(yǔ)音郵件、答錄機(jī)等方式進(jìn)行的傳送

- 銷毀

含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。此標(biāo)示要求能夠反應(yīng)根據(jù)5.2.1條款進(jìn)行分類的類別。需要考慮進(jìn)行標(biāo)示的物品包括打印出的報(bào)告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。

物理標(biāo)示通常是最恰當(dāng)?shù)臉?biāo)示。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對(duì)其進(jìn)行物理標(biāo)示，在此情況下需考慮對(duì)其進(jìn)行電子標(biāo)示。

六、個(gè)人信息安全守則

6.1 工作執(zhí)掌及資源的安全管理

目標(biāo)：降低錯(cuò)誤、偷竊、欺騙或設(shè)備誤用的風(fēng)險(xiǎn)。

安全的權(quán)責(zé)應(yīng)當(dāng)在對(duì)員工進(jìn)行聘用的階段就開(kāi)始實(shí)施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時(shí)時(shí)進(jìn)行監(jiān)督。

對(duì)潛在的待聘員工應(yīng)加以仔細(xì)充分的篩選（見(jiàn)6.1.2），特別是從事敏感工作的員工。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。

6.1.1 工作權(quán)責(zé)涵蓋的安全需求

單位信息安全政策中規(guī)定的安全角色和責(zé)任當(dāng)在工作定義中恰當(dāng)標(biāo)明（見(jiàn)3.1）。這些要求包括實(shí)施或維護(hù)安全政策以及保護(hù)特別資產(chǎn)或開(kāi)展特別安全程序或活動(dòng)時(shí)的具體權(quán)責(zé)。

6.1.2 人員任用政策

在單位終身職員申請(qǐng)工作時(shí)，對(duì)其進(jìn)行資格審查。這應(yīng)當(dāng)包括如下內(nèi)容：

- 申請(qǐng)人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個(gè)人推薦

- 對(duì)申請(qǐng)人簡(jiǎn)歷的完整性和準(zhǔn)確性進(jìn)行檢查

- 對(duì)申請(qǐng)人聲稱的學(xué)術(shù)和資格證明進(jìn)行認(rèn)證

- 獨(dú)立的身份認(rèn)證（通過(guò)護(hù)照或相應(yīng)的身份證明材料）

工任命或提升員工時(shí)，只要其涉及到接觸信息處理設(shè)備，特別是處理敏感信息的設(shè)備，如處務(wù)信息或其它高度機(jī)密的信息的設(shè)備，單位需要對(duì)該員工進(jìn)行信用調(diào)查。對(duì)握有大權(quán)的員工此類信用調(diào)查更要定期開(kāi)展。

對(duì)合同工和臨時(shí)工也要開(kāi)展類似的審查。如果上述人員通過(guò)中介機(jī)構(gòu)推薦給單位，則單位要和該機(jī)構(gòu)簽訂合同，在合同中載明該中介機(jī)構(gòu)要對(duì)被推薦人進(jìn)行審查責(zé)任，以及中介機(jī)構(gòu)在未對(duì)被推薦人進(jìn)行審查或?qū)彶榻Y(jié)果有疑惑或懷疑時(shí)通知單位的必要程序。

管理人員要對(duì)那些新來(lái)的或沒(méi)有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。對(duì)所有員工的工作都要進(jìn)行定期審核，審核審批的程序有員工中的某位資深人士來(lái)制定。

管理人員應(yīng)當(dāng)認(rèn)識(shí)到其部下的個(gè)人環(huán)境會(huì)影響其工作。個(gè)人或財(cái)務(wù)上的問(wèn)題會(huì)影響他們的工作，導(dǎo)致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導(dǎo)致欺詐、盜竊、錯(cuò)誤或其它安全問(wèn)題。對(duì)這類信息的處理要依據(jù)單位作在地區(qū)的適當(dāng)法律程序加以解決。

6.1.3 保密協(xié)議

保密協(xié)議的目的是對(duì)信息的保密性加以說(shuō)明。雇員在受雇時(shí)，應(yīng)和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。

沒(méi)有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設(shè)備之前必須簽署有關(guān)保密協(xié)議。

在雇傭合同或條款發(fā)生變動(dòng)時(shí)，特別是員工要離開(kāi)單位或其合同到期時(shí)，要對(duì)保密協(xié)議進(jìn)行審訂。

6.1.4 員工守則

該守則應(yīng)載明雇員在信息安全方面的職責(zé)。如有必要，這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時(shí)應(yīng)采取的行動(dòng)。

員工的合法職責(zé)和權(quán)利，例如在版權(quán)法或數(shù)據(jù)保護(hù)法方面的權(quán)責(zé)，應(yīng)得以清楚定義，并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。如有必要，員工守則應(yīng)當(dāng)規(guī)定這些權(quán)責(zé)不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時(shí)間以外，例如在家工作的情況。（參見(jiàn)7.2.5 和 9.8.1）

6.2 教育訓(xùn)練

目標(biāo)：確保使用者在日常工作中了解如何看待和關(guān)心信息安全，并支持單位的安全政策。

使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至限度。

6.2.1 信息安全的教育和培訓(xùn)

單位的所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面的教育和培訓(xùn)。這包括安全要求、法律職責(zé)和業(yè)務(wù)管制，以及正確使用信息處理設(shè)備方面的培訓(xùn)，例如，登錄流程、軟件包的使用等。

6.3 易發(fā)事件及故障處理

目標(biāo)：發(fā)生易發(fā)事件及故障時(shí)如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。

安全事故應(yīng)通過(guò)適當(dāng)?shù)墓芾砬辣M快加以回報(bào)。

所有員工和合同方都要認(rèn)識(shí)如何回報(bào)影響單位資產(chǎn)安全的不同類型的事故。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報(bào)告給聯(lián)絡(luò)人。單位要建立正式的處罰條例來(lái)懲治違反安全規(guī)定的員工。要恰當(dāng)?shù)貙?duì)事故進(jìn)行處理，雜發(fā)生事故后要盡快搜集有關(guān)證據(jù)（參見(jiàn)12.1.7）。

6.3.1 安全事故回報(bào)

發(fā)現(xiàn)安全事故后，應(yīng)立即通過(guò)適當(dāng)管理渠道回報(bào)。

要建立正規(guī)的回報(bào)流程和事故反應(yīng)流程，規(guī)定接到事故報(bào)告后應(yīng)采取的行動(dòng)。所有員工和合同方都應(yīng)認(rèn)識(shí)回報(bào)安全事故的操作流程，并被要求盡快加以回報(bào)。同時(shí)，建立適當(dāng)?shù)姆答伭鞒虂?lái)確保這些安全事故在處理完畢之后處理結(jié)果得以反饋。發(fā)生過(guò)的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會(huì)發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見(jiàn)12.1.7）。

6.3.2 安全漏洞回報(bào)

要求信息服務(wù)用戶記錄并回報(bào)任何其覺(jué)察或懷疑存在的安全漏洞。他們要把這些漏洞或者報(bào)告給管理人員或者直接盡快報(bào)告給服務(wù)提供商。應(yīng)向使用者強(qiáng)調(diào)，無(wú)論在何種情況下，他們都不要試圖對(duì)懷疑的漏洞進(jìn)行論證。這對(duì)他們自身有益處，因?yàn)樗麄冞M(jìn)行論證的行為有可能被誤認(rèn)為是潛在地錯(cuò)誤使用系統(tǒng)。

6.3.3 軟件功能障礙回報(bào)

要求建立并遵守軟件功能障礙回報(bào)流程?？梢钥紤]采取如下行動(dòng)：

- 問(wèn)題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄

- 如有可能，對(duì)電腦進(jìn)行隔離，并停止繼續(xù)使用。并馬上通知有關(guān)當(dāng)局。如需要對(duì)設(shè)備進(jìn)行檢查，在重新啟動(dòng)之前應(yīng)將其從單位網(wǎng)絡(luò)上撤下。使用的軟盤不得再在其它電腦上使用。

- 有關(guān)事故應(yīng)馬上回報(bào)給信息安全經(jīng)理。

6.3.4 從事故中學(xué)習(xí)

要求建立相應(yīng)機(jī)制，對(duì)事故或功能障礙的類型、級(jí)別和損失程度進(jìn)行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來(lái)限制未來(lái)事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。

6.3.5 違規(guī)處置流程

雇員如違反單位安全政策和流程，應(yīng)通過(guò)正式的違規(guī)處置流程加以處理（參見(jiàn)6.1.4和 12.1.7）。此類流程可用作警示，防止員工忽視單位的安全流程。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。

廣東深圳ISO27001認(rèn)證ISO27001認(rèn)證機(jī)構(gòu)

深圳ISO27001認(rèn)證

深圳ISO27001認(rèn)證深圳ISO27001認(rèn)證概述ISO27001是國(guó)際信息安全管理體系標(biāo)準(zhǔn)，也是目前的信息安全標(biāo)準(zhǔn)之一。ISO27001認(rèn)證是一種全球認(rèn)可的信……

東莞ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證辦理要求及過(guò)程

東莞ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證辦理要求及過(guò)程?hào)|莞ISO27000認(rèn)證：ISO27000信息安全體系認(rèn)證辦理要求及過(guò)程ISO27000是ISO/IEC JT……

佛山ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證申請(qǐng)要求及過(guò)程

佛山ISO27000認(rèn)證ISO27000信息安全體系認(rèn)證申請(qǐng)要求及過(guò)程佛山ISO27000認(rèn)證 ISO27000信息安全體系認(rèn)證是國(guó)際公認(rèn)的信息安全管理標(biāo)準(zhǔn)，也是……

ISO27000信息安全體系 深圳ISO27000體系認(rèn)證認(rèn)證流程及費(fèi)用

ISO27000信息安全體系 深圳ISO27000體系認(rèn)證認(rèn)證流程及費(fèi)用ISO27000信息安全體系：深圳ISO27000體系認(rèn)證認(rèn)證流程及費(fèi)用ISO27000信息安全體……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn)，各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開(kāi)展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費(fèi)者安全健康，構(gòu)建社會(huì)誠(chéng)信體系，參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí)，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會(huì)公信力高，有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開(kāi)展，為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠，證書真實(shí)有效，認(rèn)監(jiān)委可查，如有疑問(wèn)，可點(diǎn)擊了解詳情，竭誠(chéng)為您服務(wù)!