分析潜在不符合项的原因
1) 信息安全工作小组利用对潜在不符合项情况以及各部门日常发现报告的重大安全隐患(安全薄弱点),确定可能需要采取预防措施的问题和需求,组织相关部门进行原因分析,分析确定潜在不符合及其原因,评价防止不符合发生的措施的需求。
2) 采取预防措施应与潜在问题的影响程度相适应,对于以下情况的潜在不符合应采取预防措施:
可能造成信息安全事故;
可能影响客户满意程度、造成客户抱怨与投诉;
可能影响企业形象与经济利益;
可能造成生产经营业务中断。
保护组织的记录
所有的合同文件必须做如下保管:
a) 正版文件存档保存在安全区域;
b) 保存到文件所有者不用时为止。
对重要网络设备和服务器上的数据进行备份。
为防止公司的重要记录丢失、毁坏和被篡改。这些记录必须妥善保管,以符合法律法规要求,有利于重要的业务活动。此类记录包括但不限如下:
a) 可以作为证据证明运作符合法律法规规定的记录;
b) 可以确保能充分防范发生潜在的民事诉讼或刑事诉讼的记录;可以向主管部门、合作方和审计人员证实财务状况的记录。
信息保管的时间和数据内容根据国家法律法规而定。
存储和处理系统应该确保能够清楚识别记录以及法律法规规定的保管期。在保管期满后如果不再需要记录,则可以采用适当的方式予以销毁。
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 符合法律要求
5. 符合安全策略和标准以及技术符合性
6. 信息系统审核考虑
7. 附件
1. 目的和范围
本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安全需求。
本制度适用于信息安全管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《软件管理规定》
3. 职责和权限
1) 行政部:负责组织有关信息安全管理体系的法律法规和其他要求的收集、更新、审核、评价,并提出专项建议使公司的日常运营满足法律法规的要求。
2) 各部门:协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。
-/gbacfji/-
http://lsjsqd.b2b168.com
