福建深圳ISO27001認證ISO27001認證機構

廣東深圳ISO27001認證ISO27001認證機構

5.1 信息分類

目標：確保信息資產(chǎn)得到恰當?shù)谋Ｗo。

對信息進行分類，顯示其用途、優(yōu)先程度和保護級別。

信息具有不同的敏感度和重要性。有些信息需要額外的保護和處置。信息分類系統(tǒng)就是確認信息的保護級別，并采取恰當?shù)奶厥馓幹檬侄巍?/p>

5.1.1 分類原則

信息分類及相關的保護管理辦法應符合分享信息或限制信息的要求，符合此類需要所帶來的相關后果，例如，對信息的未經(jīng)批準的使用和毀壞。總而言之，對信息進行分類是決定如何處理和保護該信息的一個捷徑。要對數(shù)據(jù)分類系統(tǒng)的信息和輸出進行標示，以決定此類信息對單位而言其價值和敏感度的級別。同樣也可按照此類信息對單位的重要程度進行分類標示，例如，按照其完整性和可得性。

經(jīng)過一段時間之后，信息經(jīng)常不再敏感或重要，例如，在信息變成公開信息之后。因此，要考慮這些方面，因為過細的分類會增加額外的費用。分類知道大綱應當預測并承認信息分類有時間性并歲政策變化而變化這一事實（見9.1）。

還要考慮分類范疇的標號及其益處。太復雜的標號系統(tǒng)用起來很費勁，即不經(jīng)濟也不實用。在接觸和使用別單位的標號系統(tǒng)時要注意，因為他們的標號雖然和本單位的相同但含義可能完全不同。

對信息類事務（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進行定義并進行周期性審訂的任務應由信息原來的的制造者或的主管人員來完成。

5.1.2 信息標示及攜帶

根據(jù)單位制定的分類原則，制定一整套信息標識和操作流程是非常重要的。這些流程要涵括以物理和電子形式存在的信息資產(chǎn)。針對每個類別，所定義的操作流程要包括如下類型的信息處理活動：

- 復制

- 存儲

- 以郵件、傳真、電子郵件方式進行的傳送

- 以聲音，包括移動電話、語音郵件、答錄機等方式進行的傳送

- 銷毀

含有敏感重要信息的系統(tǒng)其輸出應加以恰當?shù)姆诸悩耸尽４藰耸疽竽軌蚍磻鶕?jù)5.2.1條款進行分類的類別。需要考慮進行標示的物品包括打印出的報告、屏幕顯示、被記錄的媒體（包括磁帶、軟盤、光盤、錄音帶等）、電子消息和傳送等。

物理標示通常是最恰當?shù)臉耸?。但是，有的信息資產(chǎn)如以電子方式存在的文件，不能對其進行物理標示，在此情況下需考慮對其進行電子標示。

六、個人信息安全守則

6.1 工作執(zhí)掌及資源的安全管理

目標：降低錯誤、偷竊、欺騙或設備誤用的風險。

安全的權責應當在對員工進行聘用的階段就開始實施，還應包括在合同中，并在以后員工的聘用期內(nèi)時時進行監(jiān)督。

對潛在的待聘員工應加以仔細充分的篩選（見6.1.2），特別是從事敏感工作的員工。所有使用信息處理設備的員工或第三方都要簽署保密或不泄密協(xié)議。

6.1.1 工作權責涵蓋的安全需求

單位信息安全政策中規(guī)定的安全角色和責任當在工作定義中恰當標明（見3.1）。這些要求包括實施或維護安全政策以及保護特別資產(chǎn)或開展特別安全程序或活動時的具體權責。

6.1.2 人員任用政策

在單位終身職員申請工作時，對其進行資格審查。這應當包括如下內(nèi)容：

- 申請人是否具備充分的人品推薦材料，例如，可以是一份工作推薦，一份個人推薦

- 對申請人簡歷的完整性和準確性進行檢查

- 對申請人聲稱的學術和資格證明進行認證

- 獨立的身份認證（通過護照或相應的身份證明材料）

工任命或提升員工時，只要其涉及到接觸信息處理設備，特別是處理敏感信息的設備，如處務信息或其它高度機密的信息的設備，單位需要對該員工進行信用調(diào)查。對握有大權的員工此類信用調(diào)查更要定期開展。

對合同工和臨時工也要開展類似的審查。如果上述人員通過中介機構推薦給單位，則單位要和該機構簽訂合同，在合同中載明該中介機構要對被推薦人進行審查責任，以及中介機構在未對被推薦人進行審查或對審查結果有疑惑或懷疑時通知單位的必要程序。

管理人員要對那些新來的或沒有經(jīng)驗的但卻得到授權可接觸敏感系統(tǒng)的員工進行監(jiān)視。對所有員工的工作都要進行定期審核，審核審批的程序有員工中的某位資深人士來制定。

管理人員應當認識到其部下的個人環(huán)境會影響其工作。個人或財務上的問題會影響他們的工作，導致行為或生活方式的改變及多次曠工；壓力或憂郁的表現(xiàn)可能導致欺詐、盜竊、錯誤或其它安全問題。對這類信息的處理要依據(jù)單位作在地區(qū)的適當法律程序加以解決。

6.1.3 保密協(xié)議

保密協(xié)議的目的是對信息的保密性加以說明。雇員在受雇時，應和單位簽署保密協(xié)議，此協(xié)議為員工守則的一部分。

沒有簽署保密協(xié)議的閑散員工或第三方在接觸信息處理設備之前必須簽署有關保密協(xié)議。

在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進行審訂。

6.1.4 員工守則

該守則應載明雇員在信息安全方面的職責。如有必要，這些職責即使在雇傭關系結束后也應保持一定的有效期。其中應當包括員工違反安全規(guī)定時應采取的行動。

員工的合法職責和權利，例如在版權法或數(shù)據(jù)保護法方面的權責，應得以清楚定義，并包括在員工守則中。員工數(shù)據(jù)分類和管理方面的職責也要包括在內(nèi)。如有必要，員工守則應當規(guī)定這些權責不僅適用于單位范圍內(nèi)，而是可以延伸到單位以外或正常工作時間以外，例如在家工作的情況。（參見7.2.5 和 9.8.1）

6.2 教育訓練

目標：確保使用者在日常工作中了解如何看待和關心信息安全，并支持單位的安全政策。

使用者應得以安全流程和正確使用信息處理設備方面的培訓，以將可能的安全風險降至限度。

6.2.1 信息安全的教育和培訓

單位的所有職員，以及在必要情況下涉及的第三方用戶，都應定期接受安全政策和流程方面的教育和培訓。這包括安全要求、法律職責和業(yè)務管制，以及正確使用信息處理設備方面的培訓，例如，登錄流程、軟件包的使用等。

6.3 易發(fā)事件及故障處理

目標：發(fā)生易發(fā)事件及故障時如何將損害降至最小、監(jiān)督類似事件并從中學習。

安全事故應通過適當?shù)墓芾砬辣M快加以回報。

所有員工和合同方都要認識如何回報影響單位資產(chǎn)安全的不同類型的事故。發(fā)生事故后，他們要把所有看到或懷疑的事故盡快地報告給聯(lián)絡人。單位要建立正式的處罰條例來懲治違反安全規(guī)定的員工。要恰當?shù)貙κ鹿蔬M行處理，雜發(fā)生事故后要盡快搜集有關證據(jù)（參見12.1.7）。

6.3.1 安全事故回報

發(fā)現(xiàn)安全事故后，應立即通過適當管理渠道回報。

要建立正規(guī)的回報流程和事故反應流程，規(guī)定接到事故報告后應采取的行動。所有員工和合同方都應認識回報安全事故的操作流程，并被要求盡快加以回報。同時，建立適當?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結果得以反饋。發(fā)生過的安全事故可用作安全培訓的例子，向使用者解釋會發(fā)生哪些事故，如何反應，及以后如何避免此類事件等（參見12.1.7）。

6.3.2 安全漏洞回報

要求信息服務用戶記錄并回報任何其覺察或懷疑存在的安全漏洞。他們要把這些漏洞或者報告給管理人員或者直接盡快報告給服務提供商。應向使用者強調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進行論證。這對他們自身有益處，因為他們進行論證的行為有可能被誤認為是潛在地錯誤使用系統(tǒng)。

6.3.3 軟件功能障礙回報

要求建立并遵守軟件功能障礙回報流程。可以考慮采取如下行動：

- 問題的征兆和任何在顯示屏上出現(xiàn)的信息都要加以記錄

- 如有可能，對電腦進行隔離，并停止繼續(xù)使用。并馬上通知有關當局。如需要對設備進行檢查，在重新啟動之前應將其從單位網(wǎng)絡上撤下。使用的軟盤不得再在其它電腦上使用。

- 有關事故應馬上回報給信息安全經(jīng)理。

6.3.4 從事故中學習

要求建立相應機制，對事故或功能障礙的類型、級別和損失程度進行量化、監(jiān)督。這類信息可用作以后辨別重發(fā)事故或危害重大的功能障礙。這也表示有必要提高或增加額外的管制措施來限制未來事故的發(fā)生頻率、降低其危害和成本，并審訂安全審核流程。

6.3.5 違規(guī)處置流程

雇員如違反單位安全政策和流程，應通過正式的違規(guī)處置流程加以處理（參見6.1.4和 12.1.7）。此類流程可用作警示，防止員工忽視單位的安全流程。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。

廣東深圳ISO27001認證ISO27001認證機構

深圳ISO27001認證

深圳ISO27001認證深圳ISO27001認證概述ISO27001是國際信息安全管理體系標準，也是目前的信息安全標準之一。ISO27001認證是一種全球認可的信……

東莞ISO27000認證ISO27000信息安全體系認證辦理要求及過程

東莞ISO27000認證ISO27000信息安全體系認證辦理要求及過程東莞ISO27000認證：ISO27000信息安全體系認證辦理要求及過程ISO27000是ISO/IEC JT……

佛山ISO27000認證ISO27000信息安全體系認證申請要求及過程

佛山ISO27000認證ISO27000信息安全體系認證申請要求及過程佛山ISO27000認證 ISO27000信息安全體系認證是國際公認的信息安全管理標準，也是……

ISO27000信息安全體系 深圳ISO27000體系認證認證流程及費用

ISO27000信息安全體系 深圳ISO27000體系認證認證流程及費用ISO27000信息安全體系：深圳ISO27000體系認證認證流程及費用ISO27000信息安全體……

中企認證咨詢網(wǎng)積累了豐富的國際質量認證工作經(jīng)驗，各項業(yè)務均成果卓著。始終以服務國家經(jīng)濟社會發(fā)展和提升人民生活品質為己任，依托產(chǎn)品認證(包括服務認證、自愿性認證)、管理體系認證和認證培訓業(yè)務，著力開展節(jié)能。在積極促進國際貿(mào)易，調(diào)整經(jīng)濟結構，保護消費者安全健康，構建社會誠信體系，參與"兩型"社會建設等方面做出了積極貢獻。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務門類全、服務網(wǎng)絡廣、工作手段新、技術力量強、人員素質高的一流認證機構，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質的"一站式"服務。中企認證咨詢網(wǎng)秉承"和諧、進取、責任"的理念，正在朝著建立社會公信力高，有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認證機構的目標努力前行，優(yōu)質的服務、雄厚的技術力量、先進的管理水平保障了中企認證咨詢網(wǎng)業(yè)務的順利開展，為順利實現(xiàn)中企認證咨詢網(wǎng)的質量目標、為認證機構的品牌提供了有力保障。

中企認證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務體系認證、GB/T29490知識產(chǎn)權管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務。認證價格實惠，證書真實有效，認監(jiān)委可查，如有疑問，可點擊garryr.com了解詳情，竭誠為您服務!