ISMS内审员培训课程第二部分:ISO-27001标准附录A详解.ppt
《ISMS内审员培训课程第二部分:ISO-27001标准附录A详解.ppt》由会员分享,可在线阅读,更多相关《ISMS内审员培训课程第二部分:ISO-27001标准附录A详解.ppt(88页珍藏版)》请在冰点文库上搜索。
ISMSISMS内审员培训课程内审员培训课程SGS-CSTCSGS-CSTC通标标准技术服务有限公司通标标准技术服务有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.SGS-CSTCStandardsTechnicalServicesCo.,Ltd.http:
/http:
/2u第一部分第一部分信息安全基础知识及案例介绍信息安全基础知识及案例介绍u第二部分第二部分ISO27001标准正文部分详解标准正文部分详解ISO27001标准附录标准附录A详解详解u第三部分第三部分信息安全风险评估与管理信息安全风险评估与管理u第四部分第四部分体系文件编写体系文件编写u第五部分第五部分信息安全管理体系内部审核信息安全管理体系内部审核课程内容课程内容311大控制域大控制域信息资产信息资产保密性保密性保密性保密性完整性完整性完整性完整性可用性可用性可用性可用性安全方针安全方针信息安全组织信息安全组织资产管理资产管理人力资源安全人力资源安全物理和环境安全物理和环境安全通信和操作安全通信和操作安全访问控制访问控制信息系统获取、信息系统获取、开发和维护开发和维护信息安全事件管理信息安全事件管理业务连续性管理业务连续性管理符合性符合性4A.5安全方针安全方针5A.5安全方针安全方针n信息安全方针文件信息安全方针文件n信息安全方针的评审信息安全方针的评审方方针针(例例)信息安全,人人有责信息安全,人人有责信息安全是赢得客户的基础,无破坏零损失是我们的终极目标为保护本公司的相关信息资产,包括软硬件设施、数据、信息的安全,免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失等风险,特制订本政策,以供全体员工共同遵循。
目标:
目标:
依据业务要求和相关法律法规提供管理指导并支依据业务要求和相关法律法规提供管理指导并支持信息安全。
持信息安全。
6A.5.1.1信息安全方针文件信息安全方针文件n控制措施:
控制措施:
信息安全方针文件应经管理者批信息安全方针文件应经管理者批准、发布并传达给所有员工和外部相关方。
准、发布并传达给所有员工和外部相关方。
7A.5.1.2信息安全方针评审信息安全方针评审n控制措施:
控制措施:
宜按计划的时间间隔或当重大变宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。
持续的适宜性、充分性和有效性。
8A.6信息安全组织信息安全组织9A.6.1内部组织内部组织n信息安全的管理承诺信息安全的管理承诺n信息安全协调信息安全协调n信息安全职责的分配信息安全职责的分配n信息处理设施的授权过程信息处理设施的授权过程n保密性协议保密性协议n与政府部门的联系与政府部门的联系n与特定利益团体的联系与特定利益团体的联系n信息安全的独立评审信息安全的独立评审目标目标:
管理组织范围内信息安全。
管理组织范围内信息安全。
10A.6.1.1信息安全的管理信息安全的管理承承诺控制措施:
控制措施:
管理者管理者应通通过清晰的清晰的说明、可明、可证实的承的承诺、明确的信息安全、明确的信息安全职责分分配及确配及确认,来,来积极支持极支持组织内的安全。
内的安全。
A.6.1.2信息安全信息安全协调控制措施:
控制措施:
信息安全活信息安全活动应由来自由来自组织不同部不同部门并具并具备相关角色和工作相关角色和工作职责的的代表代表进行行协调。
A.6.1.3信息安全信息安全职责的的分配分配控制措施:
控制措施:
所有的信息安全所有的信息安全职责应予以清晰地定予以清晰地定义。
A.6.1.4信息信息处理理设施的施的授授权过程程控制措施:
控制措施:
应为新的信息新的信息处理理设施定施定义和和实施一个管理授施一个管理授权过程。
程。
A.6.1.5保密性保密性协议控制措施:
控制措施:
应识别并定期并定期评审反映反映组织信息保信息保护需要的保密性或不泄露需要的保密性或不泄露协议的的要求要求A.6.1.6与政府部门的联与政府部门的联系系控制措施:
控制措施:
应保持与政府相关部门的适当联系。
应保持与政府相关部门的适当联系。
A.6.1.7与特定利益集与特定利益集团的的联系系控制措施:
控制措施:
应保持与特定利益集保持与特定利益集团、其他安全、其他安全专家家组和和专业协会的适当会的适当联系。
系。
A.6.1.8信息安全的独立信息安全的独立评审控制措施:
控制措施:
组织管理信息安全的方法及其管理信息安全的方法及其实施(例如信息安全的控制目施(例如信息安全的控制目标、控、控制措施、策略、制措施、策略、过程和程和规程)程)应按按计划的划的时间间隔隔进行独立行独立评审,当安全当安全实施施发生重大生重大变化化时,也要,也要进行独立行独立评审。
11A.6.2外部各方外部各方n与外部各方相关风险的识别与外部各方相关风险的识别n处理与顾客有关的安全问题处理与顾客有关的安全问题n处理第三方协议中的安全问处理第三方协议中的安全问题题目标:
目标:
保持组织的被外部各方访问、处理、管保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的理或与外部进行通信的信息和信息处理设施的安全。
安全。
12A.6.2.1与外部各方与外部各方相关相关风险的的识别控制措施:
控制措施:
应识别涉及外部各方业务过程中组织的信息和信息应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制处理设施的风险,并在允许访问前实施适当的控制措施。
措施。
A.6.2.2处理与顾客处理与顾客有关的安全有关的安全问题问题控制措施:
控制措施:
应在允在允许顾客客访问组织信息或信息或资产之前之前处理所有确理所有确定的安全要求。
定的安全要求。
A.6.2.3处理第三方理第三方协议中的安中的安全全问题控制措施:
控制措施:
涉及涉及访问、处理或管理理或管理组织的信息或信息的信息或信息处理理设施施及与之通信的第三方及与之通信的第三方协议,或在信息,或在信息处理理设施中增施中增加加产品或服品或服务的第三方的第三方协议,应涵盖所有相关的安涵盖所有相关的安全要求。
全要求。
13A.7资产管理资产管理14A.7.1对资产负责对资产负责n资产清单资产清单n资产责任人资产责任人n资产的可接受使用资产的可接受使用目标目标:
实现和保持和保持对组织资产的适当保的适当保护。
15A.7.1.1资产的清的清单控制措施:
控制措施:
应清晰的清晰的识别所有所有资产,编制并制并维护所有重要所有重要资产的的清清单。
A.7.1.2资产责任人任人1)控制措施:
控制措施:
与信息与信息处理理设施有关的所有信息和施有关的所有信息和资产应由由组织的指的指定部定部门或人或人员承担承担责任任。
A.7.1.3资产的可接受使用的可接受使用控制措施:
控制措施:
与信息与信息处理理设施有关的信息和施有关的信息和资产可接受使用可接受使用规则应被确定、形成文件并加以被确定、形成文件并加以实施。
施。
1)术语术语“责任人责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。
是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。
术语术语“责任人责任人”不指实际上对资产具有财产权的人。
不指实际上对资产具有财产权的人。
16A.7.2信息分类信息分类n分类指南分类指南n信息的标记与处理信息的标记与处理目标:
目标:
确保信息受到适当级别的保护。
确保信息受到适当级别的保护。
限限制制直到直到2007/1/1高度机密高度机密秘秘密密保保密密限限制制保护标识保护标识17A.7.2.1分分类指南指南控制措施:
控制措施:
信息信息应按照它按照它对组织的价的价值、法律要求、敏感、法律要求、敏感性和关性和关键性予以分性予以分类。
A.7.2.2信息的信息的标记与与处理理控制措施:
控制措施:
应按照按照组织所采所采纳的分的分类机制建立和机制建立和实施一施一组合适的信息合适的信息标记和和处理理规程程。
18A.8人力资源安全人力资源安全19A.8.1任用任用2)前前目标:
确保雇员、承包方人员和第三方人员目标:
确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
以降低设施被窃、欺诈和误用的风险。
u角色和职责角色和职责u审查审查u任用条款和条件任用条款和条件2)解释:
这里的解释:
这里的“任用任用”意指以下不同的情形:
人员任用(暂时的或长期的)、工作角色意指以下不同的情形:
人员任用(暂时的或长期的)、工作角色的制定、工作角色的变化、合同的分配及所有这些安排的终止。
的制定、工作角色的变化、合同的分配及所有这些安排的终止。
20A.8.1.1角色和角色和职责控制措施:
控制措施:
雇雇员、承包方人、承包方人员和第三方人和第三方人员的安全角色和的安全角色和职责应按照按照组织的信息安全方的信息安全方针定定义并形成文件。
并形成文件。
A.8.1.2审查控制措施:
控制措施:
关于所有任用的候关于所有任用的候选者、承包方人者、承包方人员和第三方人和第三方人员的背景的背景验证核核查应按照相关法律法按照相关法律法规、道德、道德规范和范和对应的的业务要求、被要求、被访问信息的信息的类别和察和察觉的的风险来来执行。
行。
A.8.1.3任用条款和任用条款和条件条件控制措施:
控制措施:
作作为他他们合同合同义务的一部分,雇的一部分,雇员、承包方人、承包方人员和第三方人和第三方人员应同意并同意并签署他署他们的任用合同的条的任用合同的条款和条件,款和条件,这些条款和条件些条款和条件应声明他声明他们和和组织的的信息安全信息安全职责。
21A.8.2任用中任用中n管理职责管理职责n信息安全意识、教育和培训信息安全意识、教育和培训n纪律处理过程纪律处理过程目标:
目标:
确保所有的雇确保所有的雇员、承包方人、承包方人员和第三方人和第三方人员知悉信息安全威知悉信息安全威胁和利害关系、他和利害关系、他们的的职责和和义务、并准、并准备好在其正常工作好在其正常工作过程中支持程中支持组织的的安全方安全方针,以减少人,以减少人为出出错的的风险。
22A.8.2.1管理管理职责控制措施:
控制措施:
管理者管理者应要求雇要求雇员、承包方人、承包方人员和第三方人和第三方人员按按照照组织已建立的方已建立的方针策略和策略和规程程对安全尽心尽力。
安全尽心尽力。
A.8.2.2信息安全信息安全意意识、教、教育和培育和培训控制措施:
控制措施:
组织的所有雇的所有雇员,适当,适当时,包括承包方人,包括承包方人员和第和第三方人三方人员,应受到与其工作受到与其工作职能相关的适当的意能相关的适当的意识培培训和和组织方方针策略及策略及规程的定期更新培程的定期更新培训。
A.8.2.3纪律律处理理过程程控制措施:
控制措施:
对于安全于安全违规的雇的雇员,应有一个正式的有一个正式的纪律律处理理过程。
程。
23A.8.3任用的终止或变化任用的终止或变化n终止职责终止职责n资产的归还资产的归还n撤销访问权撤销访问权目标:
目标:
确保雇确保雇员、承包方人、承包方人员和第三方人和第三方人员以一个以一个规范的范的方式退出一个方式退出一个组织或改或改变其任用关系。
其任用关系。
24A.8.3.1终止止职责控制措施:
控制措施:
任用任用终止或任用止或任用变更的更的职责应清晰地定清晰地定义和分配。
和分配。
A.8.3.2资产归还控制措施:
控制措施:
所有的雇所有的雇员、承包方人、承包方人员和第三方人和第三方人员在在终止任止任用、合同或用、合同或协议时,应归还他他们使用的所有使用的所有组织资产。
A.8.3.3撤撤销访问权控制措施:
控制措施:
所有雇所有雇员、承包方人、承包方人员和第三方人和第三方人员对信息和信信息和信息息处理理设施的施的访问权应在任用、合同或在任用、合同或协议终止止时删除,或在除,或在变化化时调整。
整。
25A.9物理和环境安全物理和环境安全26A.9.1安全区域安全区域n物理安全周边物理安全周边n物理入口控制物理入口控制n办公室、房间和设施的安全保护办公室、房间和设施的安全保护n外部和环境威胁的安全防护外部和环境威胁的安全防护n在安全区域工作在安全区域工作n公共访问、交接区安全公共访问、交接区安全目标:
目标:
防止对组织场所和信息的未授权物理访问、防止对组织场所和信息的未授权物理访问、损坏和干扰。
损坏和干扰。
27A.9.1.1物理安全周边物理安全周边控制措施:
控制措施:
应使用安全周边(诸如墙、卡控制的入口或有人管理的接待台等屏障)应使用安全周边(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。
来保护包含信息和信息处理设施的区域。
A.9.1.2物理进入控制物理进入控制控制措施:
控制措施:
安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
访问。
A.9.1.3办公室、房间办公室、房间和设施的安全和设施的安全控制措施:
控制措施:
应为办公室、房公室、房间和和设施施设计并采取物理安全措施。
并采取物理安全措施。
A.9.1.4防范外部和环防范外部和环境的威胁境的威胁控制措施:
控制措施:
为防止火灾、洪水、地震、爆炸、社会防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人和其他形式的自然或人为灾灾难引起的破坏,引起的破坏,应设计和采取物理保和采取物理保护措施。
措施。
A.9.1.5在安全区域工在安全区域工作作控制措施:
控制措施:
应设计和和应用用于安全区域工作的物理保用用于安全区域工作的物理保护和指南。
和指南。
A.9.1.6公共访问和装公共访问和装卸区域卸区域控制措施:
控制措施:
访问点(例如交接区)和未授点(例如交接区)和未授权人人员可可进入入办公公场所的其他点所的其他点应加以加以控制,如果可能,控制,如果可能,应与信息与信息处理理设施隔离,以避免未授施隔离,以避免未授权访问。
28A.9.2设备安全设备安全n设备定置和保护设备定置和保护n支持性设施支持性设施n布缆安全布缆安全n设备维护设备维护n组织场所外的设备安全组织场所外的设备安全n设备的安全处理或再利用设备的安全处理或再利用n资产的移动资产的移动目标:
目标:
防止防止资产的的丢失、失、损坏、失窃或危及坏、失窃或危及资产安安全以及全以及组织活活动的中断。
的中断。
29A.9.2.1设备安置和保设备安置和保护护控制措施:
控制措施:
应安置或保护设备,以减少由环境威胁或危险所造成的各种风险以及未应安置或保护设备,以减少由环境威胁或危险所造成的各种风险以及未授权访问的机会。
授权访问的机会。
A.9.2.2支持性设施支持性设施控制措施:
控制措施:
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断A.9.2.3电缆安全电缆安全控制措施:
控制措施:
应保证传输数据或支持信息服务的电源布电缆和通信布缆免受窃听或损应保证传输数据或支持信息服务的电源布电缆和通信布缆免受窃听或损坏。
坏。
A.9.2.4设备维护设备维护控制措施:
控制措施:
设备应予以正确的维护,以确保其持续的可用性和完整性。
设备应予以正确的维护,以确保其持续的可用性和完整性。
A.9.2.5组织场所外的组织场所外的设备安全设备安全控制措施:
控制措施:
应对组织场所外的设备采取安全措施,要考虑工作在组织场所以外的应对组织场所外的设备采取安全措施,要考虑工作在组织场所以外的不同风险。
不同风险。
A.9.2.6设备的安全处设备的安全处置或再利用置或再利用控制措施:
控制措施:
包含储存介质的设备的所有项目应进行核查,以确保在处置之前,任何包含储存介质的设备的所有项目应进行核查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。
敏感信息和注册软件已被删除或安全地写覆盖。
A.9.2.7资产迁移资产迁移控制措施:
控制措施:
设备、信息或软件在授权之前不应带出组织场所。
设备、信息或软件在授权之前不应带出组织场所。
30A.10通信和操作管理通信和操作管理31A.10.1操作规程和职责操作规程和职责n文件化的操作规程文件化的操作规程n变更管理变更管理n责任分割责任分割n开发、测试和运行设施分离开发、测试和运行设施分离目标:
目标:
确保确保正确、安全的操作正确、安全的操作信息处理设施。
信息处理设施。
32A.10.1.1文件化的操文件化的操作规程作规程控制措施:
控制措施:
操作规程应形成文件、保持并对所有需要的用操作规程应形成文件、保持并对所有需要的用户可用。
户可用。
A.10.1.2变更管理变更管理控制措施:
控制措施:
对信息处理设施和系统的变更应加以控制。
对信息处理设施和系统的变更应加以控制。
A.10.1.3责任分割责任分割控制措施:
控制措施:
各类责任及职责范围应加以分割,以降低未各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产授权或无意识的修改或者不当使用组织资产的机会。
的机会。
A.10.1.4开发、测试开发、测试和运行设施和运行设施的分离的分离控制措施:
控制措施:
开发、测试和运行设施应分离,以减少未授开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
权访问或改变运行系统的风险。
33A.10.2第三方服务交付管理第三方服务交付管理目标:
目标:
实施和保持符合第三方交付协议的信息实施和保持符合第三方交付协议的信息安全和服务交付的适当水准。
安全和服务交付的适当水准。
n服务交付服务交付n第三方服务的监视和评审第三方服务的监视和评审n第三方服务的变更管理第三方服务的变更管理34A.10.2.1服务交付服务交付控制措施:
控制措施:
应确保第三方实施、运行和保持在第三方服应确保第三方实施、运行和保持在第三方服务交付协议中的安全控制措施、服务定义和务交付协议中的安全控制措施、服务定义和交付水准。
交付水准。
A.10.2.2第三方服务第三方服务监控和评审监控和评审控制措施:
控制措施:
应定期监视和评审由第三方提供的服务、报告应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。
和记录,审核也应定期执行。
A.10.2.3管理第三方管理第三方服务的变更服务的变更控制措施:
控制措施:
应管理服务提供的变更,包括保持和改进现有应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的到业务系统和涉及过程的关键程度及风险的再评估。
再评估。
35A.10.3系统规划和验收系统规划和验收n容量管理容量管理n系统验收系统验收目标目标:
将系统失效的风险降至最小。
:
将系统失效的风险降至最小。
36A.10.3.1容量管理容量管理控制措施:
控制措施:
资源的使用应加以监视、调整,并作出对于资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系未来容量要求的预测,以确保拥有所需的系统性能。
统性能。
A.10.3.2系统验收系统验收控制措施:
控制措施:
应建立对新信息系统、升级及新版本的验收准应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当则,并且在开发中和验收前对系统进行适当的测试。
的测试。
37A.10.4防范恶意和移动代码防范恶意和移动代码n控制恶意代码控制恶意代码n控制移动代码控制移动代码目标目标:
保护软件和信息的完整性。
:
保护软件和信息的完整性。
38A.10.4.1控制恶意代码控制恶意代码控制措施:
控制措施:
应实施恶意代码的检测、预防和恢复的控制应实施恶意代码的检测、预防和恢复的控制措施,以及适当的提高用户安全意识的规程。
措施,以及适当的提高用户安全意识的规程。
A.10.4.2控制移动代码控制移动代码控制措施:
控制措施:
当授权使用移动代码时,其配置应确保授权当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。
应阻止执行未授权的移动代码。
39A.10.5备份备份n信息备份信息备份目标:
目标:
保持信息和信息处理设施的完整性及可用性。
保持信息和信息处理设施的完整性及可用性。
A.10.5.1信息备份信息备份控制措施:
控制措施:
应按照已设的备份策略,定期备份和测试信息和应按照已设的备份策略,定期备份和测试信息和软件。
软件。
40A.10.6网络安全管理网络安全管理n网络控制网络控制n网络服务安网络服务安全全目标:
目标:
确保网络中信息的安全性并保护支持确保网络中信息的安全性并保护支持性的基础设施。
性的基础设施。
41A.10.6.1网络控制网络控制控制措施:
控制措施:
应充分管理和控制网络,以防止威胁的发生,应充分管理和控制网络,以防止威胁的发生,维护使用网络的系统和应用程序的安全,包括维护使用网络的系统和应用程序的安全,包括传输中的信息。
传输中的信息。
A.10.6.2网络服务网络服务安全安全控制措施:
控制措施:
安全特性、服务级别以及所有网络的管理要求安全特性、服务级别以及所有网络的管理要求应予以确定并包括在所有网络服务协议中,无应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。
论这些服务是由内部提供的还是外包的。
42A.10.7介质处置介质处置n可移动介质的管理可移动介质的管理n介质的处置介质的处置n信息处理规程信息处理规程n系统文件安全系统文件安全目标:
目标:
防止资产遭受未授权泄露、修改、移动防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。
或销毁以及业务活动的中断。
43A.10.7.1可移动介可移动介质的管理质的管理控制措施:
控制措施:
应有适当的可移动介质的管理规程。
应有适当的可移动介质的管理规程。
A.10.7.2介质的处介质的处置置控制措施:
控制措施:
不再需要的介质,应使用正式的规程可靠并不再需要的介质,应使用正式的规程可靠并安全地处置。
安全地处置。
A.10.7.3信息处理信息处理规程规程控制措施:
控制措施:
应建立信息的处理和存储规程,以防止信息应建立信息的处理和存储规程,以防止信息的未授权的泄漏或不当使用。
的未授权的泄漏或不当使用。
A.10.7.4系统文件系统文件安全安全控制措施:
控制措施:
应保护系统文件以防止未授权的访问。
应保护系统文件以防止未授权的访问。
44A.10.8信息的交换信息的交换n信息交换策略和规程信息交换策略和规程n交换协议交换协议n运输中的物理介质运输中的物理介质n电子信息发送电子信息发送n业务信息系统业务信息系统目标:
目标:
保持组织内以及与组织外信息和保持组织内以及与组织外信息和软件交换的安全。
软件交换的安全。
45A.10.8.1信息交换策略信息交换策略和规程和规程控制措施:
控制措施:
应有正式的交换策略、规程和控制措施,应有正式的交换策略、规程和控制措施,以保护通过使用各种类型通讯设施的信息以保护通过使用各种类型通讯设施的信息交换。
交换。
A.10.8.2交换协议交换协议控制措施:
控制措施:
应建立组织与外部方交换信息和软件的协应建立组织与外部方交换信息和软件的协议。
议。
A.10.8.3运输中的物理运输中的物理介质介质控制措施:
控制措施:
包含信息的介质在组织的物理边界以外运包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或送时,应防止未授权的访问、不当使用或毁坏。
毁坏。
A.10.8.4电子消息发送电子消息发送控制措施:
控制措施:
包含在电子信息发送中的信息应给予适当包含在电子信息发送中的信息应给予适当的保护。
的保护。
A.10.8.5业务信息系统业务信息系统控制措施:
控制措施:
应建立并实施策略和规程,以保护与业务应建立并实施策略和规程,以保护与业务信息系统互联相关的信息。
信息系统互联相关的信息。
46A.10.9电子商务服务电子商务服务n电子商务电子商务n在线交易在线交易n公共可用信息公共可用信息目标:
目标:
确保电子商务服务的安全及其安全使用确保电子商务服务的安全及其安全使用商务平台商务平台个人个人企业企业个人个人47A.10
升级会员 