1、IT 安全,第 5节组织安全,组织安全,信息安全结构管理组织内的信息安全第三方访问的安全维护第三方访问的组织信息处理设施的安全外包维护外包处理的信息安全,IS 结构,管理IS论坛IS协调职责的分配处理设施的授权专家的安全建议组织间的协作独立检查,管理 IS 论坛,为确保明确的方向和支持这样的论坛负责:政策和全面职责的检查和批准安全事件的检查和监控增强安全的重大举措的审批由一名主管负责全部的安全活动,IS 协调,跨部门的论坛管理职责主要作用是:批准具体角色和职责批准具体方法和程序 批准和支持安全倡议具体控制的协调实施检查安全事件提高IS业务支持的可见性,职责的分配,资产的保护职责 主管可以委派职
2、现,但仍对IT资产负最终责任职责分配应包括:与单个系统有关的资产和安全程序的定义批复每项资产和安全程序的管理人员明确地界定授权等级,处理的授权,应建立新处理设施的管理授权程序后续控制应考虑:新设施应有适当的用户管理批复对硬件和软件进行检查,以确保与其它系统的兼容性使用个人处理设施处理业务信息应加以控制对在工作场所使用个人处理设施进行授权,专家的安全建议,由内部安全顾问或 外部专家提供安全建议评估安全威胁的顾问和控制建议访问组织全面管理的顾问就以下安全事件向顾问进行咨询,组织间的协作,与执法部门、监管机构、信息服务供应商的联系安全组织或论坛的成员限制安全信息的交流,独立检查,对信息安全的实施进行
3、独立检查检查由内部审计、独立的管理人员或第三方组织进行,第三方访问的安全,保持第三方访问的信息处理设施的安全性第三方访问的安全应包括:识别第三方访问的安全第三方合同的安全需求,访问风险的识别,识别访问的类型对计算机房和文件柜的物理访问数据库的逻辑访问识别访问的原因硬件和软件支持人员培训参与人员只有签署和实施控制之后,才能进行第三方的访问,合同的安全需求,合同条款包括:保护资产的程序服务的描述合同各方的义务知识产权访问控制协议对合同职责进行审计的权利安全事件的通告和调查与硬件和软件有关的职责安全培训,外包,当处理职责外包时,维护信息的安全外包管理应涉及信息系统和网络的风险、安全控制和程序在IT控制模块中进行深入讨论,总结,IS的组织结构包括:管理论坛、安全建议、协调和独立检查第三方访问的安全外包的安全问题,
