信息安全符合性管理策略
法律法规符合性
▼▼法律条款识别
全国人大及人大常委会发布的法律和法律解释。 国务院、最高人民法院、最高人民检察院批准和颁布的法律、法规、法律解释。 公安部、工业和信息产业部等国家职能部门批准和颁布的规章制度。 适用于我国的国际公约、国际条约、商业惯例和规范性文件等。
当法律法规出现修订、合并、删减、取消时,应及时获取最新的法律法规,更新《信息安全法律法规清单》,并识别确定具体适用的条款。
保护自主研发的软件版权,通过技术手段与管理手段相结合的方式保护软件源代码的完整性和有效性,防止代码泄露。
通过技术手段与管理手段相结合的方式保护软件开发过程中的相关文档的安全,相关文档可能包括:描述程序的内容、组成、设计、功能规格、开发情况、测试结果及使用方法的文字资料和图表等,如程序设计说明书、流程图、用户手册等。
与开发人员签订保密协议,明确其对源代码保密的责任和义务。
对开发的软件使用加密工具或加密算法等,以避免软件被盗版使用。
遵循与供应商的合同约定保护第三方知识产权。 对所有商用软件进行登记,填写外购软件清单,并保存原始资料,软件登记的内容包括软件类别、软件名称、软件版本、厂商、购买日期、软件许可期限、授权许可证用户数量等。 采购软件的许可证原件、软件安装盘原件由信息技术部指定的专人负责保存,保存的物理环境必须安全可靠。
技术符合性管理
应定期组织进行技术合规性检查,包括技术评估、人工评估等形式,检测公司信息系统和网络的安全状况。
技术合规性检查必须在确保信息系统和网络服务业务连续性和安全性得到保障的前提下进行。
在组织进行技术合规性检查时,需注意以下事宜:
技术合规性检查应由有经验的人员执行(如需要,利用合适的软件工具支持),或者使用自动工具来执行。 进行渗透测试时应制定详细测试计划并形成文档。 应谨慎使用系统审计工具,并对信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。
策略符合性管理
应通过以下措施确保各项信息安全管理制度和流程正确地执行,以符合信息安全的方针和目标。
信息安全制度和流程执行情况的督促和推进。 信息安全技术和产品的实施和应用。 监督信息安全制度和程序的执行情况,发现违规行为应及时纠正。 加强全员信息安全合规培训,确保其操作的合规性。 管理评审、内部审核、内部检查和外部审核/审计。 纠正、预防措施的实施和落实效果跟进。
扩展 · 本文相关链接
感谢关注“微言晓意(WeYanXY)”!
微言晓意(WeYanXY)专注于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域,兼顾于一切文、史、哲、杂的东拉西扯,同时也会记录一些个人的读书笔记与成长经历。
赞 (0)