- 论坛徽章:
- 1
|
领导要求对基层单位去进行安全检查,主要查些什么?
這個問題最重要的就是制度化...
或可您可考慮 BS7799 的作法,或許 7799 對一般單位來說太過復雜
但您可取其中對您有用的
http://www.ringline.com.tw/epaper/11%E6%9C%88%E8%B6%A8%E5%8B%A21.asp
十個 Domain:
資訊安全政策
資訊安全組織
資產分類管理
人員安全
實體環境安全
通信與操作管理
存取控制
系統開發與維護
業務持續運行管理
符合性
其他太細的就不列了,例如我們單位,就 資產分類管理 項下,可能有這些文件及作業辨法(機密文件名稱我就不列):
- 資產分類管理 01政策 文件一覽表 文件控管程序書
- 資產分類管理 02程序 風險評鑑暨管理程序書 資訊安全政策
- 資產分類管理 02程序 資訊資產分類與控管程序書 資訊安全政策
- 資產分類管理 04表單 風險控管對應表 風險評鑑暨管理程序書
- 資產分類管理 04表單 風險處理計劃書 風險評鑑暨管理程序書
- 資產分類管理 04表單 風險評估與控管表 風險評鑑暨管理程序書
- 資產分類管理 04表單 風險評鑑報告 風險評鑑暨管理程序書
- 資產分類管理 04表單 資訊資產風險評估權值對照表 風險評鑑暨管理程序書
- 資產分類管理 04表單 資訊資產報廢申請單 資訊資產報廢作業說明書
- 資產分類管理 04表單 資訊資產鑑別清單 風險評鑑暨管理程序書
- 資產分類管理 04表單 適用聲明書 風險評鑑暨管理程序書
- 資產分類管理 04表單 機密資訊使用申請表 資訊資產分類與控管程序書
- 資產分類管理 04表單 機密資訊登記表 資訊資產報廢作業說明書
- 資產分類管理 03工作指導書及辦法 資訊資產報廢作業說明書 資訊資產分類與控管程序書
复制代码
每個文件或辨法或表單,每個同仁都要知道,自己相關的業務如何進行,
有什麼標準化作業,以達到適度控管之目的.
就我來看,您不見得要採用 BS7799 那一套東西,但可以看看其 "制度化"
要如何進行,最重要的是文件要清楚並可行...
就您狀況來說,當屬內部稽核,有些事情不要因人情考量而放鬆才是重點
不然,當有外部稽核發生時,馬上就知道你的內稽做的不好,有太多問題 |
|