欢迎来到广汇联合(北京)认证服务有限公司【官方网站】:
体系认证
更多
客户专访
更多
员工专访
更多
联系我们

广汇联合---遵守法规,快速

 反应,增值认证,客户满意!

  热线:
13681064228
13681064228
  Q Q:
来电咨询

ISO/IEC27040标准合规性控制措施

发布时间:2020-07-11 作者:广汇联合 来源:广汇联合

ISO/IEC27040标准合规性控制措施

一、条款、目标、控制措施

问责制 
-确保用户,特别是特权用户,具有唯一的用户id(即,没有共享帐户); 
-在可能的情况下,根据角色授予权利和特权; 
-记录所有尝试(成功和不成功)的管理事件和事务。 
-可追溯性 
-确保记录的事件/事务数据包含足够的应用程序或系统详细信息,以清楚地标识源; 
-确保用户信息可以追溯到特定的个人; 
-适当时,将日志记录视为证据(保管链、不可否认性、真实性等)。 
-检测、监视和评估 
-确保存储层参与外部审计日志记录措施; 
-监视审核日志记录事件并发出相应的警报。 
-信息保留和卫生处理 
-实施适当的数据保留措施; 
-实施适当的数据完整性和真实性措施; 
-在删除、重新调整用途或停用硬件时正确清理数据; 
-在生命周期结束时正确清理虚拟服务器映像及其副本。 
-隐私 
-实施适当的数据访问控制措施,以控制对数据和元数据(如搜索结果)的访问;尽可能采取最低权限的姿态; 
-实施适当的数据保密措施,防止未经授权的泄露。 
-合法的 
-确保重复数据消除的使用不与数据真实性要求冲突; 
-确保数据和媒体净化机制不违反保存命令; 
-确保在处理证据数据(如审计日志、元数据、镜像、时间点副本等)时遵循适当的监管链程序。

二、企业要做的内容

1.准备《法律法规与符合性评估程序》
2.准备《认证和授权安全策略》
3准备《数据清理管理程序》
4准备《安全审计、会计和监控安全策略》

三、审核员关注的内容

1. 是否依据《法律法规与符合性评估程序》实施管理
2 是否依据《认证和授权安全策略》实施管理
3. 是否依据《法律法规与符合性评估程序》实施管理
4 是否依据《安全审计、会计和监控安全策略》实施管理
 

如您想更详细的了解ISO/IEC 27040:2015 标准,需要ISO/IEC 27040:2015标准,请您网络搜索广汇联合,快人一步,成就管理者风范。