ISO27001標準附錄 A.6.1　內(nèi)部組織

【內(nèi)容解析】

通過高層管理者的支持和協(xié)調(diào)，基于組織的文化、業(yè)務(wù)目標和要求在組織內(nèi)實施信息安全管理。

ISO27001標準附錄 A.6.1.1　信息安全的管理承諾

【內(nèi)容解析】

管理承諾體現(xiàn)了高層管理對信息安全管理的領(lǐng)導力。管理層的基本承諾見本標準的5.1條款。

ISO27001標準附錄 A.6.1.2　信息安全協(xié)調(diào)

【內(nèi)容解析】

信息安全工作需要在各部門或不同的領(lǐng)域間協(xié)調(diào)，有關(guān)信息安全的考慮和工作應(yīng)有一種溝通及驅(qū)動機制，如建立跨部門的協(xié)調(diào)機構(gòu)或安全負責人會議。協(xié)調(diào)程度與組織的規(guī)模有關(guān)聯(lián)，對于一個小型組織可能沒有明確的協(xié)調(diào)組，關(guān)鍵點是規(guī)定責任人。

ISO27001標準附錄 A.6.1.3　信息安全職責的分配

【內(nèi)容解析】

信息安全的職責應(yīng)在組織內(nèi)分配并針對所涉及的崗位以書面的方式做出規(guī)定（如，崗位職責說明）。安全管理職責的規(guī)范應(yīng)從最直接的角色作為起點并擴展到相關(guān)層面的崗位。

ISO27001標準附錄 A.6.1.4　信息處理設(shè)施的授權(quán)過程

【內(nèi)容解析】

對于新的信息處理設(shè)施（包括個人的信息處理設(shè)備）或更新的設(shè)備進入組織的網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境，管理層應(yīng)制定并發(fā)布一個正式的授權(quán)過程，向下可貫徹到部門級。授權(quán)應(yīng)在運行管理和技術(shù)兩方面把控。

ISO27001標準附錄 A.6.1.5　保密性協(xié)議

【內(nèi)容解析】

組織應(yīng)按適用的法律規(guī)定編制保密協(xié)議或不泄密協(xié)議并在一定范圍內(nèi)要求相關(guān)人員簽署，以保護機密信息。管理層應(yīng)咨詢內(nèi)部或外部的法律專家或顧問以確保這種類型的協(xié)議是恰當準確的，并反映了組織的要求。保密協(xié)議的要求應(yīng)定期評審，以適應(yīng)組織信息保護的需要。

保密協(xié)議可適用于內(nèi)部人員或外部相關(guān)方及人員。

ISO27001標準附錄 A.6.1.6　與政府部門的聯(lián)系

【內(nèi)容解析】

政府部門指警方、消防、安全和司法單位等。組織應(yīng)與本地的這些有關(guān)安全的部門建立并保持聯(lián)系，以便確保能對負面或重大事件的發(fā)生做出快速響應(yīng)。

ISO27001標準附錄 A.6.1.7　與特定利益集團的聯(lián)系

【內(nèi)容解析】

組織內(nèi)從事信息安全的人員應(yīng)與信息安全相關(guān)的特定機構(gòu)（如行業(yè)協(xié)會、安全監(jiān)控中心等）建立聯(lián)系，以便獲得有關(guān)信息安全的動態(tài)信息并使之受益于本組織。

ISO27001標準附錄 A.6.1.8　信息安全的獨立評審

【內(nèi)容解析】

獨立評審指獨立于評審范圍而又具有一定信息安全管理經(jīng)驗、知識或技能的人員對組織信息安全管理所進行的評審。由于一個組織的信息安全管理資源的限制，執(zhí)行獨立評審的人員也可能來自于組織外部的專家或第三方人員。為確?？刂拼胧┖桶踩雷o的有效性和適用性，管理層應(yīng)在計劃的周期或當環(huán)境或業(yè)務(wù)運行發(fā)生較大變更時協(xié)調(diào)資源或結(jié)合內(nèi)部審核對信息安全管理的實踐（包括方針、控制目標、措施、過程和規(guī)程等的實施情況）進行評審。這里是否需要調(diào)集外部資源（如，評估師或?qū)徍藛T）需要管理層做出決策，評判依靠組織內(nèi)部的安全審核是否已經(jīng)足夠。

ISO27001標準附錄 A.6.2　外部各方

【內(nèi)容解析】

為方便業(yè)務(wù)活動，外部相關(guān)方往往需要對組織的信息和信息處理設(shè)施進行訪問，溝通信息并參與信息的處理，或許還有本組織的信息和信息處理設(shè)施處于外部方的管理之下，對此組織應(yīng)有充分的安全準備，以確保信息和信息處理設(shè)施的安全。

ISO27001標準附錄 A.6.2.1　與外部各方相關(guān)風險的識別

【內(nèi)容解析】

在與外部組織合作開展業(yè)務(wù)前應(yīng)識別信息安全風險，基于風險評估的結(jié)果，在合作業(yè)務(wù)運行前應(yīng)安排并實施控制措施。

ISO27001標準附錄 A.6.2.2　處理與顧客有關(guān)的安全問題

【內(nèi)容解析】

在允許顧客訪問組織的信息或資產(chǎn)之前，通過信息安全風險評估已經(jīng)識別的風險應(yīng)全部處理完成并驗證滿足要求。

ISO27001標準附錄 A.6.2.3　處理第三方協(xié)議中的安全問題

【內(nèi)容解析】

外部第三方在訪問、處理或交流組織的信息、訪問組織的信息處理設(shè)施或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)前要預(yù)先簽訂協(xié)議，其中應(yīng)包含對信息安全的全部要求?？梢跃托畔踩囊髥为毢炇饏f(xié)議，也可以將信息安全要求作為整個協(xié)議的組成部分。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5481.html