談到資料安全管理及人員管理,可對應於ISO 27001的A.7 & A.8, A.9, A.10, A.11也有相關控制措施對應.以下將說明對應的控制目標與措施.
A.7.2 資訊分類Information classification
目標:確保資訊受到適切等級的保護。
A.7.2.1 分類指導綱要Classification guidelines
控制措施Control
資訊應依其對組織的價值、法律要求、敏感性及重要性加以分類。
A.7.2.2 資訊標示與處置Information labelling and handling
控制措施Control
應依照組織所採用的分類法,發展與實作一套適當的資訊標示與處置程序。
A.8.1 聘僱之前 Prior to employment
目標:確保員工、承包者及第三方使用者了解其責任,並勝任其所被認定的角色,以降低竊盜、詐欺或設施誤用的風險。
A.8.1.1 角色與責任Roles and responsibilities
A.8.1.2 篩選Screening
A.8.1.3 聘僱條款與條件Terms and conditions of employment
A.8.2 聘僱期間 During employment
目標:確保所有員工、承包者及第三方使用者認知資訊安全的威脅與關切事項、其基本責任與強制責任,並有能力在日常工作中支持組織安全政策與降低人為錯誤的風險。
A.8.2.1 管理階層責任Management responsibilities
A.8.2.2 資訊安全認知、教育及訓練Information security awareness, education and training
A.8.2.3 懲處過程Disciplinary process
A.8.3 聘僱的終止或變更Termination or change of employment
目標:確保員工、承包者及第三方使用者以有條理的方式脫離組織或變更聘僱。
A.8.3.1 終止責任Termination responsibilities
A.8.3.2 資產的歸還Return of assets
A.8.3.3 存取權限的移除Removal of access rights
至於A.9, A.10, A.11有那些控制措施可對應到, 下回再與大家分享.