ISO27001-2013信息安全职能分配表
(注:▲ 负责部门; △ 相关部门):
管理单位 体系要求 | 税正宽 信息安全委员会 | 总经理 | 管理者代表 | 综合部 | 研发部 | 技术部 | 财务部 | 销售部 |
4.组织环境 | ||||||||
4.1 理解组织及其环境 | ▲ | ▲ | △ | △ | △ | △ | △ | △ |
4.2 理解相关方的需求和期望 | ▲ | ▲ | △ | △ | △ | △ | △ | △ |
4.3 明确信息安全管理体系的范围 | ▲ | ▲ | ▲ | △ | △ | △ | △ | △ |
4.4 信息安全管理体系 | ▲ | △ | ▲ | △ | △ | △ | △ | △ |
5 领导 | ||||||||
5.1 领导和承诺 | △ | ▲ | △ | △ | △ | △ | △ | △ |
5.2 方针 | △ | ▲ | △ | △ | △ | △ | △ | △ |
5.3 组织角、职责和权力 | △ | ▲ | △ | △ | △ | △ | 台前△ | △ |
6 计划 | ||||||||
6.1 处置风险和机遇 | ▲ | ▲ | △ | △ | ▲ | △ | △ | △ |
6.2 信息安全目标的计划和实现 | ▲ | △ | △ | △ | △ | △ | △ | △ |
7 支持 | ||||||||
7.1 资源 | △ | ▲ | △ | △ | △ | △ | △ | △ |
7.2 能力 | △ | △ | △ | ▲ | △ | △ | △ | △ |
7.3 意识 | △ | △ | △ | ▲ | △ | △ | △ | △ |
7.4 沟通 | ▲ | ▲ | ▲ | △ | △ | △ | △ | △ |
7.5 文档要求 | △ | △ | △ | ▲ | △ | △ | △ | △ |
8 实施 | ||||||||
8.1 运行计划和控制 | ▲ | △ | △ | △ | ▲ | △ | △ | △ |
8.2 信息安全风险评估 | ▲ | △ | △ | △ | ▲ | △ | △ | △ |
8.3 信息安全风险处置 | ▲ | △ | △ | △ | ▲ | △ | △ | △ |
9 绩效评价 | ||||||||
9.1 监视、测量、分析和评价 | ▲ | △ | △ | △ | △ | △ | △ | △ |
9.2 内部审核 | △ | △ | ▲ | △ | △ | △ | △ | △ |
9.3 管理评审 | △ | ▲ | △ | △ | △ | △ | △ | △ |
10 改进 | ||||||||
10.1 不符合项和纠正措施 | △ | △ | △ | ▲ | △ | △ | △ | △ |
10.2 持续改进 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.5 信息安全方针 | ||||||||
A.5.1 信息安全管理指引 | ▲ | △ | ▲ | △ | △ | △ | △ | △ |
A.6 信息安全组织 | ||||||||
A.6.1 内部组织 | ▲ | △ | ▲ | △ | △ | △ | △ | △ |
A.6.2 移动设备和远程办公 | △ | △ | △ | △ | ▲ | ▲ | △ | △ |
A.7 人力资源安全 | △ | |||||||
A.7.1 任用前 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.7.2 任用中 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.7.3 任用终止和变更 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.8 资产管理 | ||||||||
A.8.1 资产的责任 | △ | △ | △ | ▲ | ▲ | ▲ | ▲ | ▲ |
A.8.2 信息分类 | ▲ | △ | △ | ▲ | △ | 非诚勿扰伍娇牵手△ | △ | △ |
A.8.3 介质处理 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.9 访问控制 | ||||||||
A.9.1 访问控制的业务需求 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.9.2 用户访问管理 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.9.3 用户责任 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.9.4 系统和应用访问控制 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.10 加密技术 | ||||||||
A.10.1 加密控制 | ▲ | △ | △ | △ | △ | ▲ | △ | △ |
A.11 物理和环境安全 | ||||||||
A.11.1 安全区域 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.11.2 设备安全 | △ | △ | △ | ▲ | △ | ▲ | △ | △ |
A.12 操作安全 | ||||||||
A.12.1 操作程序及职责 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.12.2 防范恶意软件 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.12.3 备份 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.12.4 日志记录和监控 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.12.5 操作软件的控制 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.12.6 技术脆弱性管理 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.12.7 信息系统审计的考虑因素 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.13 通信安全 | ||||||||
A.13.1 网络安全管理 | △ | △ | △ | △ | △ | ▲ | △ | △ |
A.13.2 信息传输 | △ | △ | △ | ▲ | △ | ▲ | △ | △ |
A.14 系统的获取、开发及维护 | ||||||||
A.14.1 信息系统安全需求 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.14.2 开发和支持过程的安全 | △ | △ | △ | △ | ▲ | △ | △ | △ |
工资条 A.14.3 测试数据 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.15 供应商关系 | ||||||||
A.15.1 供应商关系的信息安全 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.15.2 供应商服务交付管理 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.16 信息安全事件管理 | ||||||||
A.16.1 信息安全事件的管理和改进 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.16.1.1 职责和程序 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.16.1.2 报告信息安全事态 | △ | △ | △ | ▲ | ▲ | ▲ | ▲ | ▲ |
A.16.1.3 报告信息安全弱点 | △ | △ | △ | ▲ | ▲ | ▲ | ▲ | ▲ |
A.16.1.4 评估和决策信息安全事件 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.16.1.5 响应信息安全事故 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.16.1.6 从信息安全事故中学习 | △ | △ | △ | △ | ▲ | △ | 皮草怎么洗 △ | △ |
A.16.1.7 收集证据 | △ | △ | △ | △ | ▲ | △ | △ | △ |
A.17 业务连续性管理中的信息安全 | ||||||||
A.17.1 信息安全的连续性 | ▲ | △ | △ | △ | △ | △ | △ | △ |
A.17.2 冗余 | ▲ | △ | △ | △ | △ | △ | △ | △ |
A.18 符合性 | ||||||||
A.18.1 法律和合同规定的符合性 | △ | △ | △ | ▲ | △ | △ | △ | △ |
A.18.2 信息安全评审 | △ | △ | △ | ▲ | △ | △ | △ | △ |
发布评论