ISO-IEC 27001 SOA适用性说明原文+个人理解

0x200 安全管理目标

0x210 安全方针

目标：为信息安全提供管理指导和支持并确保与业务需求和相关法律法规相一致。

1-安全方针

• 系列信息安全方针应被定义、并由管理者批准、发布并传达给员工和外部相关方。

2-安全方针评审

• 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性；

0x212 我的理解

1. 这部分主要是高管的事情，按照当前的法律法规，以及组织自身的战略目标，宏观的角度去识别威胁和风险；
2. 定义至上而下的信息安全策略、信息安全管理制度；
3. 要制定管理制度也要查是否被人正常使用了，高级管理层没有时间做到应尽关注，就要实现内部审查部门。

0x300 信息安全组织

0x310 内部组织

目标：建立管理架构，启动和控制信息安全在组织内的实施；

1-信息角色和职责

• 控制措施所有信息安全职责应被定义和分配；

2-职责分离

• 冲突责任与职责范围加以分割，以降低未授权或无意识的修改或不当使用组织资产的机会；

3-临管机构关系

• 应保持与政府相关部门的适当联系；

4-特定利益集团关系

• 应保持与特定利益集团、其他安全专家组和专业协会的适当联系；

5-项目管理信息安全

• 无论项目类型，项目管理中均应描述信息安全；

0x311 我的理解

1. 职责落实到对应负责人明确的职责有助于减少踢皮球的现象，出现问题更加容易追责，员工更加专业，行动更加迅速；
2. 知其所需，减少越权读取或者越权操作，保护组织机密数据安全；
3. 这没啥可说，谁的地盘谁做主，多多汇报没有错的；
4. 保证安全措施规划不会损害某个部门利益，避免人家抵触你的规划，同时适当的尊重下我们搞安全的，谁都不容易啊；
5. 越大的项目越是需要注重信息安全，毕竟不想自己呕心沥血的工作成果，泄露给他人。

0x320 移动设备和远程工作

目标：确保使用移动设备的使用及远程工作的安全；

1-移动设备策略

• 应采用策略和相应的安全测量，以防范使用移动设备时所造成的风险；

2-远程工作

• 应实施策略和相应的安全测量，以防保护信息的访问、处理和存储在远程站点；

0x321我的理解

1. 这里要使用安全措施管理，网络准入审计、移动设备标识管理、上网行为管理……；
2. 这里要使用安全措施管理，VPN、数据交换管理、网闸隔离、远程访问控制、OA ……;

0x400 人力资源安全

0x410 任用前

目标：建立管理框架，以启动和控制组织内信息安全的实施；

1-审查

• 所有任用侯选者的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行；

2-任用条款和条件

• 与员工和合同方的合同应声明他们和组织的信息安全职责；

0x411 我的理解

1. 雇佣之前需要执行背景调查，确保符合组织的用人原则，减少不必要信息泄露风险；
2. 还需要签署NDA保护商业机密，行业保护协议[几年内不能执行同行业工作]并需要给予相应的报酬；
3. 存在相应招聘管理制度；

0x420 任用中

目标：确保雇员和合同方知悉和实施他们的信息安全职责；

1-管理职责

• 管理者应要求所有雇员和合同方按照组织已建立的方针策略和程序对安全尽心尽力；

2-信息安全意识、教育和培训

• 组织应对组织的所有员工，适当时，还包括合同方和第三方用户进行与其工作职能相关的适当的意识教育和培训，以及组织方针策略及程序的定期更新培训；

3-纪律处理过程

• 应有一个正式和已传达的纪律处理过程，对于安全违规的雇员采取行动；

0x421我的理解

1. 明确描述个人工作职责，保证每个人职位界限明确，可以适当执行双人互备原则，双人控制原则，审查可能的滥用职权；
2. 意识 = 是什么，教育 = 怎么做，偏向流程，培训 = 为什么这么做 偏向理解策略；
3. 奖罚分明，制定激励或者惩罚措施，确保奖惩有度，保证组织策略被充分履行完成；

0x430 任用的终止或变化

目标：保护组织的利益，作为改变或终止任用关系流程的一部分；

1-作用职责的终止或改变

• 任用终止或任用变更后，仍保持有效的信息安全责任和职责应被定义和传达到雇员或合同方，并强制执行；

0x431 我的理解

1. 人力资源还需要进行面谈，确保其执行相关的数据保密和行业保护条例等附加条款；
2. 结算相应的保障待遇和福利待遇；
3. 解雇需要确保完成工作交接，关闭员工的内部权限帐号和网络连接权限，由保安人员进行陪同下走出办公地点；

0x500 资产管理

0x510 资产职责

目标：识别组织资产，定义适当的保护职责

1-资产清单

• 应识别信息和信息处理设施相关的资产，编制并维护所有资产的清单；

2-资产责任人

• 资产清单中维护的资产应有责任人；

3-资产的可接受使用

• 与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施；

4-资产的归还

• 所有的雇员和外部人员在终止任用、合同或协议时，应归还他们使用的所有组织资产；

0x511 我的理解

1. 通过一定自动化软件管理，电子台账、集中身份管理、资产标识化管理、结合审计类工具等；
2. 定义相关责任人负责守护或者使用相关资产，便于事后审计溯源；
3. 文档化设施相关信息，包括但不限于资产状态、资产处理信息登记、资产使用人、资产用途、资产报废等；
4. 还是电子台账，就要明确资产在哪里，怎么用，还能用多长时间。

0x520 信息分类

目标：根据信息对组织的重要性，确保受到适当级别的保护

1-分类指南

• 信息应按照未授权泄露或篡改的法律要求、价值、敏感性和关键性予以分类；

2-信息的标记<