18.1 符合法律和合同要求
控制措施
實施指南
控制措施
實施指南
a) 發布一個知識產權符合性策略,該策略定義了軟件和信息產品的合法使用;
c) 保持對保護知識產權的策略的意識,并通知對違規人員采取懲罰措施的意向;
e) 維護許可證、主盤、手冊等所有權的證明和證據;
g) 進行檢查,確保僅安裝已授權的軟件和具有許可證的產品;
i) 提供處理軟件或轉移軟件給其他人的策略;
k) 不對版權法不允許的商業錄音帶進行復制、格式轉換或摘取內容;
其它信息
通常具有所有權的軟件產品的供應是根據許可協議進行的,該許可協議規定了許可條款和條件,例如,限制產品用于指定的機器或限制只能拷貝到創建的備份副本上。組織所開發的軟件的知識產權的重要性和意識需要跟員工闡述清楚。法律、法規和合同的要求可以對具有所有權的材料的拷貝進行限制。特別是,這些限制可能要求只能使用組織自己開發的資料,或者開發者許可組織使用或提供給組織的資料。版權侵害可能導致法律行為,這可能涉及罰款和刑事訴訟。
18.1.3
控制措施
實施指南
序。若選擇了電子存儲介質,應建立程序,以確保在整個保存周期內能夠訪問數據(介質和格式的可讀性),以防范由于未來技術變化而造成的損失。應選擇數據存儲系統,使得所需要的數據能根據要滿足的要求,在可接受的時間內、以可接受的格式檢索出來。存儲和處理系統應確保能按照國家或地區法律或法規的規定,清晰地標識出記錄及其保存期限。該系統應允許在保存期后恰當地銷毀記錄,如果組織不需要這些記錄的話。為滿足記錄防護目標,應在組織范圍內采取下列步驟:
b) 應起草一個保存時間計劃,以標識記錄及其應被保存的時間周期;
其它信息
控制措施
實施指南
點最好通過任命一個負責人來實現,如隱私官員,該官員應向管理人員、用戶和服務提供商提供他們各自的職責以及應遵守的特定程序的指南。處理個人可識別信息和確保隱私意識保護原則的職責應根據相關法律法規來確定。應實施適當的技術和組織措施以保護個人可識別信息。
ISO/IEC 29100[25] 提供一個在信息和通信技術保護系統中個人可識別信息保護的高層次的框架。一些國家已經立法將個人可識別信息的控制著眼于收集、處理和傳輸過程中(一般居住的人可以從這個信息中識別出來)。根據各自國家的法律,這樣的控制可以對那些收集、處理和傳播的個人可識別信息的人承擔責任,也可以限制個人信息轉移到其他國家的能力。
18.1.5
控制措施
實施指南
a) 限制執行密碼功能的計算機硬件和軟件的出入口;
c) 限制密碼的使用;
應征求法律建議,以確保符合國家法律法規。在將加密信息或密碼控制措施轉移越過司法邊界之前,也應獲得法律建議。
18.2 信息安全審查
控制措施
實施指南
其它信息
控制措施
實施指南
a) 確定不符合的原因;
c) 實施適當的糾正措施;
評審結果和管理者采取的糾正措施應被記錄,且這些記錄應予以維護。當在管理者的職責范圍內進行獨立評審時,管理者應將結果報告給執行獨立評審的人員(見 18.2.1)。
12.4中包括了系統使用的運行監視。
18.2.3 技術符合性檢查(原 15.2.2)
應定期檢查信息系統與組織安全策略和標準的符合性。
技術符合性檢查應優選自動化工具的支持,生成由技術專家后續解釋的技術報告。另外,手動檢查(如果需要的話,通過適當的軟件工具的支持)由有經驗的系統工程師執行。如果使用滲透測試或脆弱性評估,則應格外小心,因為這些活動可能導致系統安全的損害。這樣的測試應預先計劃、形成文件和可重復的。任何技術符合性檢查應僅由有能力的、已授權的人員或在他們的監督下完成。
技術符合性檢查包括檢查運行系統,以確保硬件和軟件控制措施被正確實施。這種類型的符合性檢查需要技術專業的專家。符合性檢查還包括,例如滲透測試和脆弱性評估,該項工作可以由針對此目的而專門簽約的獨立專家來完成。符合性檢查有助于檢測系統的脆弱性,和檢查為預防由于這些脆弱性引起的未授權訪問而采取的控制措施的有效性。滲透測試和脆弱性評估提供系統在特定時間特定狀態的快照。這個快照被限制在滲透
<div background-color:#ffffff;"="" style="margin: 0px; padding: 0px; color: rgb(90, 90, 90); font-family: SimSun; background-color: rgb(255, 255, 255);">企圖時實際測試系統的那些部分中。滲透測試和脆弱性評估不能代替風險評估。
