18.1 符合法律和合同要求
控制措施
实施指南
控制措施
实施指南
a) 发布一个知识产权符合性策略,该策略定义了软件和信息产品的合法使用;
c) 保持对保护知识产权的策略的意识,并通知对违规人员采取惩罚措施的意向;
e) 维护许可证、主盘、手册等所有权的证明和证据;
g) 进行检查,确保仅安装已授权的软件和具有许可证的产品;
i) 提供处理软件或转移软件给其他人的策略;
k) 不对版权法不允许的商业录音带进行复制、格式转换或摘取内容;
其它信息
通常具有所有权的软件产品的供应是根据许可协议进行的,该许可协议规定了许可条款和条件,例如,限制产品用于指定的机器或限制只能拷贝到创建的备份副本上。组织所开发的软件的知识产权的重要性和意识需要跟员工阐述清楚。法律、法规和合同的要求可以对具有所有权的材料的拷贝进行限制。特别是,这些限制可能要求只能使用组织自己开发的资料,或者开发者许可组织使用或提供给组织的资料。版权侵害可能导致法律行为,这可能涉及罚款和刑事诉讼。
18.1.3
控制措施
实施指南
序。若选择了电子存储介质,应建立程序,以确保在整个保存周期内能够访问数据(介质和格式的可读性),以防范由于未来技术变化而造成的损失。应选择数据存储系统,使得所需要的数据能根据要满足的要求,在可接受的时间内、以可接受的格式检索出来。存储和处理系统应确保能按照国家或地区法律或法规的规定,清晰地标识出记录及其保存期限。该系统应允许在保存期后恰当地销毁记录,如果组织不需要这些记录的话。为满足记录防护目标,应在组织范围内采取下列步骤:
b) 应起草一个保存时间计划,以标识记录及其应被保存的时间周期;
其它信息
控制措施
实施指南
点最好通过任命一个负责人来实现,如隐私官员,该官员应向管理人员、用户和服务提供商提供他们各自的职责以及应遵守的特定程序的指南。处理个人可识别信息和确保隐私意识保护原则的职责应根据相关法律法规来确定。应实施适当的技术和组织措施以保护个人可识别信息。
ISO/IEC 29100[25] 提供一个在信息和通信技术保护系统中个人可识别信息保护的高层次的框架。一些国家已经立法将个人可识别信息的控制着眼于收集、处理和传输过程中(一般居住的人可以从这个信息中识别出来)。根据各自国家的法律,这样的控制可以对那些收集、处理和传播的个人可识别信息的人承担责任,也可以限制个人信息转移到其他国家的能力。
18.1.5
控制措施
实施指南
a) 限制执行密码功能的计算机硬件和软件的出入口;
c) 限制密码的使用;
应征求法律建议,以确保符合国家法律法规。在将加密信息或密码控制措施转移越过司法边界之前,也应获得法律建议。
18.2 信息安全审查
控制措施
实施指南
其它信息
控制措施
实施指南
a) 确定不符合的原因;
c) 实施适当的纠正措施;
评审结果和管理者采取的纠正措施应被记录,且这些记录应予以维护。当在管理者的职责范围内进行独立评审时,管理者应将结果报告给执行独立评审的人员(见 18.2.1)。
12.4中包括了系统使用的运行监视。
18.2.3 技术符合性检查(原 15.2.2)
应定期检查信息系统与组织安全策略和标准的符合性。
技术符合性检查应优选自动化工具的支持,生成由技术专家后续解释的技术报告。另外,手动检查(如果需要的话,通过适当的软件工具的支持)由有经验的系统工程师执行。如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划、形成文件和可重复的。任何技术符合性检查应仅由有能力的、已授权的人员或在他们的监督下完成。
技术符合性检查包括检查运行系统,以确保硬件和软件控制措施被正确实施。这种类型的符合性检查需要技术专业的专家。符合性检查还包括,例如渗透测试和脆弱性评估,该项工作可以由针对此目的而专门签约的独立专家来完成。符合性检查有助于检测系统的脆弱性,和检查为预防由于这些脆弱性引起的未授权访问而采取的控制措施的有效性。渗透测试和脆弱性评估提供系统在特定时间特定状态的快照。这个快照被限制在渗透
<div background-color:#ffffff;"="" style="margin: 0px; padding: 0px; color: rgb(90, 90, 90); font-family: SimSun; background-color: rgb(255, 255, 255);">企图时实际测试系统的那些部分中。渗透测试和脆弱性评估不能代替风险评估。
