信息安全符合性管理策略目的是为了增强自我约束能力,确保信息安全管理体系符合国家信息安全相关的法律法规、标准要求。
一、法律法规符合性
▼▼法律条款识别
组织应识别出适用的信息安全方面的法律法规,并确定具体适用的条款,将识别出的法律法规登记在《信息安全法律法规清单》中。要识别的信息安全方面法律法规包括但不仅于以下方面:
- 全国人大及人大常委会发布的法律和法律解释。
- 国务院、最高人民法院、最高人民检察院批准和颁布的法律、法规、法律解释。
- 公安部、工业和信息产业部等国家职能部门批准和颁布的规章制度。
-
适用于我国的国际公约、国际条约、商业惯例和规范性文件等。
当法律法规出现修订、合并、删减、取消时,应及时获取最新的法律法规,更新《信息安全法律法规清单》,并识别确定具体适用的条款。
▼▼知识产权管理组织应加强对知识产权(IPR)的管理工作,具体包括但不限于组织商标、版权和图像、文字、音频、软件、信息和发明等其它权利,以及组织自有的知识产权和第三方的知识产权等。软件保护工作相关内容具体包括:
-
保护自主研发的软件版权,通过技术手段与管理手段相结合的方式保护软件源代码的完整性和有效性,防止代码泄露。
-
通过技术手段与管理手段相结合的方式保护软件开发过程中的相关文档的安全,相关文档可能包括:描述程序的内容、组成、设计、功能规格、开发情况、测试结果及使用方法的文字资料和图表等,如程序设计说明书、流程图、用户手册等。
-
与开发人员签订保密协议,明确其对源代码保密的责任和义务。
- 对开发的软件使用加密工具或加密算法等,以避免软件被盗版使用。
对于第三方知识产权的保护,应采取以下的控制措施:
- 遵循与供应商的合同约定保护第三方知识产权。
- 对所有商用软件进行登记,填写外购软件清单,并保存原始资料,软件登记的内容包括软件类别、软件名称、软件版本、厂商、购买日期、软件许可期限、授权许可证用户数量等。
-
采购软件的许可证原件、软件安装盘原件由信息技术部指定的专人负责保存,保存的物理环境必须安全可靠。
▼▼个人隐私保护对于因客户服务、员工入职、承包方进场、第三方来访等原因获得的个人隐私信息,除非当事人允许、为当事人获取福利或权益需要(且需要当事人允许)、司法部门依法调查和法律法规要求外,不得向无关的第三方泄露任何个人的隐私信息。
二、技术符合性管理
应定期组织进行技术合规性检查,包括技术评估、人工评估等形式,检测公司信息系统和网络的安全状况。
技术合规性检查应事先制定相应的检查工作计划和方案,并通过评估后明确工作步骤、方法,对相关人员培训后方可实施。
技术合规性检查必须在确保信息系统和网络服务业务连续性和安全性得到保障的前提下进行。
在组织进行技术合规性检查时,需注意以下事宜:
- 技术合规性检查应由有经验的人员执行(如需要,利用合适的软件工具支持),或者使用自动工具来执行。
- 进行渗透测试时应制定详细测试计划并形成文档。
-
应谨慎使用系统审计工具,并对信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。
技术合规性检查和后续的安全加固工作的实施,都需要有相应的工作计划或方案,明确工作步骤、方法。
三、策略符合性管理
应通过以下措施确保各项信息安全管理制度和流程正确地执行,以符合信息安全的方针和目标。
这些措施包括:
- 信息安全制度和流程执行情况的督促和推进。
- 信息安全技术和产品的实施和应用。
- 监督信息安全制度和程序的执行情况,发现违规行为应及时纠正。
- 加强全员信息安全合规培训,确保其操作的合规性。
- 管理评审、内部审核、内部检查和外部审核/审计。
-
纠正、预防措施的实施和落实效果跟进。