《信息安全控制目標和控制措施》講解了ISO/IEC 17799:2005標準第5至15章內容,涵蓋了信息安全方針、組織管理、資產管理、人力資源安全等多個方面。文檔列明了A.5到A.15的各項控制目標及其具體的控制措施。例如在安全方針方面,目標是基于業務需求與法律法規提供管理層的安全指導和支持,這通過定期評審方針文件的適宜性來實現。在內部組織管理上,強調管理者應以實際行為表明對安全的支持,明確分配信息安全職責,授權新信息處理設施時遵循嚴格管理流程,簽署并定期檢查保密協議,維護與其他相關組織的適當溝通,并按周期性或關鍵變化點進行獨立的信息安全審計。外部合作層面,確保識別并防范對外部各方業務活動產生的信息安全風險,在合同簽訂前妥善解決涉及的安全事項。關于資產管理則注重編制重要資產清單,明確責任人及其使用權限,同時對不同類別的信息設定分級保護及相應標簽處理方法;為增強企業抗風險能力,規定從招聘前期就界定安全角色,根據情況審核人員背景資料并確定雇傭條約內容,在雇傭期內落實培訓等。
《信息安全控制目標和控制措施》適用于各種規模的組織實施信息安全管理系統(ISMS)的規劃、構建與運維工作。它不僅為信息技術行業制定內部信息安全策略提供詳細指導,還針對那些需要確保自身信息系統不受內外部威脅侵害的企業和單位給出了可操作性強的做法建議。此外,政府機構也可依據這些指南來保護其敏感數據和信息資源,同樣有益于其他任何涉及到電子信息處理和個人隱私保護的組織,在促進整個社會數字化發展進程中保障網絡環境下的公共利益和私人權益安全穩定。
