《ISO27001-技术薄弱点控制程序.docx》由会员分享,可在线阅读,更多相关《ISO27001-技术薄弱点控制程序.docx(3页珍藏版)》请在三一办公上搜索。
1、技术薄弱点控制程序(依据IS027001标准)1 .目的为规范公司信息系统技术薄弱点的管理,包括信息管理的各个方面,如基础网络、应用系统、桌面工作、电源、机房环境等,特制定本程序。2 .范围本程序适用于公司的管理体系覆盖的所有要素和部门。3 .职责与权限3.1 技术部公司信息系统相关技术薄弱点的归口管理部门,负责信息系统方面技术薄弱点的管理及协调处理。3.2 其它部门信息系统的技术薄弱点的上报及协助处理。4 .相关文件a)信息安全风险评估控制程序5 .术语定义无6 .控制程序6.1 技术薄弱点的识别6.1.1 技术部对公司信息系统内的资产进行识别,包括资产的软件供应商、版本号、应用情况、资产管
2、理人员。6.1.2 其它部门应定期对本部门管理和使用的资产进行识别,包括资产的软件供应商、版本号、应用情况、资产管理人员。6.2 技术薄弱点管理6.2.1 归口管理部门对技术薄弱点应进行风险评估,进行专项分析,制订风险处理计划,根据风险处理计划采取对应的技术和管理措施。风险评估方法参见信息安全风险评估控制程序。6.2.2 本公司与信息安全管理有关的所有员工对发现的信息安全薄弱点或潜在威胁均应履行报告义务。6.2.3 技术薄弱点的发现部门/发现者应填写信息安全薄弱点报告,技术部及相关部门制订风险处理计划,根据风险处理计划进行整改处理。6.2.4 技术部负责人对风险处置计划进行审核,对需要执行的计划组织相应资源进行整改。7附件、记录7.1信息安全薄弱点报告
