iso20000认证标准8.7.3条款信息安全管理的原文:
8.7.3.1信息安全策略
合适授权的管理者应同意组织的信息安全策略。信息安全策略应保留成文信息和考虑服务要求及
6.3c)要求的义务
适用时,信息安全策略应可用和可获取,组织应沟通符合信息安全策略的重要性和应用策略于服务管理体系和服务的下列人员:a)组织
b)客户和用广
c)外部供应商、内部供应商和其它相关方
8.7.3.2信息安全控制措施
按策划的时间间隔,与服务管理体系和服务有关的信息安全风险应予以评估和保留成文信息。信息安全控制措施应确认、实施和运行,以支持信息安全策略和应对识别的信息安全风险。信息安全控制措施的决策应保留成文信息。
组织应同意和实施信息安全控制措施以应对与外部组织有关的信息安全风险。
组织应监控和评审信息安全控制措施的有效性,必要时,采取措施
8.7.3.3信息安全事件
信息安全事件应a)记录和分类
b)考虑信息安全风险,进行优先排序
c)需要时,升级
d)解决
e)关闭。
组织应基于类型、数量、对服务管理体系和相关方的影响分析信息安全事件。信息安全事件应报告和评审,以发现改进机会
iso20000认证标准8.7.3条款信息安全管理的应用:
8.7.3.1 信息安全策略
合适授权的管理者应同意组织的信息安全策略。信息安全策略应保留成文信息和考虑服务要求及 6.3 c)要求的义务。
适用时,信息安全策略应可用和可获取,组织应沟通符合信息安全策略的重要性和应用策略于服务管理体系和服务的下列人员:
a)组织;
b)客户和用户;
c)外部供应商、内部供应商和其它相关方。
8.7.3.2 信息安全控制措施
按策划的时间间隔,与服务管理体系和服务有关的信息安全风险应予以评估和保留成文信息。信息安全控制措施应确认、实施和运行,以支持信息安全策略和应对识别的信息安全风险。信息安全控制措施的决策应保留成文信息。
组织应同意和实施信息安全控制措施以应对与外部组织有关的信息安全风险。组织应监控和评审信息安全控制措施的有效性,必要时,采取措施。
8.7.3.3 信息安全事件信息安全事件应:
a)记录和分类;
b)考虑信息安全风险,进行优先排序;
c)需要时,升级;
d)解决;
e)关闭。
组织应基于类型、数量、对服务管理体系和相关方的影响分析信息安全事件。信息安全事件应报告和评审,以发现改进机会。
请记住本站:iso认证机构网 http://www.iso.net.cn
