华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证咨询 > ISO27000标准“A.18.1 符合法律和合同要求”条款讲解

ISO27000认证:ISO27000标准“A.18.1 符合法律和合同要求”条款讲解

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-1

【标准条款】

A. 18.1 符合法律和合同要求

目的:避免违反与信息安全相关的法律、法规、规章或合同义务以及任何安全要求。

A.18.1.1 适用的法律和合同要求的识别

对每一个信息系统和组织而言,所有相关的法律、法规、规章和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新。

【理解与应用】

为满足这些要求的特定控制和人员的责任宜同样加以定义并形成文件。

为满足其业务类型的要求,管理人员宜识别所有适用于其组织的法律。如果组织在其他国家开展业务,管理人员宜考虑符合性问题。

 

【标准条款】

A. 18.1.2 知识产权

应实现适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。

【理解与应用】

在保护被认为具有知识产权的材料时,宜考虑如下内容:

(1)发布一个知识产权符合性策略,该策略定义了软件和信息产品的合法使用;

(2)仅通过知名的和声誉好的渠道获得软件,以确保不侵犯版权;

(3)保持对保护知识产权的策略的了解,并通知对违规人员采取惩罚措施的意向;

(4)维护适当的资产登记簿,识别具有保护知识产权要求的所有资产;

(5)维护许可证、原版盘、手册等所有权的证明和证据;

(6)实现控制,以确保不超过所允许的最大用户数目;

(7)进行评审,确保仅安装已授权的软件和具有许可证的产品;

(8)提供维护适当的许可证条件的策略;

(9)提供处理软件或转移软件给其他人的策略;

(10)符合从公共网络获得软件和信息的条款和条件;

11)不对版权法不允许的商业录音带(胶片、音频)进行复制、格式转换或摘取内容;

12)不对版权法不允许的书籍、文章、报告或其他文件中进行全部或部分地拷贝。

知识产权包括软件或文件的版权、设计权、商标、专利权和源代码许可证。通常具有所有权的软件产品的供应是根据许可协议进行的,该许可协议规定了许可条款和条件,例如,限制产品用于指定的机器或限制只能拷贝到创建的备份副本上。组织所开发的软件的知识产权重要性及其保护意识传达给员工。

法律、法规和合同的要求可以对具有所有权的材料的拷贝进行限制。特别是,这些限制可能要求只能使用组织自己开发的资料,或者开发者许可组织使用或提供给组织的资料。版权侵害可能导致法律行为,这可能涉及罚款和犯罪诉讼。

 

【标准条款】

A. 18.1.3 记录的保护

应根据法律、法规、规章、合同和业务要求,对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。

【理解与应用】

当决定保护特定的组织记录后,宜基于该组织分级方案考虑其相应级别。宜将记录按类型分类,例如,账号记录、数据库记录、事务日志、审计日志和运行规程,每个记录都带有详细的保存周期和存储介质的类型,例如,纸质、缩微胶片、磁介质、光介质。还宜保存与已加密的归档文件或数字签名(见 A.10密码)相关的任何有关密钥材料,以使得记录在保存期内能够解密。

宜考虑存储记录的介质性能下降的可能性。宜按照制造商的建议实现存储和处理规程。

若选择了电子存储介质,宜建立规程,以确保在整个保存周期内能够访问数据(介质和格式的可读性),以防护由于未来技术变化而造成的损失。

宜选择数据存储系统,使得所需要的数据能根据要满足的要求,在可接受的时间内、以可接受的格式检索出来。

存储和处理系统宜确保能按照国家或地区法律或法规的规定,清晰地标识出记录及其保存期限。如果组织不再需要这些记录,该系统宜允许在保存期后恰当地销毁记录。

为满足这些记录防护目的,宜在组织范围内采取下列步骤∶(1)宜颁发关于保存、存储、处理和处置记录和信息的指南;2)宜起草一个保存时间计划,以标识记录及其要被保存的时间周期;3)宜维护关键信息来源的清单。

某些记录可能需要安全地保存,以满足法令、法规或合同的要求,以及支持必要的业务活动。举例来说,可以要求这些记录作为组织在法令或法规规则下运行的证据,以确保充分防御潜在的民事或刑事诉讼,或者和股份持有者、外部方和审核员确认组织的财务状况。可以根据国家法律或规章来设置信息保存的时间和数据内容。

关于管理组织记录的更多信息可以参见 ISO15489-1

 

【标准条款】

A.18.1.4 隐私和个人可识别信息保护

应依照相关的法律、法规和合同条款的要求,以确保隐私和个人可识别信息得到保护。

【理解与应用】

针对隐私和个人可识别信息保护,宜制定和实现组织的数据策略。该策略宜通知到涉及个人可识别信息处理的所有人员。

符合该策略和所有相关的涉及个人隐私保护和个人可识别信息保护的法律法规需要合适的管理结构和控制。通常,这一点最好通过任命一个负责人来实现,如数据保护官员,该数据保护官员宜向管理人员、用户和服务提供商提供他们各自的职责以及宜遵守的特定规程的指南。处理个人可识别信息和确保了解数据保护原则的责任宜根据相关法律法规来确定。宜实现适当的技术和组织措施以保护个人可识别信息。

ISO/IEC 29100在信息和通信技术系统内提供了个人可识别信息保护的高层框架。许多国家已经发布控制个人可识别信息(一般是指可以从该信息确定生命个体的信息)收集、处理和传输的法律。根据各国法律,这种控制可以使那些收集、处理和传播个人可识别信息的人承担职责,而且可以限制将个人可识别信息转移到其他国家的能力。

 

【标准条款】

A.18.1.5 密码控制规则

密码控制的使用应遵从所有相关的协议、法律和法规。

【理解与应用】

为符合相关的协议、法律和法规,宜考虑以下事项:

1)限制执行密码功能的计算机硬件和软件的入口或出口;

2)限制被设计用以增加密码功能的计算机硬件和软件的入口或出口;

3)限制加密技术的使用;

4)国家主管部门对加密信息的强制或自主访问方法,该信息通过硬件或软件加密来提供其内容保密性。

宜征求法律建议,以确保符合国家法律法规。在将加密信息或密码控制跨越司法管辖边界转移之前,也宜获得法律建议。

想了解更多的关于ISO27000认证信息可以经常关注我们