从法律的观点看,对某个组织重要的控制措施包括,根据适用的法律:
a)数据保护和个人信息的隐私(见15.1.4);
(6)国家质量监督检验检疫总局2001年12月公布的《采用国际标准管理办法》中: 第十三条我国标准采用国际标准的程度代号为:
IDT:等同采用(identical);
MOD:修改采用(modified)。
第十五条采用国际标准的我国标准的编号表示方法如下:
(一)等同采用国际标准的我国标准采用双编号的表示方法,示例:GB×××××一××××/ISO× ××××:××××。
(二)修改采用国际标准的我国标准,只使用我国标准编号。 本书中的等同采用标准就采用上述标识方法。
《采用国际标准管理办法》全文可以在国家质量监督检疫总局官方网站的标准化法律法规栏目查阅,网址为:http: //www. aqsiq. gov. cn/zwgk/flgz/bzhflfg/200610/t20061027 17178. htm。
b)保护组织的记录(见15.1.3); c)知识产权(见15.1.2)。
被认为是信息安全的常用惯例的控制措施包括:
a)信息安全方针文件(见5.1.1);
b)信息安全职责的分配(见6.1.3);
c)信息安全意识、教育和培训(见8.2.2);
d)应用中的正确处理(见12.2);
e)技术脆弱性管理(见12.6);
f)业务连续性管理(见14);
g)信息安全事故和改进管理(见13.2)。 这些控制措施适用于大多数组织和环境。
应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此,虽然上述方法被认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。