适用性声明(管理内容)

《适用性声明(管理内容)》由会员分享，可在线阅读，更多相关《适用性声明(管理内容)（12页珍藏版）》请在金锄头文库上搜索。

1、A.5安全方针 A.5.1 信息安全方针 相关条款控制要求与检查内容实施的方法，或删减的正当性A.5.1.1 信息安全方针文件是否有信息安全方针文件？手册：安全方针信息安全方针文件是否获得管理者批准、发布和传达给所有员工和相关的外方？手册：方针批准页信息安全方针文件是否符合标准的要求，如是否说明管理承诺，并提出组织管理信息安全的方法？ 手册：安全方针内容A.5.1.2信息安全方针的评审为了确保信息安全方针持续的适宜性、充分性和有效性，是否按既定的时间间隔(或当发生重大变化时)对其进行评审？手册：规定方针定期评审管评内容：评审方针A.6信息安全的组织A.6.1 内部的组织相关条款控制要求与检查内

2、容实施的方法，或删减的正当性A.6.1.1信息安全的管理承诺管理者是否通过清晰的方向、可证实的承诺、明确的任务，和信息安全职责的承认，来积极支持组织内的安全？手册：管理者承诺A.6.1.2信息安全协调信息安全活动是否由不同部门的代表协调相关工作？手册：“信息安全推进小组”A.6.1.3信息安全职责的分配所有的信息安全职责（包括保护各个资产的职责和执行特定安全过程的职责）是否有明确的规定？部门安全职责、岗位任职条件A.6.1.4信息处理设施的授权过程对新信息处理设施，是否有管理授权过程？信息处理设施管理规定3.1授权文件：安全信息处理设施责任人授权批准书A.6.1.5保密性协议是否所有员工都要签

3、署一个反映组织信息保护需要的保密协议(或不泄露协议)？ 人员管理和培训程序4.2员工签署保密协议保密协议(或不泄露协议)是否得到识别和定期评审？ 人员管理和培训程序4.2协议定期评审A.6.1.6联系权威部门组织是否与相关权威部门(例如，执法部门、消防部门和监管部门)保持适当的联系？政府部门联系清单A.6.1.7联系特殊利益团体组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系？利益团体联系清单A.6.1.8信息安全的独立评审组织是否对其管理信息安全的方法与实践(即信息安全控制目标与控制措施、方针、过程和程序)，按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审？评审：方针、目

4、标、措施、风险评估、内审A.6.2 外方相关条款控制要求与检查内容实施的方法，或删减的正当性A.6.2.1外方相关风险的识别组织的信息和信息处理设施受外方访问或管理而产生的风险，是否进行识别？第三方服务提供管理规定3.1风险识别：外方访问组织的信息和信息处理设施，在允许外方访问前，是否执行适当的控制措施？第三方服务提供管理规定3.2风险控制A.6.2.2处理与顾客有关的安全问题在允许顾客访问组织信息或资产之前，所有确定的安全要求是否得到解决？第三方服务提供管理规定3.3访问安全要求A.6.2.3处理第三方协议中的安全问题涉及访问、处理、交流(或管理)组织的信息或信息处理设施的第三方协议，是否涵

5、盖所有相关的安全要求？第三方服务协议中安全要求第三方：快递、网络、运输、客户、分包方、仪器设备供应方A.7资产A.7.1 对资产的职责 相关条款控制要求与检查内容实施的方法，或删减的正当性A.7.1.1资产清单是否所有资产都进行了识别？资产识别清单是否所有重要资产都进行了登记、建立了清单文件并加以维护？硬件、软件、人员、网络、数据、文件A.7.1.2资产责任人所有信息和信息处理设施相关资产，是否都有责任人？清单资产的使用部门、使用区域、责任人A.7.1.3资产的可接受使用信息和信息处理设施相关资产的可接受使用规则，是否确定、形成了文件并加以实施？信息资产管理规定A.7.2 信息分类 相关条款控

6、制要求与检查题实施的方法，或删减的正当性A.7.2.1分类指南是否有一个信息分类指南(或分类法)？信息资产管理规定分类方法信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类？信息资产管理规定资产分类原则：价值、法律要求、敏感性、关键性A.7.2.2信息的标记和处理信息标记与处理程序是否按照组织采用的分类法，加以开发和实施？分四类：一般、保密、秘密、绝密A.8 人力资源安全A.8.1雇用之前 相关条款控制要求与检查内容实施的方法，或删减的正当性A.8.1.1角色和职责雇员、承包人和第三方用户的安全角色和职责是否按照组织的信息安全方针加以定义并形成了文件？岗位职责工作程序信息安全相关岗位

7、人员职责、承包人和第三方用户服协议A.8.1.2筛选对所有雇用的候选者、承包人和第三方用户，是否按照相关法律法规、道德规范、相应的业务要求、要被访问信息的类别、和已察觉的风险，进行背景验证检查？人员管理和培训程序4.2聘用筛选A.8.1.3雇用的条款和条件雇员、承包人和第三方用户是否签署了雇用合同的条款和条件，作为他们合同义务的一部分？人员管理和培训程序4.2签署聘用合同，“雇用合同的条款和条件”是否声明雇员、承包人和第三方用户的信息安全职责？合同条款有信息安全责任要求A.8.2 雇用期间 相关条款控制要求与检查内容实施的方法，或删减的正当性A.8.2.1管理职责管理者是否要求雇员、承包人和第

8、三方用户，按照该组织已建立的方针和程序负起安全责任？服务合同、聘用合同、保密协议安全责任A.8.2.2信息安全意识、教育和培训组织的所有雇员、相关的承包人和第三方用户，是否都接受过适当的意识培训和定期更新与其工作有关的组织的方针与程序方面的知识？人员管理和培训程序4.4安全培训A.8.2.3纪律处理过程对于安全违规的雇员，是否有一个正式的纪律处理过程？人员管理和培训程序4.3违规处罚A.8.3 雇用终止或雇用变更 相关条款控制要求与检查内容实施的方法，或删减的正当性A.8.3.1终止职责履行雇用终止或雇用变更的职责是否清晰地做出了规定和分配？保密协议解聘脱密期A.8.3.2归还资产所有雇员、承

9、包人和第三方用户在雇用、合同或协议终止时，是否归还其使用的该组织的所有资产？信息处理设施管理规定3.4.8解聘归还资产A.8.3.3删除访问权所有雇员、承包人和第三方用户对信息和信息处理设施的访问权，在其雇用、合同或协议终止时，是否删除，或进行变更调整？信息处理设施管理规定3.4.8解聘取消访问权A.9 物理和环境安全A.9.1安全区域 相关条款控制要求与检查内容实施的方法，或删减的正当性A.9.1.1物理的安全边界是否有用于保护包含信息和信息处理设施的区域的安全边界（诸如墙、入口控制卡或受管理的接待台等屏障）？安全边界：接待台、门禁卡A.9.1.2物理入口控制为了确保只有已被授权人员才允许访

10、问，安全区域是否通过适用的入口控制措施加以保护？安全区域入口控制措施内部：门禁卡，外部：来访登记A.9.1.3保护办公室、房间和设施的安全办公室、房间和设施的物理安全措施是否进行了设计并加以应用？办公室、机房、资料室等安全措施A.9.1.4 防范外部威胁和环境威胁对由火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的损害，是否设计与应用了物理保护措施？外部环境威胁：火灾、洪水、地震、爆炸物理保护措施A.9.1.5在安全区域工作在安全区域工作的物理保护措施和指南是否进行了设计并加以应用？安全区域：机房、资料室、实验室等物理保护、标识对在安全区域工作的人员，是否有任何安全控制措施

11、？安全区域：工作人员进出措施A.9.1.6 公共访问区和交接区为了避免未授权访问，访问点（如交接区和未授权人员可以进入的其它地点）是否进行控制？访问接待区域控制措施交接区是否与信息处理设施隔开？交接区与安全区物理隔离A.9.2 设备安全 相关条款控制要求与检查内容实施的方法，或删减的正当性A.9.2.1 设备安置和保护 设备是否安置在可减少未授权访问的适当地点？ 服务器、信息安全关键设施安置区域位置对于处理敏感数据的信息处理设施，是否安置在可限制观测的位置？关键设施安置区域可防止外界观测对于需要特殊保护的设备，是否进行隔离？需要特殊保护的设备隔离：服务器对信息处理设施的运行有负面影响的环境条件

12、（例如温度和湿度），是否进行监视？服务器、信息安全关键安置区域温湿度控制A.9.2.2支持性设施在由支持性设施的失效而引起的电源故障和其他中断方面，设备是否有所防范？服务器、关键设施配备不间断电源A.9.2.3布缆安全电源和传输数据的(或支持信息服务的)通信电缆是否防范拦截或损坏？电缆维护防鼠，通信电缆与电力电缆分开铺设A.9.2.4设备维护设备是否按照供应商推荐的服务时间间隔和说明书，进行正确维护？信息处理设施管理规定3.8设备维护的时间间隔设备维护是否只由已授权人员执行？设备维护的授权人设备的维护记录是否保存？设备维护记录A.9.2.5组织场所外的设备安全对于组织场所的设备，是否考虑了不同

13、风险，而采取安全措施？信息处理设施管理规定3.4.6便携式设备在外部使用规定A.9.2.6设备安全销毁或安全再利用对于含有任何敏感信息和许可软件的储存介质，是否进行安全销毁或安全覆盖后再利用？信息处理设施管理规定3.3储存介质物理粉碎性销毁、安全覆盖A.9.2.7财产的移动是否设备、信息或软件要带出组织场所外，必须获得管理者授权？信息资产管理规定3.5.5重要信息资产带出手续，审批A.10 通信和运行管理A.10.1 运行程序和职责 相关条款控制要求与检查内容实施的方法，或删减的正当性A.10.1.1形成运行程序文件运行程序是否形成了文件、加以保持并可为所有需要的用户使用？ 信息处理设施管理规

14、定、信息处理系统管理规定、访问控制管理规定、信息管理规定A.10.1.2变更管理对信息处理设施和系统的变更是否受控？信息处理系统管理规定变更控制A.10.1.3责任的划分为了减少对组织资产未授权(或无意识)的修改(或误用)的机会,是否划分了职责的责任与职责的范围？信息资产管理规定资产管理控制职责A.10.1.4开发设施、测试设施和运行设施的分离为了减少未授权访问(或更改)运行系统的风险，开发设施、测试设施和运行设施是否彼此分离开？测试设施、运行设施分离A.10.2 第三方服务交付管理 相关条款控制要求与检查内容实施的方法，或删减的正当性A.10.2.1服务交付第三方服务交付协议中所规定的安全控制措施、服务定义和交付水准，由第三方实施、运行和保持，是否获得保障？ 第三方服务提供管理规定协议A.10.2.2第三方服务的监视和评审对第三方提供的服务、报告和记录，是否定期地进行监视、评审和审核？第三方服务提供管理规定3.5.2第三方服务提供定期评审A.10.2.3第三方服务的变更管理对服务提供的变更(包括保持和改进现有的信息安全方针、程序和控制措施)，是否考虑所涉及的业务系统与过程的关键程度和风险的再评估，进行管理？第三方服务提供管理规