收藏
下载资源

信息安全适用性声明SOA程序.doc

上传人:bao****ty 文档编号:134846043 上传时间:2020-06-09 格式:DOC 页数:14 大小:172KB
返回 下载 相关 举报
信息安全适用性声明SOA程序.doc_第1页
第1页 / 共14页
信息安全适用性声明SOA程序.doc_第2页
第2页 / 共14页
信息安全适用性声明SOA程序.doc_第3页
第3页 / 共14页
信息安全适用性声明SOA程序.doc_第4页
第4页 / 共14页
信息安全适用性声明SOA程序.doc_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《信息安全适用性声明SOA程序.doc》由会员分享,可在线阅读,更多相关《信息安全适用性声明SOA程序.doc(14页珍藏版)》请在金锄头文库上搜索。

1、信息安全适用性声明SOA(ISO27001-2013)1、目的为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。2、范围本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。3、适用性声明条款目标控制措施是否选择/及理由A.5 安全方针A.5.1 信息安全方针A.5.1.1信息安全方针文件提供符合有关法律法规和业务需求的信息安全管理指引和支持。应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。选择信息安全工作要求所确定,见信息安全管理手册。A.5.1.2信息安全方针的评审应定期或在发生重大的变化时评审方针文件,确保方针的持续

2、性、稳定性、充分性和有效性。选择信息安全工作要求所确定,见管理评审控制程序。A.6信息安全组织A.6.1内部组织A.6.1.1信息安全的角色和职责建立信息安全管理框架,在组织内部启动和控制信息安全实施。定义和分配所有信息安全职责。选择见信息岗位职责A.6.1.2职责分离有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。选择,见信息系统授权管理制度信息岗位职责A.6.1.3与监管机构的联系与相关监管机构保持适当联系。选择,见对外联络表。A.6.1.4与特殊利益团体的联系应保持与特定权益团体、其他安全专家组和专业协会的适当联系。选择,获取行业信息,见对外联络表。A.

3、6.1.5项目管理中的信息安全对特定项目进行信息安全策划并控制。选择,见信息安全方针信息安全策略管理制度。A.6.2移动设备和外部办公A.6.2.1 移动设备策略确保组织远程办公和使用移动设备的安全性。应采取安全策略和配套的安全措施控制使用移动设备带来的风险。选择,见移动设备管理制度。A.6.2.2 远程办公应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。选择,见远程访问管理制度。A.7人力资源安全A.7.1任用前A.7.1.1人员筛选确保员工、合同方人员理解他们的职责并适合他们所承担的角色。根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、

4、访问的信息类别及已知风险。选择,见信息安全人员考察审批与保密管理程序。A.7.1.2任用条款和条件与员工和承包商的合同协议应当规定他们对组织的信息安全责任。选择,见涉密人员保密责任协议书。A.7.2任用中A.7.2.1管理职责确保员工和合同方了解并履行他们的信息安全责任。管理层应要求员工、合同方符合组织建立的信息安全策略和程序。选择,见信息安全管理手册与信息安全管理体系职责描述。A.7.2.2信息安全意识、教育与培训组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。选择,见信息安全培训管理程序。A.7.2.3纪律处理过程应建立并传达正式的惩

5、戒程序,据此对违反安全策略的员工进行惩戒。选择,见信息安全惩戒管理规定。A.7.3任用终止和变更A.7.3.1任用终止或变更的责任任用终止或变更的责任应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。选择,见信息安全人员考察审批与保密管理程序。A.8资产管理A.8.1资产的责任A.8.1.1资产清单确定组织资产,并确定适当的保护责任。应制定和维护信息资产和信息处理设施相关资产的资产清单。选择,见重要信息资产清单。A.8.1.2资产责任人资产清单中的资产应指定资产责任人(OWNER)。选择,见重要信息资产清单。A.8.1.3资产的合理使用应识别信息和信息处理设施相关

6、资产的合理使用准则,形成文件并实施。选择,见信息资产管理办法。A.8.1.4资产的归还在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。选择,见信息资产管理办法。A.8.2信息分类A.8.2.1 信息分类确保信息资产是按照其对组织的重要性受到适当级别的保护。应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。选择,见重要信息资产清单见风险评估。A.8.2.2信息标记应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。选择,见信息资产分类与标识管理规定。A.8.2.3资产处理应根据组织采用的资产分类方法制定和实施资产处理程序选择,见信息

7、资产管理办法。A.8.3介质处理A.8.3.1可移动介质管理目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。应实施移动介质的管理程序,并与组织的分类方案相匹配。选择,见移动设备管理制度。A.8.3.2介质处置当介质不再需要时,应按照正式程序进行可靠的、安全的处置。选择,见移动设备管理制度。A.8.3.3物理介质传输含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。选择,见信息安全方针信息安全策略管理制度。A.9访问控制A.9.1访问控制的业务需求A.9.1.1访问控制策略限制对信息和信息处理设施的访问。应建立文件化的访问控制策略,并根据业务和安全要求对策略进行

8、评审。选择,见信息系统访问管理程序。A.9.1.2对网络和网络服务的访问应只允许用户访问被明确授权使用的网络和网络服务。选择,见信息系统访问管理程序。A.9.2用户访问管理A.9.2.1用户注册和注销确保已授权用户的访问,预防对系统和服务的非授权访问。应实施正式的用户注册和注销程序来分配访问权限。选择,见信息系统访问管理程序。A.9.2.2用户访问权限提供无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。选择,见信息系统访问管理程序。A.9.2.3特权管理应限制及控制特权的分配及使用。选择,见信息系统访问管理程序。A.9.2.4用户认证信息的安全

9、管理用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。选择,见信息系统访问管理程序。A.9.2.5用户访问权限的评审资产所有者应定期审查用户访问权限。选择,见信息系统访问管理程序。A.9.2.6撤销或调整访问权限在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。选择,见信息系统访问管理程序。A.9.3用户责任A.9.3.1认证信息的使用用户应保护他们的认证信息。应要求用户遵循组织的做法使用其认证信息。选择,见信息系统访问管理程序。A.9.4系统和应用访问控制A.9.4.1安全登录程序防止对系统和应用的未授权访问。应基于访问控制策略

10、限制对信息和应用系统功能的访问。选择,见信息系统访问管理程序。A.9.4.2密码管理系统在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。选择,见信息系统访问管理程序。A.9.4.3特权程序的使用应使用交互式口令管理系统,确保口令质量。选择,见信息系统访问管理程序。A.9.4.4对程序源码的访问控制对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。选择,见信息系统访问管理程序。A.9.4.5安全登录程序对程序源代码的访问应进行限制。选择,见信息系统访问管理程序。A.10密码学A.10.1密码控制A.10.1.1使用加密控制的策略确保适当和有效地使用密码来保护信

11、息的机密性、真实性和/或完整性。应开发和实施加密控制措施的策略以保护信息。选择,见计算机账户及密码管理程序。A.10.1.2密钥管理对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。选择,见计算机账户及密码管理程序。A.11物理和环境安全A.11.1安全区域A.11.1.1物理安全边界防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。应定义安全边界,用来保护包含敏感或关键信息和信选择,见物理访问控制程序。A.11.1.2物理进入控制安全区域应有适当的进入控制保护,以确保只有授权选择,见物理访问控制程序。A.11.1.3办公室、房间及设施和安全应设计和实施保

12、护办公室、房间及所及设备的物理安全。选择,见物理访问控制程序。A.11.1.4防范外部和环境威胁应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。选择,见信息安全应急方案。A.11.1.5在安全区域工作应设计和应用在安全区域工作的程序。选择,见机房管理规定。A.11.1.6送货和装卸区访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。选择,见物理访问控制程序。A.11.2设备安全A.11.2.1设备安置及保护防止资产的遗失、损坏、偷窃或损失和组织业务中断。应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的

13、机会。选择,见信息技术设备物理与环境安全管理办法。A.11.2.2支持设施应保护设备免于电力中断及其它因支持设施失效导致的中断。选择,见信息安全应急方案。A.11.2.3线缆安全应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。选择,见信息技术设备物理与环境安全管理办法。A.11.2.4设备维护应正确维护设备,以确保其持续的可用性及完整性。选择,见信息技术设备物理与环境安全管理办法。A.11.2.5资产转移未经授权,不得将设备、信息及软件带离。选择,见信息技术设备物理与环境安全管理办法。A.11.2.6场外设备和资产安全应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。不

14、适用,本公司无场外设备和资产。A.11.2.7设备报废或重用含有存储介质的所有设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。选择,见信息技术设备物理与环境安全管理办法。A.11.2.8无人值守的设备用户应确保无人值守的设备有适当的保护。选择,见信息技术设备物理与环境安全管理办法。A.11.2.9桌面清空及清屏策略应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。选择,见信息技术设备物理与环境安全管理办法。A.12操作安全A.12.1操作程序及职责A.12.1.1文件化的操作程序确保信息处理设施正确和安全的操作。应编制文件化的操作程序,并确保所有需要的用户可以获得。选择,见信息技术设备物理与环境安全管理办法、服务器管理规定、邮件管理规定、备份管理程序、网络安全管理规定。A.12.1.2变更管理应控制组织、业务流程

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号