《信息安全适用性声明修改版》由会员分享,可在线阅读,更多相关《信息安全适用性声明修改版(32页珍藏版)》请在金锄头文库上搜索。
1、 . . 适用性声明编号:ISMS-P-2001状态:受控编写:200X年#月#日200X年#月#日200X年#月#日发布版次:第A/0版200X年#月#日生效日期200X年#月#日分发:各部门(或#X)承受部门:变 更 记 录变更日期版本变更说明编写审核批准2009-#-#A/0初始版本#X#X#X目录1 目的与围42 相关文件43 职责44 声明4A.5安全方针5A.6安全组织5A.7资产管理7A.8人力资源安全7A.9实物与环境安全7A.10通信和操作管理7A.11访问控制7A.12信息系统获取、开发和维护7A.13信息安全事件管理7A.14业务持续性管理7A.15符合性7信息安全适用性
2、声明1 目的与围本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以与实施这些控制所涉与的相关文件。2 相关文件ISMS-1001信息安全管理手册3 职责信息安全适用性声明由#X编制、修订,由管理者代表批准。4 声明本公司按GB/T 22080-2008 idt ISO/IEC27001:2005建立信息安全管理体系。根据公司风险评估的结果和风险可承受水平,GB/T 22080-2008 idt ISO/IEC27001:2005附录A的以下条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控
3、制措施。 / A.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.5.1信息安全方针目标YES依据业务要求和相关法律法规为信息安全提供管理方向和支持,并说明管理层对信息安全的承诺。A.5.1.1信息安全方针文件控制YES信息安全管理实施的需要。信息安全方针文件应由管理阶层核准,并通过培训、贴布告于宣传栏、等形式公布与传达给所有聘雇人员与相关外部团体。A.5.1.2信息安全方针的评审与评价控制YES确保方针持续的适宜性。按照计划的时间间隔(如每年)或当重大变化发生时利用管理评审对方针的进行评审以确保它持续的适宜性、充分性和有效性,必要时对方针进行修订。A.6安全组织标准条款
4、号标题目标/控制是否选择选择理由控制描述相关文件A.6.1部组织目标YES建立一个有效的信息安全管理组织机构。A.6.1.1信息安全管理承诺控制YES确定评审安全承诺与处理重大安全事故,确定与安全有关重大事项所必须的职责分配与确认、沟通机制。管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配来积极支持组织的安全。公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机与会议议题,行政部负责准备会议日程的安排。会议主要
5、议题包括:a)评审信息安全承诺;b)确认风险评估的结果;c)对与信息安全管理有关的重大更改事项,如组织机构调整、关键人事变动、信息系统更改等,进行决策;e)评审与处理重大信息安全事故;f)审批与信息安全管理有关的其他重要事项。A.6.1.2信息安全的协调控制YES公司涉与信息安全部门众多,组织机构复杂,需要一个有效沟通与协调机制。公司成立信息安全管理协调小组,由信息安全管理者代表、办以与信息安全体系审员组成。协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。由办负责组织安排并做好会议记录。A.6
6、.1.3信息安全职责的分配控制YES保持特定资产和完成特定安全过程的职责需确定。公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。与ISMS有关各部门的信息安全职责应予以描述,关于具体的信息安全活动的职责在程序与作业文件中予以明确。在哪个文件里描述职责,信息安全组织么?A.6.1.4信息处理设施的授权程序为什么在这个域中?控制YES本公司有新信息处理设备(设施)使用时,实施使用授权程序。对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,由#X部进行技术选型,并组织验收,确保与原系统的兼容。明确信息处理设施
7、的使用部门承受新设施的信息安全负责人为#X部,#X部人员需要讲解新设施的正确使用方法。A.6.1.5信息安全性协议控制YES为更好掌握信息安全的技术与听取安全方面的有益建议,需与外部经常访问我公司信息处理设施的人员订立性协议。本公司的正式员工和借用员工聘用、任职期间与离职的安全考察与控制以与其他相关人员(合同方、临时员工)的安全考察与控制。a) 信息的形式:标明“秘密”、“受控”字样的资料,以与相关的文件、数据、分析报告、算法、样品、实物、规格说明软盘等,未标明“秘密”、“受控”字样的即为公开文件;b) 乙方仅能够在甲方规定的围使用信息、或者向甲方书面认可的第三方披露甲方认可可披露围的信息;c
8、) 乙方不得向其他任何第三方披露任何从甲方处收到或合法获知的信息。A.6.1.6与政府部门的联系控制YES与法律实施部门、标准机构等组织保持适当的联系是必须的,以获得必要的安全管理、标准、法律法规方面的信息。信息部就/网络通讯系统的安全问题与市信息主管部门与标准制定部门保持联系,其他部门与相应的政府职能部门与社会服务机构保持联系,以便与时掌握信息安全的法律法规,与时获得安全事故的预防和纠正信息,并得到相应的支持。信息安全交流时,确保本公司的敏感信息不传给未经授权的人。A.6.1.7与特定利益团体的联系控制YES为更好掌握信息安全的新技术与安全方面的有益建议,需获得外部信息安全专家的建议。本公司
9、设部信息安全顾问,必要时聘请外部专家,与特定利益群体保持沟通,解答有关信息安全的问题。顾问与专家由本公司信息安全委员会提出,管理者代表批准。部信息安全顾问负责:a) 按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议;b) 收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子系统或采用其它方式传递到相关部门和人员;c) 必要时,参与信息安全事故的调查工作。A.6.1.8信息安全的独立评审控制YES为验证信息安全管理体系实施的有效性与符合性,公司定期进行部审核,审核需要客观公正性。信息安全管理体系的部审核员由有审核能力和经验的人员组成(包括IT方面的专家
10、),并承受ISMS部审核员培训且考评合格。部审核员在现场审核时保持审核的独立性,并不审核自己的工作。审员获得授权,在审核期间不受行政的领导的限制,直接对审核组长负责。A.6.2外部各方目标YES识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要求,并控制外部各方带来的风险。A.6.2.1与外部各方相关风险的识别控制YES本公司存在诸如设备供应商来公司维修设备、顾客访问公司信息网络系统等第三方访问的情况,应采取必要的安全措施进行控制。第三方物理访问须经公司被访问部门的授权,进入工作区应进行登记。公司与长期访问的第三方签订协议。访问特别安全区域时由专人陪同,第三方逻辑访问(如信息
11、系统、数据库)应按照访问控制要求进行控制。A.6.2.2处理与顾客有关的安全问题控制YES在正式的合同中规定必要的安全要必须的。应在允许顾客访问组织的信息或资产前强调所有的安全要求。公司与长期访问的顾客签订协议,明确规定信息安全要求,顾客方访问同样适用物理、逻辑访问控制措施。A.6.2.3处理第三方协议中的安全问题控制YES与本公司存在相关服务主要有#、#X。公司外包责任部门识别外包活动的风险,明确外包活动的信息安全要求,凡涉与存取、处理、通讯或管理组织的信息或信息处理设施,或在信息处理设施上附加产品或服务者,应在外包合同中明确规定信息安全要求。A.7资产管理标准条款号标题目标/控制是否选择选
12、择理由控制描述相关文件A.7.1资产责任目标YES对本公司重要信息资产(包括顾客要求的数据、软件与产品)进行有效保护。A.7.1.1资产清单控制YES公司需建立重要资产清单并实施保护。办组织各部门按业务流程识别所有信息资产,根据重要信息资产判断准则确定公司的重要信息资产,形成重要信息资产清单,并明确资产负责人。A.7.1.2资产负责人控制YES需要对重要信息处理设施有与重要信息指定责任人。所有与信息与信息处理设施有关的资产应由组织指定相应的部门或人员负责。如本公司办可以组织相关部门指定资产负责人。A.7.1.3资产的可承受使用控制YES识别与信息系统或服务相关的资产的合理使用规则,并将其文件化
13、,予以实施。制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。使用或访问组织资产的员工、合作方以与第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用,以与发生在其责任下的使用负责。A.7.2信息分类目标YES本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护。A.7.2.1分类指南控制YES本公司的信息安全涉与信息的敏感性,适当的分类控制是必要的。本公司的信息密级划分为三级(公开、受控、)或四级(公开、部、极其)。不同密级事项的界定,由涉与秘密事项产生部门按照相应的原则进行分类。A.7.2.2信息的标识和处理控制YES按分类方案进行标注并规定信息处理的安全的要求。要覆盖所有物理或电子形式的信息资产,对于属于企业秘密与国家秘密的文件(无论任何媒质),密级确定部门要进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。信息的使用、传输、存储、删除、销毁要进行控制。A.8人力资源安全标准
