《信息安全适用性声明汇编》由会员分享,可在线阅读,更多相关《信息安全适用性声明汇编(20页珍藏版)》请在金锄头文库上搜索。
1、密级: 内部限制信息安全适用性声明(依据IS027001标准)文件编号:XX-ISMS-02版本号:A/0制定日期:2016年03月01日编制:审核:批准:2016年03月01日发布 2016 年03月01日实施探 修订履历 探版本页次修订履历生效日期A/0初次发仃2016311. 目的根据ISO/IEC27001:2013标准和公司实际管理需要,确定标准各条款对公司的适用性,特 编制本程序。2. 范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。3. 职责与权限3.1最高管理者负责信息安全适用性声明的审批。3.2综合部负责信息安全适用性声明的编制及修订。4. 相关文件a
2、)信息安全管理手册5. 术语定义无6. 适用性声明信息安全适用性声明SOAA.5信息安全方针标准 条款号标题目标/ 控制是否选择选择理由相关文件A.5.1信息安全管理 指引目标YES提供符合有关法律法规和业务需求的信息安全管理指 引和支持。A.5.1.1信息安全方针控制YES信息安全方针应由管理才 批准发布。信息安全管理手册A.5.1.2信息安全方针 的评审控制YES确保方针持续的适应性。管理评审控制程序A.6信息安全组织标准 条款号标题目标/ 控制是否选择选择理由相关文件A.6.1信息安全组织目标YES管理组织内部信息安全。A.6.1.1信息安全的角色 和职责控制YES保持特定资产和完成特定
3、 安全过程的所有信息安全 职责需确定。信息安全管理手册A.6.1.2职责分离控制YES分离有冲突的职责和责任 范围,以减少对组织资产未 经授权访问、无意修改或误 用的机会。信息安全管理手册A.6.1.3与监管机构的联 系控制YES与相关监管机构保持适当 联系。相关方服务管理程序A.6.1.4与特殊利益团体 的联系控制YES与特殊利益团体、其他专业 安全协会或行业协会应保 持适当联系。相关方服务管理程序A.6.1.5项目管理中的信 息安全控制YES实施任何项目时应考虑信息安全相关要求。保密协议相关方管理程序A.6.2移动设备和远程 办公目标YES确保远程办公和使用移动设备的安全性A.6.2.1移
4、动设备策略控制YES采取安全策略和配套的安 全措施管控使用移动设备 带来的风险。信息处理设施控制程序计算机管理规定介质管理程序A.6.2.2远程办公控制YES我司有远程访问公司少数 系统的情况,需要进行安全 控制。用户访问控制程序A.7人力资源安全标准 条款号标题目标/ 控制是否选择选择理由相关文件A.7.1聘用前目标YES确保员工、合同方人员适合他们所承担的角色并理解 他们的安全责任A.7.1.1人员筛选控制YES通过人员考祭,防止人员带 来的信息安全风险。人力资源安全管理程 序A.7.1.2雇佣条款和条 件控制YES履行信息安全保密协议是 雇佣人员的一个基本条件。人力资源安全管理程 序保密
5、协议A.7.2聘用期间目标YES确保员工和合同方了解并履行他们的信息安全责任。A.7.2.1管理职责控制YES缺乏管理职责,会使人员意 识淡薄,从而对组织造成负 面安全影响。信息安全管理手册人力资源安全管理程序A.7.2.2信息安全意识、 教育和培训控制YES信息安全意识及必要的信 息系统操作技能培训是信 息安全管理工作的前提。人力资源安全管理程序A.7.2.3惩戒过程控制YES对造成安全破坏的员工应 该有一个正式的惩戒过程。信息安全惩戒管理规 定A.7.3聘用中止和变 化目标YES在任用变更或中止过程保护组织利益。A.7.3.1任用终止或变 更的责任控制YES应定义信息安全责任和义 务在任用
6、终止或变更后仍 然有效,并向员工和合冋方 传达并执行。人力资源安全管理程 序相关方服务管理程序A.8资产管理标准 条款号标题目标/ 控制是否选择选择理由相关文件A.8.1资产责任目标YES对我司资产(包括顾客要求保密的数据、 软件及产品) 进行有效保护。A.8.1.1资产清单控制YES建立重要资产清单并实施 保护。信息安全风险评估控 制程序重要资产清单A.8.1.2资产责任人控制YES对所有的与信息处理设施 有关的信息和资产指定“所 有者”信息安全风险评估控 制程序资产清单信息处理设施控制程序A.8.1.3资产的合理使用控制YES识别与信息系统或服务相 关的资产的合理使用规则,信息处理设施控制
7、程 序标准 条款号标题目标/ 控制是否选择选择理由相关文件并将其文件化,并予以实 施。A.8.1.4资产的归还控制YES在劳动合同或协议终止后, 所有员工和外部方人员应 退还所有他们持有的组织 资产。人力资源安全管理程序相关方服务管理程序A.8.2信息分类目标YES我司根据信息的敏感性对信息进行分类,明确保护要 求、优先权和等级,以确保对资产采取适当的保护。A.8.2.1分类指南控制YES我司的信息安全涉及信息 的敏感性,适当的分类控制 是必要的。信息分类与处理指 南A.8.2.2信息标识控制YES按分类方案进仃标注并规 定信息处理的安全的要求。信息分类与处理指 南A.8.2.3资产处理控制Y
8、ES根据组织米用的资产分 类方法制定和实施资产 处理程序信息处理设施控制程 序A.8.3介质处理目标YES防止存储在介质上的信息被非授权泄露、修改、删除 或破坏。A.8.3.1可移动介质管理控制YES我司存在含有敏感信息的 磁盘、磁带、光盘、打印报 告等可移动介质。介质管理程序A.8.3.2介质处置控制YES当介质不再需要时,对含有 敏感信息介质采用安全的 处置办法是必须。介质管理程序A.8.3.3物理介质传输控制YES含有信息的介质应加以保 护,防止未经授权的访问、 滥用或在运输过程中的损 坏。信息交换管理程序A.9访问控制标准 条款号标题目标/ 控制是否选择选择理由相关文件A.9.1访问控
9、制的业务 需求目标YES限制对信息和信息处理设施的访问A.9.1.1访问控制策略控制YES建立文件化的访冋控制策 略,并根据业务和安全要求 对策略进行评审。用户访问控制程序A.9.1.2对网络和网络服 务的访问控制YES制定策略,明确用户访问网 络和网络服务的范围,防止用户访问控制程序标准 条款号标题目标/ 控制是否选择选择理由相关文件非授权的网络访问。A.9.2用户访问管理目标YES确保已授权用户的访问,预防对系统和服务的非授权 访问。A.9.2.1用户注册和注销控制YES我司存在多用户信息系统, 应建立用户登记和注销登 记程序。用户访问控制程序A.9.2.2用户访问权限提 供控制YES应有
10、正式的用户访冋分配 程序,以分配和撤销对于所 有信息系统及服务的访问。用户访问控制程序A.9.2.3特权管理控制YES应对特权帐号进行管理,特 权不适当的使用会造成系 统的破坏。用户访问控制程序A.9.2.4用户认证信息的 安全管理控制YES用户鉴别信息的权限分配 应通过一个正式的管理过 程进行安全控制。用户访问控制程序A.9.2.5用户访问权限的 评审控制YES对用户访问权限进行评审 是必要的,以防止非授权的 访问。用户访问控制程序A.9.2.6撤销或调整访问 权限控制YES在跟所有员工和承包商 人员的就业合同或协议 终止和调整后,应相应得 删除或调整其信息和信 息处理设施的访问权限0人力资
11、源安全管理程序用户访问控制程序相关方服务管理程 序A.9.3用户责任目标YES确保用户对认证信息的保护负责。A.9.3.1认证信息的使用控制YES应要求用户遵循组织的规 则使用其认证信息。用户访问控制程序A.9.4系统和应用访问 控制目标YES防止对系统和应用的未授权访问A.9.4.1信息访问限制控制YES我司信息访问权限是根据 业务运做的需要及信息安 全考虑所规定的,系统的访 问功能应加以限制。用户访问控制程序A.9.4.2安全登录程序控制YES对操作系统的访冋应有安 全登录程序进行控制。用户访问控制程序A.9.4.3密码管理系统控制YES为减少非法访问操作系统 的机会,应对密码进行管 理。
12、用户访问控制程序A.9.4.4特权程序的使用控制YES对特权程序的使用应严格 控制,防止恶意破坏系统安用户访问控制程序精品文档标准 条款号标题目标/ 控制是否选择选择理由相关文件全。A.9.4.5对程序源码的访 问控制控制YES对程序源代码的访问应进 行限制。软件开发安全控制程 序A.10加密技术标准 条款号标题目标/ 控制是否选择选择理由相关文件A.10.1加密控制目标YES确保适当和有效地使用加密技术来保护信息的机 密性、真实性、完整性。A.10.1.1使用加密控制的 策略控制YES为保护信息,应开发并实施加密控制的使用策略网络安全管理程序技术符合性管理规 定A.10.1.2密钥管理控制YES应进行密钥管理,以支持公 司对密码技术的使用网络安全管理
