信息安全适用性声明.doc

《信息安全适用性声明.doc》由会员分享，可在线阅读，更多相关《信息安全适用性声明.doc（19页珍藏版）》请在三一办公上搜索。

1、密级：内部限制信息安全适用性声明（依据ISO27001标准）文件编号: XX-ISMS-02 版 本 号: A/0 制定日期: 2016年03月01日 编制： 审核： 批准： 2016年03月01日发布 2016年03月01日实施 修 订 履 历 版本页次修 订 履 历生效日期A/0初次发行2016.3.11. 目的根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编制本程序。2. 范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。3. 职责及权限3.1最高管理者负责信息安全适用性声明的审批。3.2综合部负责信息安全适用性声明的

2、编制及修订。4. 相关文件a) 信息安全管理手册5. 术语定义无 6. 适用性声明信息安全适用性声明SOAA.5信息安全方针标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.5.1信息安全管理指引目标YES提供符合有关法律法规和业务需求的信息安全管理指引和支持。A.5.1.1信息安全方针控制YES信息安全方针应由管理才批准发布。信息安全管理手册A.5.1.2信息安全方针的评审控制YES确保方针持续的适应性。管理评审控制程序A.6信息安全组织标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.6.1信息安全组织目标YES管理组织内部信息安全。A.6.1.1信息安全的

3、角色和职责控制YES保持特定资产和完成特定安全过程的所有信息安全职责需确定。信息安全管理手册A.6.1.2职责分离控制YES分离有冲突的职责和责任范围，以减少对组织资产未经授权访问、无意修改或误用的机会。信息安全管理手册A.6.1.3及监管机构的联系控制YES及相关监管机构保持适当联系。相关方服务管理程序A.6.1.4及特殊利益团体的联系控制YES及特殊利益团体、其他专业安全协会或行业协会应保持适当联系。相关方服务管理程序A.6.1.5项目管理中的信息安全控制YES实施任何项目时应考虑信息安全相关要求。保密协议相关方管理程序A.6.2 移动设备和远程办公目标YES确保远程办公和使用移动设备的安

4、全性A.6.2.1移动设备策略控制YES采取安全策略和配套的安全措施管控使用移动设备带来的风险。信息处理设施控制程序计算机管理规定介质管理程序A.6.2.2远程办公控制YES我司有远程访问公司少数系统的情况，需要进行安全控制。用户访问控制程序A.7 人力资源安全标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.7.1 聘用前目标YES确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任A.7.1.1人员筛选控制YES通过人员考察，防止人员带来的信息安全风险。人力资源安全管理程序A.7.1.2雇佣条款和条件控制YES履行信息安全保密协议是雇佣人员的一个基本条件。人力资源安

5、全管理程序保密协议A.7.2聘用期间目标YES确保员工和合同方了解并履行他们的信息安全责任。A.7.2.1管理职责控制YES缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。信息安全管理手册人力资源安全管理程序A.7.2.2信息安全意识、教育和培训控制YES信息安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。人力资源安全管理程序A.7.2.3惩戒过程控制YES对造成安全破坏的员工应该有一个正式的惩戒过程。信息安全惩戒管理规定A.7.3聘用中止和变化目标YES在任用变更或中止过程保护组织利益。A.7.3.1任用终止或变更的责任控制YES应定义信息安全责任和义务在任用终止或

6、变更后仍然有效，并向员工和合同方传达并执行。人力资源安全管理程序相关方服务管理程序A.8资产管理标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.8.1资产责任目标YES对我司资产（包括顾客要求保密的数据、软件及产品）进行有效保护。A.8.1.1资产清单控制YES建立重要资产清单并实施保护。信息安全风险评估控制程序重要资产清单A.8.1.2资产责任人控制YES对所有的及信息处理设施有关的信息和资产指定“所有者”信息安全风险评估控制程序资产清单信息处理设施控制程序A.8.1.3资产的合理使用控制YES识别及信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实施。信息处理

7、设施控制程序A.8.1.4资产的归还控制YES在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织资产。人力资源安全管理程序相关方服务管理程序A.8.2信息分类目标YES我司根据信息的敏感性对信息进行分类，明确保护要求、优先权和等级，以确保对资产采取适当的保护。A.8.2.1分类指南控制YES我司的信息安全涉及信息的敏感性，适当的分类控制是必要的。信息分类及处理指南A.8.2.2信息标识控制YES按分类方案进行标注并规定信息处理的安全的要求。信息分类及处理指南A.8.2.3资产处理控制YES根据组织采用的资产分类方法制定和实施资产处理程序信息处理设施控制程序A.8.3 介质处理

8、目标YES防止存储在介质上的信息被非授权泄露、修改、删除或破坏。A.8.3.1可移动介质管理控制YES我司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动介质。介质管理程序A.8.3.2介质处置控制YES当介质不再需要时，对含有敏感信息介质采用安全的处置办法是必须。介质管理程序A.8.3.3物理介质传输控制YES含有信息的介质应加以保护，防止未经授权的访问、滥用或在运输过程中的损坏。信息交换管理程序A.9 访问控制标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.9.1访问控制的业务需求目标YES限制对信息和信息处理设施的访问A.9.1.1访问控制策略控制YES建立文件化的

9、访问控制策略，并根据业务和安全要求对策略进行评审。用户访问控制程序A.9.1.2对网络和网络服务的访问控制YES制定策略，明确用户访问网络和网络服务的范围，防止非授权的网络访问。用户访问控制程序A.9.2用户访问管理目标YES确保已授权用户的访问，预防对系统和服务的非授权访问。A.9.2.1用户注册和注销控制YES我司存在多用户信息系统，应建立用户登记和注销登记程序。用户访问控制程序A.9.2.2用户访问权限提供控制YES应有正式的用户访问分配程序，以分配和撤销对于所有信息系统及服务的访问。用户访问控制程序A.9.2.3特权管理控制YES应对特权帐号进行管理，特权不适当的使用会造成系统的破坏。

10、用户访问控制程序A.9.2.4用户认证信息的安全管理控制YES用户鉴别信息的权限分配应通过一个正式的管理过程 进行安全控制。用户访问控制程序A.9.2.5用户访问权限的评审控制YES对用户访问权限进行评审是必要的,以防止非授权的访问。用户访问控制程序A.9.2.6撤销或调整访问权限控制YES在跟所有员工和承包商人员的就业合同或协议终止和调整后，应相应得删除或调整其信息和信息处理设施 的访问权限。人力资源安全管理程序用户访问控制程序相关方服务管理程序A.9.3 用户责任目标YES确保用户对认证信息的保护负责。A.9.3.1认证信息的使用控制YES应要求用户遵循组织的规则使用其认证信息。用户访问控

11、制程序A.9.4 系统和应用访问控制目标YES防止对系统和应用的未授权访问A.9.4.1信息访问限制控制YES我司信息访问权限是根据业务运做的需要及信息安全考虑所规定的，系统的访问功能应加以限制。用户访问控制程序A.9.4.2安全登录程序控制YES对操作系统的访问应有安全登录程序进行控制。用户访问控制程序A.9.4.3密码管理系统控制YES为减少非法访问操作系统的机会，应对密码进行管理。用户访问控制程序A.9.4.4特权程序的使用控制YES对特权程序的使用应严格控制，防止恶意破坏系统安全。用户访问控制程序A.9.4.5对程序源码的访问控制控制YES对程序源代码的访问应进行限制。软件开发安全控制

12、程序A.10 加密技术标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.10.1 加密控制目标YES确保适当和有效地使用加密技术来保护信息的机密性、真实性、完整性。A.10.1.1使用加密控制的策略控制YES为保护信息，应开发并实施加密控制的使用策略网络安全管理程序技术符合性管理规定A.10.1.2密钥管理控制YES应进行密钥管理，以支持公司对密码技术的使用网络安全管理程序技术符合性管理规定计算机管理规定A.11物理和环境安全标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.11.1 安全区域目标YES防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。

13、A.11.1.1物理安全边界控制YES我司有包含重要信息及信息处理设施的区域,应确定其安全周界对其实施保护。安全区域控制程序A.11.1.2物理进入控制控制YES安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。安全区域控制程序A.11.1.3办公室、房间及设施的安全控制YES对安全区域内的综合管理部、房间和设施应有特殊的安全要求。安全区域控制程序A.11.1.4防范外部和环境威胁控制YES加强我司物理安全控制，防范火灾、水灾、地震，以及其它形式的自然或人为灾害。安全区域控制程序A.11.1.5在安全区域工作控制YES在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全

14、。安全区域控制程序相关方服务管理程序A.11.1.6送货和装卸区控制YES对未经授权的人员可能访问到的地点进行控制，防止外来人员直接进入重要安全区域是必要的。安全区域控制程序A.11.2 设备安全目标YES防止资产的遗失、损坏、偷窃等导致的组织业务中断。A.11.2.1设备安置及保护控制YES设备应定位和保护，防止火灾、吸烟、油污、未经授权访问等威胁。信息处理设施控制程序A.11.2.2支持设施控制YES对设备加以保护使其免于电力中断或者其它支持设施故障而导致的中断的影响。信息处理设施控制程序A.11.2.3线缆安全控制YES通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。网络安全管理程序

15、A.11.2.4设备维护控制YES设备保持良好的运行状态是保持信息的完整性及可用性的基础。信息处理设施控制程序计算机管理规定A.11.2.5资产转移控制YES设备、信息、软件未经授权之前，不应将设备、信息或软件带到场所外。信息处理设施控制程序A.11.2.6场外设备和资产安全控制YES我司有笔记本移动设备，离开正常的办公场所应进行控制，防止其被盗窃、未经授权的访问等危害的发生。信息处理设施控制程序计算机管理规定介质管理程序A.11.2.7设备报废或重用控制YES对我司储存有关敏感信息的设备，如服务器、硬盘，对其处置和再利用应将其信息清除。信息处理设施控制程序介质管理程序A.11.2.8无人值守

16、的设备控制YES确保无人值守设备得到足够的保护。计算机管理规定A.11.2.9桌面清空及清屏策略控制YES不实行清除桌面或清除屏幕策略，会受到资产丢失、失窃或遭到非法访问的威胁。计算机管理规定A.12操作安全标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.12.1 操作程序及职责目标YES确保信息处理设备的正确和安全使用。A.12.1.1文件化操作程序控制YES作业程序应该文件化，并在需要时可用。文件控制程序A.12.1.2变更管理控制YES未加以控制的信息处理设备和系统更改会造成系统故障和安全故障。信息处理设施控制程序变更控制程序A.12.1.3容量管理控制YES为避免因系

17、统容量不足导致系统故障，监控容量需求并规划将来容量是必须的。信息安全监控管理规定A.12.1.4开发、测试及运行环境的分离控制YES我司设有研发部门，应分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险软件开发安全控制程序A.12.2 防范恶意软件目标YES确保对信息和信息处理设施的保护，防止恶意软件。A.12.2.1控制恶意软件控制YES恶意软件的威胁是客观存在的，应实施恶意代码的监测、预防和恢复控制，以及适当的用户意识培训的程序。防病毒管理规定A.12.3 备份目标YES防止数据丢失A.12.3.1数据备份控制YES对重要信息和软件定期备份是必须的，以防止信息和软件的丢失和不

18、可用，及支持业务可持续性。数据备份管理程序A.12.4 日志记录和监控目标YES记录事件和生成的证据A.12.4.1事件日志控制YES为访问监测提供帮助，建立事件日志(审核日志)是必须的。信息安全监控管理规定A.12.4.2日志信息保护控制YES日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。信息安全监控管理规定A.12.4.3管理员和操作者日志控制YES应根据需要，记录系统管理员和系统操作员的活动。信息安全监控管理规定A.12.4.4时钟同步控制YES实施时钟同步，是生产、经营及获取客观证据的需要。信息安全监控管理规定A.12.5 运营中软件控制目标YES确保运营中系统的完整

19、性。A.12.5.1运营系统的软件安装控制YES应建立程序对运营中的系统的软件安装进行控制。软件控制程序A.12.6技术漏洞管理目标YES防止技术漏洞被利用。A.12.6.1管理技术薄弱点控制YES及时获得正在使用信息系统的技术薄弱点的相关信息，应评估对这些薄弱点的暴露程度，并采取适当的方法处理相关风险。技术薄弱点控制程序A.12.6.2限制软件安装控制YES应建立和实施用户软件安装规则。软件控制程序A.12.7 信息系统审计的考虑因素目标YES最小化审计活动对系统运营影响。A.12.7.1信息系统审核控制控制YES应谨慎策划对系统运行验证所涉及的审核要求和活动 并获得许可，以最小化中断业务过

20、程。内部审核控制程序A.13通信安全标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.13.1 网络安全管理目标YES确保网络及信息处理设施中信息的安全。A.13.1.1网络控制控制YES应对网络进行管理和控制，以保护系统和应用程序的信息。网络安全管理程序变更控制程序A.13.1.2网络服务安全控制YES应识别所有网络服务的安全机制、服务等级和管理要求，并包括在网络服务协议中，无论这种服务是由内部提供的还是外包的。网络安全管理程序A.13.1.3网络隔离控制YES应在网络中按组隔离信息服务、用户和信息系统。网络安全管理程序A.13.2 信息交换目标YES确保信息在组织内部或及外

21、部组织之间传输的安全。A.13.2.1信息交换策略和程序控制YES应建立正式的传输策略、程序和控制，以保护通过通讯设施传输的所有类型信息的安全。信息交换管理程序A.13.2.2信息交换协议控制YES建立组织和外部各方之间的业务信息的安全传输协议。信息交换管理程序A.13.2.3电子消息控制YES应适当保护电子消息的信息。信息交换管理程序A.13.2.4保密或不披露协议控制YES应制定并定期评审组织的信息安全保密协议或不披露协议，该协议应反映织对信息保护的要求。保密协议相关方管理程序A.14系统的获取、开发及维护标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.14.1信息系统安

22、全需求目标YES确保信息安全成为信息系统整个生命周期的组成部分，包括通过公共网络提供服务的信息系统的要求。A.14.1.1信息安全需求分析和规范控制YES新建信息系统或增强现有信息系统的需求中应包括信息安全相关的要求。网络安全管理程序技术符合性管理规定A.14.1.2公共网络应用服务的安全控制YES应保护流经公共网络的应用服务信息，以防止欺诈、 合同争议、未授权的泄漏和修改。网络安全管理程序A.14.1.3保护应用服务控制YES应保护应用服务传输中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。网络安全管理程序A.14.2开发和支持过程的安全目标

23、YES确保信息系统开发生命周期中设计和实施信息安全。A.14.2.1开发的安全策略控制YES应对软件开发及系统建设的安全需求进行规范管理。软件开发安全控制程序A.14.2.2系统变更控制程序控制YES为防止未授权或不充分的更改，导致系统故障及中断，需要实施严格更改控制。变更控制程序A.14.2.3操作平台变更后的技术评审控制YES操作系统的不充分更改对应用系统会造成严重的影响。变更控制程序A.14.2.4软件包变更限制控制YES不鼓励对软件包进行变更，对必要的更改需严格控制。变更控制程序A.14.2.5安全系统工程原则控制YES应建立、文件化、维护和应用安全系统工程原则，并应用于任何信息系统工

24、程。软件开发安全控制程序A.14.2.6开发环境安全控制YES在整个系统开发生命周期的系统开发和集成工作中， 应建立并妥善保障开发环境的安全。软件开发安全控制程序A.14.2.7外包开发控制NO公司暂无软件外包过程。A.14.2.8系统安全测试控制YES在开发过程中，应进行安全性的测试。软件开发安全控制程序A.14.2.9系统验收测试控制YES应建立新信息系统、系统升级及新版本的验收测试程序和相关准则。软件开发安全控制程序A.14.3 测试数据目标YES确保测试数据安全。A.14.3.1测试数据的保护控制YES应谨慎选择测试数据，并加以保护和控制。软件开发安全控制程序A.15供应商关系标准条款

25、号标 题目标/控制是否选择选 择 理 由相 关 文 件A.15.1 供应商关系的信息安全目标YES确保组织被供应商访问的信息的安全。A.15.1.1供应商关系的信息安全策略控制YES为降低供应商使用组织的资产相关的风险，应及供应商签署安全要求的文件协议。保密协议A.15.1.2在供应商协议中强调安全控制YES及每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的 IT 基础设施组件、信息的访 问、处理、存储、沟通。保密协议A.15.1.3信息和通信技术的供应链控制YES供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。保密协议A.15.2 供应商服务交付管理目标Y

26、ES保持符合供应商协议的信息安全和服务交付水平。A.15.2.1供应商服务的监督和评审控制YES组织应定期监督、评审和审核供应商的服务交付。相关方服务管理程序A.15.2.2供应商服务的变更管理控制YES应管理供应商服务的变更，包括保持和改进现有信息安全策略、程序和控制措施，考虑对业务信息、系统、 过程的关键性和风险的再评估。相关方服务管理程序 A.16 通信安全事件管理标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.16.1 信息安全事件的管理和改进目标YES确保网络及信息处理设施中信息的安全。A.16.1.1职责和程序控制YES应建立管理职责和程序，以快速、有效和有序的响

27、应信息安全事件。信息安全事件管理程序A.16.1.2报告信息安全事态控制YES应通过适当的管理途径尽快报告信息安全事态。信息安全事件管理程序A.16.1.3报告信息安全弱点控制YES应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。信息安全事件管理程序技术薄弱点的控制程序A.16.1.4评估和决策信息安全事件控制YES应评估信息安全事件，以决定其是否被认定为信息安全事故。信息安全事件管理程序A.16.1.5响应信息安全事故控制YES应按照文件化程序响应信息安全事故。信息安全事件管理程序A.16.1.6从信息安全事故中学习控制YES分析和解决信息安全

28、事故获得的知识应用来减少未来事故的可能性或影响。信息安全事件管理程序A.16.1.7收集证据控制YES组织应建立和采取程序，识别、收集、采集和保存可以作为证据的信息。信息安全事件管理程序A.17 业务连续性管理中的信息安全标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.17.1 信息安全的连续性目标YES信息安全连续性应嵌入到组织的业务连续性管理体系。A.17.1.1规划信息安全的连续性控制YES组织应确定其需求，以保证在不利情况下信息安全管 理的安全和连续性，如在危机或灾难时。业务持续性管理程序A.17.1.2实施信息安全的连续性控制YES组织应建立、文件化、实施、维护程序

29、和控制过程，以确保处理不利的情况过程中所需的信息安全连续性 水平。业务持续性管理程序A.17.1.3验证，评审和评估信息安全的连续性控制YES组织应定期验证已建立并实施的信息安全连续性控 制，以确保其有效并可在灾害情况下奏效。业务持续性管理程序A.17.2 冗余目标YES确保信息处理设施的可用性。A.17.2.1信息处理设施的可用性控制YES信息处理设施应具备足够的冗余以满足可用性要求。业务持续性管理程序A.18符合性标准条款号标 题目标/控制是否选择选 择 理 由相 关 文 件A.18.1 法律和合同规定的符合性目标YES避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。A.

30、18.1.1识别适用的法律法规和合同要求控制YES应清楚的识别所有相关法律、法规及合同的要求及组织满足要求的方法并形成文件，并针对组织及每个信息系 统进行更新。法律法规获取识别控制程序A.18.1.2知识产权控制YES应实施适当的程序，以确保对知识产权软件产品的使 用符合相关的法律、法规和合同要求。计算机管理规定A.18.1.3保护记录控制YES应按照法律法规、合同和业务要求，保护记录免受损坏、破坏、未授权访问和未授权发布，或伪造篡改。文件控制程序信息安全事件管理程序A.18.1.4个人信息和隐私的保护控制YES个人身份信息和隐私的保护应满足相关法律法规的要求。文件控制程序档案管理规定A.18

31、.1.5加密控制法规控制YES加密控制的使用应遵循相关的协议、法律法规。用户访问控制程序A.18.2 信息安全评审目标YES确保依照组织的策略和程序实施信息安全。A.18.2.1信息安全的独立评审控制YES应定期或发生重大变化时，对组织的信息安全管理方法及其实施情况 (如，信息安全控制目标、控制措施、 策略、过程和程序）进行独立评审。内部审核控制程序A.18.2.2符合安全策略和标准控制YES管理层应定期评审管辖范围内的信息处理过程符合安 全策略、标准及其他安全要求。管理评审控制程序A.18.2.3技术符合性评审控制YES应定期评审信息系统及组织的信息安全策略、标准的符合程度。技术符合性管理规定