(2020年最新版本)信息安全适用性声明

合集下载

信息安全声明

信息安全声明

信息安全声明本公司(以下简称“公司”)为了保护客户、员工和公司的机密信息,特制定本信息安全声明(以下简称“声明”),并承诺遵守该声明的各项规定。

一、信息安全责任公司高度重视信息安全工作,并设立了信息安全管理岗位,负责制定、实施和监督信息安全相关政策、措施。

公司将定期对信息安全管理系统进行评估和审查,确保其有效性和合规性。

二、保护客户信息1. 客户信息是公司的重要资产,公司承诺严格遵守相关法律法规,保护客户信息的机密性和完整性。

2. 公司采取合理的技术手段和管理措施,防止客户信息的泄露、篡改和丢失。

3. 公司仅在合法、必要的情况下使用客户信息,未经客户授权不得将客户信息用于其他用途。

三、保护员工信息1. 员工个人信息是公司对员工承诺的一项重要义务,公司将依法、合规地处理员工个人信息,确保其安全性和保密性。

2. 公司采取合理的技术手段和管理措施,防止员工个人信息的泄露、篡改和丢失。

3. 公司对员工个人信息的收集、使用和披露,必须遵守法律法规的规定,并经过员工的明示同意。

四、合作伙伴管理1. 公司与合作伙伴建立合作关系时,将要求其遵守相应的信息安全规定,确保双方共享的信息得到妥善保护。

2. 公司对合作伙伴进行信息安全审核,评估其信息安全控制措施的有效性。

3. 如发现合作伙伴信息安全管理存在问题,公司将采取相应的纠正措施,确保信息安全风险得到控制。

五、信息安全培训1. 公司将定期组织信息安全培训,提高员工对信息安全意识的认知,掌握信息安全管理的基本要求和操作规程。

2. 公司将对新员工进行信息安全培训,并要求其签署保密协议,承诺维护公司信息安全。

3. 公司将对员工进行定期考核,确保其信息安全意识和操作符合公司要求。

六、安全事件报告和处置1. 公司建立了信息安全事件报告和处置制度,对发生的信息安全事件进行及时报告和调查,采取相应的应急措施。

2. 公司将根据信息安全事件的性质和影响,及时采取必要的整改和防范措施,避免类似事件再次发生。

信息安全管理适用性声明

信息安全管理适用性声明

信息安全管理适用性声明
1 目的与范围 (2)
2 相关文件 (2)
3 职责 (2)
4 声明 (2)
A.5安全方针 (3)
A.6安全组织 (3)
A.7人力资源安全 (6)
A.8资产管理 (7)
A.9访问控制 (9)
A.10密码学 (12)
A.11物理和环境安全 (18)
A.12操作安全 (23)
A.13通信安全 (26)
A.14信息系统获取、开发和维护 (27)
A.15供应商关系 (29)
A.16信息安全事件管理
A.17业务连续性管理的信息安全方面
A.18符合性
信息安全适用性声明
1 目的与范围
本声明描述了在ISO27001:2013附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2 相关文件
《信息安全管理手册》
3 职责
《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。

4 声明
本公司按GB/T 22080-2016 idt ISO/IEC27001:2013建立信息安全管理体系。

根据公司风险评估的结果和风险可接受水平,GB/T 22080-2016 idt ISO/IEC27001:2013附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控制措施。

2022版信息安全适用性声明 SOA

2022版信息安全适用性声明 SOA
序》
A5.24
规划和准备管理信息安全事故
控制
YES
根据信息安全体系规定和公司实际需求
综合部在接到报告后应迅速做出响应,各相关部门应即使按要求采取处置措施与意见,将信息安全事件所造成的影响降低到最低限度。
《信息系统监控管理程序》
《信息安全事件管理程序》
A5.25
信息安全事件的评估和决策
控制
YES
根据信息安全体系规定和公司实际需求
《信息业务连续性管理程序》
A5.31
法律、法规、监管和合同要求
控制
YES
根据信息安全体系规定和公司实际需求
综合部从政府主管部门获取相关的国家及地方最新信息安全法律法规及其他要求,并通过相关渠道进行补充。
《信息安全合规性管理程序》
A5.32
知识产权
控制
YES
根据信息安全体系规定和公司实际需求
本公司尊重知识产权,按法律、法规和合同约定保护知识产权。
事件责任部门使用商定的信息安全事态和事件分级尺度评估每个信息安全事态,并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。
《信息安全事件管理程序》
A5.26
应对信息安全事故
控制
YES
根据信息安全体系规定和公司实际需求
事件响应的首要目标是重新回到“正常的安全水平”,然后启动必要的恢复。事件责任部门负责对信息安全事件予以响应。
《信息交换管理程序》
《数据安全管理程序》
A5.15
访问控制
控制
YES
根据信息安全体系规定和公司实际需求
本公司内部可公开的信息,允许所有服务用户访问。本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。

信息安全适用性声明(soa)v1.0

信息安全适用性声明(soa)v1.0

《信息安全交流控制程序》
A.7 资产管理
A.7.1 对资产负责 目标:实现和保持对组织资产的适当保护。
A.7.1.1 资产清单
应清晰的识别所有资产,编制并维护所有重要资产 的清单。
设施上线时,应更新资产清单。并在每 YES 年进行风险评估时,复查资产清单。
《风险评估程序》
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的 指定部门或人员承担责任。
《信息资产密级管理规定》
A.8 人力资源安全
A.8.1 任用之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
本版权归上海天帷管理咨询有限公司所有,未经允许,不得翻版与泄露
1 of 7
标准条款
是否 适用
控制措施
相关文件
A.8.1.1
1.新信息处理设施上线前,应指定系统 的管理者。 YES 2.新信息处理设施的上线,将被视为一 次信息系统的变更,遵循信息系统的变 更流程。
《设备管理规定》 《变更管理规定》
保密性协议
应识别并定期评审反映组织信息保护需要的保密性 或不泄露协议的要求。
对所有涉密岗位员工,均要求签订保密 YES 协议。
YES 在资产清单中,规定相应的责任人。
《风险评估程序》
A.7.1.3
资产的合格使用
与信息处理设施有关的信息和资产使用允许规则应 被确定、形成文件并加以实施。
所有雇员、承包方人员和和第三方人员 YES 应遵循信息处理设施相关信息和资产的 《信息资产密级管理规定》
使用规范。
A.7.2 信息分类 目标:确保信息受到适当级别的保护。
《保密协议书》

信息安全适用性声明

信息安全适用性声明
《用户访问控制程序》
A.9.1.2
对网络和网络服务的访问
控制
YES
制定策略,明确用户访问网络和网络服务的范围,防止非授权的网络访问。
《用户访问控制程序》
A.9.2
用户访问管理
目标
YES
确保已授权用户的访问,预防对系统和服务的非授权访问。
A.9.2.1
用户注册和注销
控制
YES
我司存在多用户信息系统,应建立用户登记和注销登记程序。
目标
YES
提供符合有关法律法规和业务需求的信息安全管理指引和支持。
A.5.1.1
信息安全方针
控制
YES
信息安全方针应由管理才批准发布。
《信息安全管理手册》
A.5.1.2
信息安全方针的评审
控制
YES
确保方针持续的适应性。
《管理评审控制程序》
A.6信息安全组织(zǔzhī)
标准
条款号
标题
目标/控制
是否选择
A.8.3
介质处理
目标
YES
防止存储在介质上的信息被非授权泄露、修改、删除或破坏。
A.8.3.1
可移动介质管理
控制
YES
我司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动介质。
《介质管理程序》
A.8.3.2
介质处置
控制
YES
当介质不再需要时,对含有敏感信息介质采用安全的处置办法是必须。
《介质管理程序》
※※※※※※修订履历※※※※※※
版本
页次
修订履历
生效日期
A/0
初次发行
2016.3.1
1.目的(mùdì)
根据(gēnjù)ISO/IEC27001:2013标准(biāozhǔn)和公司(ɡōnɡsī)实际管理(guǎnlǐ)需要,确定标准各条款对公司的适用性,特编制本程序。

信息安全适用声明书

信息安全适用声明书

A.9.4.5 A.10 A.10.1 A.10.1.1
A.10.1.2
A.11 A.11.1 A.11.1.1 A.11.1.2 A.11.1.3 A.11.1.4 A.11.1.5
程序源代码的访问控制 密码 密码控制
密码控制的使用策略
控制措施 对程序源代码的访问应被限制
目标: 使用加密控制适当有效的保护 信息的机密性、真实性和完整 性, 控制措施 应制定和实施加密控制策略来 保护信息。
密钥管理
控制措施 应制定和实施贯穿整个密钥生 命周期的关于密钥使用,保 护,生存期的策略。
物理和环境安全 安全区域
目标: 阻止对组织场所和信息的未授 权物理访问、损坏和干扰。
物理安全边界
控制措施 应设置和使用安全边界来保护 敏感信息,关键信息和信息处 理设施的区域。
物理入口控制
控制措施 安全区域应由适合的入口控制 所保护,以确保只有授权的人 员才允许访问。
信息安全意识、教育和培训
违规处理过程 任用的终止和变化 任用终止或变更的责任 资产管理 对资产负责
控制措施 与雇员和承包方人员的合同协 议应声明他们和组织的信息安 全职责。
目标: 确保雇员和承包方人员知悉并 履行其信息安全职责。
控制措施 管理者应要求所有雇员和承包 方人员按照组织已建立的方针 策略和规程对信息安全尽心尽 力。
交付区
设备 设备安置和保护 支持性设施 布缆安全 设备维护
控制措施 访问点(例如交接区,前台, 卸货区)和未授权人员可进入 办公场所的其他点应加以控 制,如果可能,应与信息处理 设施隔离,以避免未授权访问 。
目标: 防止资产的丢失、损坏或危及 资产安全以及组织活动的中断 。
控制措施 应妥善安置及保护设备,以减 少来自环境的威胁与危害以及 未经授权访问的机会。

GBT22080信息安全适用性声明

GBT22080信息安全适用性声明
GB/T 22080信息安全适用性声明
信息安全适用性声明
1
本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2
ISMS-1001《信息安全管理手册》
3
《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。
A.6.1.1
信息安全管理承诺
控制
YES
确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。
公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。会议主要议题包括:
内部信息安全顾问负责:
a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议;
b)收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员;
c)必要时,参与信息安全事故的调查工作。
《信息安全内部顾问名单和信息安全外部专家名单》
公司成立信息安全管理协调小组,由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。
协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。
有关信息安全管理委员会会议记录(会议纪要)
A.6.1.4

信息安全管理体系之适用性声明(SOA)

信息安全管理体系之适用性声明(SOA)

说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果。

信息安全适用性声明SOA

信息安全适用性声明SOA

A.7.1.2 任用条款和条件
与员工和承包商的合同协议应当规定他们对组织的信息 安全责任。
A.7.2任用中 目标:确保员工和合同方了解并履行他们的信息安全职责
A.7.2.1
管理职责
管理层应要求员工、合同方符合组织建立的信息安全策 略和程序。
适用
A.7.2.2
信息安全意识、 教育与培训
组织内所有员工、相关合同人员及合同方人员应接受适 当的意识培训和必要的信息安全操作技能培训,并定期 更新与他们工作相关的程序。
当访问控制策略要求时,应通过安全的登录程序, 控制对系统和应用的访问。
适用
A.9.4.3 口令管理系统 应使用交互式口令管理系统,确保口令质量。
适用
A.9.4.4
特 权 实 用 程 序 的 对于可能超越系统和应用控制措施的工具程序的使
使用
用,应做出限制并严格控制。
适用
A.9.4.5
对程序 问控制

适用
A.7.2.3
纪律处理过程
应建立并传达正式的惩戒程序,据此对违反安全策略的 员工进行惩戒。
适用
A.7.3任用终止和变更 目标:在作用变更或终止过程中保护组织的利益。
A.7.3.1
任用职责的终止 应确定信息安全责任和义务在任用终止或变更后仍然有
或变更
效,向员工和合同方传达并执行。
适用
A.8资产管理
适用
A.6.1.4
与特定相关方的 联系
应保持与特定权益团体、其他安全专家组和专业协会的 适当联系。以获取行业信息。
适用
A.6.1.5
项目管理中的信 息安全
对特定项目进行信息安全策划并控制。
适用
A.6.2移动设备和远程工作 目标:确保组织远程办公和移动设备使用的安全。

适用性声明(SOA)

适用性声明(SOA)

密级:一般
信息安全适用性声明
版本号:A0
依据GB/T22080-2016 idt ISO27001:2013
适用性声明
(LJD-HB-02)
文档密级:一般
文档状态:[ ] 草案 [√]正式发布 [ ]正在修订
目录
A.5信息安全方针 (1)
A.6信息安全组织 (1)
A.7人力资源安全 (2)
A.8资产管理 (3)
A.9访问控制 (3)
A.10加密 (5)
A.11物理和环境安全 (5)
A.12操作安全 (7)
A.13 通信安全 (8)
A.14系统的获取,开发和维护 (9)
A.15供应商关系 (10)
16信息安全事件管理 (11)
17业务连续性管理的信息安全方面 (12)
18符合性 (12)
A.5信息安全策略
A.6信息安全组织
A.7人力资源安全
A.8资产管理
A.9访问控制
A.10加密
A.11物理和环境安全
A.12操作安全
A.13 通信安全
A.14系统的获取,开发和维护
A.15供应商关系
16信息安全事件管理
17业务连续性管理的信息安全方面
18符合性。

RE-ISMS-A-02信息安全适用性声明

RE-ISMS-A-02信息安全适用性声明
A.7.1.1
审查
控制
YES
通过人员考察,防止人员带来的信息安全风险。
人事行政部负责对初始录用员工进行能力、信用考察,各业务部门每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。
员工聘用控制程序
A.7.1.2
任用条款和条件
控制
YES
履行信息安全保密协议是雇佣人员的一个基本条件。
信息安全管理手册
信息安全目标
A.5.1.2
信息安全策略的评审
控制
YES
确保方针持续的适应性。
每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订。办公室负责制定《管理评审管理程序》,包括评审计划或评审周期,并按程序进行管理评审。
管理评审管理程序
A.6 信息安全组织
本公司建立《网络访问策略》和《用户访问控制程序》,对电脑的远程接入访问实施有效控制。
网络访问策略
用户访问控制程序
A.7人力资源安全
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述SoC
相关文件
A.7.1
任用之前
目标
YES
确保员工、承包方人员和第三方人员理解其职责、考虑对承担的角色是适合的,以降低设施被窃,欺诈和误用的风险。
员工守则
A.7.2.1
管理职责
控制
YES
缺乏管理职责,会使人员意识淡薄,从而对组织造成负面安全影响。
公司管理者要求员工、合作方以及第三方用户加强信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。

信息安全适用性声明

信息安全适用性声明

信息安全适用性声明背景介绍:随着互联网的快速发展和信息技术的广泛应用,信息安全问题日益突出。

各类黑客攻击、数据泄露和网络病毒等安全威胁时有发生,严重威胁到用户的个人隐私和机构的商业机密。

为了保障信息安全,本文旨在制定一个信息安全适用性声明,确保相关方在处理和管理信息时能够遵循一定的规范与标准,共同维护信息安全。

1. 信息安全意识在信息处理和管理的各个环节,所有相关方必须提高信息安全意识,认识到信息的重要性和敏感性,并充分了解和遵守公司或组织制定的信息安全政策和规定。

同时,所有相关方还应加强对信息安全方面的培训,提高应对突发安全事件的技能和知识。

2. 信息安全管理为了确保信息安全,所有相关方必须严格执行信息安全管理程序和控制措施。

包括但不限于以下几个方面:2.1 访问控制:确保只有经授权的人员才能访问、操作和管理信息资源,采取有效的身份认证和权限管理措施;2.2 密码策略:设置强密码,定期更换密码,并确保密码在传输和存储时得到加密和保护;2.3 数据备份和恢复:定期进行数据备份,并确保备份数据的完整性和可恢复性;2.4 系统更新和漏洞修复:及时更新系统和应用程序的补丁,修复已知的安全漏洞;2.5 防病毒和防恶意软件:安装有效的防病毒和防恶意软件,并保持其实时更新;2.6 安全审计和监控:建立信息安全审计机制,定期进行安全评估和漏洞扫描,及时发现和解决潜在的安全问题;2.7 物理安全管理:加强对信息设备和机房的物理安全管理,包括但不限于防火墙、门禁系统、摄像头等措施。

3. 信息安全风险管理为了及时发现和处置信息安全风险,所有相关方应建立完善的信息安全风险管理制度。

包括但不限于以下几个方面:3.1 安全事件通报:及时通报和汇报发生的安全事件,确保信息安全事件得到及时处理和处置;3.2 信息安全威胁情报:加强与安全厂商和行业组织的合作,获取最新的安全威胁情报和处理建议;3.3 安全事件响应:建立有效的安全事件响应机制,及时采取应急措施,降低损失和影响;3.4 信息安全改进:定期评估和改进信息安全管理制度,不断提高信息安全水平。

ISO27001-2022 信息安全适用性声明

ISO27001-2022 信息安全适用性声明
a)省略标记的情况(例如标记非机密信息以减少工作量);
b)如何标记通过电子或物理方式或任何其他格式发送或存储的信息;
c)如何处理无法贴标签的情况(例如由于技术限制)。
《信息资产密级管理程序》
A.5.14
信息传输

组织应建立并与所有相关方沟通特定主题的信息传输政策。保护传输信息的规则、程序和协议应反映所涉及信息的分类。在组织和第三方之间传输信息时,应建立和维护传输协议(包括接收者身份验证)以保护传输中所有形式的信息
特殊利益集团或论坛的成员资格应被视为一种手段:
a) 提高有关最佳实践的知识并及时了解相关安全信息;
b) 确保对信息安全环境的理解是最新的;
c) 接收有关攻击和漏洞的警报、建议和补丁的早期警告;
d) 获得专家信息安全建议;
e) 共享和交换有关新技术、产品、服务、威胁或漏洞的信息;
f) 在处理信息安全事件时提供合适的联络点。
供应商关系中的信息安全

应定义和实施流程和程序,管理供应商产品或服务使用相关的信息安全风险。
组织应识别和实施过程和程序,以解决与使用供应商提供的产品和服务相关的安全风险。这也应适用于组织对云服务提供商资源的使用。这些过程和程序应包括由组织实施的过程和程序,以及组织要求供应商为开始使用供应商的产品或服务或终止使用供应商的产品和服务而实施的过程和程序。
f) 将信息安全管理的职责分配给已定义的角色;
g) 处理偏差和异常的程序。
《信息安全策略文件》
A.5.2
信息安全角色和职责

应根据组织需要定义和分配信息安全角色和职责。
《岗位职责说明书》
A.5.3
职责分离

相相互冲突的职责和相互冲突的责任范围应分离。

1-信息安全适用性声明

1-信息安全适用性声明

A.10.5.1 信息备份
《重要信息备份管理程序.doc》 ✓
对重要信息进行备份
A.10.6 网络安全管理
A.10.6.1 网络控制
《软、硬件及网络管理程序.doc》 ✓
对公司网络实施有效的管理
A.10.6.2 网络服务的安 《软、硬件及网络管理程序.doc》 ✓

确保网络服务的安全
A.10.7 介质的处理
《软、硬件及网络管理程序.doc》 ✓
标准要求
-5-
ISO 27001 要求 A.11.4.6 网络连接控制
对应文件 《软、硬件及网络管理程序.doc》
适用性 适用 不适用

FHYJ-ISMS-2001-2010 理由 (注)
A.9.2 设备安全
A.9.2.1 设备的定位和保 《软、硬件及网络管理程序.doc》 ✓

保证设备安全
A.9.2.2 支持性设施
[信息资产登记/评估表.xls]

保证支持性设施稳定
A.9.2.3 电缆的安全
[信息资产登记/评估表.xls]

保证通信电缆的安全
A.9.2.4 设备维护 《软、硬件及网络管理程序.doc》 ✓

惩戒是控制信息安全事故事件的 必要手段
A.8.3 聘用中止或变化
A.8.3.1 终止责任
《人力资源控制程序.doc》

在合同中明确终止责任
A.8.3.2 资产归还
《人力资源控制程序.doc》

保证资产归还的完整性
A.8.3.3 解除访问权限
《用户访问控制程序.doc》

确保访问权限及时修改
-2-
FHYJ-ISMS-2001-2010

信息安全适用性声明

信息安全适用性声明

1.目的与范围本声明描述了在GB/T 22080-2016 /ISO/IEC 27001:2013附录A中,适用于本公司及分公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2. ISMS的范围是:体系范围:。

地理位置:涉及部门:资产范围:上述范围内涉及的所有信息资产,包括软件、数据、硬件、人员、文档、服务和其它资产。

详见《资产清单》。

本公司《管理手册》采用了GB/T 22080-2016 /ISO/IEC 27001:2013标准正文的全部内容,对附录A的删减及理由如下:适用性声明中删减了A.14.1.2/A.14.1.3A.14.1.2的删减理由,本公司不提供各种APP应用。

不在网上进行交易,故删减此条款;A.14.1.3的删减理由,本公司不从事网络交易,也没有网上服务的开发,故删减此条款。

3.职责《信息安全适用性声明》由体系部编制、修订,由总经理批准。

4.声明本公司按GB/T 22080-2016 /ISO/IEC 27001:2013建立信息安全管理体系。

根据公司风险评估的结果和风险可接受水平,GB/T 22080-2016 /ISO/IEC 27001:2013附录A部分条款被选择(或不选择)用于本公司信息安全管理体系。

A.5安全方针A.6安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码学A.11物理与环境安全A.12操作安全A.13通信安全A.14信息系统获取、开发和维护A.15供应关系A.16信息安全事件管理A.17信息安全方面的业务持续性管理A.18符合性。

RE-ISMS-A-02信息安全适用性声明

RE-ISMS-A-02信息安全适用性声明
员工守则
A.7.2.1
管理职责
控制
YES
缺乏管理职责,会使人员意识淡薄,从而对组织造成负面安全影响。
公司管理者要求员工、合作方以及第三方用户加强信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。
员工聘用控制程序
各部门职责及岗位职责
员工培训控制程序
A.7.2.3
纪律处理过程
控制
YES
对造成安全破坏的员工应该有一个正式的惩戒过程。
违背组织安全方针和程序的员工,公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行。处罚的形式包括精神和物质两方面。
信息安全奖惩管理程序
A.7.3
任用的终止或变更
目标
YES
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
信息安全风险管理程序
资产清单
A.8.1.3
资产的可接受使用
控制
YES
识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,予以实施。
制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用,以及发生在其责任下的使用负责。
用户访问管理程序
A.9.1.2
网络和网络服务的访问
控制
YES
制定策略,明确用户访问网络和网络服务的范围,防止非授权的网络访问。
本公司在《用户访问管理程序》中建立并网络服务安全策略,用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

信息安全适用性声明SOA程序

信息安全适用性声明SOA程序
对特定项目进行信息 安全策划并控制。
选择,见《信息安全方针信 息安全策略管理制度》。
A.6.2移动设备和外部办公
A.6.2.1
移动设备策 略
确保组织 远程办公 和使用移 动设备的 安全性。
应采取安全策略和配 套的安全措施控制使 用移动设备带来的风 险。
选择,见《移动设备管理制 度》。
A.6.2.2
远程办公
选择,
见《信息系统授权管理制度》 《信息岗位职责》
A.6.1.3
与监管机构 的联系
与相关监管机构保持 适当联系。
选择,见《对外联络表》。
A.6.1.4
与特殊利益 团体的联系
应保持与特定权益团 体、其他安全专家组和 专业协会的适当联系。
选择,获取行业信息,见《对 外联络表》。
A.6.1.5
项目管理中 的信息安全
资产清单
确定组织 资产,并 确定适当 的保护责 任。
应制定和维护信息资 产和信息处理设施相 关资产的资产清单。
选择,见《重要信息资产清 单》。
A.8.1.2
资产责任人
资产清单中的资产应 指定资产责任人
(OWNER)。
选择,见《重要信息资产清 单》。
A.8.1.3
资产的合理 使用
应识别信息和信息处 理设施相关资产的合 理使用准则,形成文件 并实施。
应在允许顾客访问组 织信息或资产之前处 理所有确定的安全要 求。
选择,见《远程访问管理制 度》。
A.7人力资源安全
A.7.1任用前
A.7.1.1
人员筛选
确保员 工、合同 方人员理 解他们的 职责并适 合他们所 承担的角 色。
根据相关法律、法规、 道德规范,对员工、合 同人员及承包商人员 进行背景调查,调查应 符合业务需求、访问的 信息类别及已知风险。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对程序源码的访问控制
控制
YES
对程序源代码的访问应进行限制。
《软件开发安全控制程序》
A.10加密技术
标准
条款号
标题
目标/控制
是否选择
选择理由
相关文件
A.10.1
加密控制
目标
YES
确保适当和有效地使用加密技术来保护信息的机密性、真实性、完整性。
A.10.1.1
使用加密控制的策略
控制
YES
为保护信息,应开发并实施加密控制的使用策略
a)《信息安全管理手册》
5.术语定义

6.适用性声明
信息安全适用性声明SOA
A.5信息安全方针
标准
条款号
标题
目标/控制
是否选择
选择理由
相关文件
A.5.1
信息安全管理指引
目标
YES
提供符合有关法律法规和业务需求的信息安全管理指引和支持。
A.5.1.1
信息安全方针
控制
YES
信息安全方针应由管理才批准发布。
A.11.1.1
物理安全边界
控制
YES
我司有包含重要信息及信息处理设施的区域,应确定其安全周界对其实施保护。
《安全区域控制程序》
A.11.1.2
物理进入控制
控制
YES
安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。
《安全区域控制程序》
A.11.1.3
办公室、房间及设施的安全
控制
YES
A.11.2.9
桌面清空及清屏策略
控制
YES
不实行清除桌面或清除屏幕策略,会受到资产丢失、失窃或遭到非法访问的威胁。
《计算机管理规定》
A.12操作安全
标准
条款号
标题
目标/控制
是否选择
选择理由
相关文件
A.12.1
操作程序及职责
目标
YES
确保信息处理设备的正确和安全使用。
A.12.1.1
文件化操作程序
控制
《信息安全惩戒管理规定》
A.7.3
聘用中止和变化
目标
YES
在任用变更或中止过程保护组织利益。
A.7.3.1
任用终止或变更的责任
控制
YES
应定义信息安全责任和义务在任用终止或变更后仍然有效,并向员工和合同方传达并执行。
《人力资源安全管理程序》
《相关方服务管理程序》
A.8资产管理
标准
条款号
标题
目标/控制
《网络安全管理程序》
《技术符合性管理规定》
A.10.1.2
密钥管理
控制
YES
应进行密钥管理,以支持公司对密码技术的使用
《网络安全管理程序》
《技术符合性管理规定》
《计算机管理规定》
A.11物理和环境安全
标准
条款号
标题
目标/控制
是否选择
选择理由
相关文件
A.11.1
安全区域
目标
YES
防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。
1.目的
根据ISO/IEC27001:2013标准和公司实际管理需要,确定标准各条款对公司的适用性,特编制本程序。
2.范围
适用于对ISO/IEC27001:2013标准于本公司的适用性管理。
3.职责与权限
3.1最高管理者
负责信息安全适用性声明的审批。
3.2综合部
负责信息安全适用性声明的编制及修订。
4.相关文件
对安全区域内的综合管理部、房间和设施应有特殊的安全要求。
《安全区域控制程序》
A.11.1.4
防范外部和环境威胁
控制
YES
加强我司物理安全控制,防范火灾、水灾、地震,以及其它形式的自然或人为灾害。
《安全区域控制程序》
A.11.1.5
在安全区域工作
控制
YES
在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全。
YES
按分类方案进行标注并规定信息处理的安全的要求。
《信息分类与处理指南》
A.8.2.3
资产处理
控制
YES
根据组织采用的资产分类方法制定和实施资产处理程序
《信息处理设施控制程序》
A.8.3
介质处理
目标
YES
防止存储在介质上的信息被非授权泄露、修改、删除或破坏。
A.8.3.1
可移动介质管理
控制
YES
我司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动介质。
《相关方服务管理程序》
A.6.1.5
项目管理中的信息安全
控制
YES
实施任何项目时应考虑信息安全相关要求。
《保密协议》
《相关方管理程序》
A.6.2
移动设备和远程办公
目标
YES
确保远程办公和使用移动设备的安全性
A.6.2.1
移动设备策略
控制
YES
采取安全策略和配套的安全措施管控使用移动设备
带来的风险。
《信息处理设施控制程序》
人员筛选
控制
YES
通过人员考察,防止人员带来的信息安全风险。
《人力资源安全管理程序》
A.7.1.2
雇佣条款和条件
控制
YES
履行信息安全保密协议是雇佣人员的一个基本条件。
《人力资源安全管理程序》
《保密协议》
A.7.2
聘用期间
目标
YES
确保员工和合同方了解并履行他们的信息安全责任。
A.7.2.1
管理职责
《信息处理设施控制程序》
《计算机管理规定》
《介质管理程序》
A.11.2.7
设备报废或重用
控制
YES
对我司储存有关敏感信息的设备,如服务器、硬盘,对其处置和再利用应将其信息清除。
《信ቤተ መጻሕፍቲ ባይዱ处理设施控制程序》
《介质管理程序》
A.11.2.8
无人值守的设备
控制
YES
确保无人值守设备得到足够的保护。
《计算机管理规定》
《安全区域控制程序》
《相关方服务管理程序》
A.11.1.6
送货和装卸区
控制
YES
对未经授权的人员可能访问到的地点进行控制,防止外来人员直接进入重要安全区域是必要的。
《安全区域控制程序》
A.11.2
设备安全
目标
YES
防止资产的遗失、损坏、偷窃等导致的组织业务中断。
A.11.2.1
设备安置及保护
控制
YES
《防病毒管理规定》
A.12.3
备份
目标
YES
防止数据丢失
A.12.3.1
数据备份
控制
YES
选择理由
相关文件
A.9.1
访问控制的业务需求
目标
YES
限制对信息和信息处理设施的访问
A.9.1.1
访问控制策略
控制
YES
建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。
《用户访问控制程序》
A.9.1.2
对网络和网络服务的访问
控制
YES
制定策略,明确用户访问网络和网络服务的范围,防止非授权的网络访问。
《信息安全管理手册》
A.5.1.2
信息安全方针的评审
控制
YES
确保方针持续的适应性。
《管理评审控制程序》
A.6信息安全组织
标准
条款号
标题
目标/控制
是否选择
选择理由
相关文件
A.6.1
信息安全组织
目标
YES
管理组织内部信息安全。
A.6.1.1
信息安全的角色和职责
控制
YES
保持特定资产和完成特定安全过程的所有信息安全职责需确定。
《计算机管理规定》
《介质管理程序》
A.6.2.2
远程办公
控制
YES
我司有远程访问公司少数系统的情况,需要进行安全控制。
《用户访问控制程序》
A.7人力资源安全
标准
条款号
标题
目标/控制
是否选择
选择理由
相关文件
A.7.1
聘用前
目标
YES
确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任
A.7.1.1
《信息安全风险评估控制程序》
《资产清单》
《信息处理设施控制程序》
A.8.1.3
资产的合理使用
控制
YES
识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,并予以实施。
《信息处理设施控制程序》
A.8.1.4
资产的归还
控制
YES
在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们持有的组织资产。
《用户访问控制程序》
A.9.2.3
特权管理
控制
YES
应对特权帐号进行管理,特权不适当的使用会造成系统的破坏。
《用户访问控制程序》
A.9.2.4
用户认证信息的安全管理
控制
YES
用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。
《用户访问控制程序》
A.9.2.5
用户访问权限的评审
控制
YES
对用户访问权限进行评审是必要的,以防止非授权的访问。
《用户访问控制程序》
A.9.2
用户访问管理
目标
YES
确保已授权用户的访问,预防对系统和服务的非授权访问。
A.9.2.1
用户注册和注销
相关文档
最新文档