信息安全适用性声明SOA程序
信息安全适用性声明SOA程序
选择,见《信息安全方针信 息安全策略管理制度》。
A.6.2移动设备和外部办公
A.6.2.1
移动设备策 略
确保组织 远程办公 和使用移 动设备的 安全性。
应采取安全策略和配 套的安全措施控制使 用移动设备带来的风 险。
选择,见《移动设备管理制 度》。
A.6.2.2
远程办公
选择,
见《信息系统授权管理制度》 《信息岗位职责》
A.6.1.3
与监管机构 的联系
与相关监管机构保持 适当联系。
选择,见《对外联络表》。
A.6.1.4
与特殊利益 团体的联系
应保持与特定权益团 体、其他安全专家组和 专业协会的适当联系。
选择,获取行业信息,见《对 外联络表》。
A.6.1.5
项目管理中 的信息安全
资产清单
确定组织 资产,并 确定适当 的保护责 任。
应制定和维护信息资 产和信息处理设施相 关资产的资产清单。
选择,见《重要信息资产清 单》。
A.8.1.2
资产责任人
资产清单中的资产应 指定资产责任人
(OWNER)。
选择,见《重要信息资产清 单》。
A.8.1.3
资产的合理 使用
应识别信息和信息处 理设施相关资产的合 理使用准则,形成文件 并实施。
应在允许顾客访问组 织信息或资产之前处 理所有确定的安全要 求。
选择,见《远程访问管理制 度》。
A.7人力资源安全
A.7.1任用前
A.7.1.1
人员筛选
确保员 工、合同 方人员理 解他们的 职责并适 合他们所 承担的角 色。
根据相关法律、法规、 道德规范,对员工、合 同人员及承包商人员 进行背景调查,调查应 符合业务需求、访问的 信息类别及已知风险。
2022版信息安全适用性声明 SOA
A5.24
规划和准备管理信息安全事故
控制
YES
根据信息安全体系规定和公司实际需求
综合部在接到报告后应迅速做出响应,各相关部门应即使按要求采取处置措施与意见,将信息安全事件所造成的影响降低到最低限度。
《信息系统监控管理程序》
《信息安全事件管理程序》
A5.25
信息安全事件的评估和决策
控制
YES
根据信息安全体系规定和公司实际需求
《信息业务连续性管理程序》
A5.31
法律、法规、监管和合同要求
控制
YES
根据信息安全体系规定和公司实际需求
综合部从政府主管部门获取相关的国家及地方最新信息安全法律法规及其他要求,并通过相关渠道进行补充。
《信息安全合规性管理程序》
A5.32
知识产权
控制
YES
根据信息安全体系规定和公司实际需求
本公司尊重知识产权,按法律、法规和合同约定保护知识产权。
事件责任部门使用商定的信息安全事态和事件分级尺度评估每个信息安全事态,并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。
《信息安全事件管理程序》
A5.26
应对信息安全事故
控制
YES
根据信息安全体系规定和公司实际需求
事件响应的首要目标是重新回到“正常的安全水平”,然后启动必要的恢复。事件责任部门负责对信息安全事件予以响应。
《信息交换管理程序》
《数据安全管理程序》
A5.15
访问控制
控制
YES
根据信息安全体系规定和公司实际需求
本公司内部可公开的信息,允许所有服务用户访问。本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。
信息安全适用性声明(soa)v1.0
《信息安全交流控制程序》
A.7 资产管理
A.7.1 对资产负责 目标:实现和保持对组织资产的适当保护。
A.7.1.1 资产清单
应清晰的识别所有资产,编制并维护所有重要资产 的清单。
设施上线时,应更新资产清单。并在每 YES 年进行风险评估时,复查资产清单。
《风险评估程序》
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的 指定部门或人员承担责任。
《信息资产密级管理规定》
A.8 人力资源安全
A.8.1 任用之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
本版权归上海天帷管理咨询有限公司所有,未经允许,不得翻版与泄露
1 of 7
标准条款
是否 适用
控制措施
相关文件
A.8.1.1
1.新信息处理设施上线前,应指定系统 的管理者。 YES 2.新信息处理设施的上线,将被视为一 次信息系统的变更,遵循信息系统的变 更流程。
《设备管理规定》 《变更管理规定》
保密性协议
应识别并定期评审反映组织信息保护需要的保密性 或不泄露协议的要求。
对所有涉密岗位员工,均要求签订保密 YES 协议。
YES 在资产清单中,规定相应的责任人。
《风险评估程序》
A.7.1.3
资产的合格使用
与信息处理设施有关的信息和资产使用允许规则应 被确定、形成文件并加以实施。
所有雇员、承包方人员和和第三方人员 YES 应遵循信息处理设施相关信息和资产的 《信息资产密级管理规定》
使用规范。
A.7.2 信息分类 目标:确保信息受到适当级别的保护。
《保密协议书》
ISO27001信息安全适用性声明
受控*********有限公司信息安全管理体系文件信息安全适用性声明Statement of Applicability(ISMS-SOA-2017)版本号:A/0编制:****审批:*****2017-2-1信息安全适用性声明SOA A.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.5.1 信息安全管理指导目标YES 依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1 信息安全方针文件控制YES 根据信息安全体系规定和公司实际需求总经理确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。
《信息安全管理手册》A.5.1.2 信息安全方针评审控制YES 根据信息安全体系规定和公司实际需求定期对信息安全进行监督检查,包括:日常检查、专项检查、内部审核和管理评审等。
每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订。
《信息安全管理手册》A.6信息安全组织标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.6.1 内部组织目标YES 建立管理框架,启动和控制组织内信息安全的实施和运行。
A.6.1.1 信息安全角色和职责控制YES 根据信息安全体系规定和公司实际需求公司在信息安全管理职责明细表里明确了信息安全职责。
公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作《信息安全内部组织管理程序》A.6.1.2 职责分离控制YES 根据信息安全体系规定和公司实际需求宜分割冲突的责任和职责范围,以降低未授权或无意的修改或者不当使用组织资产的机会。
《信息安全内部组织管理程序》A.6.1.3 与政府部门的联系控制YES 根据信息安全体系规定和公司实际需求详细说明由谁何时与权威机构(如法律仲裁部门、消防部门、信息安全监管机构)联系,以及怎样识别应该及时报告的可能会违背法律的信息安全事件。
ISMS适用性声明(SoA)
Yes Yes
信息交换管理规定 信息交换管理规定
在组织的物理边界之外进行传输 A.10.8.3 传输中的物理介 的过程中,应保护包含信息的媒 体免受未授权的访问、误用或破 质 坏 A.10.8.4 电子信息交换 A.10.8.5 业务信息系统 A.10.9 电子商务服务 A.10.9.1 电子商务 A.10.9.2 在线交易 A.10.9.3 公共可用信息 应适当保护电子消息的信息 应开发并实施策略和程序,以保 护与业务信息系统互联的信息 无此过程 无此过程 应保护公共可用系统中信息的完 整性,以防止未经授权的修改
Yes
网络、电话、系统及邮 件使用规则 员工信息安全手册 网络、电话、系统及邮 件使用规则 员工信息安全手册
A.10.4.2 移动代码控制 A.10.5 备份 A.10.5.1 信息备份 A.10.6 网络安全管理 A.10.6.1 网络控制
Yes
Yes
机房管理规定
Yes
访问控制规范 网络、电话、系统及邮 件使用规则 访问控制规范 网络、电话、系统及邮 件使用规则
Yes Yes
外来人员进出管理规定 业务连续性管理规定 外来人员进出管理规定
A.9.1.6 公共访问和交接 区域 A.9.2 设备安全 A.9.2.1 设备安置和保护
Yes
外来人员进出管理规定 访问控制规范
Yes
机房管理规定
A.9.2.2 支持性设施
Yes
机房管理规定
A.9.2.3 电缆安全 A.9.2.4 设备维护
A.7 A.7.1
资产管理 资产责任
A.7.1.1 资产清单
应清楚识别所有的资产,编制并 保持所有重要资产列表 所有信息及与信息处理设施有关 的资产应指定组织的部门负责 应识别信息及与信息处理设施有 关的资产的可接受的使用准则, 形成文件并实施 应按照信息的价值、法律要求及 对组织的敏感程度和关键程度进 行分类 应制定一套与组织所采用的分类 方案一致的信息标识和处置的程 序,并实施
JYYH-PS-22-适用性声明(SOA)汇总
变化时,对方针进行相应的审查。
说明
《信息安全管理体系手册》 《管理评审控制程序》 《内部审核控制程序》
A.6 组织安全
编号 控制措施 描述
Y/N
A.6.1 信息安全基础设施
控制目标:管理组织内部的信息安全。
A6.1.1 信息安全管 管理层应该在组织内部通过明确 Yes
理承诺
指导,展示承诺,资源分配以及
----------------来自----------------------------- 5 ----------------------------------------------
适用性申明
A.9 物理和环境安全
编号
控制措施 描述
Y/N
A.9.1 安全区
控制目标:防止对公司工作场所和信息的非法访问、破坏和干扰。
的使用
处理设施有关的信息与资产的可
接受使用的规则。
A.7.2 信息分类
控制目标:保证信息资产得到适当的保护级别。
A7.2.1 分类原则 根据信息的价值,法律法规的需 Yes
求,敏感性以及对组织的重要性,
对信息进行分类。
A7.2.2 信息标识和 根据组织采用的分类方法,明确 Yes
处理
标记和处理信息的妥善步骤。
A.9.1.4 防止外部和 组织应制定并实施防止火灾、洪 Yes
环境威胁 水、地震、爆炸、暴乱以及其他
形式的自然或人为灾难的物理保
护措施。
A.9.1.5 在安全区中 要加强安全区域的安全性,还应 Yes
工作
该采用其它控制措施和指导原
则。
A.9.1.5 与其它区域 应该对装运区进行控制,而且应 Yes
说明
信息安全管理体系之适用性声明(SOA)
说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果。
信息安全适用性声明SOA
A.7.1.2 任用条款和条件
与员工和承包商的合同协议应当规定他们对组织的信息 安全责任。
A.7.2任用中 目标:确保员工和合同方了解并履行他们的信息安全职责
A.7.2.1
管理职责
管理层应要求员工、合同方符合组织建立的信息安全策 略和程序。
适用
A.7.2.2
信息安全意识、 教育与培训
组织内所有员工、相关合同人员及合同方人员应接受适 当的意识培训和必要的信息安全操作技能培训,并定期 更新与他们工作相关的程序。
当访问控制策略要求时,应通过安全的登录程序, 控制对系统和应用的访问。
适用
A.9.4.3 口令管理系统 应使用交互式口令管理系统,确保口令质量。
适用
A.9.4.4
特 权 实 用 程 序 的 对于可能超越系统和应用控制措施的工具程序的使
使用
用,应做出限制并严格控制。
适用
A.9.4.5
对程序 问控制
源
适用
A.7.2.3
纪律处理过程
应建立并传达正式的惩戒程序,据此对违反安全策略的 员工进行惩戒。
适用
A.7.3任用终止和变更 目标:在作用变更或终止过程中保护组织的利益。
A.7.3.1
任用职责的终止 应确定信息安全责任和义务在任用终止或变更后仍然有
或变更
效,向员工和合同方传达并执行。
适用
A.8资产管理
适用
A.6.1.4
与特定相关方的 联系
应保持与特定权益团体、其他安全专家组和专业协会的 适当联系。以获取行业信息。
适用
A.6.1.5
项目管理中的信 息安全
对特定项目进行信息安全策划并控制。
适用
A.6.2移动设备和远程工作 目标:确保组织远程办公和移动设备使用的安全。
适用性声明(SOA)
密级:一般
信息安全适用性声明
版本号:A0
依据GB/T22080-2016 idt ISO27001:2013
适用性声明
(LJD-HB-02)
文档密级:一般
文档状态:[ ] 草案 [√]正式发布 [ ]正在修订
目录
A.5信息安全方针 (1)
A.6信息安全组织 (1)
A.7人力资源安全 (2)
A.8资产管理 (3)
A.9访问控制 (3)
A.10加密 (5)
A.11物理和环境安全 (5)
A.12操作安全 (7)
A.13 通信安全 (8)
A.14系统的获取,开发和维护 (9)
A.15供应商关系 (10)
16信息安全事件管理 (11)
17业务连续性管理的信息安全方面 (12)
18符合性 (12)
A.5信息安全策略
A.6信息安全组织
A.7人力资源安全
A.8资产管理
A.9访问控制
A.10加密
A.11物理和环境安全
A.12操作安全
A.13 通信安全
A.14系统的获取,开发和维护
A.15供应商关系
16信息安全事件管理
17业务连续性管理的信息安全方面
18符合性。
ISO27001-2013信息安全管理体系适用性声明SOA
控制
YES
根据信息安全体系规定和公司实际需求
各部门根据公司业务要求,明确本部门的关键工作岗位及任职要求并依据建立的方针和程序来应用安全。
《人力资源管理程序》A来自7.2.2信息安全意识、教育和培训
控制
YES
根据信息安全体系规定和公司实际需求
行政部负责制定公司的《员工年度培训计划》,公司的所有员工,适当时还包括合作方和第三方用户,都应当接受适当的信息安全意识培训并定期向它们传达组织更新的方针和程序,以及工作任务方面的新情况。
A.6.1.5
项目管理中的信息安全
控制
YES
根据信息安全体系规定和公司实际需求
无论何种类型的项目,信息安全都要整合到组织的项目管理方法中,以确保将识别并处理信息安全风险作为项目的一部分。
《信息安全内部组织管理程序》
A.6.2
移动设备和远程工作
目标
YES
确保远程工作和移动设备使用的安全
A.6.2.1
移动设备策略
《信息安全风险识别与评价管理程序》
A.8.1.2
资产责任人
控制
YES
根据风险评估的结果
行政部对信息处理设施有关的信息和资产指定使用部门和负责人。资产负责人负责对资产分类、确定访问授权。
《人力资源管理程序》
A.7.2.3
纪律处理过程
控制
YES
根据信息安全体系规定和公司实际需求
违背组织安全方针和程序的员工公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行,对于影响严重的,可解除劳动合同并依法追究法律责任。
《信息安全惩戒管理程序》
A.7.3
任用的终止或变化
目标
YES
适用性声明(ISO27001 SOA)
密码控制 密码控制
安全区域 安全区域 安全区域 安全区域 安全区域 安全区域
恰当和有效的利 用密码学保护信 息的保密性、真 实性或完整性。
使用密码控制的策略 密钥管理
应开发和实施使用密码控制措施来保护信息的策 略。 宜开发和实施贯穿整个密钥生命周期的关于密钥 使用、保护和生存期的策略。
防止对组织场所 和信息的未授权 物理访问、损坏 和干扰。
设备安全 设备安全 设备安全
防止资产的丢失 、损坏、失窃或 危及资产安全以 及组织活动的中 断。
设备安置和保护 支持性设施 布缆安全 设备维护
应安置或保护设备,以减少由环境威胁和危险所 造成的各种风险以及未授权访问的机会。 应保护设备使其免于由支持性设施的失败而引起 的电源故障和其他中断。 应保证传输数据或支持信息服务的电源布缆和通 信布缆免受窃听或损坏。 设备应予以正确地维护,以确保其持续的可用性 和完整性。
A.9.2.2 访问控制
A.9.2.3 A.9.2.4 A.9.2.5
访问控制 访问控制 访问控制
A.9.2.6 访问控制
A.9.3 用户职责
A.9.3.1 访问控制
A.9.4 系统和应用访问控制
A.9.4.1 访问控制
A.9.4.2 访问控制
A.9.4.3 访问控制
A.9.4.4 访问控制
A.9.4.5 访问控制
Yes 《信息资产管理规范》 Yes 《信息资产管理规范》 Yes 《信息资产管理规范》
备注
技术控制点
A.8.3 介质处置 A.8.3.1 资产管理
A.8.3.2 资产管理
A.8.3.3 资产管理 A.9 访问控制 A.9.1 安全区域 A.9.1.1 访问控制
A.9.1.2 访问控制 A.9.2 用户访问管理 A.9.2.1 访问控制
信息安全管理体系之适用性声明(SOA)
说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果。
信息安全适用性声明
密级:内部限制 信息安全适用性声明(依据ISO27001标准)文件编号: XX-ISMS-02版 本 号: A/0制定日期: 2016年03月01日编制: 审核: 批准:2016年03月01日发布 2016年03月01日实施※ ※ ※ ※ ※ ※ 修 订 履 历 ※ ※ ※ ※ ※ ※版本 页次 修 订 履 历 生效日期 A/0 初次发行 2016.3.11. 目的根据ISO/IEC27001:2013标准和公司实际管理需要,确定标准各条款对公司的适用性,特编制本程序。
2. 范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。
3. 职责与权限3.1最高管理者负责信息安全适用性声明的审批。
3.2综合部负责信息安全适用性声明的编制及修订。
4. 相关文件a)《信息安全管理手册》5. 术语定义无6. 适用性声明信息安全适用性声明SOA A.5信息安全方针标准 条款号 标 题目标/控制是否选择选 择 理 由 相 关 文 件A.5.1 信息安全管理指引 目标 YES 提供符合有关法律法规和业务需求的信息安全管理指引和支持。
A.5.1.1 信息安全方针 控制 YES 信息安全方针应由管理才批准发布。
《信息安全管理手册》A.5.1.2 信息安全方针的评审控制 YES 确保方针持续的适应性。
《管理评审控制程序》 A.6信息安全组织标准 条款号 标 题目标/控制是否选择选 择 理 由 相 关 文 件A.6.1 信息安全组织 目标 YES 管理组织内部信息安全。
A.6.1.1 信息安全的角色和职责 控制 YES 保持特定资产和完成特定安全过程的所有信息安全职责需确定。
《信息安全管理手册》A.6.1.2 职责分离 控制 YES 分离有冲突的职责和责任范围,以减少对组织资产未经授权访问、无意修改或误用的机会。
《信息安全管理手册》A.6.1.3 与监管机构的联系控制 YES 与相关监管机构保持适当联系。
ITSM-3-SoA-000信息安全适用性声明
ITSM-3-SoA-000信息安全适用性声明适用性声明变更记录目录1 目的与范围 (5)2 相关文件 (5)3 职责 (5)4 声明 (6)A.5安全方针 (7)A.6安全组织 (7)A.7资产管理 (10)A.8人力资源安全 (11)A.9实物与环境安全 (13)A.10通信和操作管理 (16)A.11访问控制 (22)A.12信息系统获取、开发和维护 (27)A.13信息安全事件管理 (30)A.14业务持续性管理 (31)A.15符合性 (33)信息安全适用性声明1 目的与范围本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2 相关文件ISMS-1001《信息安全管理手册》3 职责《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。
4 声明本公司按GB/T 22080-2008 idt ISO/IEC27001:2005建立信息安全管理体系。
根据公司风险评估的结果和风险可接受水平,GB/T 22080-2008 idt ISO/IEC27001:2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控制措施。
A.5安全方针A.6安全组织XXXXXX有限公司第7页共35页XXXXXX有限公司第8页共35页XXXXXX有限公司第9页共35页A.7资产管理XXXXXX有限公司第10页共35页A.8人力资源安全XXXXXX有限公司第11页共35页XXXXXX有限公司第12页共35页A.9物理与环境安全XXXXXX有限公司第13页共35页XXXXXX有限公司第14页共35页XXXXXX有限公司第15页共35页A.10通信和操作管理XXXXXX有限公司第16页共35页XXXXXX有限公司第17页共35页XXXXXX有限公司第18页共35页XXXXXX有限公司第19页共35页XXXXXX有限公司第20页共35页XXXXXX有限公司第21页共35页A.11访问控制XXXXXX有限公司第22页共35页XXXXXX有限公司第23页共35页XXXXXX有限公司第24页共35页XXXXXX有限公司第25页共35页XXXXXX有限公司第26页共35页A.12信息系统获取、开发和维护XXXXXX有限公司第27页共35页XXXXXX有限公司第28页共35页XXXXXX有限公司第29页共35页A.13信息安全事件管理XXXXXX有限公司第30页共35页A.14业务持续性管理XXXXXX有限公司第31页共35页XXXXXX有限公司第32页共35页A.15符合性XXXXXX有限公司第33页共35页XXXXXX有限公司第34页共35页XXXXXX有限公司第35页共35页。
ITSM-3-SoA-000信息安全适用性声明
合用性申明编号: ISMS-P-2001编写:审察:赞同:公布版次:第 A/0 版奏效日期散发:各部门(或XXX)状态:受控200X年 XX月 XX日200X年 XX月 XX日200X年 XX月 XX日200X年 XX月 XX日200X年 XX月 XX日接受部门:改正记录改正日期版本改正说明编写审察赞同2009-XX-XX A/0初始版本XXX XXX XXX目录1 目的与范围 (44)2 有关文件 (44)3 职责 (44)4 申明 (44)A.5 安全目标 (55)A.6 安全组织 (55)A.7 财产管理 (88)A.8 人力资源安全 (99)A.9 实物与环境安全 (1010)A.10 通信和操作管理 (1111)A.11 接见控制 (1616)A.12 信息系统获取、开发和保护 (2121)A.13 信息安全事件管理 (2424)A.14 业务连续性管理 (2525)A.15 切合性 (2626)信息安全合用性申明1目的与范围本申明描绘了在ISO27001:2005 附录 A 中,合用于本公司信息安全管理系统的目标/ 控制、能否选择这些目标 / 控制的原由、公司现行的控制方式、以及实行这些控制所波及的有关文件。
2有关文件ISMS-1001《信息安全管理手册》3职责《信息安全合用性申明》由XXX编制、订正,由管理者代表赞同。
4申明本公司按GB/T 22080-2008 idt ISO/IEC27001:2005成立信息安全管理系统。
依据公司风险评估的结果微风险可接受水平,GB/T 22080-2008 idt ISO/IEC27001:2005附录 A 的以下条款被选择(或不选择) 用于本公司信息安全管理系统,共删除X 条控制举措。
A.5 安全目标标准目标能否条款号标题/选择选择原由控制描绘有关文件控制信息安全目标YES为信息安全供给管理方向和支持,并表示管理层对信息安全的承诺。
目标信息安全控制YES信息安全管理信息安全目标由公司总经理拟订,在ISMS-1001《信息安全管目标文件实行的需要。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全适用性声明SOA
(ISO27001-2013)
1、目的
为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。
2、范围
本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。
3、适用性声明
条款目标控制措施是否选择/及理由
A.5 安全方针
A.5.1 信息安全方针
A.5.1.1 信息安全方
针文件提供符合
有关法律
法规和业
务需求的
信息安全
管理指引
和支持。
应定义信息安全方针,
信息安全方针文件应
经过管理层批准,并向
所有员工和相关方发
布和沟通。
选择
信息安全工作要求所确定,
见《信息安全管理手册》。
A.5.1.2 信息安全方
针的评审应定期或在发生重大
的变化时评审方针文
件,确保方针的持续
性、稳定性、充分性和
有效性。
选择
信息安全工作要求所确定,
见《管理评审控制程序》。
A.6信息安全组织A.6.1内部组织
A.6.1.1 信息安全的
角色和职责建立信息
安全管理
定义和分配所有信息
安全职责。
选择
见《信息岗位职责》
A.6.1.2 职责分离框架,在
组织内部
启动和控
制信息安
全实施。
有冲突的职责和责任
范围应分离,以减少对
组织资产未经授权访
问、无意修改或误用的
机会。
选择,
见《信息系统授权管理制度》
《信息岗位职责》
A.6.1.3 与监管机构
的联系与相关监管机构保持
适当联系。
选择,见《对外联络表》。
A.6.1.4 与特殊利益
团体的联系应保持与特定权益团
体、其他安全专家组和
专业协会的适当联系。
选择,获取行业信息,见《对
外联络表》。
A.6.1.5 项目管理中
的信息安全对特定项目进行信息
安全策划并控制。
选择,见《信息安全方针信
息安全策略管理制度》。
A.6.2移动设备和外部办公
A.6.2.1 移动设备策
略确保组织
远程办公
和使用移
动设备的
安全性。
应采取安全策略和配
套的安全措施控制使
用移动设备带来的风
险。
选择,见《移动设备管理制
度》。
A.6.2.2 远程办公应在允许顾客访问组
织信息或资产之前处
理所有确定的安全要
求。
选择,见《远程访问管理制度》。
A.7人力资源安全A.7.1任用前
A.7.1.1 人员筛选确保员
工、合同
方人员理
解他们的
职责并适
合他们所
承担的角
色。
根据相关法律、法规、
道德规范,对员工、合
同人员及承包商人员
进行背景调查,调查应
符合业务需求、访问的
信息类别及已知风险。
选择,见《信息安全人员考
察审批与保密管理程序》。
A.7.1.2 任用条款和
条件与员工和承包商的合
同协议应当规定他们
对组织的信息安全责
任。
选择,见《涉密人员保密责
任协议书》。
A.7.2任用中
A.7.2.1 管理职责确保员工
和合同方管理层应要求员工、合
同方符合组织建立的
选择,见《信息安全管理手
册》与《信息安全管理体系
了解并履行他们的信息安全责任。
信息安全策略和程序。
职责描述》。
A.7.2.2 信息安全
意识、教育
与培训组织内所有员工、相关
合同人员及合同方人
员应接受适当的意识
培训,并定期更新与他
们工作相关的组织策
略及程序。
选择,见《信息安全培训管
理程序》。
A.7.2.3 纪律处理
过程应建立并传达正式的
惩戒程序,据此对违反
安全策略的员工进行
惩戒。
选择,见《信息安全惩戒管
理规定》。
A.7.3任用终止和变更
A.7.3.1 任用终止
或变更的
责任任用终止
或变更的
责任
应定义信息安全责任
和义务在雇用终止或
变更后仍然有效,并向
员工和合同方传达并
执行。
选择,见《信息安全人员考
察审批与保密管理程序》。
A.8资产管理
A.8.1资产的责任
A.8.1.1 资产清单确定组织
资产,并
确定适当
的保护责
任。
应制定和维护信息资
产和信息处理设施相
关资产的资产清单。
选择,见《重要信息资产清
单》。
A.8.1.2 资产责任人资产清单中的资产应
指定资产责任人
(OWNER)。
选择,见《重要信息资产清单》。
A.8.1.3 资产的合理
使用应识别信息和信息处
理设施相关资产的合
理使用准则,形成文件
并实施。
选择,见《信息资产管理办
法》。
A.8.1.4 资产的归还在劳动合同或协议终
止后,所有员工和外部
方人员应退还所有他
们使用的组织资产。
选择,见《信息资产管理办法》。
A.8.2信息分类。