信息安全适用性声明(soa)v1.0
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全交流控制程序》
A.7 资产管理
A.7.1 对资产负责 目标:实现和保持对组织资产的适当保护。
A.7.1.1 资产清单
应清晰的识别所有资产,编制并维护所有重要资产 的清单。
设施上线时,应更新资产清单。并在每 YES 年进行风险评估时,复查资产清单。
《风险评估程序》
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的 指定部门或人员承担责任。
《信息资产密级管理规定》
A.8 人力资源安全
A.8.1 任用之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
本版权归上海天帷管理咨询有限公司所有,未经允许,不得翻版与泄露
1 of 7
标准条款
是否 适用
控制措施
相关文件
A.8.1.1
1.新信息处理设施上线前,应指定系统 的管理者。 YES 2.新信息处理设施的上线,将被视为一 次信息系统的变更,遵循信息系统的变 更流程。
《设备管理规定》 《变更管理规定》
保密性协议
应识别并定期评审反映组织信息保护需要的保密性 或不泄露协议的要求。
对所有涉密岗位员工,均要求签订保密 YES 协议。
YES 在资产清单中,规定相应的责任人。
《风险评估程序》
A.7.1.3
资产的合格使用
与信息处理设施有关的信息和资产使用允许规则应 被确定、形成文件并加以实施。
所有雇员、承包方人员和和第三方人员 YES 应遵循信息处理设施相关信息和资产的 《信息资产密级管理规定》
使用规范。
A.7.2 信息分类 目标:确保信息受到适当级别的保护。
《保密协议书》
A.6.1.6
与政府部门的联 系
应保持与政府相关部门的适当联系。
对外部联络的职责,在信息安全组织架 YES 构中予以描述
《信息安全交流控制程序》
A.6.1.7
与特定利益团体 应保持与特定利益团体、其他安全专家组和专业协
的联系
会的适当联系。
对外部联络的职责,在信息安全组织架 YES 构中予以描述
《信息安全交流控制程序》
A.6.1.8
组织管理信息安全的方法及其实施(例如信息安全
信息安全的独立 的控制目标、控制措施、策略、过程和程序)应按
评审
计划的时间间隔进行独立评审,当安全实施发生重
大变化时,也要进行独立评审。
每年至少进行一次独立的内部审核,必 YES 要时可增加
《内部审核管理程序》
A.6.2 外部各方 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息信息应按照它对组织的价值、法律要求、敏感性和 关键性予以分类。
YES
对于敏感信息分为绝密、机密、秘密、 内部和公开五类。
《信息资产密级管理规定》
A.7.2.2
信息的标记和处 应按照组织所采纳的分类机制建立和实施一组合适
理
的信息标记和处理程序。
YES
对于5类不同的密级信息制定了相应的控 制措施。
A.6.1.1
信息安全的管理 承诺
管理者应通过清晰的说明、可证实的承诺、明确的 信息安全职责分配及确认,来积极支持组织内的安 全。
通过制定方针、目标、提供资源等方式 YES 以积极支持组织内的安全。
《信息安全管理手册》
A.6.1.2
信息安全协调
信息安全活动应由来自组织不同部门并具备相关角 色和工作职责的代表进行协调。
A.5 安全方针
标准条款
是否 适用
控制措施
相关文件
A.5.1 信息安全方针 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。
A.5.1.1 A.5.1.2
信息安全方针文 信息安全方针文件应由管理者批准、发布并传达给
件
所有员工和外部相关方。
方针内容:满足客户要求,实施风险管 YES 理,确保信息安全,实现持续改进。
对员工进行必要的背景调查,并记录在 YES 《应聘表》
《人力资源管理程序》
A.8.1.3
作为他们合同义务的一部分,雇员、承包方人员和
任用条款和条件
第三方人员应同意并签署他们的任用合同的条款和 条件,这些条款和条件要声明他们和组织的信息安
全职责。
在劳动合同中,明确要求“乙方(员 YES 工)服从甲方工作管理,并严格遵守甲
《信息安全管理手册》
信息安全方针 的评审
应按计划的时间间隔或当重大变化发生时进行 信息安全方针评审,以确保它持续的适宜性、 充分性和有效性。
应每年在管理评审时或当重大变化发生 YES 时进行信息安全方针评审,以确保它持 《信息安全管理手册》
续的适宜性、充分性和有效性。
A.6 信息安全组织
A.6.1 内部组织 目标:在组织内管理信息安全。
制定了组织内的信息安全管理组织架 YES 构,并有来自各个部门的代表参加。
《信息安全管理手册》
A.6.1.3 A.6.1.4 A.6.1.5
信息安全职责的 分配
所有的信息安全职责应予以清晰地定义。
YES
对信息安全管理组织架构的人员职责进 行了明确的定义。
《信息安全管理手册》
信息处理设施的 授权过程
新信息处理设施应定义和实施一个管理授权过程。
角色和职责
雇员、承包方人员和第三方人员的安全角色和职责 应按照组织的信息安全方针定义并形成文件。
YES
员工在信息安全中所承担的角色和责 任,在信息安全组织架构中予以定义。
《人力资源管理程序》 《部门规划及职责说明》
A.8.1.2 审查
关于所有任用的候选者、承包方人员和第三方人员 的背景验证检查应按照相关法律法规、道德规范和 对应的业务要求、被访问信息的类别和察觉的风险 来执行。
A.6.2.1
与外部各方相关 风险的识别
应识别涉及外部各方业务过程中组织的信息和信息 处理设施的风险,并在允许访问前实施适当的控制 措施。
1.对外部的物理访问通过访客管理规定予
YES
以约定 2.逻辑访问则通过双方协议以及用户权限
《信息安全交流控制程序》
管理程序予以约定。
A.6.2.2
处理与顾客有关 应在允许顾客访问组织信息或资产之前处理所有确 的安全问题 定的安全要求。
YES
通过双方的合同或协议对安全要求予以 定义。
《信息安全交流控制程序》
A.6.2.3
涉及访问、处理或管理组织的信息或信息处理设施 处理第三方协议 以及与之通信的第三方协议,或在信息处理设施中 中的安全问题 增加产品或服务的第三方协议,应涵盖所有相关的
安全要求。
YES
通过三方或多方协议对安全要求予以定 义。