ISO27001信息安全适用性声明
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
受控
*********有限公司
信息安全管理体系文件
信息安全适用性声明
Statement of Applicability
(ISMS-SOA-2017)
版本号:A/0
编制:****
审批:*****
2017-2-1
信息安全适用性声明SOA A.5安全方针
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.5.1 信息安全管
理指导
目标YES 依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1 信息安全方
针文件控制YES 根据信息安全体系规
定和公司实际需求
总经理确保制定与公司目标一致的清晰的信息安全方针,并且通过
在组织内发布和维护信息安全方针来表明对信息安全的支持和承
诺。
《信息安全管理手册》
A.5.1.2 信息安全方
针评审控制YES 根据信息安全体系规
定和公司实际需求
定期对信息安全进行监督检查,包括:日常检查、专项检查、内部
审核和管理评审等。
每年管理评审或发生重大变化时对信息安全方
针的持续适宜性、充分性和有效性进行评价,必要时进行修订。
《信息安全管理手册》
A.6信息安全组织
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.6.1 内部组织目标YES 建立管理框架,启动和控制组织内信息安全的实施和运行。
A.6.1.1 信息安全角
色和职责控制YES 根据信息安全体系规
定和公司实际需求
公司在信息安全管理职责明细表里明确了信息安全职责。
公司
设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作
《信息安全内部组织管理
程序》
A.6.1.2 职责分离控制YES 根据信息安全体系规
定和公司实际需求
宜分割冲突的责任和职责范围,以降低未授权或无意的修改或
者不当使用组织资产的机会。
《信息安全内部组织管理
程序》
A.6.1.3 与政府部门
的联系控制YES 根据信息安全体系规
定和公司实际需求
详细说明由谁何时与权威机构(如法律仲裁部门、消防部门、信息
安全监管机构)联系,以及怎样识别应该及时报告的可能会违背法
律的信息安全事件。
公司建立信息安全顾问,必要时聘请外部专家。
《信息安全内部组织管理
程序》
A.6.1.4 与特定相关
方的联系控制YES 根据信息安全体系规
定和公司实际需求
公司就计算机信息及通信网络安全问题与服务提供部门(认证
机构、咨询机构、信息安全机构)保持联系。
以确保和在出现安全
事故时尽快采取适当的行动和取得建议。
交流确保敏感信息不外传。
《信息安全内部组织管理
程序》
A.6.1.5 项目管理中控制YES 根据信息安全体系规无论何种类型的项目,信息安全都要整合到组织的项目管理方法中,《信息安全内部组织管理
标准条款号
标题
目标/
控制
是否
选择
选择理由控制描述文件名称的信息安全定和公司实际需求以确保将识别并处理信息安全风险作为项目的一部分。
程序》
A.6.2 移动设备和
远程工作
目标YES 确保远程工作和移动设备使用的安全
A.6.2.1 移动设备策
略控制YES 根据信息安全体系规
定和公司实际需求
公司制定了策略和支持性安全措施以管理使用移动设备时带来
的风险。
《移动设备管理程序》
A.6.2.2 远程工作控制YES 根据信息安全体系规
定和公司实际需求
远程工作应仅限于申请的设备和地点,严禁在公共计算机设备
上进行。
远程工作的访问权限不允许超过该人员在公司内部网的正常访
问权限。
《用户访问管理程序》
《远程工作控制方案》
A.7人力资源安全
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.7.1 任用之前目标YES 确保雇员、承包方人员理解其职责、考虑对其承担的角色是适合的。
A.7.1.1 审查控制YES 根据风险评估的结
果
公司依据人员的个人相关背景、资历和相关检查对于不符合安
全要求的不得录用。
《人力资源管理程序》
A.7.1.2 任用条款和
条件控制YES 根据风险评估的结
果
公司在《人力资源管理程序》中规定了员工、合同方以及第三
方的聘用条款和条件。
在《保密协议》中明确规定保密的义务及违
约的责任。
《人力资源管理程序》
A.7.2 任用中目标YES 确保所有的雇员和合同方意识到并履行其信息安全责任。
A.7.2.1 管理职责控制YES 根据信息安全体系规
定和公司实际需求
各部门根据公司业务要求,明确本部门的关键工作岗位及任职
要求并依据建立的方针和程序来应用安全。
《人力资源管理程序》
A.7.2.2 信息安全意
识、教育和培
训控制YES 根据信息安全体系规
定和公司实际需求
综合管理部负责制定公司的《员工年度培训计划》,公司的所有
员工,适当时还包括合作方和第三方用户,都应当接受适当的信息
安全意识培训并定期向它们传达组织更新的方针和程序,以及工作
任务方面的新情况。
《人力资源管理程序》
A.7.2.3 纪律处理过
程控制YES 根据信息安全体系规
定和公司实际需求
违背组织安全方针和程序的员工公司将根据违反程度及造成的
影响进行处罚,处罚在安全破坏经过证实地情况下进行,对于影响
严重的,可解除劳动合同并依法追究法律责任。
《信息安全惩戒管理程序》
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.7.3 任用的终止
或变化
目标YES 宜将保护组织的利益融入到任用变化或终止的处理流程中。
A.7.3.1 任用终止或
职责变更控制YES 根据信息安全体系规
定和公司实际需求
在员工离职前和第三方用户完成合同时,应进行明确终止责任
的沟通。
沟通应包括现行的安全要求、法规责任,并明确《保密协
议》中的责任以及聘用条款及条件中的责任要在员工、合作方以及
第三方用户聘用结束后持续一定时期有效。
《人力资源管理程序》
A.8资产管理
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.8.1 对资产负责目标YES 实现和保持对公司资产的是适当保护。
A.8.1.1 资产清单控制YES 根据风险评估的结
果
各部门按《信息安全风险评估计划》对影响到本公司经营、服
务和日常管理的重要业务系统以及涉及资产进行识别。
并建立和保
持一份重要资产清单。
《信息安全风险识别与评
价管理程序》
A.8.1.2 资产责任人控制YES 根据风险评估的结
果
综合管理部对信息处理设施有关的信息和资产指定使用部门和
负责人。
资产负责人负责对资产分类、确定访问授权。
新的资产按照《信息处理设施管理程序》指定资产负责人。
《信息处理设施管理程序》
A.8.1.3 资产的允许
使用控制YES 根据风险评估的结
果
综合管理部识别信息处理设施的使用要求和限制,必要时制定
文件化的使用规则(操作手册或说明书),并确保所有的使用者了解
和遵守设备的使用要求和限制。
使用或访问组织资产员工、合作方
以及第三方用户应该了解与信息处理设施和资源相关的信息和资产
方面的限制。
并对信息资源的使用,以及发生在其责任下的使用负
责。
《信息处理设施管理程序》
《个人计算机管理程序》
A.8.1.4 资产的归还控制YES 根据信息安全体系规
定和公司实际需求
在员工离职前应收回保密文件,退还身份证件和使用组织的所
有资产,并执行财务清款,法律事务清查。
第三方用户完成合同时,应按《相关方信息安全管理程序》办
理完所负责的所有资产归还手续。
《人力资源管理程序》
《相关方信息安全管理程
序》
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.8.2 信息分类目标YES 确保信息受到与其对组织的重要性保持一致的适当级别的保护。
A.8.2.1 信息分类控制YES 根据风险评估的结
果
公司的信息资产等级应根据《信息安全风险识别与评价管理程
序》来分,对信息的价值、法律要求、敏感度以及对组织的关键程度,
对信息进行分类。
公司的信息密级按《商业秘密管理程序》规定的原则进行确定。
《信息安全风险识别与评
价管理程序》
《商业秘密管理程序》
A.8.2.2 信息标识控制YES 根据风险评估的结
果
对于属于企业的秘密、企业机密与国家秘密的文件,秘级确定
部门应按照要求做好标识或加盖识别印章。
个人计算机建立《个人计算机配备一览表》,加贴资产标识。
《商业秘密管理程序》
《个人计算机管理程序》
A.8.2.3 资产处理控制YES 根据信息安全体系规
定和公司实际需求
应当建立处理和储存信息的程序来保护这些信息免于未经授权
的泄露、误用、盗用或丢失。
《商业秘密管理程序》
A.8.3 介质处置目标YES 防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。
A.8.3.1 可移动介质
的管理控制YES 根据信息安全体系规
定和公司实际需求
可移动介质包括U盘、移动硬盘、数码相机、光盘、磁带、软盘和
已经印刷好的报告等,各部门应按其管理权限并根据信息安全体系
规定和公司实际需求对其实施有效的控制。
记录予以保持。
《介质管理程序》
A.8.3.2 介质的处置控制YES 根据信息安全体系规
定和公司实际需求
对于含有敏感信息或重要信息的介质在不需要或再使用时,处
置部门应按照《介质管理程序》要求采取安全可靠处置的方法将其
信息清除。
处置的记录予以保存。
《介质管理程序》
《商业秘密管理程序》
A.8.3.3 物理介质传
输控制YES 根据信息安全体系规
定和公司实际需求
为避免被传送的介质在传送(运输)过程中发生丢失、未经授
权的访问或毁坏,造成信息的泄露、不完整或不可用,公司规定在
将信息资产带出公司时,应对包含信息的介质进行保护。
《信息交换管理程序》
《商业秘密管理程序》
A.9访问控制
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.9.1 访问控制的
业务要求
目标YES 限制信息和信息处理设施的访问。
A.9.1.1 访问控制策
略控制YES 根据信息安全体系规
定和公司实际需求
本公司内部可公开的信息,允许所有服务用户访问。
本公司内
部部分公开的信息,经访问授权部门认可,访问授权实施部门实施
后用户可访问。
用户不得访问或尝试访问未经授权的网络、系统、
《用户访问管理程序》
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
文件和服务。
各系统访问授权部门应编制《系统用户访问权限说明
书》,明确规定访问规则,对几人共用的账号应明确责任人。
A.9.1.2 使用网络服
务的策略控制YES 根据信息安全体系规
定和公司实际需求
公司在《用户访问管理程序》中建立网络服务安全策略,以确
保网络服务安全与服务质量。
《用户访问管理程序》
A.9.2 用户访问管
理
目标YES 确保授权用户访问系统和服务,并防止未授权的访问
A.9.2.1 用户注册控制YES 根据信息安全体系规
定和公司实际需求
根据《用户访问管理程序》规定的访问控制策略确定访问规则,
访问权限.所有用户,包括相关方服务人员均需要履行访问授权手续,
综合管理部提交《用户授权申请表》,技术部审核,总经理批准后,
实施授权, 授权到期后实施注销
《用户访问管理程序》
A.9.2.2 用户访问提
供控制YES 根据信息安全体系规
定和公司实际需求
用户(包括技术支持人员、操作员、网络管理员、系统管理员和软
件开发工程师)应有唯一的识别符(USER ID),以便他们个人单独
使用时,能查出活动的个人责任,用户ID由系统管理员根据授权的
规定予以设置。
用户识别符(USER ID)可以由用户名称加口令或其
它适宜方式组成。
《用户访问管理程序》
A.9.2.3 特殊权限管
理控制YES 根据信息安全体系规
定和公司实际需求
网络系统管理员只有经过书面授权,其特权才被认可。
当特权
拥有者暂时离开工作岗位时,特权部门负责人应对特权实行紧急安
排,以保证系统正常运行;当特权拥有者返回工作岗位时,应及时
收回特权。
《用户访问管理程序》
A.9.2.4 用户安全鉴
别信息的管
理控制YES 根据信息安全体系规
定和公司实际需求
系统管理员应按《用户访问管理程序》对被授权访问该系统的
用户口令予以分配。
《用户访问管理程序》
A.9.2.5用户访问权
的复查控制YES 根据信息安全体系规
定和公司实际需求
用户访问权限主管部门按《用户访问管理程序》规定每半年应
对一般用户访问权进行评审,对特权用户每季度进行评审一次,注
销非法用户或过期无效用户的访问权,评审结果予以保持。
《用户访问管理程序》
A.9.2.6 撤销或调整
访问权限控制YES 根据信息安全体系规
定和公司实际需求
员工离职后要及时收回对信息和信息处理设施访问权限,或根
据变化作相应的调整。
第三方用户完成合同时,应按《相关方信息安全管理程序》、《用
户访问管理程序》解除,或根据变化调整访问权限。
《人力资源管理程序》
《用户访问管理程序》
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.9.3 用户职责目标YES 确保用户对保护他们的鉴别信息负有责任
A.9.3.1 安全鉴别信
息的使用控制YES 根据信息安全体系规
定和公司实际需求
公司在《用户访问管理程序》和相应的应用管理中明确规定了
口令安全选择与使用要求,所有用户应严格遵守。
实施口令定期变更策略(一般用户每半年,特权用户口令每季度)。
《用户访问管理程序》
A.9.4 系统和应用
访问控制
目标YES 防止对系统和应用的非授权访问。
A.9.4.1 信息访问限
制控制YES 根据信息安全体系规
定和公司实际需求
本公司内部可公开的信息不作特别限定,允许所有用户访问。
本公司内部部分公开信息,经访问授权部门认可,访问授权实施部
门实施后用户方可访问。
《用户访问管理程序》
A.9.4.2 安全登录规
程控制YES 根据信息安全体系规
定和公司实际需求
用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
《用户访问管理程序》
A.9.4.3 口令管理系
统控制YES 根据信息安全体系规
定和公司实际需求
所有计算机用户在使用口令时应遵循以下原则:所有活动帐号都必
须有口令保护,所有系统初始默认口令必须更改,用户定期变更口令
等。
《用户访问管理程序》
A.9.4.4 特权使用程
序的使用控制YES 根据信息安全体系规
定和公司实际需求
实用系统的访问控制,应严格按《用户访问管理程序》执行。
因未
按《用户访问管理程序》授权的用户访问造成的信息安全事件,技
术部领导负主要责任。
对系统实用工具进行有效控制。
《信息系统应用管理程序》
A.9.4.5 对程序源代
码的访问控
制控制YES 根据信息安全体系规
定和公司实际需求
不允许任何人以任何方式访问程序源代码。
《信息系统开发建设管理
程序》
A.10密码学
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.10.1 密码控制目标YES 确保适当并有效的密码的使用来保护信息的保密性、真实性或完整性
A.10.1.1 使用密码控
制的策略控制YES 根据信息安全体系规
定和公司实际需求
使用密码控制措施来保护信息,使用密码时,应基于风险评估,
确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,
并符合《信息安全合规性管理程序》的要求。
各电子数据文件的形
《信息系统开发建设管理
程序》
《数据安全管理程序》
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
成部门应识别重要数据的加密要求,对需要加密的信息,制定加密
方案,经公司总经理批准后严格执行。
A.10.1.2 密钥管理控制YES 根据信息安全体系规
定和公司实际需求
应有密钥管理以支持组织使用密码技术,应保护所有的密码密
钥免遭修改、丢失和毁坏。
《数据安全管理程序》
A.11物理与环境安全
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.11.1 安全区域目标YES 防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。
A.11.1.1 物理安全边
界控制YES 根据信息安全体系规
定和公司实际需求
公司安全区域分为一般安全区域与特别安全区域,安全区域的
实物安全周界由《安全区域管理程序》确定。
《安全区域管理程序》
A.11.1.2 物理入口控
制控制YES 根据信息安全体系规
定和公司实际需求
公司人员上下班出入刷卡,外来人员必须进行外来人员登记后
等待接待,若需进入公司办公区域,由接待人员陪同方可进入。
《安全区域管理程序》
A.11.1.3 办公室、房
间和设施的
安全保护控制YES 根据信息安全体系规
定和公司实际需求
特别安全区域内的房间和设施进行必要的控制,以防止火灾、
盗窃或其它形式的危害。
灭火设备,放在合适的地点,并定期进行
检查。
临时访问人员接待应与办公区域隔离,防止未经授权访问。
《安全区域管理程序》
A.11.1.4 外部和环境
威胁的安全
防护控制YES 根据信息安全体系规
定和公司实际需求
外来人员来本公司参观或对大楼进行拍摄,须报请综合管理部
批准,安全周界的大门下班后应关紧,综合管理部负责管理。
应将备用设备、备品备件和备份存储介质放置在一定安全距离
以外,以免主场所发生的灾难性事故对其造成破坏。
《安全区域管理程序》
A.11.1.5 在安全区域
工作控制YES 根据信息安全体系规
定和公司实际需求
明确规定员工、第三方人员在有关安全区域工作的基本安全要
求(如避免在第三方人员未被监督的情况下在安全区域内进行工作,
未经同意不允许使用摄影、录像、录音或其它音像记录设备等),并
要求员工、第三方人员严格遵守。
《安全区域管理程序》
《相关方信息安全管理程
序》
A.11.1.6 交接区控制YES 根据信息安全体系规
定和公司实际需求
公司设有接待前台,供接待临时访问人员。
对特别安全区域,
未经授权不允许外来人员直接入内,应由本区域工作人员领进会议
室,防止未经授权的访问。
《安全区域管理程序》
A.11.2设备安全目标YES 防止资产的损失、损失或丢失及业务活动的中断。
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.11.2.1 设备安置和
保护控制YES 根据信息安全体系规
定和公司实际需求
需要安装的信息处理设施,使用部门应确定安装地点,对信息
信息处理设施进行定置管理和妥善保护,以降低来自环境威胁和危
害的风险,以及非授权访问的机会。
《信息处理设施管理程序》
A.11.2.2 支持性设施控制YES 根据信息安全体系规
定和公司实际需求
服务器应放置于温湿度的变化范围在设备运行所允许的范围内
的房间,必要时应安装空调设施。
《信息处理设施管理程序》
A.11.2.3 布缆安全控制YES 根据信息安全体系规
定和公司实际需求
进入各部门的电缆应严格保管,不准随意搬迁、拉扯或损坏,
如发现异常及时通报综合管理部。
《信息处理设施管理程序》
A.11.2.4 设备维护控制YES 根据信息安全体系规
定和公司实际需求
信息处理设施的维护应按照相应的维护程序/规程进行设备的检
查、维护、清洁并做好必要的运行保养和记录。
《信息处理设施管理程序》
A.11.2.5 资产的移动控制YES 根据信息安全体系规
定和公司实际需求
在未经授权的情况下,设备、信息或软件不应该带到工作场所
外。
重要信息设备的迁移应被授权,迁移活动应被记录。
信息处理
设施的迁移控制执行《信息处理设施管理程序》。
《信息处理设施管理程序》
A.11.2.6 组织场所外
的设备安全控制YES 根据信息安全体系规
定和公司实际需求
笔记本在带离规定的区域时,应经过部门领导授权并对其进行
严格控制,防止其丢失和未经授权的访问,移动存储介质应按《介
质管理程序》进行防护,不得丢失。
离开办公场所的设备应考虑损坏、盗窃和截取的风险并加以保护,
并使其免于强电磁场设备和有腐蚀性气体和尘埃的威胁。
《信息处理设施管理程序》
《个人计算机管理程序》
《介质管理程序》
A.11.2.7 设备的安全
处置或再利
用控制YES 根据信息安全体系规
定和公司实际需求
含有敏感信息的设备在报废或改做他用时,应将设备中存储的
敏感信息清除并保存清除记录。
具体执行《信息处理设施管理程序》
和《介质管理程序》。
《信息处理设施管理程序》
《介质管理程序》
A.11.2.8 无人值守的
用户设备控制YES 根据信息安全体系规
定和公司实际需求
公司规定安全周界的大门下班后应关紧,综合管理部负责管理,
外来人员进入办公区域应进行登记,个人计算机设置登陆密码。
《安全区域管理程序》
A.11.2.9 清空桌面和
屏幕策略控制YES 根据信息安全体系规
定和公司实际需求
计算机使用人员应养成保持桌面干净整洁、文件分类有序、定时清
理垃圾文件和程序的良好习惯。
所有计算机终端必须设立登录口令,在
人员离开时应该锁屏、注销或关机。
当人员离开时,确保机密的纸文件
和可移动存储介质没有留在桌面上
《个人计算机管理程序》
A.12 操作安全
标准条款号标题
目标/
控制
是否
选择
选择理由控制描述文件名称
A.12.1 操作规程
和职责
目标YES 确保正确和安全的操作信息处理设施。
A.12.1.1 文件化的
操作规程控制YES 根据信息安全体系规
定和公司实际需求
公司按照信息安全方针的要求,建立并实施文件化的作业程序,
见《信息安全管理体系文件一览表》(《信息安全管理手册》附件)
文件化的作业程序的控制执行《文件管理程序》。
《文件管理程序》
A.12.1.2 变更管理控制YES 根据信息安全体系规
定和公司实际需求
在变更实施前,由技术部填写《变更申请表》,明确变更的原因、
变更范围、变更影响的分析及对策(包括不成功变更的恢复措施),
技术部负责人批准后予以实施。
对于重要设施和网络系统的重大变更,应对变更影响进行评价。
《信息系统应用管理程序》
《信息系统开发建设管理
程序》
A.12.1.3 容量管理控制YES 根据信息安全体系规
定和公司实际需求
应该监控、协调资源的使用(CPU利用率、内存和硬盘空间大小、
传输线路宽带),并规划未来的容量要求,以确保所要求的系统性能,
适当时机进行容量变更。
《信息系统开发建设管理
程序》
《容量管理策略》
A.12.1.4 开发、测试
和运行设
施的分离控制YES 根据信息安全体系规
定和公司实际需求
当开发、测试时,开发测试和运行设施应分离,以减少未授权
访问或改变运行系统的风险。
《信息系统应用管理程序》
A.12.2 防范恶意
软件
目标YES 确保保护信息和信息处理设备,防范恶意软件
A.12.2.1 控制恶意
软件控制YES 根据信息安全体系规
定和公司实际需求
技术部负责提供防范恶意软件的技术工具并对技术工具进行实
时升级,各部门应统一使用技术部批准的病毒保护软件和配置,且
不能降低其更新频率和有效性。
对不能自动清除的病毒,必须向技术部报告。
《病毒防范管理程序》
A.12.3 备份目标YES 防止数据丢失
A.12.3.1 信息备份控制YES 根据信息安全体系规
定和公司实际需求
公司根据风险评估的结果对重要数据库、软件等进行备份,应
按照已设定的备份方针,保证信息的保密性、完整性和可用性。
《数据安全管理程序》
《数据备份策略》
A.12.4 日志记录
和监视
目标YES 记录事件并产生证据
A.12.4.1 事件日志控制YES 根据信息安全体系规公司建立并保存例外事件或其它安全相关事件的审核日志,以《信息系统监控管理程序》。