ISO27001信息安全管理体系适用性声明SOA.docx
- 文档编号:3186656
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:75
- 大小:31.25KB
ISO27001信息安全管理体系适用性声明SOA.docx
《ISO27001信息安全管理体系适用性声明SOA.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系适用性声明SOA.docx(75页珍藏版)》请在冰点文库上搜索。
ISO27001信息安全管理体系适用性声明SOA
北京恒泰博远科技有限公司
适用性声明SOA
编号:
HB-ISMS-M01(A)
状态:
编写:
李子叶
2019年4月1日
审核:
申杰理
2019年4月1日
批准:
孙秀丽
2019年4月1日
发布版次:
第A/0版
2019年4月1日
生效日期
2019年4月1日
分发:
各部门
接受部门:
所有部门
变更记录
变更日期
版本
变更说明
编写
审核
批准
2019.12.9
A/1
2019.12.9一阶段审核删减A.14.1.2;A.14.1.3;A.14.2.7不合理,再补充。
李子叶
申杰理
孙秀丽
信息安全适用性声明SOA
A.5安全方针
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.5.1
信息安全管理指导
目标
YES
依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1
信息安全方针文件
控制
YES
根据信息安全体系规定和公司实际需求
总经理确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。
《信息安全管理手册》
A.5.1.2
信息安全方针评审
控制
YES
根据信息安全体系规定和公司实际需求
定期对信息安全进行监督检查,包括:
日常检查、专项检查、内部审核和管理评审等。
每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订。
《信息安全管理手册》
A.6信息安全组织
标准
条款号
标题
目标/
控制
是否选择
选择理由
控制描述
文件名称
A.6.1
内部组织
目标
YES
建立管理框架,启动和控制组织内信息安全的实施和运行。
A.6.1.1
信息安全角色和职责
控制
YES
根据信息安全体系规定和公司实际需求
公司在信息安全管理职责明细表里明确了信息安全职责。
公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作
《信息安全内部组织管理程序》
A.6.1.2
职责分离
控制
YES
根据信息安全体系规定和公司实际需求
宜分割冲突的责任和职责范围,以降低未授权或无意的修改或者不当使用组织资产的机会。
《信息安全内部组织管理程序》
A.6.1.3
与政府部门的联系
控制
YES
根据信息安全体系规定和公司实际需求
详细说明由谁何时与权威机构(如法律仲裁部门、消防部门、信息安全监管机构)联系,以及怎样识别应该及时报告的可能会违背法律的信息安全事件。
公司建立信息安全顾问,必要时聘请外部专家。
《信息安全内部组织管理程序》
A.6.1.4
与特定相关方的联系
控制
YES
根据信息安全体系规定和公司实际需求
公司就计算机信息及通信网络安全问题与服务提供部门(认证机构、咨询机构、信息安全机构)保持联系。
以确保和在出现安全事故时尽快采取适当的行动和取得建议。
交流确保敏感信息不外传。
《信息安全内部组织管理程序》
A.6.1.5
项目管理中的信息安全
控制
YES
根据信息安全体系规定和公司实际需求
无论何种类型的项目,信息安全都要整合到组织的项目管理方法中,以确保将识别并处理信息安全风险作为项目的一部分。
《信息安全内部组织管理程序》
A.6.2
移动设备和远程工作
目标
YES
确保远程工作和移动设备使用的安全
A.6.2.1
移动设备策略
控制
YES
根据信息安全体系规定和公司实际需求
公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。
《移动设备管理程序》
A.6.2.2
远程工作
控制
YES
根据信息安全体系规定和公司实际需求
远程工作应仅限于申请的设备和地点,严禁在公共计算机设备上进行。
远程工作的访问权限不允许超过该人员在公司内部网的正常访问权限。
《用户访问管理程序》
《远程工作控制方案》
A.7人力资源安全
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.7.1
任用之前
目标
YES
确保雇员、承包方人员理解其职责、考虑对其承担的角色是适合的。
A.7.1.1
审查
控制
YES
根据风险评估的结果
公司依据人员的个人相关背景、资历和相关检查对于不符合安全要求的不得录用。
《人力资源管理程序》
A.7.1.2
任用条款和条件
控制
YES
根据风险评估的结果
公司在《人力资源管理程序》中规定了员工、合同方以及第三方的聘用条款和条件。
在《保密协议》中明确规定保密的义务及违约的责任。
《人力资源管理程序》
A.7.2
任用中
目标
YES
确保所有的雇员和合同方意识到并履行其信息安全责任。
A.7.2.1
管理职责
控制
YES
根据信息安全体系规定和公司实际需求
各部门根据公司业务要求,明确本部门的关键工作岗位及任职要求并依据建立的方针和程序来应用安全。
《人力资源管理程序》
A.7.2.2
信息安全意识、教育和培训
控制
YES
根据信息安全体系规定和公司实际需求
行政部负责制定公司的《员工年度培训计划》,公司的所有员工,适当时还包括合作方和第三方用户,都应当接受适当的信息安全意识培训并定期向它们传达组织更新的方针和程序,以及工作任务方面的新情况。
《人力资源管理程序》
A.7.2.3
纪律处理过程
控制
YES
根据信息安全体系规定和公司实际需求
违背组织安全方针和程序的员工公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行,对于影响严重的,可解除劳动合同并依法追究法律责任。
《信息安全惩戒管理程序》
A.7.3
任用的终止或变化
目标
YES
宜将保护组织的利益融入到任用变化或终止的处理流程中。
A.7.3.1
任用终止或职责变更
控制
YES
根据信息安全体系规定和公司实际需求
在员工离职前和第三方用户完成合同时,应进行明确终止责任的沟通。
沟通应包括现行的安全要求、法规责任,并明确《保密协议》中的责任以及聘用条款及条件中的责任要在员工、合作方以及第三方用户聘用结束后持续一定时期有效。
《人力资源管理程序》
A.8资产管理
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.8.1
对资产负责
目标
YES
实现和保持对公司资产的是适当保护。
A.8.1.1
资产清单
控制
YES
根据风险评估的结果
各部门按《信息安全风险评估计划》对影响到本公司经营、服务和日常管理的重要业务系统以及涉及资产进行识别。
并建立和保持一份重要资产清单。
《信息安全风险识别与评价管理程序》
A.8.1.2
资产责任人
控制
YES
根据风险评估的结果
行政部对信息处理设施有关的信息和资产指定使用部门和负责人。
资产负责人负责对资产分类、确定访问授权。
新的资产按照《信息处理设施管理程序》指定资产负责人。
《信息处理设施管理程序》
A.8.1.3
资产的允许使用
控制
YES
根据风险评估的结果
行政部识别信息处理设施的使用要求和限制,必要时制定文件化的使用规则(操作手册或说明书),并确保所有的使用者了解和遵守设备的使用要求和限制。
使用或访问组织资产员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。
并对信息资源的使用,以及发生在其责任下的使用负责。
《信息处理设施管理程序》
《个人计算机管理程序》
A.8.1.4
资产的归还
控制
YES
根据信息安全体系规定和公司实际需求
在员工离职前应收回保密文件,退还身份证件和使用组织的所有资产,并执行财务清款,法律事务清查。
第三方用户完成合同时,应按《相关方信息安全管理程序》办理完所负责的所有资产归还手续。
《人力资源管理程序》
《相关方信息安全管理程序》
A.8.2
信息分类
目标
YES
确保信息受到与其对组织的重要性保持一致的适当级别的保护。
A.8.2.1
信息分类
控制
YES
根据风险评估的结果
公司的信息资产等级应根据《信息安全风险识别与评价管理程序》来分,对信息的价值、法律要求、敏感度以及对组织的关键程度,对信息进行分类。
公司的信息密级按《商业秘密管理程序》规定的原则进行确定。
《信息安全风险识别与评价管理程序》
《商业秘密管理程序》
A.8.2.2
信息标识
控制
YES
根据风险评估的结果
对于属于企业的秘密、企业机密与国家秘密的文件,秘级确定部门应按照要求做好标识或加盖识别印章。
个人计算机建立《个人计算机配备一览表》,加贴资产标识。
《商业秘密管理程序》
《个人计算机管理程序》
A.8.2.3
资产处理
控制
YES
根据信息安全体系规定和公司实际需求
应当建立处理和储存信息的程序来保护这些信息免于XX的泄露、误用、盗用或丢失。
《商业秘密管理程序》
A.8.3
介质处置
目标
YES
防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。
A.8.3.1
可移动介质的管理
控制
YES
根据信息安全体系规定和公司实际需求
可移动介质包括U盘、移动硬盘、数码相机、光盘、磁带、软盘和已经印刷好的报告等,各部门应按其管理权限并根据信息安全体系规定和公司实际需求对其实施有效的控制。
记录予以保持。
《介质管理程序》
A.8.3.2
介质的处置
控制
YES
根据信息安全体系规定和公司实际需求
对于含有敏感信息或重要信息的介质在不需要或再使用时,处置部门应按照《介质管理程序》要求采取安全可靠处置的方法将其信息清除。
处置的记录予以保存。
《介质管理程序》
《商业秘密管理程序》
A.8.3.3
物理介质传输
控制
YES
根据信息安全体系规定和公司实际需求
为避免被传送的介质在传送(运输)过程中发生丢失、XX的访问或毁坏,造成信息的泄露、不完整或不可用,公司规定在将信息资产带出公司时,应对包含信息的介质进行保护。
《信息交换管理程序》
《商业秘密管理程序》
A.9访问控制
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.9.1
访问控制的业务要求
目标
YES
限制信息和信息处理设施的访问。
A.9.1.1
访问控制策略
控制
YES
根据信息安全体系规定和公司实际需求
本公司内部可公开的信息,允许所有服务用户访问。
本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问。
用户不得访问或尝试访问XX的网络、系统、文件和服务。
各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。
《用户访问管理程序》
A.9.1.2
使用网络服务的策略
控制
YES
根据信息安全体系规定和公司实际需求
公司在《用户访问管理程序》中建立网络服务安全策略,以确保网络服务安全与服务质量。
《用户访问管理程序》
A.9.2
用户访问管理
目标
YES
确保授权用户访问系统和服务,并防止未授权的访问
A.9.2.1
用户注册
控制
YES
根据信息安全体系规定和公司实际需求
根据《用户访问管理程序》规定的访问控制策略确定访问规则,访问权限.所有用户,包括相关方服务人员均需要履行访问授权手续,行政部提交《用户授权申请表》,经审核,总经理批准后,实施授权,授权到期后实施注销
《用户访问管理程序》
A.9.2.2
用户访问提供
控制
YES
根据信息安全体系规定和公司实际需求
用户(包括技术支持人员、操作员、网络管理员、系统管理员和软件开发工程师)应有唯一的识别符(USERID),以便他们个人单独使用时,能查出活动的个人责任,用户ID由系统管理员根据授权的规定予以设置。
用户识别符(USERID)可以由用户名称加口令或其它适宜方式组成。
《用户访问管理程序》
A.9.2.3
特殊权限管理
控制
YES
根据信息安全体系规定和公司实际需求
网络系统管理员只有经过书面授权,其特权才被认可。
当特权拥有者暂时离开工作岗位时,特权部门负责人应对特权实行紧急安排,以保证系统正常运行;当特权拥有者返回工作岗位时,应及时收回特权。
《用户访问管理程序》
A.9.2.4
用户安全鉴别信息的管理
控制
YES
根据信息安全体系规定和公司实际需求
系统管理员应按《用户访问管理程序》对被授权访问该系统的用户口令予以分配。
《用户访问管理程序》
A.9.2.5
用户访问权的复查
控制
YES
根据信息安全体系规定和公司实际需求
用户访问权限主管部门按《用户访问管理程序》规定每半年应对一般用户访问权进行评审,对特权用户每季度进行评审一次,注销非法用户或过期无效用户的访问权,评审结果予以保持。
《用户访问管理程序》
A.9.2.6
撤销或调整访问权限
控制
YES
根据信息安全体系规定和公司实际需求
员工离职后要及时收回对信息和信息处理设施访问权限,或根据变化作相应的调整。
第三方用户完成合同时,应按《相关方信息安全管理程序》、《用户访问管理程序》解除,或根据变化调整访问权限。
《人力资源管理程序》
《用户访问管理程序》
A.9.3
用户职责
目标
YES
确保用户对保护他们的鉴别信息负有责任
A.9.3.1
安全鉴别信息的使用
控制
YES
根据信息安全体系规定和公司实际需求
公司在《用户访问管理程序》和相应的应用管理中明确规定了口令安全选择与使用要求,所有用户应严格遵守。
实施口令定期变更策略(一般用户每半年,特权用户口令每季度)。
《用户访问管理程序》
A.9.4
系统和应用访问控制
目标
YES
防止对系统和应用的非授权访问。
A.9.4.1
信息访问限制
控制
YES
根据信息安全体系规定和公司实际需求
本公司内部可公开的信息不作特别限定,允许所有用户访问。
本公司内部部分公开信息,经访问授权部门认可,访问授权实施部门实施后用户方可访问。
《用户访问管理程序》
A.9.4.2
安全登录规程
控制
YES
根据信息安全体系规定和公司实际需求
用户不得访问或尝试访问XX的网络、系统、文件和服务。
《用户访问管理程序》
A.9.4.3
口令管理系统
控制
YES
根据信息安全体系规定和公司实际需求
所有计算机用户在使用口令时应遵循以下原则:
所有活动帐号都必须有口令保护,所有系统初始默认口令必须更改,用户定期变更口令等。
《用户访问管理程序》
A.9.4.4
特权使用程序的使用
控制
YES
根据信息安全体系规定和公司实际需求
实用系统的访问控制,应严格按《用户访问管理程序》执行。
因未按《用户访问管理程序》授权的用户访问造成的信息安全事件,公司领导负主要责任。
对系统实用工具进行有效控制。
《信息系统应用管理程序》
A.9.4.5
对程序源代码的访问控制
控制
YES
根据信息安全体系规定和公司实际需求
不允许任何人以任何方式访问程序源代码。
《信息系统开发建设管理程序》
A.10密码学
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.10.1
密码控制
目标
YES
确保适当并有效的密码的使用来保护信息的保密性、真实性或完整性
A.10.1.1
使用密码控制的策略
控制
YES
根据信息安全体系规定和公司实际需求
使用密码控制措施来保护信息,使用密码时,应基于风险评估,确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,并符合《信息安全合规性管理程序》的要求。
各电子数据文件的形成部门应识别重要数据的加密要求,对需要加密的信息,制定加密方案,经公司总经理批准后严格执行。
《信息系统开发建设管理程序》
《数据安全管理程序》
A.10.1.2
密钥管理
控制
YES
根据信息安全体系规定和公司实际需求
应有密钥管理以支持组织使用密码技术,应保护所有的密码密钥免遭修改、丢失和毁坏。
《数据安全管理程序》
A.11物理与环境安全
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.11.1
安全区域
目标
YES
防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。
A.11.1.1
物理安全边界
控制
YES
根据信息安全体系规定和公司实际需求
公司安全区域分为一般安全区域与特别安全区域,安全区域的实物安全周界由《安全区域管理程序》确定。
《安全区域管理程序》
A.11.1.2
物理入口控制
控制
YES
根据信息安全体系规定和公司实际需求
公司人员上下班出入刷卡,外来人员必须进行外来人员登记后等待接待,若需进入公司办公区域,由接待人员陪同方可进入。
《安全区域管理程序》
A.11.1.3
办公室、房间和设施的安全保护
控制
YES
根据信息安全体系规定和公司实际需求
特别安全区域内的房间和设施进行必要的控制,以防止火灾、盗窃或其它形式的危害。
灭火设备,放在合适的地点,并定期进行检查。
临时访问人员接待应与办公区域隔离,防止XX访问。
《安全区域管理程序》
A.11.1.4
外部和环境威胁的安全防护
控制
YES
根据信息安全体系规定和公司实际需求
外来人员来本公司参观或对大楼进行拍摄,须报请行政部批准,安全周界的大门下班后应关紧,行政部负责管理。
应将备用设备、备品备件和备份存储介质放置在一定安全距离以外,以免主场所发生的灾难性事故对其造成破坏。
《安全区域管理程序》
A.11.1.5
在安全区域工作
控制
YES
根据信息安全体系规定和公司实际需求
明确规定员工、第三方人员在有关安全区域工作的基本安全要求(如避免在第三方人员未被监督的情况下在安全区域内进行工作,未经同意不允许使用摄影、录像、录音或其它音像记录设备等),并要求员工、第三方人员严格遵守。
《安全区域管理程序》
《相关方信息安全管理程序》
A.11.1.6
交接区
控制
YES
根据信息安全体系规定和公司实际需求
公司设有接待前台,供接待临时访问人员。
对特别安全区域,XX不允许外来人员直接入内,应由本区域工作人员领进会议室,防止XX的访问。
《安全区域管理程序》
A.11.2
设备安全
目标
YES
防止资产的损失、损失或丢失及业务活动的中断。
A.11.2.1
设备安置和保护
控制
YES
根据信息安全体系规定和公司实际需求
需要安装的信息处理设施,使用部门应确定安装地点,对信息信息处理设施进行定置管理和妥善保护,以降低来自环境威胁和危害的风险,以及非授权访问的机会。
《信息处理设施管理程序》
A.11.2.2
支持性设施
控制
YES
根据信息安全体系规定和公司实际需求
服务器应放置于温湿度的变化范围在设备运行所允许的范围内的房间,必要时应安装空调设施。
《信息处理设施管理程序》
A.11.2.3
布缆安全
控制
YES
根据信息安全体系规定和公司实际需求
进入各部门的电缆应严格保管,不准随意搬迁、拉扯或损坏,如发现异常及时通报行政部。
《信息处理设施管理程序》
A.11.2.4
设备维护
控制
YES
根据信息安全体系规定和公司实际需求
信息处理设施的维护应按照相应的维护程序/规程进行设备的检查、维护、清洁并做好必要的运行保养和记录。
《信息处理设施管理程序》
A.11.2.5
资产的移动
控制
YES
根据信息安全体系规定和公司实际需求
在XX的情况下,设备、信息或软件不应该带到工作场所外。
重要信息设备的迁移应被授权,迁移活动应被记录。
信息处理设施的迁移控制执行《信息处理设施管理程序》。
《信息处理设施管理程序》
A.11.2.6
组织场所外的设备安全
控制
YES
根据信息安全体系规定和公司实际需求
笔记本在带离规定的区域时,应经过部门领导授权并对其进行严格控制,防止其丢失和XX的访问,移动存储介质应按《介质管理程序》进行防护,不得丢失。
离开办公场所的设备应考虑损坏、盗窃和截取的风险并加以保护,并使其免于强电磁场设备和有腐蚀性气体和尘埃的威胁。
《信息处理设施管理程序》
《个人计算机管理程序》
《介质管理程序》
A.11.2.7
设备的安全处置或再利用
控制
YES
根据信息安全体系规定和公司实际需求
含有敏感信息的设备在报废或改做他用时,应将设备中存储的敏感信息清除并保存清除记录。
具体执行《信息处理设施管理程序》和《介质管理程序》。
《信息处理设施管理程序》
《介质管理程序》
A.11.2.8
无人值守的用户设备
控制
YES
根据信息安全体系规定和公司实际需求
公司规定安全周界的大门下班后应关紧,行政部负责管理,外来人员进入办公区域应进行登记,个人计算机设置登陆密码。
《安全区域管理程序》
A.11.2.9
清空桌面和屏幕策略
控制
YES
根据信息安全体系规定和公司实际需求
计算机使用人员应养成保持桌面干净整洁、文件分类有序、定时清理垃圾文件和程序的良好习惯。
所有计算机终端必须设立登录口令,在人员离开时应该锁屏、注销或关机。
当人员离开时,确保机密的纸文件和可移动存储介质没有留在桌面上
《个人计算机管理程序》
A.12操作安全
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述
文件名称
A.12.1
操作规程和职责
目标
YES
确保正确和安全的操作信息处理设施。
A.12.1.1
文件化的操作规程
控制
YES
根据信息安全体系规定和公司实际需求
公司按照信息安全方针的要求,建立并实施文件化的作业程序,见《信息安全管理体系文件一览表》(《信息安全管理手册》附件)文件化的作业程序的控制执行《文件管理程序》。
《文件管理程序》
A.12.1.2
变更管理
控制
YES
根据信息安全体系规定和公司实际需求
在变更实施前,填写《变更申请表》,明确变更的原因、变更范围、变更影响的分析及对策(包括不成功变更的恢复措施),负责人批准后予以实施。
对于重要设施和网络系统的重大变更,应对变更影响进行评价。
《信息系统应用管理程序》
《信息系统开发建设管理程序》
A.12.1.3
容量管理
控制
YES
根据信息安全体系规定和公司实际需求
应该监控、协调资源的使用(CPU利用率、内存和硬盘空间大小、传输线路宽带),并规划未来的容量要求,以确保所要求的系统性能,适当时机进行容量变更。
《信息系统开发建设管理程序》
《容量管理策略》
A.12.1.4
开发、测试和运行设施的分离
控制
YES
根据信息安全体系规定和公司实际需求
当开发、测试时
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 体系 适用性 声明 SOA
![提示](https://static.bingdoc.com/images/bang_tan.gif)