信息安全适用性声明.doc

密级： 内部限制 信息安全适用性声明 （依据ISO27001标准） 文件编号: XX-ISMS-02 版 本 号: A/0 制定日期: 2016年03月01日 编制： 审核： 批准： 2016年03月01日发布 2016年03月01日实施 ※ ※ ※ ※ ※ ※ 修 订 履 历 ※ ※ ※ ※ ※ ※ 版本 页次 修 订 履 历 生效日期 A/0 初次发行 2016.3.1 1. 目的 根据标准和管理需要，特编制本程序。标准信息安全适用性声明SOA A.5信息安全方针 标准 条款号 标 题 目标/控制 是否选择 选 择 理 由 相 关 文 件 A.5.1 信息安全管理指引 目标 YES 提供符合有关法律法规和业务需求的信息安全管理指引和支持。 A.5.1.1 信息安全方针 控制 YES 信息安全方针应由管理才批准发布。 《信息安全管理手册》 A.5.1.2 信息安全方针的评审 控制 YES 确保方针持续的适应性。 《管理评审控制程序》 A.6信息安全组织 标准 条款号 标 题 目标/控制 是否选择 选 择 理 由 相 关 文 件 A.6.1 信息安全组织 目标 YES 管理组织内部信息安全。 A.6.1.1 信息安全的角色和职责 控制 YES 保持特定资产和完成特定安全过程的所有信息安全职责需确定。 《信息安全管理手册》 A.6.1.2 职责分离 控制 YES 分离有冲突的职责和责任范围，以减少对组织资产未经授权访问、无意修改或误用的机会。 《信息安全管理手册》 A.6.1.3 与监管机构的联系 控制 YES 与相关监管机构保持适当联系。 《相关方服务管理程序》 A.6.1.4 与特殊利益团体的联系 控制 YES 与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。 《相关方服务管理程序》 A.6.1.5 项目管理中的信息安全 控制 YES 实施任何项目时应考虑信息安全相关要求。 《保密协议》 《相关方管理程序》 A.6.2 移动设备和远程办公 目标 YES 确保远程办公和使用移动设备的安全性 A.6.2.1 移动设备策略 控制 YES 采取安全策略和配套的安全措施管控使用移动设备 带来的风险。 《信息处理设施控制程序》 《计算机管理规定》 《介质管理程序》 A.6.2.2 远程办公 控制 YES 我司有远程访问公司少数系统的情况，需要进行安全控制。 《用户访问控制程序》 A.7 人力资源安全 标准 条款号 标 题 目标/控制 是否选择 选 择 理 由 相 关 文 件 A.7.1 聘用前 目标 YES 确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任 A.7.1.1 人员筛选 控制 YES 通过人员考察，防止人员带来的信息安全风险。 《人力资源安全管理程序》 A.7.1.2 雇佣条款和条件 控制 YES 履行信息安全保密协议是雇佣人员的一个基本条件。 《人力资源安全管理程序》 《保密协议》 A.7.2 聘用期间 目标 YES 确保员工和合同方了解并履行他们的信息安全责任。 A.7.2.1 管理职责 控制 YES 缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。 《信息安全管理手册》 《人力资源安全管理程序》 A.7.2.2 信息安全意识、教育和培训 控制 YES 信息安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。 《人力资源安全管理程序》 A.7.2.3 惩戒过程 控制 YES 对造成安全破坏的员工应该有一个正式的惩戒过程。 《信息安全惩戒管理规定》 A.7.3 聘用中止和变化 目标 YES 在任用变更或中止过程保护组织利益。 A.7.3.1 任用终止或变更的责任 控制 YES 应定义信息安全责任和义务在任用终止或变更后仍然有效，并向员工和合同方传达并执行。 《人力资源安全管理程序》 《相关方服务管理程序》 A.8资产管理 标准 条款号 标 题 目标/控制 是否选择 选 择 理 由 相 关 文 件 A.8.1 资产责任 目标 YES 对我司资产（包括顾客要求保密的数据、软件及产品）进行有效保护。 A.