ISO27001适用性声明SOAWord文档下载推荐.docx
《ISO27001适用性声明SOAWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ISO27001适用性声明SOAWord文档下载推荐.docx(35页珍藏版)》请在冰豆网上搜索。
A.6.1内部组织
A.6.1.1
信息安全的管理承诺
在组织内管理信息安全。
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。
?
A.6.1.2
信息安全协调
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。
选择,风险评估结果所确定,见《信息安全管理体系方针》。
A.6.1.3
信息安全职责的分配
所有的信息安全职责应予以清晰地定义。
选择,?
,见《信息安全岗位职责描述》。
A.6.1.4
信息处理设施的授权过程
新信息处理设施应定义和实施一个管理授权过程。
选择,(写进信息安全策略)
A.6.1.5
保密性协议
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。
选择,满足客户合同和公司的要求,见《保密制度》。
A.6.1.6
与政府部门的联系
应保持与政府相关部门的适当联系。
,见《对外联络表》。
A.6.1.7
与特定权益团体的联系
应保持与特定权益团体、其他安全专家组和专业协会的适当联系。
选择,获取行业信息,见《对外联络表》。
A.6.1.8
信息安全的独立评审
组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。
选择,根据业务需要适时进行安全机构的第三方独立评审,见《信息安全策略》。
A.6.2外部各方
A.6.2.1
与外部各方相关风险的识别
保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。
选择,,见《信息安全策略》。
A.6.2.2
处理与顾客有关的安全问题
应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。
A.6.2.3
处理第三方协议中的安全问题
涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。
A.7资产管理
A.7.1资产责任
实现和保持对组织资产的适当保护。
A.7.1.1
资产清单
应清晰的识别所有资产,编制并维护所有重要资产的清单。
选择,,见《重要信息资产清单》。
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。
A.7.1.3
资产的允许使用
与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。
选择,,见《管理手册》。
A.7.2信息分类
A.7.2.1
分类指南
确保信息受到适当级别的保护。
信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。
选择,,见《重要信息资产清单》见《风险评估》。
A.7.2.2
信息的标记和处理
应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。
A.8人力资源安全
A.8.1任用之前
A.8.1.1
角色和职责
确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。
选择,,见《信息安全岗位职责描述》。
A.8.1.2
审查
关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。
选择,,见《人员情况调查表》。
A.8.1.3
任用条款和条件
作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。
选择,,见《人员招聘简章》。
A.8.2任用中
A.8.2.1
管理职责
确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。
选择,,见《信息安全管理体系方针》与《信息安全管理体系职责描述》。
A.8.2.2
信息安全意识、教育和培训
组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。
选择,,见《信息安全管理体系方针》。
A.8.2.3
纪律处理过程
对于安全违规的雇员,应有一个正式的纪律处理过程。
A.8.3任用的终止或变化
A.8.3.1
终止职责
确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。
任用终止或任用变化的职责应清晰的定义和分配。
A.8.3.2
资产的归还
所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。
A.8.3.3
撤销访问权
所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。
A.9物理和环境安全
A.9.1安全区域
A.9.1.1
物理安全边界
防止对组织场所和信息的未授权物理访问、损坏和干扰。
应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。
选择,,见《工作场所出入管理规定》。
A.9.1.2
物理入口控制
安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
A.9.1.3
办公室、房间和设施的安全保护
应为办公室、房间和设施设计并采取物理安全措施。
选择,见《工作场所出入管理规定》。
A.9.1.4
外部和环境威胁的安全防护
为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。
选择,见《突发情况应急方案(管理手册)》。
A.9.1.5
在安全区域工作
应设计和运用用于安全区域工作的物理保护和指南。
选择,,见《机房管理规定》。
A.9.1.6
公共访问、交接区安全
访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。
A.9.2设备安全
A.9.2.1
设备安置和保护
防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
选择,,见《设备管理规定》。
A.9.2.2
支持性设施
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
选择,,见《突发情况应急方案(管理手册)》。
A.9.2.3
布缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
A.9.2.4
设备维护
设备应予以正确地维护,以确保其持续的可用性和完整性。
A.9.2.5
组织场所外的设备安全
不选择,没有组织场所外的设备
A.9.2.6
设备的安全处置或再利用
包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。
A.9.2.7
资产的移动
设备、信息或软件在授权之前不应带出组织场所。
A.10通信和操作管理
A.10.1操作程序和职责
A.10.1.1
文件化的操作程序
确保正确、安全的操作信息处理设施。
操作程序应形成文件、保持并对所有需要的用户可用。
选择,,见《设备管理规定》、《服务器管理规定》、《邮件使用安全管理规定》、《备份管理程序》、《网络安全管理规定》。
A.10.1.2
变更管理
对信息处理设施和系统的变更应加以控制。
选择,,见《设备管理规定》、《服务器管理规定》。
A.10.1.3
责任分离
各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。
选择,,见《用户管理规定(管理手册)》。
A.10.1.4
开发、测试和运行设施分离
开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
选择,,见《技术部工作规范(自主开发软件管理规定)》。
A.10.2第三方服务交付管理
A.10.2.1
服务交付
实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。
应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。
A.10.2.2
第三方服务的监视和评审
应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。
A.10.2.3
第三方服务的变更管理
应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估。
A.10.3系统规划和验收
A.10.3.1
容量管理
将系统失效的风险降至最小。
资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以确保拥有所需的系统性能。
选择,根据业务需要适时调整,见《信息安全策略》。
A.10.3.2
系统验收
应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。
A.10.4防范恶意和移动代码
A.10.4.1
控制恶意代码
保护软件和信息的完整性。
应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。
选择,风险评估结果所确定,见《网络安全管理规定(病毒、木马、僵尸程序等)》。
A.10.4.2
控制移动代码
当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。
选择,风险评估结果所确定,见《网络安全管理规定(病毒、木马、僵尸程序等)
升级会员 