ISMS控制目标和控制措施适用性声明SOA.docx
《ISMS控制目标和控制措施适用性声明SOA.docx》由会员分享,可在线阅读,更多相关《ISMS控制目标和控制措施适用性声明SOA.docx(31页珍藏版)》请在冰豆网上搜索。
ISMS控制目标和控制措施适用性声明SOA
信息安全管理体系SOA适用性声明
1目的
为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。
2范围
本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。
3适用性声明
条款
目标
控制措施
及理由/是否选择
安全方针A.5
信息安全方针A.5.1
A.5.1.1
信息安全方针文件
依据务业要求相和律关法法供规提管并理指导息支持信安全。
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
选择信息安全工作要求所确定,见。
《信息安全管理体系方针》
A.5.1.2
信息安全方针的评审
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。
选择信息安全工作要求所确定,见。
《信息安全管理体系方针》
信息安全组织A.6
内部组织A.6.1.
A.6.1.1
信息安全的管理承诺
在组织内管理信息安全。
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。
选择
?
?
?
?
A.6.1.2
信息安全协调
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。
选择,风险评估结果所确定,见《信息安全管理体系方针》。
A.6.1.3
信息安全职责的分配
所有的信息安全职责应予以清晰地定义。
选择,?
?
,见《信息安全岗位职责描述》。
A.6.1.4
信息处理设施的授权过程
新信息处理设施应定义和实施一个管理授权过程。
选择,(写进信息安全策略)
A.6.1.5
保密性协议
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。
选择,满足客户合同和公司的要求,见《保密制度》。
A.6.1.6
与政府部门的联系
应保持与政府相关部门的适当联系。
选择,?
?
,见《对外联络表》。
A.6.1.7
与特定权益团体的联系
应保持与特定权益团体、其他安全专家组和专业协会的适当联系。
.
选择,获取行业信息,见《对。
外联络表》
A.6.1.8
信息安全的独立评审
组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。
选择,根据业务需要适时进行安全机构的第三方独立评审,见《信息安全策略》。
A.6.2外部各方
A.6.2.1
与外部各方相关风险的识别
保持组织的被外部各方访问、处理、管理部或与外信行通进的信息和理处息信
应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。
选择,,见《信息安全策略》。
A.6.2.2
处理与顾客有关的安全问题
应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。
.
选择,,见《信息安全策略》。
A.6.2.3
处理第三方协议中的安全问题
设施的安全。
涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。
选择,,见《信息安全策略》。
A.7资产管理
A.7.1资产责任
保现和实织对组持适产的资当保护。
A.7.1.1
资产清单
应清晰的识别所有资产,编制并维护所有重要资产的清单。
选择,,见《重要信息资产清。
单》
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承。
担责任1
,见《重要信息资产清选择,单》。
A.7.1.3
资产的允许使用
与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。
选择,,见《管理手册》。
信息分类A.7.2
1解释:
术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。
术语“责任人”不指实际上对资产具有财产权的人。
.
A.7.2.1
分类指南
确保信息受到适当保级别的护。
信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。
选择,,见《重要信息资产清单》见《风险评估》。
A.7.2.2
信息的标记和处理
应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。
选择,,见《信息安全策略》。
A.8人力资源安全
A.8.1任用之前
A.8.1.1
角色和职责
确保雇员、人承包方员和第三理人员方解其职责、考虑对其角的承担合适是色以降低的,设施被窃、欺诈和误
雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。
选择,,见《信息安全岗位职责描述》。
A.8.1.2
审查
关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。
.
选择,,见《人员情况调查表》。
A.8.1.3
任用条款和条件
用的风险。
作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。
选择,,见《人员招聘简章》。
A.8.2任用中
A.8.2.1
管理职责
确保所有的雇员、承包方人员方和第三知悉人员全信息安利胁威和他害关系、责们职的并和义务、在准好备
管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。
选择,,见《信息安全管理体系方针》与《信息安全管理体系。
职责描述》
A.8.2.2
全信息安意识、教育和培训
组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。
.
,见《信息安全管理体系选择,。
方针》
A.8.2.3
纪律处理过程
其正常工中作过程支持组织方全的安以减少针,失人为过的风险。
对于安全违规的雇员,应有一个正式的纪律处理过程。
选择,,见《管理手册》。
A.8.3任用的终止或变化
A.8.3.1
终止职责
确保雇员、承包方人三第员和以方人员范规一个退方式的组出一个变织或改关其任用系。
任用终止或任用变化的职责应清晰的定义和分配。
。
,见《管理手册》选择,
A.8.3.2
资产的归还
所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。
。
,见《管理手册》选择,
A.8.3.3
撤销访问权
所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。
。
,见《管理手册》选择,
物理和环境安全A.9
A.9.1安全区域
A.9.1.1
物理安全边界
防止对组场织所和的未信息权授物理访问、损坏和干扰。
应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。
选择,,见《工作场所出入管理。
规定》
A.9.1.2
物理入口控制
安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
,见《工作场所出入管理选择,。
规定》
A.9.1.3
办公室、房间和设施的安全保护
应为办公室、房间和设施设计并采取物理安全措施。
选择,见《工作场所出入管理。
规定》
A.9.1.4
外部和环境威胁的安全防护
地震、为防止火灾、洪水、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。
选择,见《突发情况应急方案。
》(管理手册)
A.9.1.5
在安全区域工作
应设计和运用用于安全区域工作的物理保护和指南。
.
。
,见《机房管理规定》选择,
A.9.1.6
公共访问、交接区安全
访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。
选择,,见《工作场所出入管理规定》。
A.9.2设备安全
A.9.2.1
设备安置和保护
防止资产的丢失、损失窃或坏、危及资产及安全以动组织活的中断。
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
。
,见《设备管理规定》选择,
A.9.2.2
支持性设施
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
,见《突发情况应急方案选择,。
》(管理手册)
A.9.2.3
布缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
。
,见《机房管理规定》选择,
A.9.2.4
设备维护
设备应予以正确地维护,以确保其持续的可用性和完整性。
.
选择,。
,见《设备管理规定》
A.9.2.5
组织场所外的设备安全
不选择,没有组织场所外的设备
A.9.2.6
设备的安全处置或再利用
包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。
选择,,见《信息安全策略》。
A.9.2.7
资产的移动
设备、信息或软件在授权之前不应带出组织场所。
选择,,见《机房管理规定》。
A.10通信和操作管理
A.10.1操作程序和职责
A.10.1.1
文件化的操作程序
确保正确、安全的操信作息处理设施。
操作程序应形成文件、保持并对所有需要的用户可用。
选择,,见《设备管理规定》、《服务器管理规定》、《邮件使用安全管理规定》、《备份管理程序》、《网络安全管理规定》。
A.10.1.2
变更管理
对信息处理设施和系统的变更应加以控制。
选择,,见《设备管理规定》、《服务器管理规定》。
A.10.1.3
责任分离
各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。
.
选择,,见《用户管理规定(管。
》理手册)
A.10.1.4
开发、测试和运行设施分离
开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
选择,,见《技术部工作规范(自主开发软件管理规定)》。
A.10.2第三方服务交付管理
A.10.2.1
服务交付
实施和保合符第持务三方服交付协议的信息安务服全和适交付的当水准。
应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。
。
,见《信息安全策略》选择,
A.10.2.2
第三方服务的监视和评审
应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。
。
,见《信息安全策略》选择,
A.10.2.3
第三方服务的变更管理
应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估。