信息安全管理体系信息安全适用性声明SOAWord格式.docx
《信息安全管理体系信息安全适用性声明SOAWord格式.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系信息安全适用性声明SOAWord格式.docx(29页珍藏版)》请在冰豆网上搜索。
《项目安全管理制度》。
A.6.2移动设备和远程工作
确保组织远程办公和移动设备使用的安全。
A.6.2.1
移动设备策略
应采取安全策略和配套的安全措施控制使用移动设备带来的风险。
《计算机管理程序》
A.6.2.2
远程办公
应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。
《远程工作控制程序》
A.7人力资源安全
A.7.1任用前
确保员工、合同方人员理解他们的职责并适合他们所承担的角色。
A.7.1.1
审查
根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。
《信息安全人员考察与保密管理程序》。
A.7.1.2
任用条款和条件
与员工和承包商的合同协议应当规定他们对组织的信息安全责任。
《涉密人员保密协议》。
A.7.2任用中
确保员工和合同方了解并履行他们的信息安全职责
A.7.2.1
管理职责
管理层应要求员工、合同方符合组织建立的信息安全策略和程序。
《信息安全管理手册》中ISMS的职责描述。
A.7.2.2
信息安全意识、教育与培训
组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训和必要的信息安全操作技能培训,并定期更新与他们工作相关的程序。
《人力资源管理程序》。
A.7.2.3
纪律处理过程
应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。
《信息安全奖励、惩戒管理程序》。
A.7.3任用终止和变更
在作用变更或终止过程中保护组织的利益。
A.7.3.1
任用职责的终止或变更
应确定信息安全责任和义务在任用终止或变更后仍然有效,向员工和合同方传达并执行。
A.8资产管理
A.8.1资产的责任
确定组织资产,并确定适当的保护责任。
A.8.1.1
资产清单
人事行政部按照《信息资产的识别与风险评估管理程序》组织各部门按业务流程识别信息资产,根据重要信息资产判断准则确定公司的重要信息资产,建立《重要信息资产清单》,并明确资产负责人。
当信息资产增添或报废时,行政部组织资产使用部门应对《重要信息资产清单》进行修订。
《信息安全风险评估管理程序》中重要信息资产清单。
A.8.1.2
资产责任人
人事行政部组织相关部门确定信息资产清单中的资产责任人。
电脑分为管理员和用户,研发电脑的责任人为网络管理员。
对本公司重要信息资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
A.8.1.3
资产的合理使用
制定《信息资产管理程序》,重要设备有使用说明书,规定资产的合理使用规则。
使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和信息资产方面的限制,并对信息资产的使用,以及发生在其责任下的使用负责。
《信息资产管理程序》
A.8.1.4
资产的归还
在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。
办理资产归还手续,然后方能办理移交手续。
A.8.2信息分级
确保信息资产是按照其对组织的重要性受到适当级别的保护。
A.8.2.1
信息的分级
本公司根据法规、价值、重要性和敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护,保护信息免受未授权泄露或篡改。
本公司的信息密级划分为:
公开信息、受控信息、企业秘密三级,密级界定由事项产生部门按规定确认。
《信息安全风险评估管理程序》中重要信息资产清单,对应风险评估措施。
A.8.2.2
信息的标记
实施合适的信息标识方式,并与组织的信息分类方案相匹配。
对属于企业秘密与国家秘密的文件(无论任何媒体),密级确定部门按控制要求进行密级标注;
公开信息不需要标注,其余均标注受控或秘密。
A.8.2.3
资产的处理
信息的使用、传输、存储等处理活动根据信息资产管理程序实施处理。
A.8.3介质处理
防止存储在介质上的信息被未授权泄露、修改、删除或破坏。
A.8.3.1
移动介质的管理
实施移动介质的管理,防止资产损坏、信息泄漏和业务活动中断,管理措施与储存的信息的敏感性或重要性分类方案相匹配。
可移动介质包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告,各部门按其管理权限并根据风险评估的结果对其实施有效的控制。
媒体移动的记录予以保持。
《可移动介质使用与处置规定》
A.8.3.2
介质的处置
当介质不再需要时,应按照正式程序进行可靠的、安全的处置。
A.8.3.3
物理介质的转移
含有信息的介质应加以保护,防止XX的访问、滥用或在运输过程中的损坏。
A.9访问控制
A.9.1访问控制的业务要求
限制对信息和信息处理设施的访问。
A.9.1.1
访问控制策略
应基于业务和信息安全要求建立文件化的访问控制策略,并进行策略评审。
《用户访问控制程序》
A.9.1.2
对网络和网络服务的访问
对访问进行控制,使用户仅能访问已获专门授权使用的网络和网络服务。
A.9.2用户访问管理
确保已授权用户对系统和服务的访问,并防止未授权的访问。
A.9.2.1
用户注册和注销
应实施正式的用户注册和注销程序来分配访问权限。
A.9.2.2
用户访问配置
对所有类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。
A.9.2.3
特殊访问权限管理
对需要防范XX访问的多用户系统,应该通过正式的授权过程对特权分配进行控制。
应限制和控制特殊访问权限的分配及使用。
A.9.2.4
用户认证信息的安全管理
用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。
A.9.2.5
用户访问权限的评查
须定期评审用户的访问权,保持对数据和信息服务访问的有效控制。
A.9.2.6
撤销或调整访问权限
在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。
A.9.3用户责任
用户应保护他们的认证信息
A.9.3.1
认证信息的使用
应要求用户遵循组织的做法使用其认证信息。
A.9.4系统和应用访问控制
防止对系统和应用的未授权访问。
A.9.4.1
信息访问限制
应基于访问控制策略限制对信息和应用系统功能的访问。
A.9.4.2
安全登录规程
当访问控制策略要求时,应通过安全的登录程序,控制对系统和应用的访问。
A.9.4.3
口令管理系统
应使用交互式口令管理系统,确保口令质量。
A.9.4.4
特权实用程序的使用
对于可能超越系统和应用控制措施的工具程序的使用,应做出限制并严格控制。
A.9.4.5
对程序源码的访问控制
对程序源代码的访问应进行限制。
A.10密码
A.10.1密码控制
确保适当和有效地使用密码技术以保护信息的保密性、真实性和/或完整性。
A.10.1.1
使用加密控制的策略
应开发和实施加密控制措施的策略以保护信息。
《计算机账户及密码管理程序》
A.10.1.2
密钥管理
对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。
A.11物理和环境安全
A.11.1安全区域
防止对组织信息和信息处理设施的XX物理访问、损坏和干扰。
A.11.1.1
物理安全边界
应定义安全边界,用来保护包含敏感或关键信息和信息处理设置的区域。
A.11.1.2
物理入口控制
安全区域应有适当的入口控制所保护,以确保只有授权的人员才允许访问。
A.11.1.3
办公室、房间及设施的安全保护
应设计和实施保护办公室、房间及所及设备的物理安全。
《机房安全管理规定》
A.11.1.4
外部和环境威胁的安全防护
应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。
A.11.1.5
在安全区域工作
应设计和应用在安全区域工作的程序。
A.11.1.6
交接区
对访问点(例如交接区)和未授权人员可进入的地点应加以控制,如果可能的话,应与信息处理设施隔离以防止未授权的访问。
A.11.2设备安全
防止资产的丢失、损坏、失窃或危及资产安全以及组织业务的中断。
A.11.2.1
设备安置和保护
应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。
《信息处理设施管理程序》
A.11.2.2
支持性设施
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
A.11.2.3
线缆安全
应保护传输数据或支持信息服务的电力及通讯电缆,免遭干扰或损坏。
A.11.2.4
设备维护
应正确维护设备,以确保其持续的可用性及完整性。
A.11.2.5
资产的移动
XX,不得将设备、信息及软件带出组织场所。
A.11.2.6
场外设备和资产安全
应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。
《计算机管理程序》、
A.11.2.7
设备的安全处置或再利用
含有存储介质的设备的所有部分在报废或再用前,应进行核查,确保任何敏感信息和注册软件已被删除或被安全地写覆盖。
A.11.2.8
无人值守的用户设备
用户应确保无人值守的设备有适当的保护。
A.11.2.9
桌面清空及屏幕策略
应采取清除桌面上文件、可移动存储介质的策略,以及清空信息处理设施屏幕的策略。
A.12操作安全
A.12.1操作规程和职责
确保正确、安全地操作信息处理设施。
A.12.1.1
文件化的操作程序
应编制信息设备操作规范,并确保所有需要的用户可以获得。
A.12.1.2
变更管理
应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和系统的变更。
确保变更的安全。
《信息系统变更管理程序》
A.12.1.3
容量管理
应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。
A.12.1.4
开发、测试与运行环境的分离
将开发、测试和运行环境分离,以降低对运行环境未授权访问或变更的风险。
《系统开发与维护控制程序》
A.12.2恶意代码防范
确保对信息和信息处理设施的保护,防范恶意软件。
A.12.2.1
恶意软件的控制
应实施检测、预防和恢复控制措施以防范恶意软件,并结合适当的用户意识教育。
防止恶意软件对系统的入侵和损害。
《恶意软件控制程序》
A.12.3备份
防止数据丢失
A.12.3.1
信息备份
根据既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。
《信息备份管理程序》
A.12.4日志和监视
记录事态并生成证据。
A.12.4.1
事态日志
应产生记录用户活动、异常、错误和信息安全事态的日志,保留日志并定期评审。
《系统访问与使用监控管理程序》
A.12.4.2
日志信息的保护
应保护记录日志的设施和日志信息,以免被篡改和未授权的访问。
A.12.4.3
管理员和操作员日志
系统管理员和系统操作员的活动应记入日志,并进行日志保护及定期评审,防止非法操作。
A.12.4.4
时钟同步
在公司内或安全域内的所有相关信息处理设施的时钟保持同步。
A.12.5运行软件控制
确保运行系统的完整性
A.12.5.1
运行系统的软件安装
应建立规程对运行系统的软件安装进行控制。
A.12.6技术脆弱性管理
防止对技术脆弱性的利用。
A.12.6.1
技术漏洞管理
应及时获取组织在用的信息系统的技术漏洞信息,对漏洞进行评估,并采取适当的措施来应对相关风险。
《信息系统补丁管理制度》
A.12.6.2
软件安装限制
应建立并实施控制用户安装软件的规则。
《信息系统软件管理办法》
A.12.7信息系统审计的考虑
使审计活动对运行系统的影响最小化。
A.12.7.1
信息系统审计的控制
涉及运行系统验证的审计要求和活动,应谨慎规划并取得批准,以便最小化造成业务中断的风险。
《信息安全内部审核控制程序》
A.13通信安全
A.13.1网络安全管理
确保网络及其支持性信息处理设施中的信息得到保护。
A.13.1.1
网络控制
应对网络进行管理和控制,以保护系统和应用中的信息。
《网络安全管理程序》
A.13.1.2
网络服务的安全
所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。
《网络安全管理规定》
A.13.1.3
网络隔离
应在网络中按组隔离信息服务、用户及信息系统。
A.13.2信息传输
应确保信息在组织内部或与外部实体之间传输的安全。
A.13.2.1
信息传输策略和程序
应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。
《电子邮件管理程序》
A.13.2.2
信息传输协议
建立组织和外部各方之间的业务信息的安全传输协议。
A.13.2.3
电子消息发送
应适当保护包含在电子消息发送中的信息。
A.13.2.4
保密或不泄露协议
应制定并定期评审组织的信息安全保密协议或不泄露协议(NDA),该协议应反映织对信息保护的要求。
《保密协议》
A.14系统获取、开发和维护
A.14.1信息系统的安全需求
确保信息安全是信息系统整个生命周期中的一个组成部分,这也包括提供公共网络服务的信息系统的要求。
A.14.1.1
信息安全要求分析和说明
新建信息系统或改进现有信息系统应包括信息安全相关的要求。
A.14.1.2
公共网络应用服务的安全保护
应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同纠纷以及XX的泄漏和修改。
A.14.1.3
应用服务交易的保护
应保护应用服务交易中的信息,以防止不完整的传输、路由错误、未授权的消息变更、未授权的泄漏、未授权的信息复制或重放。
A.14.2开发和支持过程中的安全
确保信息安全在信息系统开发生命周期中得到设计和实施。
A.14.2.1
安全的开发策略
针对组织内的开发,应建立并应用软件和系统开发规则。
A.14.2.2
系统变更控制程序
应通过正式的变更控制程序,控制在开发生命周期内的系统变更。
A.14.2.3
运行平台变更后对应用的技术评审
当运行平台变更时,应评审并测试业务的关键应用,以确保变更对组织的运行和安全没有负面影响。
A.14.2.4
软件包变更的限制
不鼓励对软件包进行修改,仅限于必要的变更且对所有变更做严格控制。
A.14.2.5
安全的系统工程原则
应建立文件化和维护安全的系统工程原则,并执行于任何信息系统。
A.14.2.6
安全的开发环境
针对覆盖系统开发生命周期的系统开发和集成工作,建立安全开发环境并予以保护。
A.14.2.7
外包开发
组织应监督和监控系统外包开发的活动。
A.14.2.8
系统安全测试
在开发过程中,应进行安全功能测试。
A.14.2.9
系统验收测试
应建立新信息系统、系统升级及新版本的验收测试方案和相关标准。
A.14.3测试数据
确保用于测试的数据得到保护。
A.14.3.1
测试数据的保护
对测试数据应认真加以选择、保护和控制。
A.15供应商关系
A.15.1供应商关系中的信息安全
确保供应商可访问的组织资产受到保护。
A.15.1.1
供应商关系的信息安全策略
为降低供应商访问组织资产的相关风险,与供应商就信息安全要求达成一致并形成文件。
《供应过程信息安全管理程序》
A.15.1.2
在供应商协议中解决安全
与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求,并达成一致。
A.15.1.3
信息与通信技术的供应链
供应商协议应包括信息与通信技术服务和产品供应链相关的信息安全风险处理要求。
A.15.2供应商服务交付管理
保持与协议一致的信息安全水平,确保服务交付符合服务协议要求。
A.15.2.1
供应商服务的监督和评审
组织应定期监控、评审和审核供应商的服务交付。
A.15.2.2
供应商服务的变更管理
应管理供应商服务的变更,包括保持和改进现有信息安全策略、程序和控制措施,考虑对业务信息、系统和过程的关键程度及风险的再评估。
A.16信息安全事件管理
A.16.1信息安全事件的管理和改进
确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通。
A.16.1.1
职责和程序
应建立管理职责和程序,以快速、有效和有序的响应信息安全事件。
《信息安全事件管理程序》
A.16.1.2
报告信息安全事态
应通过适当的管理途径尽快报告信息安全事件。
A.16.1.3
报告信息安全弱点
应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。
A.16.1.4
信息安全事件的评估和决策
应评估信息安全事件,以决定其是否被认定为信息安全事故。
A.16.1.5
响应信息安全事件
应按照文件化程序响应信息安全事故。
A.16.1.6
从信息安全事件中学习
分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。
A.16.1.7
收集证据
组织应建立和采取程序,识别、收集、采集和保存可以作为证据的信息。
A.17业务连续性管理的信息安全
A.17.1信息安全的连续性
信息安全的连续性应嵌入组织的业务连续性管理体系。
A.17.1.1
规划信息安全的连续性
组织应确定其需求,以保证在不利情况下的信息安全和信息安全管理的连续性,如在危机或灾难时。
《业务连续性管理程序》
A.17.1.2
实现信息安全的连续性
组织应建立,记录,实施,维护程序和控制过程,以确保一个不利的情况过程中所需的连续性的信息安全。
A.17.1.3
验证,评审和评估信息安全的连续性
组织应定期验证已建立并实施的信息安全连续性控制,以确保它们是有效的,并在不利的情况下同样有效。
A.17.2
升级会员 