ISMS103V10信息安全适用性声明S0A.docx
《ISMS103V10信息安全适用性声明S0A.docx》由会员分享,可在线阅读,更多相关《ISMS103V10信息安全适用性声明S0A.docx(51页珍藏版)》请在冰豆网上搜索。
ISMS103V10信息安全适用性声明S0A
密级:
内部
文件编号:
ISMS-1-03
信息安全适用性声明SOA
文档编号
ISMS-1-03-V1.0
文档名称
信息安全适用性声明SOA
编写
审核:
批准
批准日期:
修订状况
章节编号
章节名称
修订内容简述
修订日期
修订前
版本号
批准人
批准日期
A.5~A.15
控制目标及措施
控制目标及内容修改
V1.0
体系标准款项
标题
目标/
控制
是否选择
控制描述SOC
相关文件
A.5
安全方针
A.5.1
信息安全方针
目标
是
依据业务要求和相关法律法规提供管理指导并支持信息安全
A.5.1.1
信息安全方针文件
控制
是
通过制定与本公司目标一致的清晰的信息安全方针并在组织内发布和维护《信息安全管理手册》和《信息安全方针》来表明对信息安全的支持和承诺。
《信息安全管理手册》由局长批准发布。
通过体系文件的培训,并在公开、醒目场所张贴体系宣传海报等方式将信息安全管理策略传达到所有职工和外部相关方。
《信息安全管理手册》
《信息安全方针》
A.5.1.2
信息安全方针的评审
控制
是
本公司制定《管理评审控制程序》对信息安全方针的持续适宜性、充分性和有效性进行评审,必要时进行修订。
《管理评审控制程序》
A.6
信息安全组织
A.6.1
内部组织
目标
是
管理组织范围内信息安全
A.6.1.1
信息安全的管理承诺
控制
是
本公司最高管理者对建立、实施、运作、监视、评审信息安全管理体系并持续改进作出承诺,并通过一系列的活动进行验证。
该承诺在《信息安全管理手册》中进行相应描述。
《信息安全管理手册》
A.6.1.2
信息安全协调
控制
是
信息安全活动由各处室指定人员组成信息安全小组,负责组织、发起本公司信息安全管理相关会议。
《信息安全方针》
A.6.1.3
信息安全职责的分配
控制
是
管理者代表全面负责ISMS的建立、实施与持续改进工作。
在本公司内设立信息安全管理组织,领导决策、管理监督和贯彻执行信息安全工作,各有关部门和人员的信息安全职责在《信息安全方针》中予以描述。
《信息安全方针》
A.6.1.4
信息处理设施的授权过程
控制
是
信息处理设施(网络、软硬件设备等)的维护、管理和处置,以及新的信息处理设施(网络、软硬件设备等)的管理授权过程在《物理和环境安全管理程序》中进行了要求。
《物理和环境安全管理程序》
A.6.1.5
保密性协议
控制
是
人事处组织新职工签订保密协议或劳动合同,明确规定职工需承担的包括保密要求在内的信息安全责任。
《人力资源管理程序》
保密协议
A.6.1.6
与政府部门的联系
控制
是
组织应与政府相关部门如:
上级机关、地方政府、执法部门、消防部门、公共设施部门、电信运营商等保持适当联系。
同时确保组织的各项管理制度符合国家相关法律法规的相关要求。
《信息安全方针》
A.6.1.7
与特定利益集团的联系
控制
是
应保持与相关的行业协会保持适当的联系,扩大组织的信息来源,
《信息安全方针》
A.6.1.8
信息安全的独立评审
控制
是
按照计划的时间间隔或当发生重大的信息安全变化时,本公司对信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。
《管理评审控制程序》
《内部审核控制程序》
A.6.2
外部各方
控制
是
保持组织的被外部各方访问、处理、管理或与外部进行通信的信息及信息处理设施的安全。
A.6.2.1
与外部各方相关风险的识别
控制
是
本公司识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的培训和控制,在合同或保密协议中规定访问和工作安排条款和条件,确保外部相关方意识到其义务。
《第三方信息安全管理程序》
A.6.2.2
处理与顾客有关的安全问题
控制
是
在批准顾客访问组织信息或资产前,确保已处理了所有已识别的安全要求,包括对安全区域(如机房)的物理访问须经过接口部门的授权并在其陪同下进行。
《第三方信息安全管理程序》
A.6.2.3
处理第三方协议中的安全问题
控制
是
与第三方签订的协议中覆盖所有相关的安全要求。
这些协议可能涉及对组织的信息数据或信息处理设施的访问、处理等。
《第三方信息安全管理程序》
A.7
资产管理
A.7.1
对资产负责
目标
是
实现和保持对组织资产的适当保护
A.7.1.1
资产清单
控制
是
各处室依据《信息资产安全管理程序》,确定信息资产的分级分类和CIA属性值,编制并保持所有重要资产列表。
《信息资产安全管理程序》
A.7.1.2
资产责任人
控制
是
各处室依据《信息资产安全管理程序》,确定信息资产的所有者,所有信息及与信息处理设施有关的资产,本公司指定相关处室负责。
《信息资产安全管理程序》
A.7.1.3
资产的可接受使用
控制
是
《信息资产安全管理程序》定义了资产的分类、分级标准及处理和保护要求。
《信息资产安全管理程序》
A.7.2
信息分类
目标
是
确保信息受到适当级别的保护
A.7.2.1
分类指南
控制
是
按照信息资产的价值、法律要求及对组织的敏感程度和关键程度进行分类。
《信息资产安全管理程序》
A.7.2.2
信息标记和处理
控制
是
制定一套与组织所采用的分类方案一致的信息标识和处置的程序,并实施。
《信息资产安全管理程序》
A.8
人力资源安全
A.8.1
任用之前
目标
是
确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适当的,以降低设施被窃、欺诈和误用的风险
A.8.1.1
角色和职责
控制
是
根据组织的信息安全方针,明确规定了职工、合同方和第三方用户的安全角色和职责。
《信息安全方针》
《人力资源管理程序》
A.8.1.2
审查
控制
是
根据相关的法律、法规和道德,对所有的求职者、合同方和第三方用户进行背景验证检查,该检查本公司与业务要求、接触信息的类别及已知风险相适宜。
《人力资源管理程序》
A.8.1.3
任用条款和条件
控制
是
规定职工、合同方及第三方的聘用条款和条件,这些条款和条件规定了他们和组织对于信息安全的责任。
《人力资源管理程序》
A.8.2
任用中
目标
是
确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为出错的风险
A.8.2.1
管理职责
控制
是
本公司要求全体职工、合同方和第三方用户加强信息安全意识,依据建立的安全策略和程序来应用安全,本公司方针、程序变更后及时传达到全体职工。
《信息安全方针》
《人力资源管理程序》
A.8.2.2
信息安全意识、教育和培训
控制
是
本公司对全体职工,适当时还包括合同方和第三方用户进行必要的信息安全意识培训。
主管科处室通过组织实施培训,确保职工安全意识的提高与有能力胜任所承担的信息安全工作。
《人力资源管理程序》
A.8.2.3
纪律处理过程
控制
是
违背本公司安全方针和程序的职工将根据违反程度及造成的影响进行处罚,处罚需在安全破坏经过证实的情况下进行,处罚按照《安全职责与考核管理规定》进行。
《职工安全职责与考核管理规定》
A.8.3
任用的终止或变化
目标
是
确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系
A.8.3.1
终止职责
控制
是
在职工离职前和第三方人员完成合同时,本公司与其进行明确终止责任的沟通,沟通包括现行的安全要求、法规责任,并明确《保密协议》中的责任以及聘用条款及条件中的责任要在职工、合作方以及第三方用户聘用结束后持续一定时期有效。
《人力资源管理程序》
A.8.3.2
资产的归还
控制
是
职工离职或工作岗位变动时,本公司按《人力资源管理程序》办理资产归还手续,然后方能办理后续相关手续。
《人力资源管理程序》
A.8.3.3
撤销访问权
控制
是
职工离职或工作岗位变动时,本公司按《人力资源管理程序》、《访问控制管理程序》解除访问权限,或根据变化作相应的调整。
《人力资源管理程序》
《访问控制管理程序》
A.9
物理和环境安全
A.9.1
安全区域
目标
是
防止对组织场所和信息的未授权物理访问、损坏和干扰。
A.9.1.1
物理安全周边
控制
是
本公司依据《物理和环境安全管理程序》对内部人员和外部人员在机房、重要区域和办公环境(办公区/公共访问区等)等物理场所的行为进行相应的安全管理。
《物理和环境安全管理程序》
A.9.1.2
物理入口控制
控制
是
本公司对安全区域的进出进行保护,以确保只有经过授权的人员才可以访问。
《物理和环境安全管理程序》
A.9.1.3
办公室、房间和设施的安全保护
控制
是
本公司在办公环境安全管理中设计并实施了对办公室、房间和设施的保护和物理安全。
《物理和环境安全管理程序》
A.9.1.4
外部和环境威胁的安全防护
控制
是
本公司对于机房和存放介质的重要场所中已设计并实施了针对火灾等自然或人为灾难的物理保护措施。
《物理和环境安全管理程序》
A.9.1.5
在安全区域工作
控制
是
本公司对于重要安全区域已设计并实施了物理保护措施。
《物理和环境安全管理程序》
A.9.1.6
公共访问、交接区安全
控制
是
本公司对于访问区域如装卸区域及其他XX人员可能进入办公场所的地点进行控制。
对于重要区域,加以隔离以防止非授权的访问。
《物理和环境安全管理程序》
A.9.2
设备安全
目标
是
防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
A.9.2.1
设备安置和保护
控制
是
本公司对机房及设备进行选址安置或保护,以减少来自环境的威胁或危害,并减少未授权访问的机会。
《物理和环境安全管理程序》
A.9.2.2
支持性设施
控制
是
本公司机房采取电力供冗余、UPS等设施降低电力中断的风险,同时通过合理配置空调等其它支持性设施以避免因为支持性设施失效所导致的中断。
《物理和环境安全管理程序》
A.9.2.3
布缆安全
控制
是
本公司采取相应措施保护电力和通讯电缆,避免因此带来的服务中断或数据泄密。
为防止相互干扰,电源电缆与通信电缆分开。
《物理和环境安全管理程序》
A.9.2.4
设备维护
控制
是
法制与综合业务处依据《物理和环境安全管理程序》和《机房管理制度》负责内部设备的保养,定期巡检,并对巡检结果及时采取处理措施,以确保其持续的可用性和完整性。
《物理和环境安全管理程序》
《网络和系统安全管理程序》
《服务器管理程序》
A.9.2.5
组织场所外的设备安全
控制
是
本公司对笔记本电脑和移动介质等离场设备进行安全防护,对在组织边界之外工作的风险进行管控。
《职工信息安全手册》
《介质使用管理程序》
A.9.2.6
设备的安全处置或再利用
控制
是
本公司检查所有含存储介质的设备,以确保在销毁前所有敏感数据或授权软件已经被移除或安全重写。
《物理和环境安全管理程序》
《介质使用管理程序》
A.9.2.7
资产的移动
控制
是
XX,本公司不允许将设备、信息或软件带离工作场所。
《职工信息安全手册》
A.10
通信和操作管理
A.10.1
操作规程和责任
目标
是
确保信息处理设备的正确和安全使用。
A.10.1.1
文件化的操作规程
控制
是
本公司按照信息安全方针的要求,建立并实施文件化的作业程序,具体操作规程按《IT日常运行安全管理程序》执行。
《IT日常运行安全管理程序》
A.10.1.2
变更管理
控制
是
对信息处理设施及系统的变更依据《IT变更管理程序》执行
《IT变更管理程序》
A.10.1.3
责任分割
控制
是
分离职责和区域,以降低未授权访问、无意识修改或滥用组织资产的机会.为防止非授权的更改或误用信息或服务的机会。
《IT日常运行安全管理程序》
A.10.1.4
开发、测试和运行设施分离
控制
是
分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险。
《软件开发管理程序》
A.10.2
第三方服务交付管理
目标
是
实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准
A.10.2.1
服务交付
控制
是
确保第三方保持充分的服务能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务交付的连贯性。
执行具体见《第三方信息安全管理程序》。
《第三方信息安全管理程序》
A.10.2.2
第三方服务的监视和评审
控制
是
本公司依据《第三方信息安全管理程序》,由各第三方接口部门负责监督、管理第三方服务交付物的质量,并定期对第三方进行评审,以保证第三方服务及交付物的质量和安全性,以确保本规定和相应保密协议等安全控制措施的落实。
《第三方信息安全管理程序》
A.10.2.3
第三方服务的变更管理
控制
是
本公司对第三方提供服务变更管理(包括保持和改进现有信息安全总体方针、程序和控制措施)具体依据《第三方信息安全管理程序》执行。
《第三方信息安全管理程序》
A.10.3
系统规划和验收
目标
是
将系统失效的风险降至最小
A.10.3.1
容量管理
控制
是
本公司对于机房容量、电力供应、网络容量、系统容量、存储和备份设备容量要求进行容量管理和规划,定期对主机系统和开放系统、业务系统、网络系统的整体性能和容量进行规划,并提交性能和容量报表,并进行分析和预测,以此作为系统扩容及优化的依据。
《IT日常运行安全管理程序》
《容量管理程序》
A.10.3.2
系统验收
控制
是
本公司建立新的信息系统、系统升级和新版本的验收准则,并在开发过程中及接收前进行适当的系统测试。
《网络和系统安全管理程序》
A.10.4
防范恶意和移动代码
目标
是
保护软件和信息的完整性
A.10.4.1
控制恶意代码
控制
是
本公司实施防范恶意代码的检测、预防和恢复,以及适当提高用户安全意识的程序。
《病毒防治管理规定》
A.10.4.2
控制移动代码
控制
是
本公司对移动代码采取相应的控制措施,并对使用者进行培训,以提高使用者的安全意识。
《病毒防治管理规定》
A.10.5
备份
目标
是
保持信息和信息处理设施的完整性及可用性
A.10.5.1
信息备份
控制
是
各处室确定备份策略,制定备份策略时应考虑备份操作对系统性能的影响.各相关部门应制定备份操作实施细则,对信息和软件进行备份并定期测试和验证。
《数据备份管理程序》
A.10.6
网络安全管理
目标
是
确保网络中信息的安全性并保护支持性的基础设施
A.10.6.1
网络控制
控制
是
本公司对网络进行充分的管理和控制,以防范威胁、保持使用网络的系统和应用程序的安全,包括信息传输。
《网络和系统安全管理程序》
A.10.6.2
网络服务安全
控制
是
依据组织的安全方针和策略,识别出网络服务的安全特性、服务等级和管理要求,并将这些要求体现在相应的网络服务协议或合同中。
《网络和系统安全管理程序》
A.10.7
介质处置
目标
是
防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断
A.10.7.1
可移动介质的管理
控制
是
本公司依据《介质使用管理程序》中有关移动存储介质管理规范的相关要求对职工使用可移动介质进行管理。
《介质使用管理程序》
A.10.7.2
介质的处置
控制
是
本公司按照《介质使用管理程序》进行可靠的介质处置。
《介质使用管理程序》
A.10.7.3
信息处理规程
控制
是
为保护敏感信息不会因XX处理而造成泄漏或滥用,在《信息资产安全管理程序》附件中对于信息资产处理与保护和流转途径进行管理。
《信息资产安全管理程序》
A.10.7.4
系统文件安全
控制
是
本公司保护系统文档免受未授权的访问。
《网络和系统安全管理程序》
《访问控制管理程序》
A.10.8
信息的交换
目标
是
保持组织内以及与组织外信息和软件交换的安全
A.10.8.1
信息交换策略和规程
控制
是
本公司建立了正式的交换策略、程序和控制,以保护通过所有类型的通讯设施交换信息的安全。
《职工信息安全手册》
A.10.8.2
交换协议
控制
是
本公司建立了与外部组织之间信息和软件交换的协议,以保护内传输的信息和物理介质。
《职工信息安全手册》
A.10.8.3
运输中的物理介质
控制
是
在组织的物理边界之外进行传输的过程中,本公司保护包含信息的媒体免受未授权的访问、误用或破坏。
《介质使用管理程序》
A.10.8.4
电子消息发送
控制
是
在《信息资产安全管理程序》附件中对电子信息分发和流转途径进行具体要求。
在《职工信息安全手册》中对通过电子邮件、移动介质等进行电子信息交换的行为提出安全管理要求。
《信息资产安全管理程序》
《职工信息安全手册》
A.10.8.5
业务信息系统
控制
是
本公司的业务信息系统、办公信息系统均建立并实施相应的安全使用策略和应用管理程序,以保护与业务信息系统互联相关的信息,避免系统造成的信息泄露。
《职工信息安全手册》
《网络和系统安全管理程序》
A.10.9
电子商务服务
目标
否
确保电子商务服务的安全及其安全使用
A.10.9.1
电子商务
不适用
否
本公司未开展Internet电子商务业务
-
A.10.9.2
在线交易
不适用
否
本公司没有在线交易业务系统
-
A.10.9.3
公共可用信息
不适用
否
本公司没有在可用系统中使用或者发布公共可用信息
-
A.10.10
监视
目标
是
检测XX的信息处理活动
A.10.10.1
审计记录
控制
是
本公司产生记录用户活动、信息安全事件等日志,并按照约定的期限进行保留,以支持将来的调查和访问控制监视
《IT日常运行安全管理程序》
A.10.10.2
监视系统的使用
控制
是
系统运行管理部门应定期对监控系统的输出日志和报警信息进行审核,如果发现报警信息或异常信息,应及时报告和处理。
《IT日常运行安全管理程序》
A.10.10.3
日志信息的保护
控制
是
《IT日常运行安全管理程序》规定要求对日志设施和日志信息进行保护,免受破坏和未授权的访问。
《IT日常运行安全管理程序》
A.10.10.4
管理员和操作员日志
控制
是
《IT日常运行安全管理程序》规定管理员和操作员的日志包括事情(成功或失败)发生的时间、事情的有关信息(如:
操作的文件)或故障信息(如:
发生的故障及采取的纠正活动)、涉及哪一个账号以及哪一个管理员或操作员等信息等。
系统运行管理部门定期审核系统管理员和操作员日志。
《IT日常运行安全管理程序》
A.10.10.5
故障日志
控制
是
本公司系统运行部门定期监控日志及报警如果发现报警信息或异常信息,应及时报告和处理。
本公司定期记录并分析故障错误日志,并采取适当的措施进行处理,对处理过程和结果进行跟踪。
《IT日常运行安全管理程序》
《信息安全事件管理程序》
A.10.10.6
时钟同步
控制
是
本公司对于业务环境中的设备、系统均采取系统时钟同步措施,以保证系统的可追溯性,同时避免由于时钟未同步而导致问题或故障。
《IT日常运行安全管理程序》
A.11
访问控制
A.11.1
访问控制的业务要求
目标
是
控制对信息的访问
A.11.1.1
访问控制策略
控制
是
本公司建立文件化的访问控制策略,并根据对访问的业务和安全要求进行评审。
《访问控制管理程序》
A.11.2
用户访问管理
目标
是
确保授权用户能够访问信息系统,并防止XX的访问
A.11.2.1
用户注册
控制
是
本公司依据《访问控制管理程序》进行用户注册和解除注册管理,以允许和撤销对于所有信息系统和服务的访问。
《访问控制管理程序》
A.11.2.2
特殊权限管理
控制
是
本公司依据《访问控制管理程序》进行特权帐户使用和分配管理。
《访问控制管理程序》
A.11.2.3
用户口令管理
控制
是
本公司依据《访问控制管理程序》进行并建立正式的管理流程控制口令的分配。
《访问控制管理程序》
A.11.2.4
用户访问权的复查
控制
是
本公司依据《访问控制管理程序》,按照规定的时间间隔通过正式的流程对用户的访问权限进行检查和评审。
《访问控制管理程序》
A.11.3
用户责任
目标
是
防止未授权用户对信息和信息处理设施的访问、损害或窃取
A.11.3.1
口令使用
控制
是
本公司要求用户在选择和使用口令时严格按照本公司规定执行,并应具有良好的安全意识。
《访问控制管理程序》
《职工信息安全手册》
A.11.3.2
无人值守的用户设备
控制
是
本公司在《职工信息安全手册》中规定无人值守设备的责任人应采取合理的安全措施保护该设备,以避免未授权使用和入侵。
《访问控制管理程序》
《职工信息安全手册》
A.11.3.3
清空桌面和屏幕策略
控制
是
本公司依据《职工信息安全手册》《介质使用管理程序》要求对桌面清理和移动介质的使用进行管理,并要求职工在离开座位或办公PC时应及时锁屏。
《职工信息安全手册》
《介质使用管理程序》
A.11.4
网络访问控制
目标
是
防止对网络服务的未授权访问
A.11.4.1
使用网络服务的策略
控制
是
本公司只允许合法用户访问经过明确授权使用的服务。
《网络和系统安全管理程序》
《职工信息安全手册》
A.11.4.2
外部连接的用户鉴别
控制
是
外部连接的用户登录访问时,本公司采用高强度的口令方式或VPN等方式进行身份鉴别。
《网络和系统安全管理程序》
《职工信息安全手册》
A.11.4.3
网络上的设备标识
控制
是
本公司考虑将自动设备识别作为鉴别特定区域和连接鉴别的方法。
《网络和系统安全管理程序》
A.11.4.4
远程诊断和配置端口的保护
控制
是
升级会员 