ISO27001信息安全适用性声明.docx

ISO27001信息安全适用性声明.docx

《ISO27001信息安全适用性声明.docx》由会员分享，可在线阅读，更多相关《ISO27001信息安全适用性声明.docx（79页珍藏版）》请在冰豆网上搜索。

ISO27001信息安全适用性声明

信息安全适用性声明

（依据GB/T22080-2016idtISO/IEC27001:

2013标准编制）

编号：

SANDSTONE-ISMS-A-02

版本号：

V1.0

编制：

***日期：

2021-8-3

审核：

***日期：

2021-8-3

批准：

***日期：

2021-8-3

受控状态

1目的与范围

本声明描述了在GB/T22080-2016idtISO/IEC27001:

2013附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2相关文件

信息安全管理手册、程序文件、策略文件

3职责

信息安全适用性声明由信息安全小组编制、修订，总经理批准。

4声明

本公司按GB/T22080-2016idtISO/IEC27001:

2013建立信息安全管理体系。

根据公司风险评估的结果和风险可接受水平，ISO27001:

2013附录A的所有条款适用于本公司信息安全管理体系，无删减条款。

A.5信息安全策略

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

A.5.1

信息安全方针

目标

YES

依据业务要求和相关的法律法规提供管理指导并支持信息安全。

A.5.1.1

信息安全方针文件

控制

YES

信息安全管理实施的需要。

信息安全方针由公司总经理制定，在《信息安全管理手册》中描述，由公司总经理批准发布。

通过培训、发放《信息安全管理手册》等方式传达到每一员工。

《信息安全管理手册》

A.5.1.2

信息安全方针评审

控制

YES

确保方针持续的适宜性。

每年利用管理评审对方针的适宜性进行评价，必要时对方针进行修订。

《管理评审程序》

A.6信息安全组织

标准

条款号

标题

目标/控制

是否

选择

选择理由

控制描述

相关文件

A.6.1

内部组织

目标

YES

建立一个有效的信息安全管理组织机构。

A.6.1.1

信息安全角色和职责

控制

YES

对于所有的安全职责都给与充分的定义和分配

雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。

《信息安全管理手册》

《部门职责》

A.6.1.2

职责分割

控制

YES

保持特定资产和完成特定安全过程的职责需确定。

公司设立信息安全管理者代表，全面负责公司ISMS的建立、实施与保持工作。

对每一项重要信息资产指定信息安全责任人。

与ISMS有关各部门的信息安全职责在《信息安全管理手册》中予以描述，关于具体的信息安全活动的职责在程序及作业文件中予以明确。

《信息安全管理手册》

A.6.1.3

与政府部门的联系

控制

YES

与法律实施部门、标准机构等组织保持适当的联系是必须的，以获得必要的安全管理、标准、法律法规方面的信息。

公司就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系，其他部门与相应的政府职能部门及社会服务机构保持联系，以便及时掌握信息安全的法律法规，及时获得安全事故的预防和纠正信息，并得到相应的支持。

信息安全交流时，确保本公司的敏感信息不传给XX的人。

相关方联系表

A.6.1.4

与特定利益团体的联系

控制

YES

为更好掌握信息安全的新技术及安全方面的有益建议，需获得内外部信息安全专家的建议。

本公司设内部信息安全顾问，必要时聘请外部专家，与特定利益群体保持沟通，解答有关信息安全的问题。

顾问与专家名单由本公司综合管理部提出，管理者代表批准。

内部信息安全顾问负责：

a）按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议；

b）收集与本公司信息安全有关的信息、新技术变化，经本部门负责人审核同意，利用本公司电子邮件系统或采用其它方式传递到相关部门和人员；

c）必要时，参与信息安全事故的调查工作。

相关方联系表

A.6.1.5

项目管理中的信息安全

控制

YES

无论何种类型的项目。

宜将信息安全融入到项目管理中

a）信息安全目标纳入项目目标；b）在项目的早期阶段进行信息安全风险评估，以识别必要的控制措施；c）信息安全监控成为项目每个阶段的组成部分。

《信息安全事件管理程序》

A.6.2

移动设备和远程工作

目标

YES

确保远程工作和移动设备使用的安全。

A.6.2.1

移动设备策略

控制

YES

本公司有笔记本电脑移动设备，离开公司办公场所应进行控制，防止其被盗窃、XX的访问等危害的发生。

笔记本电脑在进入、离开规定的区域时，经过部门领导授权并对其进行严格控制，防止其丢失和XX的访问。

《计算机管理程序》

A.6.2.2

远程工作

控制

YES

宜实施策略和支持性安全措施来保护在远程站点访问，处理或存储的信息

《远程工作策略》

A.7人力资源安全

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

A.7.1

任用之前

目标

YES

确保雇员、承包方人员理解其职责、考虑对其承担的角色是合适的

A7.1.1

审查

控制

YES

通过人员考察，防止人员带来的信息安全风险。

综合管理部负责对初始录用员工进行能力、信用考察，每年对关键信息安全岗位进行年度考察，对于不符合安全要求的不得录用或进行岗位调整。

《员工聘用管理程序》

A.7.1.2

任用条款和条件

控制

YES

履行信息安全保密协议是雇佣人员的一个基本条件。

在《劳动合同》中明确规定保密的义务及违约的责任。

《员工聘用管理程序》

《劳动合同》

《保密协议》

A.7.2

任用中

控制

YES

确保所有的雇员和合同方意识到并履行其信息安全责任

A.7.2.1

管理职责

控制

YES

缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。

公司管理层要求员工、合作方以及第三方用户加强信息安全意识，依据建立的方针和程序来应用安全，服从公司管理，当有其他的管理制度与信息安全管理制度冲突时，首选信息安全管理制度执行。

《员工聘用管理程序》

A.7.2.2

信息安全教育和培训

控制

YES

安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。

与ISMS有关的所有员工，有关的物理访问者，应该接受安全意识、方针、程序的培训。

方针、程序变更后应及时传达到全体员工。

综合管理部通过组织实施《信息安全人员保密考察与审批管理程序》，确保员工安全意识的提高与有能力胜任所承担的信息安全工作。

《员工培训管理程序》

A.7.2.3

纪律处理过程

控制

YES

对造成安全破坏的员工应该有一个正式的惩戒过程。

违背组织安全方针和程序的员工，公司将根据违反程度及造成的影响进行处罚，处罚在安全破坏经过证实的情况下进行。

处罚的形式包括精神和物质两方面。

《信息安全奖惩管理程序》

A.7.3

任用的终止或变化

目标

YES

宜将保护组织的利益融入到任用变化或终止的处理流程中。

A.7.3.1

任用终止或变化的职责

控制

YES

执行工作终止或工作变化的职责应清晰的定义和分配。

在员工离职前和第三方用户完成合同时，应进行明确终止责任的沟通。

再次沟通保密协议和重申是否有竞业禁止要求等。

《劳动合同》

《员工离职管理程序》

《保密协议》

A.8资产管理

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

A.8.1

对资产责任

目标

YES

实现和保持对组织资产的适当保护

A.8.1.1

资产清单

控制

YES

公司需建立重要资产清单并实施保护。

管理层按照《信息安全风险管理程序》组织各部门按业务流程识别所有信息资产。

根据重要信息资产判断准则确定公司的重要信息资产，建立《重要信息资产清单》，并明确资产负责人。

当信息资产增添或报废时，组织资产使用部门对《重要信息资产清单》进行修订。

《信息安全风险管理程序》

A.8.1.2

资产负责人

控制

YES

需要对所有的与信息处理设施有关的信息和资产指定责任人。

管理层组织相关部门依据《信息安全风险管理程序》中的要求和方法识别资产并指定资产负责人，形成《信息资产清单》。

《信息安全风险管理程序》

A.8.1.3

资产的可接受使用

控制

YES

识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，予以实施。

制定相应的业务系统应用管理制度，重要设备有使用说明书，规定了资产的合理使用规则。

使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。

并对信息资源的使用，以及发生在其责任下的使用负责。

对于电子邮件和互联网的使用规则见本文件中的A10.8中的描述；

《信息安全风险管理程序》

A8.1.4

资产归还

目标

YES

所有员工、合作方以及第三方用户应该在聘用期限、合同或协议终止时归还所负责的所有资产。

员工离职或工作变动前，应办理资产归还手续，然后方能办理移交手续。

《信息安全风险管理程序》

A.8.2

信息分类

目标

YES

确保信息受到与其对组织的重要性保持一致适当级别的保护

A.8.2.1

信息分类

控制

YES

本公司的信息安全涉及信息的敏感性（包括来自顾客的要求），适当的分类控制是必要的。

本公司的信息密级划分为：

绝密、机密、秘密、敏感和一般。

不同密级事项的界定，由涉及秘密事项产生部门按照《商业秘密管理程序》规定的原则进行。

《信息分类管理程序》

A.8.2.2

信息的标记

控制

YES

按分类方案进行标注

对于属于机密信息的文件（无论任何媒体），密级确定部门按《商业秘密管理程序》里关于密级的要求进行适当的标注；公开信息不需要标注，其余均标注受控或机密。

《商业秘密管理程序》

《信息分类管理程序》

A8.2.3

资产处理

控制

YES

规定信息处理的安全的要求。

信息的使用、传输、存储等处理活动按《商业秘密管理程序》等进行控制。

《商业秘密管理程序》

《信息分类管理程序》

A.8.3

介质处置

目标

YES

防止存储在介质上的信息遭受未授权的泄露、修改、移动或销毁。

A.8.3.1

移动介质的管理

控制

YES

本公司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动媒体。

可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告，各部门按其管理权限并根据风险评估的结果对其实施有效的控制。

媒体移动的记录予以保持。

《可移动介质管理程序》

《运输中物理介质安全策略》

A.8.3.2

介质的处置

控制

YES

当介质不再需要时，必须对含有敏感信息的媒体（包括不良保密制品）采用安全的处置办法。

对于含有敏感信息或重要信息的介质在不需要或再使用时，介质处置部门按照《重要信息备份管理程序》的要求，采取安全可靠处置的方法将其信息清除。

《可移动介质管理程序》

《运输中物理介质安全策略》

A.8.3.3

物理介质传输

控制

YES

本公司存在如文件、技术资料等信息介质传送及保密制品的运输活动，确定安全的传送方法是必要的。

为避免被传送的介质在传送（运输）过程中发生丢失、XX的访问或毁坏，造成信息的泄露、不完整或不可用，负责介质（包括保密产品的运输）传送的部门采用以下方法进行控制：

a）选择适宜的安全传送方式，对保密产品运输供方进行选择与评价，并与之签订保密协议；

b）保持传送活动记录。

《可移动介质管理程序》

《运输中物理介质安全策略》

A.9访问控制

A.9.1

访问控制的业务要求

目标

YES

限制信息与信息处理设施的访问

A.9.1.1

访问控制策略

控制

YES

明确访问的业务要求，并符合信息安全方针的规定要求，对信息访问实施有效控制。

本公司基于以下原则制定文件化的访问控制策略（在《用户访问管理程序》中描述），明确规定访问的控制要求，规定访问控制规则和每个用户或用户组的访问权力，访问规则的制定基于以下方面考虑：

a）每个业务应用的安全要求；

b）在不同系统与网络间，访问控制与信息分类策略要保持一致；

c）数据和服务访问符合有关法律和合同义务的要求；

d）对各种访问权限的实施管理。

《用户访问管理程序》

A9.1.2

使用网络服务的策略

控制

YES

制定策略，明确用户访问网络和网络服务的范围，防止非授权的网络访问。

本公司建立并实施网络服务安全策略，以确保网络服务安全与服务质量。

《用户访问管理程序》

《网络访问策略》

A．9.2

用户访问管理

目标

YES

确保授权用户访问系统和服务，并防止未授权的访问

A.9.2.1

用户注册和注消

控制

YES

本公司存在多用户信息系统，应建立用户登记和解除登记程序。

根据访问控制策略确定的访问规则，访问权限管理部门对用户（包括第三方用户）进行书面访问授权，若发生以下情况，对其访问权将从系统中予以注销：

a）内部用户雇佣合同终止时；

b）内部用户因岗位调整不再需要此项访问服务时；

c）物理访问合同终止时；

d）其它情况必须注销时。

《用户访问管理程序》

A9.2.2

用户访问提供

控制

YES

内部用户会发生岗位变化，或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的评审是必要的。

用户访问权限主管部门每半年对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结果应予以保持。

《用户访问管理程序》

A.9.2.3

特殊权限管理

控制

YES

本公司网络系统管理员拥有特权，特权不适当的使用会造成系统的破坏。

特权分配以“使用需要”（Need-to-use）和“事件紧跟”（Event-SK/event）为基础，即需要时仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后将被收回，确保特权拥有者的特权是工作所需要的且不存在多余的特权（最小特权原则）。

系统管理员，只有经过书面授权，其特权才被认可。

当特权拥有者因公出差或其它原因暂时离开工作岗位时，特权部门负责人应对特权实行紧急安排，将特权临时转交可靠人员，以保证系统正常运行；当特权拥有者返回工作岗位时，及时收回特权；特权的交接应有可靠安全的方法。

《用户访问管理程序》

《特权访问管理策略》

A．9.2.4

用户安全鉴别信息的管理

控制

YES

用户访问信息系统和服务是按授权的范围进行访问的，并拥有口令，因此建立正式的管理过程对口令进行分配并控制是必须的。

系统管理员按以下过程对被授权访问该系统的用户口令予以分配：

a）管理员根据入职员工的工作岗位分配相关临时口令。

b）当用户忘记口令时，可由系统管理员帮其找回或重新分配安全的口令。

c）禁止将口令以无保护的形式存储在计算机系统内。

《用户访问管理程序》

A.9.2.5

用户访问权的复查

控制

YES

内部用户会发生岗位变化，或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的评审是必要的。

用户访问权限主管部门每半年对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结果应予以保持。

《用户访问管理程序》

A9.2.6

撤销或调整访问权限

控制

YES

所有是雇员和第三方人员对信息安全和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整

A.9.3

用户职责

目标

YES

确保用户对保护他们的鉴别信息负有责任

A.9.3.1

安全鉴别信息的使用

控制

YES

使用户遵循口令使用规则，防止口令泄密或被解密。

本公司明确规定了口令安全选择与使用要求，所有用户须严格遵守。

实施口令定期变更策略。

《用户访问管理程序》

A．9.4

系统和应用的访问控制

目标

YES

防止对系统和应用的非授权访问。

A．9.4.1

信息访问限制

控制

YES

为减少非授权访问的机会，对信息服务系统的访问采用安全登录过程。

本公司通过域登录等技术手段提供安全的系统登录过程。

《用户访问管理程序》

A.9.4.2

安全登陆规程

控制

YES

为追溯行为的个人责任，对连接到网络终端应有唯一的用户ID。

用户有唯一的识别符（USERID），以便用户单独使用时，能追溯行为的个人责任。

用户ID由系统管理员根据授权的规定予以设置，用户识别符（USERID）不在多个用户之间共享。

用户识别符（USERID）可以由用户名称加口令或其它适宜方式组成。

《用户访问管理程序》

A.9.4.3

口令管理系统

控制

YES

为减少非法访问操作系统的机会，应建立口令管理系统。

公司部署实施口令管理，通过技术手段提供有效的、互动的设施以确保口令质量。

除非一次性的口令系统，通过操作系统的强制措施要求用户定期变更口令。

《用户访问管理程序》

《口令控制策略》

A.9.4.4

特权使用程序的使用

控制

YES

对系统工具程序的使用应控制，防止恶意破坏系统安全。

综合管理部应对系统工具程序（SystemUtilityProgram）的使用进行限制和严格控制，只有经过授权的系统管理员才可以使用系统工具程序，如漏洞扫描工具等。

《用户访问管理程序》

《特权访问管理策略》

A9.4.5

对程序源代码的访问控制

控制

YES

本公司有软件开发活动，有程序源库（源代码）存在，需要控制。

为降低计算机程序被破坏的可能性，综合管理部按以下要求对源程序库（源代码）实施管理：

a）可能的话，不将源程序库保存在运作系统中，源程序尽量与应用分开；

b）各项应用应指定程序库管理员；

c）信息技术支持人员不应当自由访问源程序库；

d）源程序库的更新和向程序员发布的源程序，应由指定的程序库管理员根据授权来完成。

《软件开发控制程序》

A10密码

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

A.10.1

密码学

目标

YES

确保适当并有效的密码的使用来保护信息的保密性，真是性或完整性

A.10.1.1

使用加密控制的策略

控制

YES

与外部信息交换过程需要有加密控制措施来保护信息的安全

识别需要采用加密保护的信息以及保护的手段，本公司在与外部信息交换过程中涉及的需用加密控制的信息有：

客户从外部远程输送数据，针对此类信息与外部交换的过程应使用加密控制。

《口令控制策略》

A10.1.2

密钥管理

控制

YES

使用密钥来支持组织使用的加密技术

公司对识别的需要使用加密控制技术的信息，若在采用加密手段时要对密钥的使用进行管理

《密钥管理策略》

A11物理和环境安全

标准

条款号

标题

目标/

控制

是否

选择

选择理由

控制描述

相关文件

A.11.1

安全区域

目标

YES

防止对组织信息和信息处理设施的未授权物理访问、损害和干扰

A.11.1.1

物理安全周边

控制

YES

本公司有包含重要信息处理设施的区域和储存重要信息资产及保密制品的区域。

本公司安全区域包括总经理办公室、综合管理部、销售部、技术部、会议室和前台接待区。

各安全区域都有物理边界，并根据其安全属性采取必要的保护措施。

机密文件存放于带锁的文件柜里。

《安全区域管理程序》

A.11.1.2

物理入口控制

控制

YES

安全区域进入应经过授权，XX的非法访问会对信息安全构成威胁。

外来人员进入公司区域要在前台进行登记。

第三方人员进入特别安全区域须被授权，进出有记录。

员工加班也需登记。

《安全区域管理程序》

A.11.1.3

办公室/房间和设施

控制

YES

对安全区域内的后勤管理部、房间和设施应有特殊的安全要求。

当有紧急自然灾害发生，则需要提前示警。

本公司制定《安全区域管理程序》，避免出现对办公室、房间和设施的未授权访问。

对特别安全区域内的计算机和设施进行必要的控制，以防止火灾、盗窃或其它形式的危害，这些控制措施包括：

a）大楼配备有一定数量的消防设施；

b）房间装修符合消防安全的要求；

c）易燃、易爆物品严禁存放在安全区域内，并与安全区域保持一定的安全距离；

d）办公室或房间无人时，应关紧窗户，锁好门；

《安全区域管理程序》

A.11.1.4

外部和环境威胁的安全保护

控制

YES

加强公司物理安全控制，防范火灾、水灾、地震，以及其它形式的自然或人为灾害。

公司设备具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施。

《安全区域管理程序》

A.11.1.5

在安全区域工作

控制

YES

在安全区域工作的人员只有严格遵守安全规则，才能保证安全区域安全。

处理敏感信息的设备不易被窥视。

公司范围内禁止吸烟。

公司建立《安全区域管理程序》，明确规定员工在有关安全区域工作的基本安全要求，并要求员工严格遵守。

《安全区域管理程序》

A.11.1.6

交接区安全

控制

YES

对特别安全区域，禁止外来人员直接进入传送物资是必要的。

公司外的送水人员、邮件快件投递人员、送货人员在送水、投递、送货送餐过程中，未经允许不得进入前台接待区以外的安全区域。

《安全区域管理程序》

A.11.2

设备安全

目标

YES

防止资产的损失、损坏、失窃或危机资产安全以组织的运营

A.11.2.1

设备的安置和保护

控制

YES

设备存在火灾、吸烟、油污、XX访问等威胁。

设备使用部门负责对设备进行定置管理和保护。

为降低来自环境威胁和危害的风险，减少XX的访问机会，特采取以下措施：

a）设备的定置，要考虑到尽可能减少对工作区不必要的访问；

b）对需要特别保护的设备加以隔离；

c）采取措施，以尽量降低盗窃、火灾、爆炸、吸烟、灰尘、震动、化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险；

d）禁止在信息处理设施附近饮食、吸烟。

《信息处理设施维护管理程序》

A.11.2.2

支持性设施

控制

YES

供电中断或异常会给信息系统造成影响，甚至影响正常的生产作业。

针对重要服务器及设备提供ups，确保不间断供电，其他办公电脑和网络连接设备经风险评估可以接受供电中断的风险。

《信息处理设施维护管理程序》

A.11.2.3

布缆的安全

控制

YES

通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。

综合管理部按照《网络和计算机策略》对传输线路进行维护，防止线路故障。

通信电缆与电力电缆分开铺设，防止干扰。

《信息处理设施维护管理程序》

A.11.2.4

设备维护

控制

YES

设备保持良好的运行状态是保持信