ISMS1002信息安全适用性声明.docx
《ISMS1002信息安全适用性声明.docx》由会员分享,可在线阅读,更多相关《ISMS1002信息安全适用性声明.docx(88页珍藏版)》请在冰豆网上搜索。
ISMS1002信息安全适用性声明
有限公司
信息安全适用性声明
编号:
ISMS-1002
状态:
受控
编写:
行政部
2012年10月15日
审核:
印峰
2012年10月15日
批准:
邓庆平
2012年10月15日
发布版次:
第A/0版
2012年10月15日
生效日期
2012年10月15日
分发:
各部门
接受部门:
变更记录
变更日期
版本
变更说明
编写
审核
批准
2012年10月15日
A/0
初始版本
行政部
印峰
邓庆平
信息安全适用性声明
1目的与范围
本声明描述了在ISO27001:
2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2相关文件
ISMS-1001《信息安全管理手册》
3职责
《信息安全适用性声明》由行政部编制、修订,由管理者代表批准。
4声明
本公司按ISO27001:
2005建立信息安全管理体系。
根据公司风险评估的结果和风险可接受水平,ISO27001:
2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系。
A.5安全方针
标准
条款号
标题
目标/
控制
是否选择
选择理由
控制描述SoC
相关文件
A.5.1
信息安全方针
目标
YES
为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。
A.5.1.1
信息安全方针文件
控制
YES
信息安全管理实施的需要。
信息安全方针由公司总经理制定,在《信息安全管理手册》中描述,由公司执行总经理批准发布。
通过培训、发放《信息安全管理手册》等方式传达到每一员工。
采用张贴布告于宣传栏、网站等形式传达给社区、主管部门、客户群等外部相关方。
ISMS-1001《信息安全管理手册》4.2.1.3ISMS方针
A.5.1.2
评审与评价
控制
YES
确保方针持续的适宜性。
每年利用管理评审对方针的适宜性进行评价,必要时对方针进行修订。
ISMS-2004《管理评审控制程序》
A.6安全组织
标准
条款号
标题
目标/控制
是否选择
选择理由
控制描述SoC
相关文件
A.6.1
内部组织
目标
YES
建立一个有效的信息安全管理组织机构。
A.6.1.1
信息安全管理承诺
控制
YES
确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。
公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。
管理委员会每半年召开一次会议。
信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。
会议主要议题包括:
a)评审信息安全承诺;
b)确认风险评估的结果;
c)对与信息安全管理有关的重大更改事项,如组织机构调整、关键人事变动、信息系统更改等,进行决策;
e)评审与处理重大信息安全事故;
f)审批与信息安全管理有关的其他重要事项。
会议纪要《关于成立公司信息安全管理委员会和信息安全管理协调小组的决定》
有关信息安全管理委员会会议记录(会议纪要)
A.6.1.2
信息安全的协调
控制
YES
公司涉及信息安全部门众多,组织机构复杂,需要一个有效沟通与协调机制。
公司成立信息安全管理协调小组,由信息安全管理者代表(行政部经理)和研发部、行政部信息安全体系内审员组成。
协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。
会议由行政专员负责组织安排并做好会议记录。
《关于成立公司信息安全管理委员会和信息安全管理协调小组的决定》
有关信息安全管理论坛会议记录(会议纪要)
A.6.1.3
信息安全职责的分配
控制
YES
保持特定资产和完成特定安全过程的职责需确定。
公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。
对每一项重要信息资产指定信息安全责任人。
与ISMS有关各部门的信息安全职责在本《信息安全管理手册》中予以描述,关于具体的信息安全活动的职责在程序及作业文件中予以明确。
ISMS-1001《信息安全管理手册》及相关岗位描述
A.6.1.4
信息处理设施的授权程序
控制
YES
本公司有新信息处理设备(设施)采购及使用的活动,需对采购质量进行控制,并建立使用授权程序。
研发部参与对信息处理设施的供方技术评价与跟踪。
研发部分别对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,进行技术选型,并组织验收,确保与原系统的兼容。
明确使用部门接受新设施的信息安全负责人为行政部经理,行政部经理需要讲解新设施的正确使用方法。
ISMS-2010《信息处理设备管理程序》
A.6.1.5
信息安全保密性协议
控制
YES
为更好掌握信息安全的技术及听取安全方面的有意建议,需与内外部经常访问我公司信息处理设施的人员订立保密性协议。
本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员(合同方、临时员工)的安全考察与控制。
a)保密信息的形式:
标明“秘密”、“受控”字样的资料,以及相关的文件、数据、分析报告、算法、样品、实物、规格说明软盘等,未标明“秘密”、“受控”字样的即为公开文件;
b)乙方仅能够在甲方规定的范围内使用保密信息、或者向甲方书面认可的第三方披露甲方认可可披露范围内的保密信息;
c)乙方不得向其他任何第三方披露任何从甲方处收到或合法获知的保密信息。
ISMS-2020《密级控制程序》
A.6.1.6
与政府部门的联系
控制
YES
与法律实施部门、标准机构等组织保持适当的联系是必须的,以获得必要的安全管理、标准、法律法规方面的信息。
行政部就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系,其他部门与相应的政府职能部门及社会服务机构保持联系,以便及时掌握信息安全的法律法规,及时获得安全事故的预防和纠正信息,并得到相应的支持。
信息安全交流时,确保本公司的敏感信息不传给XX的人。
ISMS-1001《信息安全管理手册》中关于外部信息交流部分
A.6.1.7
与特定利益团体的联系
控制
YES
为更好掌握信息安全的新技术及安全方面的有意建议,需获得内外部信息安全专家的建议。
本公司设内部信息安全顾问,必要时聘请外部专家,与特定利益群体保持沟通,解答有关信息安全的问题。
顾问与专家名单由本公司信息安全委员会提出,管理者代表批准。
内部信息安全顾问负责:
a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议;
b)收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员;
c)必要时,参与信息安全事故的调查工作。
ISMS-4376《信息安全内部顾问名单》
ISMS-4377《信息安全外部专家名单》
A.6.1.8
信息安全的独立评审
控制
YES
为验证信息安全管理体系实施的有效性及符合性,公司定期进行内部审核,审核需要客观公正性。
信息安全管理体系的内部审核员由有审核能力和经验的人员组成(包括IT方面的专家),并接受ISMS内部审核员培训且考试合格。
内部审核员在现场审核时保持审核的独立性,并不审核自己的工作。
内审员获得授权,在审核期间不受行政的领导的限制,直接对审核组长负责。
ISMS-2003《内部审核管理程序》
A.6.2
外部各方
目标
YES
识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要求,并控制外部各方带来的风险。
A.6.2.1
与外部各方相关风险的识别
控制
YES
本公司存在诸如设备供应商来公司维修设备、顾客访问公司信息网络系统等第三方访问的情况,应采取必要的安全措施进行控制。
第三方物理访问须经公司被访问部门的授权,进入工作区应进行登记。
公司与长期访问的第三方签订保密协议。
访问特别安全区域时由专人陪同,具体执行《物理访问程序》。
第三方逻辑访问,按照《用户访问控制程序》要求进行控制。
ISMS-2012《物理访问控制程序》
ISMS-2012《用户访问控制程序》
A.6.2.2
处理与顾客有关的安全问题
控制
YES
在正式的合同中规定必要的安全要求是必须的。
公司与长期访问的第三方签订保密协议,明确规定信息安全要求,顾客方访问同样适用物理、逻辑访问控制措施。
ISMS-2012《物理访问控制程序》
ISMS-2012《用户访问控制程序》
A.6.2.3
处理第三方协议中的安全问题
控制
YES
本公司存在顾客数据架构、保密制品的储存、携带及信息处理设施(设备)维护的外包过程。
公司外包责任部门识别外包活动的风险,明确外包活动的信息安全要求,在外包合同中明确规定信息安全要求。
软件开发与维护的外包按照《系统开发与维护控制程序》执行;信息处理设施维护外包按照《信息处理设施维护管理程序》
ISMS-2014《系统开发与维护控制程序》
ISMS-2010《信息处理设备管理程序》
A.7资产管理
标准
条款号
标题
目标/
控制
是否选择
选择理由
控制描述SoC
相关文件
A.7.1
资产责任
目标
YES
对本公司重要信息资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
A.7.1.1
资产清单
控制
YES
公司需建立重要资产清单并实施保护。
行政部按照《信息资产的识别与风险评估管理程序》组织各部门按业务流程识别信息资产,根据重要信息资产判断准则确定公司的重要信息资产,建立《重要信息资产清单》,并明确资产负责人。
当信息资产增添或报废时,行政部组织资产使用部门应对《重要信息资产清单》进行修订。
ISMS-2002《信息安全风险评估管理程序》
ISMS-4029《重要信息资产清单》
A.7.1.2
资产负责人
控制
YES
对所有的与信息处理设施有关的信息和资产指定“所有者”。
行政部组织相关部门识别资产并指定资产负责人。
电脑分为管理员和用户,研发电脑的责任人为网络管理员。
A.7.1.3
资产的合理使用
控制
YES
识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,予以实施。
制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。
使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。
并对信息资源的使用,以及发生在其责任下的使用负责。
ISMS-2010《信息处理设备管理程序》相当于业务系统应用管理制度
A.7.2
信息分类
目标
YES
本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护。
A.7.2.1
分类指南
控制
YES
本公司的信息安全涉及信息的敏感性(包括来自顾客的要求),适当的分类控制是必要的。
本公司的信息密级划分为:
公开信息、受控信息、企业秘密三级。
不同密级事项的界定,由涉及秘密事项产生部门按照ISMS-2020《信息密级划分、标注及处理控制程序》
规定的原则进行。
ISMS-2020《密级控制程序》
A.7.2.2
信息的标识和处理
控制
YES
按分类方案进行标注并规定信息处理的安全的要求。
对于属于企业秘密与国家秘密的文件(无论任何媒体),密级确定部门按《密级控制程序》的要求进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。
信息的使用、传输、存储等处理活动按《秘密管理程序》等进行控制。
ISMS-2020《密级控制程序》
A.8人力资源安全
标准
条款号
标题
目标/
控制
是否选择
选择理由
控制描述SoC
相关文件
A.8.1
任用之前
目标
YES
对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降
低设施被盗窃、欺诈或误用的风险。
A.8.1.1
角色和职责
控制
YES
与信息安全有关的人员的安全职责必须明确规定并履行。
行政部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。
所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾客秘密)与国家秘密。
各岗位描述
ISMS-3373《计算机应用管理及相关岗位工作标准》
A.8.1.2
审查与筛选
控制
YES
通过人员考察,防止人员带来的信息安全风险。
行政部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。
ISMS-2037《信息安全人员考察与保密管理程序》
A.8.1.3
雇佣条款和条件
控制
YES
履行信息安全保密协议是雇佣人员的一个基本条件。
在《劳动合同》中明确规定保密的义务及违约的责任。
《劳动合同》
ISMS-3373《计算机应用管理及相关岗位工作标准》
A.8.2
聘用期间
控制
YES
确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并
准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。
A.8.2.1
管理职责
控制
YES
缺乏管理职责,会使人员意识淡薄,从而对组织造成负面安全影响。
公司管理者要求员工、合作方以及第三方用户加强,信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。
ISMS-2037《信息安全人员考察与保密管理程序》
A.8.2.2
信息安全教育和培训
控制
YES
安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。
与ISMS有关的所有员工,有关的第三方访问者,应该接受安全意识、方针、程序的培训。
方针、程序变更后应及时传达到全体员工。
行政部通过组织实施《教育培训规程》,确保员工安全意识的提高与有能力胜任所承担的信息安全工作。
ISMS-3372《教育培训规程》
A.8.2.3
纪律处理过程
控制
YES
对造成安全破坏的员工应该有一个正式的惩戒过程。
违背组织安全方针和程序的员工,公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行。
处罚的形式包括精神和物质两方面。
ISMS-3371《信息安全奖励、惩戒管理规定》
A.8.3
聘用中止或变化
目标
YES
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。
A.8.3.1
终止责任
控制
YES
执行工作终止或工作变化的职责应清晰的定义和分配。
在员工离职前和第三方用户完成合同时,应进行明确终止责任的沟通。
再次沟通保密协议和重申是否有竞业禁止要求等。
《劳动合同》
ISMS-2037《信息安全人员考察与保密管理程序》
A.8.3.2
资产归还
目标
YES
所有员工、合作
方以及第三方用户应该在聘用期限、合同或协议终止时归还所负责的所有资产。
员工离职或工作变动前,应办理资产归还手续,然后方能办理移交手续。
ISMS-2037《信息安全人员考察与保密管理程序》
A.8.3.3
解除访问权
目标
YES
对所有员工、合作方以及第三方用户对信息和信息处理设施的访问权限进行管理。
员工离职或工作变动前,应解除对信息和信息处理设施访问权限,或根据变化作相应的调整。
ISMS-2037《信息安全人员考察与保密管理程序》
A.9物理与环境安全
标准
条款号
标题
目标/
控制
是否选择
选择理由
控制描述SoC
相关文件
A.9.1
安全区域
目标
YES
防止XX对业务场所和信息的访问、损坏及干扰,防止保密制品丢失或被盗。
A.9.1.1
物理安全周界
控制
YES
本公司有包含重要信息处理设施的区域和储存重要信息资产及保密制品的区域,如研发办公室、机柜所在地应确定其安全周界,并对其实施保护。
本公司安全区域分为一般区域、普通安全区域和特别安全区域。
特别安全区域包括机房和研发办公室;普通安全区域包括总经理室、财务室;接待室(也做培训用)为一般区域。
保密文件存放于带锁的柜子里。
ISMS-2012《物理访问控制程序》
A.9.1.2
物理进入控制
控制
YES
安全区域进入应经过授权,XX的非法访问会对信息安全构成威胁。
外来人员进入公司区域要进行登记。
临时访问的第三方应在接待部门同意后,经前台登记可以进入。
进入特别安全区域须被授权,进出有记录。
员工加班也需登记。
ISMS-2012《物理访问控制程序》
ISMS-3112《机房、专用平台管理制度》
A.9.1.3
办公室、房间和设施的安全
控制
YES
对安全区域内的办公室、房间和设施应有特殊的安全要求。
当有紧急自然灾害发生,则需要提前示警。
对特别安全区域内的办公室和设施进行必要的控制,以防止火灾、盗窃或其它形式的危害,这些控制措施包括:
a)大厦配备有一定数量的消防设施
b)房间装修符合消防安全的要求;
c)易燃、易爆物品严禁存放在安全区域内,并与安全区域保持一定的安全距离。
d)办公室或房间无人时,应关紧窗户,锁好门;
e)防雷击设施由大厦物管每年检测一次。
ISMS-2012《物理访问控制程序》
A.9.1.4
防范外部和环境威胁
控制
YES
加强公司物理安全控制,防范火灾、水灾、地震,以及其它形式的自然或人为灾害。
机房设备安装在距墙、门窗有一定距离的地方。
并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施。
ISMS-2012《物理访问控制程序》
ISMS-3112《机房、专用平台管理制度》
ISMS-2007《纠正/预防措施控制程序》
A.9.1.5
在安全区域工作
控制
YES
在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全。
除非在公司设立的专门吸烟室外,其他任何地方禁止吸烟。
公司建立《物理访问控制程序》、《机房管理规定》等制度,明确规定员工在有关安全区域工作的基本安全要求,并要求员工严格遵守。
ISMS-2012《物理访问控制程序》
ISMS-3112《机房、专用平台管理制度》
A.9.1.6
公共访问、交付和装载区安全
控制
YES
对特别安全区域,禁止外来人员直接进入传送物资是必要的。
公司外的饮水送水人员、邮件投递人员在送水、投递过程中,不得进入普通办公室和特别安全区域。
XX,不允许外来人员直接进入特别安全区域提供物资。
可先存放于前台或接待室,再由行政专员搬进,以防止XX的访问。
ISMS-2012《物理访问控制程序》
ISMS-3112《机房、专用平台管理制度》
A.9.2
设备安全
目标
YES
防止资产的损失、损坏或丢失及业务活动的中断。
A.9.2.1
设备的定置和保护
控制
YES
设备存在火灾、吸烟、油污、XX访问等威胁。
设备使用部门负责对设备进行定置管理和保护。
为降低来自环境威胁和危害的风险,减少XX的访问机会,特采取以下措施:
a)设备的定置,要考虑到尽可能减少对工作区的不必要的访问;
b)对需要特别保护的设备加以隔离;
c)采取措施,以尽量降低盗窃、火灾、爆炸、吸烟、灰尘、震动、化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险;
d)禁止在信息处理设施附近饮食、吸烟。
ISMS-3112《机房、专用平台管理制度》
A.9.2.2
支持性设施
控制
YES
供电中断或异常会给信息系统造成影响,甚至影响正常的生产作业。
大楼物业提供供电双回路线路,确保不间断供电。
由行政部负责定期监督。
ISMS-2010《信息处理设备管理程序》
A.9.2.3
电缆的安全
控制
YES
通信电缆、光缆需要进行正常的维护,以防止侦听和损坏。
行政部按照《信息处理设施维护管理程序》对传输线路进行维护,防止线路故障。
通信电缆与电力电缆分开铺设,防止干扰。
ISMS-2010《信息处理设备管理程序》
A.9.2.4
设备维护
控制
YES
设备保持良好的运行状态是保持信息的完整性及可用性的基础。
计算机信息网络系统设备及用户计算机终端(包括笔记本电脑)由研发部按照《信息处理设施维护管理程序》、《计算机硬件管理维护规定》进行维护。
生产设备及其系统由行政部协助研发部按照《软件开发系统、财务管理系统系统状况及性能监视手册》进行维护。
ISMS-2010《信息处理设备管理程序》
ISMS-3109《信息系统硬件管理规定》
ISMS-3152《系统日常点检业务手册》
A.9.2.5
场所外设备的安全
控制
YES
本公司托管了服务器在移动机房,条件更好的专业公司代为保管维护。
数据备份服务器是托管在移动机房的,签订了详细的托管合同。
行政部监督合同的履行。
ISMS-3109《信息系统硬件管理规定》
A.9.2.6
设备处置及重复使用的安全
控制
YES
对本公司储存有关敏感信息的设备,如研发部的源代码,对其处置和再利用应将其信息清除。
含有敏感信息的设备在报废或改作他用时,由使用部门用安全的处置方法,将设备中存储的敏感信息清除并保存清除记录。
ISMS-2010《信息处理设备管理程序》
ISMS-3152《系统日常点检业务手册》
A.9.2.7
资产的迁移
控制
YES
设备、信息、软件等重要信息资产XX的迁移会造成其丢失或非法访问的危害。
重要信息设备、保密信息的迁移应被授权,迁移活动应被记录。
信息处理设施(网络设备及计算机终端)的迁移控制执行《信息处理设施维护管理程序》。
ISMS-2010《信息处理设备管理程序》
ISMS-3152《系统日常点检业务手册》
ISMS-3112《机房、专用平台管理制度》
A.10通信和操作管理
标准
条款号
标题
目标/
控制
是否选择
选择理由
控制描述SoC
相关文件
A.10.1
操作程序和职责
目标
YES
确保信息处理设备的正确和安全使用。
A.10.1.1
文件化作业程序
控制
YES
标准规定的文件化程序要求必须予以满足。
本公司按照信息安全方针的要求,建立并实施文件化的作业程序,文件化程序的控制执行《文件和资料管理程序》。
ISMS文件包括其他体系有效的文件。
ISMS-2005《文件和资料管理程序》
ISMS-4053《文件和资料控制清单》
A.10.1.2
操作更改控制
控制
YES
未加以控制的系统更改会造成系统故障和安全故障。
对信息处理设施、软件等方面
升级会员 