ISMS103V10信息安全适用性声明S0A.docx

1、ISMS103V10信息安全适用性声明S0A密 级：内部文件编号： ISMS-1-03信息安全适用性声明SOA文档编号ISMS-1-03-V1.0文档名称信息安全适用性声明SOA编 写审 核：批 准批准日期： 修订状况章节编号章节名称修订内容简述修订日期修订前版本号批准人批准日期A.5A.15控制目标及措施控制目标及内容修改V1.0体系标准款项标题目标/控制是否选择控制描述SOC相关文件A.5安全方针A.5.1信息安全方针目标是依据业务要求和相关法律法规提供管理指导并支持信息安全A.5.1.1信息安全方针文件控制是通过制定与本公司目标一致的清晰的信息安全方针并在组织内发布和维护信息安全管理手册

2、和信息安全方针来表明对信息安全的支持和承诺。信息安全管理手册由局长批准发布。通过体系文件的培训，并在公开、醒目场所张贴体系宣传海报等方式将信息安全管理策略传达到所有职工和外部相关方。信息安全管理手册信息安全方针A.5.1.2信息安全方针的评审控制是本公司制定管理评审控制程序对信息安全方针的持续适宜性、充分性和有效性进行评审，必要时进行修订。管理评审控制程序A.6信息安全组织A.6.1内部组织目标是管理组织范围内信息安全A.6.1.1信息安全的管理承诺控制是本公司最高管理者对建立、实施、运作、监视、评审信息安全管理体系并持续改进作出承诺, 并通过一系列的活动进行验证。该承诺在信息安全管理手册中进

3、行相应描述。信息安全管理手册A.6.1.2信息安全协调控制是信息安全活动由各处室指定人员组成信息安全小组，负责组织、发起本公司信息安全管理相关会议。信息安全方针A.6.1.3信息安全职责的分配控制是管理者代表全面负责ISMS的建立、实施与持续改进工作。在本公司内设立信息安全管理组织，领导决策、管理监督和贯彻执行信息安全工作，各有关部门和人员的信息安全职责在信息安全方针中予以描述。 信息安全方针A.6.1.4信息处理设施的授权过程控制是信息处理设施(网络、软硬件设备等)的维护、管理和处置，以及新的信息处理设施(网络、软硬件设备等)的管理授权过程在物理和环境安全管理程序中进行了要求。物理和环境安全

4、管理程序A.6.1.5保密性协议控制是人事处组织新职工签订保密协议或劳动合同，明确规定职工需承担的包括保密要求在内的信息安全责任。人力资源管理程序保密协议A.6.1.6与政府部门的联系控制是组织应与政府相关部门如：上级机关、地方政府、执法部门、消防部门、公共设施部门、电信运营商等保持适当联系。同时确保组织的各项管理制度符合国家相关法律法规的相关要求。信息安全方针A.6.1.7与特定利益集团的联系控制是应保持与相关的行业协会保持适当的联系，扩大组织的信息来源，信息安全方针A.6.1.8信息安全的独立评审控制是按照计划的时间间隔或当发生重大的信息安全变化时，本公司对信息安全管理方法及其实施情况（如

5、，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审。管理评审控制程序内部审核控制程序A.6.2外部各方控制是保持组织的被外部各方访问、处理、管理或与外部进行通信的信息及信息处理设施的安全。A.6.2.1与外部各方相关风险的识别控制是本公司识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前实施适当的培训和控制，在合同或保密协议中规定访问和工作安排条款和条件，确保外部相关方意识到其义务。第三方信息安全管理程序A.6.2.2处理与顾客有关的安全问题控制是在批准顾客访问组织信息或资产前，确保已处理了所有已识别的安全要求，包括对安全区域（如机房）的

6、物理访问须经过接口部门的授权并在其陪同下进行。第三方信息安全管理程序A.6.2.3处理第三方协议中的安全问题控制是与第三方签订的协议中覆盖所有相关的安全要求。这些协议可能涉及对组织的信息数据或信息处理设施的访问、处理等。第三方信息安全管理程序A.7资产管理A.7.1对资产负责目标是实现和保持对组织资产的适当保护A.7.1.1资产清单控制是各处室依据信息资产安全管理程序，确定信息资产的分级分类和CIA属性值，编制并保持所有重要资产列表。信息资产安全管理程序A.7.1.2资产责任人控制是各处室依据信息资产安全管理程序，确定信息资产的所有者，所有信息及与信息处理设施有关的资产, 本公司指定相关处室负

7、责。信息资产安全管理程序A.7.1.3资产的可接受使用控制是信息资产安全管理程序定义了资产的分类、分级标准及处理和保护要求。信息资产安全管理程序A.7.2信息分类目标是确保信息受到适当级别的保护A.7.2.1分类指南控制是按照信息资产的价值、法律要求及对组织的敏感程度和关键程度进行分类。信息资产安全管理程序A.7.2.2信息标记和处理控制是制定一套与组织所采用的分类方案一致的信息标识和处置的程序，并实施。信息资产安全管理程序A.8人力资源安全A.8.1任用之前目标是确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适当的，以降低设施被窃、欺诈和误用的风险A.8.1.1角色和职责控

8、制是根据组织的信息安全方针，明确规定了职工、合同方和第三方用户的安全角色和职责。信息安全方针人力资源管理程序A.8.1.2审查控制是根据相关的法律、法规和道德，对所有的求职者、合同方和第三方用户进行背景验证检查，该检查本公司与业务要求、接触信息的类别及已知风险相适宜。人力资源管理程序A.8.1.3任用条款和条件控制是规定职工、合同方及第三方的聘用条款和条件，这些条款和条件规定了他们和组织对于信息安全的责任。人力资源管理程序A.8.2任用中目标是确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为出错的风险A

9、.8.2.1管理职责控制是本公司要求全体职工、合同方和第三方用户加强信息安全意识，依据建立的安全策略和程序来应用安全，本公司方针、程序变更后及时传达到全体职工。信息安全方针人力资源管理程序A.8.2.2信息安全意识、教育和培训控制是本公司对全体职工，适当时还包括合同方和第三方用户进行必要的信息安全意识培训。主管科处室通过组织实施培训，确保职工安全意识的提高与有能力胜任所承担的信息安全工作。人力资源管理程序A.8.2.3纪律处理过程控制是违背本公司安全方针和程序的职工将根据违反程度及造成的影响进行处罚，处罚需在安全破坏经过证实的情况下进行，处罚按照安全职责与考核管理规定进行。职工安全职责与考核管

10、理规定A.8.3任用的终止或变化目标是确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系A.8.3.1终止职责控制是在职工离职前和第三方人员完成合同时，本公司与其进行明确终止责任的沟通，沟通包括现行的安全要求、法规责任，并明确保密协议中的责任以及聘用条款及条件中的责任要在职工、合作方以及第三方用户聘用结束后持续一定时期有效。人力资源管理程序A.8.3.2资产的归还控制是职工离职或工作岗位变动时，本公司按人力资源管理程序办理资产归还手续，然后方能办理后续相关手续。人力资源管理程序A.8.3.3撤销访问权控制是职工离职或工作岗位变动时，本公司按人力资源管理程序、访问控制管

11、理程序解除访问权限，或根据变化作相应的调整。人力资源管理程序访问控制管理程序A.9物理和环境安全A.9.1安全区域目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。A.9.1.1物理安全周边控制是本公司依据物理和环境安全管理程序对内部人员和外部人员在机房、重要区域和办公环境（办公区/公共访问区等）等物理场所的行为进行相应的安全管理。物理和环境安全管理程序A.9.1.2物理入口控制控制是本公司对安全区域的进出进行保护，以确保只有经过授权的人员才可以访问。物理和环境安全管理程序A.9.1.3办公室、房间和设施的安全保护控制是本公司在办公环境安全管理中设计并实施了对办公室、房间和设施的保护和物

12、理安全。物理和环境安全管理程序A.9.1.4外部和环境威胁的安全防护控制是本公司对于机房和存放介质的重要场所中已设计并实施了针对火灾等自然或人为灾难的物理保护措施。物理和环境安全管理程序A.9.1.5在安全区域工作控制是本公司对于重要安全区域已设计并实施了物理保护措施。物理和环境安全管理程序A.9.1.6公共访问、交接区安全控制是本公司对于访问区域如装卸区域及其他XX人员可能进入办公场所的地点进行控制。对于重要区域，加以隔离以防止非授权的访问。物理和环境安全管理程序A.9.2设备安全目标是防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.9.2.1设备安置和保护控制是本公司对机房

13、及设备进行选址安置或保护，以减少来自环境的威胁或危害，并减少未授权访问的机会。物理和环境安全管理程序A.9.2.2支持性设施控制是本公司机房采取电力供冗余、UPS等设施降低电力中断的风险，同时通过合理配置空调等其它支持性设施以避免因为支持性设施失效所导致的中断。物理和环境安全管理程序A.9.2.3布缆安全控制是本公司采取相应措施保护电力和通讯电缆，避免因此带来的服务中断或数据泄密。为防止相互干扰，电源电缆与通信电缆分开。物理和环境安全管理程序A.9.2.4设备维护控制是法制与综合业务处依据物理和环境安全管理程序和机房管理制度负责内部设备的保养，定期巡检，并对巡检结果及时采取处理措施，以确保其持

14、续的可用性和完整性。物理和环境安全管理程序网络和系统安全管理程序服务器管理程序A.9.2.5组织场所外的设备安全控制是本公司对笔记本电脑和移动介质等离场设备进行安全防护，对在组织边界之外工作的风险进行管控。职工信息安全手册介质使用管理程序A.9.2.6设备的安全处置或再利用控制是本公司检查所有含存储介质的设备，以确保在销毁前所有敏感数据或授权软件已经被移除或安全重写。物理和环境安全管理程序介质使用管理程序A.9.2.7资产的移动控制是XX，本公司不允许将设备、信息或软件带离工作场所。职工信息安全手册A.10通信和操作管理A.10.1操作规程和责任目标是确保信息处理设备的正确和安全使用。A.10

15、.1.1文件化的操作规程控制是本公司按照信息安全方针的要求，建立并实施文件化的作业程序，具体操作规程按IT日常运行安全管理程序执行。IT日常运行安全管理程序A.10.1.2变更管理控制是对信息处理设施及系统的变更依据IT变更管理程序执行IT变更管理程序A.10.1.3责任分割控制是分离职责和区域，以降低未授权访问、无意识修改或滥用组织资产的机会. 为防止非授权的更改或误用信息或服务的机会。IT日常运行安全管理程序A.10.1.4开发、测试和运行设施分离控制是分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险。软件开发管理程序A.10.2第三方服务交付管理目标是实施和保持符合第三方

16、服务交付协议的信息安全和服务交付的适当水准A.10.2.1服务交付控制是确保第三方保持充分的服务能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务交付的连贯性。执行具体见第三方信息安全管理程序。第三方信息安全管理程序A.10.2.2第三方服务的监视和评审控制是本公司依据第三方信息安全管理程序，由各第三方接口部门负责监督、管理第三方服务交付物的质量，并定期对第三方进行评审，以保证第三方服务及交付物的质量和安全性，以确保本规定和相应保密协议等安全控制措施的落实。第三方信息安全管理程序A.10.2.3第三方服务的变更管理控制是本公司对第三方提供服务变更管理（包括保持和改进现有信息

17、安全总体方针、程序和控制措施）具体依据第三方信息安全管理程序执行。第三方信息安全管理程序A.10.3系统规划和验收目标是将系统失效的风险降至最小A.10.3.1容量管理控制是本公司对于机房容量、电力供应、网络容量、系统容量、存储和备份设备容量要求进行容量管理和规划，定期对主机系统和开放系统、业务系统、网络系统的整体性能和容量进行规划，并提交性能和容量报表，并进行分析和预测，以此作为系统扩容及优化的依据。IT日常运行安全管理程序容量管理程序A.10.3.2系统验收控制是本公司建立新的信息系统、系统升级和新版本的验收准则，并在开发过程中及接收前进行适当的系统测试。网络和系统安全管理程序A.10.4

18、防范恶意和移动代码目标是保护软件和信息的完整性A.10.4.1控制恶意代码控制是本公司实施防范恶意代码的检测、预防和恢复，以及适当提高用户安全意识的程序。病毒防治管理规定A.10.4.2控制移动代码控制是本公司对移动代码采取相应的控制措施，并对使用者进行培训，以提高使用者的安全意识。病毒防治管理规定A.10.5备份目标是保持信息和信息处理设施的完整性及可用性A.10.5.1信息备份控制是各处室确定备份策略, 制定备份策略时应考虑备份操作对系统性能的影响. 各相关部门应制定备份操作实施细则，对信息和软件进行备份并定期测试和验证。数据备份管理程序A.10.6网络安全管理目标是确保网络中信息的安全性

19、并保护支持性的基础设施A.10.6.1网络控制控制是本公司对网络进行充分的管理和控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输。网络和系统安全管理程序A.10.6.2网络服务安全控制是依据组织的安全方针和策略，识别出网络服务的安全特性、服务等级和管理要求，并将这些要求体现在相应的网络服务协议或合同中。网络和系统安全管理程序A.10.7介质处置目标是防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断A.10.7.1可移动介质的管理控制是本公司依据介质使用管理程序中有关移动存储介质管理规范的相关要求对职工使用可移动介质进行管理。介质使用管理程序A.10.7.2介质的处置

20、控制是本公司按照介质使用管理程序进行可靠的介质处置。介质使用管理程序A.10.7.3信息处理规程控制是为保护敏感信息不会因XX处理而造成泄漏或滥用, 在信息资产安全管理程序附件中对于信息资产处理与保护和流转途径进行管理。信息资产安全管理程序A.10.7.4系统文件安全控制是本公司保护系统文档免受未授权的访问。网络和系统安全管理程序访问控制管理程序A.10.8信息的交换目标是保持组织内以及与组织外信息和软件交换的安全A.10.8.1信息交换策略和规程控制是本公司建立了正式的交换策略、程序和控制，以保护通过所有类型的通讯设施交换信息的安全。职工信息安全手册A.10.8.2交换协议控制是本公司建立了

21、与外部组织之间信息和软件交换的协议，以保护内传输的信息和物理介质。职工信息安全手册A.10.8.3运输中的物理介质控制是在组织的物理边界之外进行传输的过程中，本公司保护包含信息的媒体免受未授权的访问、误用或破坏。介质使用管理程序A.10.8.4电子消息发送控制是在信息资产安全管理程序附件中对电子信息分发和流转途径进行具体要求。在职工信息安全手册中对通过电子邮件、移动介质等进行电子信息交换的行为提出安全管理要求。信息资产安全管理程序职工信息安全手册A.10.8.5业务信息系统控制是本公司的业务信息系统、办公信息系统均建立并实施相应的安全使用策略和应用管理程序，以保护与业务信息系统互联相关的信息，

22、避免系统造成的信息泄露。职工信息安全手册网络和系统安全管理程序A.10.9电子商务服务目标否确保电子商务服务的安全及其安全使用A.10.9.1电子商务不适用否本公司未开展Internet电子商务业务-A.10.9.2在线交易不适用否本公司没有在线交易业务系统-A.10.9.3公共可用信息不适用否本公司没有在可用系统中使用或者发布公共可用信息-A.10.10监视目标是检测XX的信息处理活动A.10.10.1审计记录控制是本公司产生记录用户活动、信息安全事件等日志，并按照约定的期限进行保留，以支持将来的调查和访问控制监视IT日常运行安全管理程序A.10.10.2监视系统的使用控制是系统运行管理部门

23、应定期对监控系统的输出日志和报警信息进行审核，如果发现报警信息或异常信息，应及时报告和处理。IT日常运行安全管理程序A.10.10.3日志信息的保护控制是IT日常运行安全管理程序规定要求对日志设施和日志信息进行保护，免受破坏和未授权的访问。IT日常运行安全管理程序A.10.10.4管理员和操作员日志控制是IT日常运行安全管理程序规定管理员和操作员的日志包括事情（成功或失败）发生的时间、事情的有关信息（如：操作的文件）或故障信息（如：发生的故障及采取的纠正活动）、涉及哪一个账号以及哪一个管理员或操作员等信息等。系统运行管理部门定期审核系统管理员和操作员日志。IT日常运行安全管理程序A.10.10

24、.5故障日志控制是本公司系统运行部门定期监控日志及报警如果发现报警信息或异常信息，应及时报告和处理。本公司定期记录并分析故障错误日志，并采取适当的措施进行处理，对处理过程和结果进行跟踪。IT日常运行安全管理程序信息安全事件管理程序A.10.10.6时钟同步控制是本公司对于业务环境中的设备、系统均采取系统时钟同步措施，以保证系统的可追溯性，同时避免由于时钟未同步而导致问题或故障。IT日常运行安全管理程序A.11访问控制A.11.1访问控制的业务要求目标是控制对信息的访问A.11.1.1访问控制策略控制是本公司建立文件化的访问控制策略，并根据对访问的业务和安全要求进行评审。访问控制管理程序A.11

25、.2用户访问管理目标是确保授权用户能够访问信息系统，并防止XX的访问A.11.2.1用户注册控制是本公司依据访问控制管理程序进行用户注册和解除注册管理，以允许和撤销对于所有信息系统和服务的访问。访问控制管理程序A.11.2.2特殊权限管理控制是本公司依据访问控制管理程序进行特权帐户使用和分配管理。访问控制管理程序A.11.2.3用户口令管理 控制是本公司依据访问控制管理程序进行并建立正式的管理流程控制口令的分配。访问控制管理程序A.11.2.4用户访问权的复查控制是本公司依据访问控制管理程序，按照规定的时间间隔通过正式的流程对用户的访问权限进行检查和评审。访问控制管理程序A.11.3用户责任目

26、标是防止未授权用户对信息和信息处理设施的访问、损害或窃取A.11.3.1口令使用控制是本公司要求用户在选择和使用口令时严格按照本公司规定执行，并应具有良好的安全意识。访问控制管理程序职工信息安全手册A.11.3.2无人值守的用户设备控制是本公司在职工信息安全手册中规定无人值守设备的责任人应采取合理的安全措施保护该设备，以避免未授权使用和入侵。访问控制管理程序职工信息安全手册A.11.3.3清空桌面和屏幕策略控制是本公司依据职工信息安全手册介质使用管理程序要求对桌面清理和移动介质的使用进行管理，并要求职工在离开座位或办公PC时应及时锁屏。职工信息安全手册介质使用管理程序A.11.4网络访问控制目标是防止对网络服务的未授权访问A.11.4.1使用网络服务的策略控制是本公司只允许合法用户访问经过明确授权使用的服务。网络和系统安全管理程序职工信息安全手册A.11.4.2外部连接的用户鉴别控制是外部连接的用户登录访问时，本公司采用高强度的口令方式或VPN等方式进行身份鉴别。网络和系统安全管理程序职工信息安全手册A.11.4.3网络上的设备标识控制是本公司考虑将自动设备识别作为鉴别特定区域和连接鉴别的方法。网络和系统安全管理程序A.11.4.4远程诊断和配置端口的保护控制是