信息安全适用性声明修改版.docx
《信息安全适用性声明修改版.docx》由会员分享,可在线阅读,更多相关《信息安全适用性声明修改版.docx(33页珍藏版)》请在冰点文库上搜索。
ISMS-2001
适用性声明
编号:
ISMS-P-2001
状态:
受控
编写:
200X年XX月XX日
审核:
200X年XX月XX日
批准:
200X年XX月XX日
发布版次:
第A/0版
200X年XX月XX日
生效日期
200X年XX月XX日
分发:
各部门(或XXX)
接受部门:
变更记录
变更日期
版本
变更说明
编写
审核
批准
2009-XX-XX
A/0
初始版本
XXX
XXX
XXX
目录
1目的与范围 4
2相关文件 4
3职责 4
4声明 4
A.5安全方针 5
A.6安全组织 5
A.7资产管理 7
A.8人力资源安全 7
A.9实物与环境安全 7
A.10通信和操作管理 7
A.11访问控制 7
A.12信息系统获取、开发和维护 7
A.13信息安全事件管理 7
A.14业务持续性管理 7
A.15符合性 7
信息安全适用性声明
1目的与范围
本声明描述了在ISO27001:
2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2相关文件
ISMS-1001《信息安全管理手册》
3职责
《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。
4声明
本公司按GB/T22080-2008idtISO/IEC27001:
2005建立信息安全管理体系。
根据公司风险评估的结果和风险可接受水平,GB/T22080-2008idtISO/IEC27001:
2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控制措施。
XXXXXX有限公司 第33页共33页
A.5安全方针
标准
条款号
标题
目标/
控制
是否
选择
选择理由
控制描述
相关文件
A.5.1
信息安全方针
目标
YES
依据业务要求和相关法律法规为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。
A.5.1.1
信息安全方针文件
控制
YES
信息安全管理实施的需要。
信息安全方针文件应由管理阶层核准,并通过培训、张贴布告于宣传栏、网站等形式公布与传达给所有聘雇人员与相关外部团体。
A.5.1.2
信息安全方针的评审与评价
控制
YES
确保方针持续的适宜性。
按照计划的时间间隔(如每年)或当重大变化发生时利用管理评审对方针的进行评审以确保它持续的适宜性、充分性和有效性,必要时对方针进行修订。
A.6安全组织
标准
条款号
标题
目标/
控制
是否
选择
选择理由
控制描述
相关文件
A.6.1
内部组织
目标
YES
建立一个有效的信息安全管理组织机构。
A.6.1.1
信息安全管理承诺
控制
YES
确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配来积极支持组织内的安全。
公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。
信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。
信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。
会议主要议题包括:
a)评审信息安全承诺;
b)确认风险评估的结果;
c)对与信息安全管理有关的重大更改事项,如组织机构调整、关键人事变动、信息系统更改等,进行决策;
e)评审与处理重大信息安全事故;
f)审批与信息安全管理有关的其他重要事项。
A.6.1.2
信息安全的协调
控制
YES
公司涉及信息安全部门众多,组织机构复杂,需要一个有效沟通与协调机制。
公司成立信息安全管理协调小组,由信息安全管理者代表、保密办以及信息安全体系内审员组成。
协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。
由保密办负责组织安排并做好会议记录。
A.6.1.3
信息安全职责的分配
控制
YES
保持特定资产和完成特定安全过程的职责需确定。
公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。
对每一项重要信息资产指定信息安全责任人。
与ISMS有关各部门的信息安全职责应予以描述,关于具体的信息安全活动的职责在程序及作业文件中予以明确。
在哪个文件里描述职责,《信息安全组织》么?
A.6.1.4
信息处理设施的授权程序
为什么在这个域中?
控制
YES
本公司有新信息处理设备(设施)使用时,实施使用授权程序。
对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,由XXX部进行技术选型,并组织验收,确保与原系统的兼容。
明确信息处理设施的使用部门接受新设施的信息安全负责人为XXX部,XXX部人员需要讲解新设施的正确使用方法。
A.6.1.5
信息安全保密性协议
控制
YES
为更好掌握信息安全的技术及听取安全方面的有益建议,需与内外部经常访问我公司信息处理设施的人员订立保密性协议。
本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员(合同方、临时员工)的安全考察与控制。
a)保密信息的形式:
标明“秘密”、“受控”字样的资料,以及相关的文件、数据、分析报告、算法、样品、实物、规格说明软盘等,未标明“秘密”、“受控”字样的即为公开文件;
b)乙方仅能够在甲方规定的范围内使用保密信息、或者向甲方书面认可的第三方披露甲方认可可披露范围内的保密信息;
c)乙方不得向其他任何第三方披露任何从甲方处收到或合法获知的保密信息。
A.6.1.6
与政府部门的联系
控制
YES
与法律实施部门、标准机构等组织保持适当的联系是必须的,以获得必要的安全管理、标准、法律法规方面的信息。
信息部就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系,其他部门与相应的政府职能部门及社会服务机构保持联系,以便及时掌握信息安全的法律法规,及时获得安全事故的预防和纠正信息,并得到相应的支持。
信息安全交流时,确保本公司的敏感信息不传给未经授权的人。
A.6.1.7
与特定利益团体的联系
控制
YES
为更好掌握信息安全的新技术及安全方面的有益建议,需获得内外部信息安全专家的建议。
本公司设内部信息安全顾问,必要时聘请外部专家,与特定利益群体保持沟通,解答有关信息安全的问题。
顾问与专家名单由本公司信息安全委员会提出,管理者代表批准。
内部信息安全顾问负责:
a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议;
b)收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员;
c)必要时,参与信息安全事故的调查工作。
A.6.1.8
信息安全的独立评审
控制
YES
为验证信息安全管理体系实施的有效性及符合性,公司定期进行内部审核,审核需要客观公正性。
信息安全管理体系的内部审核员由有审核能力和经验的人员组成(包括IT方面的专家),并接受ISMS内部审核员培训且考评合格。
内部审核员在现场审核时保持审核的独立性,并不审核自己的工作。
内审员获得授权,在审核期间不受行政的领导的限制,直接对审核组长负责。
A.6.2
外部各方
目标
YES
识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要求,并控制外部各方带来的风险。
A.6.2.1
与外部各方相关风险的识别
控制
YES
本公司存在诸如设备供应商来公司维修设备、顾客访问公司信息网络系统等第三方访问的情况,应采取必要的安全措施进行控制。
第三方物理访问须经公司被访问部门的授权,进入工作区应进行登记。
公司与长期访问的第三方签订保密协议。
访问特别安全区域时由专人陪同,第三方逻辑访问(如信息系统、数据库)应按照访问控制要求进行控制。
A.6.2.2
处理与顾客有关的安全问题
控制
YES
在正式的合同中规定必要的安全要求是必须的。
应在允许顾客访问组织的信息或资产前强调所有的安全要求。
公司与长期访问的顾客签订保密协议,明确规定信息安全要求,顾客方访问同样适用物理、逻辑访问控制措施。
A.6.2.3
处理第三方协议中的安全问题
控制
YES
与本公司存在相关服务主要有XXXXXX、XXX。
公司外包责任部门识别外包活动的风险,明确外包活动的信息安全要求,凡涉及存取、处理、通讯或管理组织的信息或信息处理设施,或在信息处理设施上附加产品或服务者,应在外包合同中明确规定信息安全要求。
A.7资产管理
标准
条款号
标题
目标/
控制
是否
选择
选择理由
控制描述
相关文件
A.7.1
资产责任
目标
YES
对本公司重要信息资产(包括顾客要求保密的数据、软件及产品)进行有效保护。
A.7.1.1
资产清单
控制
YES
公司需建立重要资产清单并实施保护。
保密办组织各部门按业务流程识别所有信息资产,根据重要信息资产判断准则确定公司的重要信息资产,形成重要信息资产清单,并明确资产负责人。
A.7.1.2
资产负责人
控制
YES
需要对重要信息处理设施有及重要信息指定责任人。
所有与信息及信息处理设施有关的资产应由组织指定相应的部门或人员负责。
如本公司保密办可以组织相关部门指定资产负责人。
A.7.1.3
资产的可接受使用
控制
YES
识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,予以实施。
制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。
使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。
并对信息资源的使用,以及发生在其责任下的使用负责。
A.7.2
信息分类
目标
YES
本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护。
A.7.2.1
分类指南
控制
YES
本公司的信息安全涉及信息的敏感性,适当的分类控制是必要的。
本公司的信息密级划分为三级(公开、受控、机密)或四级(公开、内部、机密、极其机密)。
不同密级事项的界定,由涉及秘密事项产生部门按照相应的原则进行分类。
A.7.2.2
信息的标识和处理
控制
YES
按分类方案进行标注并规定信息处理的安全的要求。
要覆盖所有物理或电子形式的信息资产,对于属于企业秘密与国家秘密的文件(无论任何媒质),密级确定部门要进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。
信息的使用、传输、存储、删除、销毁要进行控制。
A.8人力资源安全
标准
条款号
标题
目标/
控制
是否
选择
选择理由
控制描述
相关文件
A.8.1
任用之前
目标
YES
对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。
A.8.1.1
角色和职责
控制
YES
与信息安全有关的人员的安全职责必须明确规定并履行。
XX部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。
所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾客秘密)与国家秘密。
A.8.1.2
审查/筛选
控制
YES
通过人员考察,防止人员带来的信息安全风险。
XX部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。
A.8.1.3
任用条款和条件
控制
YES
履行信息安全保密协议是雇佣人员的一个基本条件。
作为劳动合同的一部分,员工、合同方和第三方用户应同意并签署他们的雇佣合同的条款。
这些条款应规定其与组织对于信息安全的职责。
A.8.2
聘用期间
控制
YES
确保所有的员工、合同方和第三方人员知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。
A.8.2.1
管理职责
控制
YES
缺乏管理职责,会使人员意识淡薄,从而对组织造成负面安全影响。
公司管理者要求员工、合作方以及第三方人员加强信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。
A.8.2.2
信息安全教育和培训
控制
YES
安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。
与ISMS有关的所有员工,有关的第三方访问者,应该接受安全意识、方针、程序的培训。
方针、程序变更后应及时传达到全体员工,确保员工安全意识的提高与有能力胜任所承担的信息安全工作。
A.8.2.3
纪律处理过程
控制
YES
对造成安全破坏的员工应该有一个正式的惩戒过程。
违背组织安全方针和程序的员工,公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行。
处罚的形式包括精神和物质两方面。
A.8.3
聘用中止或变化
目标
YES
确保员工、合作方以及第三方人员以一种有序的方式离开公司或变更聘用关系。
A.8.3.1
终止职责
控制
YES
执行工作终止或工作变化的职责应清晰的定义和分配。
在员工离职前和第三方用户完成合同时,应进行明确终止责任的沟通。
再次沟通保密协议和重申是否有竞业禁止要求等。
A.8.3.2
资产归还
目标
YES
所有员工、合作方以及第三方用户应该在聘用期限、合同或协议终止时归还所负责的所有资产。
员工离职或工作变动前,应办理资产归还手续,然后方能办理移交手续。
A.8.3.3
解除访问权
目标
YES
对所有员工、合作方以及第三方用户对信息和信息处理设施的访问权限进行管理。
员工离职或工作变动前,应解除对信息和信息处理设施访问权限,或根据变化作相应的调整。
A.9物理与环境安全
标准
条款号
标题
目标/
控制
是否
选择
选择理由
控制描述
相关文件
A.9.1
安全区域
目标
YES
防止未经授权对业务场所和信息的访问、损坏及干扰,防止保密制品丢失或被盗。
A.9.1.1
物理安全周边
控制
YES
本公司有包含重要信息处理设施的区域和储存重要信息资产及保密制品的区域,如开发办公室、机柜所在地应确定其安全周界,并对其实施保护。
本公司安全区域分为一般区域、普通安全区域和特别安全区域。
特别安全区域包括数据存储机房、配电房;普通安全区域包括开发部办公室、管理中心、档案室、其他办公区域;大堂、杂物室、洽谈室、公共会议室、接待室、员工休息区为一般区域。
保密文件存放于带锁的柜子里。
A.9.1.2
物理进入控制
控制
YES
安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。
外来人员进入公司区域要进行登记。
临时访问的第三方应在接待部门同意后,经前台登记可以进入。
进入特别安全区域须被授权,进出有记录。
员工加班也需登记。
A.9.1.3
办公室、房间和设施的安全
控制
YES
对安全区域内的办公室、房间和设施应有特殊的安全要求。
当有紧急自然灾害发生,则需要提前示警。
避免出现对办公室、房间和设施的未授权访问。
另外,对特别安全区域内的办公室和设施进行必要的控制,以防止火灾、盗窃或其它形式的危害,这些控制措施包括:
a)大厦配备有一定数量的消防设施;
b)房间装修符合消防安全的要求;
c)易燃、易爆物品严禁存放在安全区域内,并与安全区域保持一定的安全距离;
d)办公室或房间无人时,应关紧窗户,锁好门;
e)防雷击设施由大厦物管每年检测一次。
ISMS-P-2011《物理访问控制程序》
A.9.1.4
外部和环境威胁的安全保护
控制
YES
加强公司物理安全控制,防范火灾、水灾、地震,以及其它形式的自然或人为灾害。
机房设备安装在距墙、门窗有一定距离的地方。
并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施。
A.9.1.5
在安全区域工作
控制
YES
在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全。
处理敏感信息的设备不易被窥视。
除非在公司设立的专门吸烟室外,其他任何地方禁止吸烟。
公司应建立物理访问控制制度,明确规定员工在有关安全区域工作的基本安全要求,并要求员工严格遵守。
A.9.1.6
公共访问、交接区安全
控制
YES
对特别安全区域,禁止外来人员直接进入传送物资是必要的。
公司外的饮水送水人员、邮件投递人员在送水、投递过程中,不得进入普通办公室和特别安全区域。
未经授权,不允许外来人员直接进入特别安全区域提供物资。
可先存放于前台或接待室,再由行政专员搬进,以防止未经授权的访问。
ISMS-P-2011《物理访问控制程序》
A.9.2
设备安全
目标
YES
防止资产的损失、损坏或丢失及业务活动的中断。
A.9.2.1
设备的安置和保护
控制
YES
设备存在火灾、吸烟、油污、未经授权访问等威胁。
设备使用部门负责对设备进行定置管理和保护。
为降低来自环境威胁和危害的风险,减少未经授权的访问机会,特采取以下措施:
a)设备的安置,要考虑到尽可能减少对工作区不必要的访问;
b)对需要特别保护的设备加以隔离;
c)采取措施,以尽量降低盗窃、火灾、爆炸、吸烟、灰尘、震动、化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险;
d)禁止在信息处理设施附近饮食、吸烟。
A.9.2.2
支持性设施
控制
YES
供电中断或异常会给信息系统造成影响,甚至影响正常的生产作业。
大楼物业提供供电双回路线路,确保不间断供电。
由XX部负责定期监督。
A.9.2.3
布缆的安全
控制
YES
通信电缆、光缆需要进行正常的维护,以防止侦听和损坏。
对传输线路进行维护,防止线路故障。
通信电缆与电力电缆分开铺设,防止干扰。
A.9.2.4
设备维护
控制
YES
设备保持良好的运行状态是保持信息的完整性及可用性的基础。
计算机信息网络系统设备及用户计算机终端(包括笔记本电脑)。
A.9.2.5
组织场所外的设备安全
控制
YES
本公司有笔记本电脑移动设备,离开公司办公场所应进行控制,防止其被盗窃、未经授权的访问等危害的发生。
笔记本电脑在离开规定的区域时,经过部门领导授权并对其进行严格控制,防止其丢失和未经授权的访问。
A.9.2.6
设备的安全处置或再利用
控制
YES
对本公司储存有关敏感信息的设备,对其处置时应彻底清除。
含有敏感信息的设备在报废或改作他用时,由使用部门用安全的处置方法,将设备中存储的敏感信息清除并保存清除记录。
A.9.2.7
资产的迁移
控制
YES
设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。
重要信息设备、保密信息的迁移应被授权,迁移活动应被记录。
A.10通信和操作管理
标准
条款号
标题
目标/
控制
是否
选择
选择理由
控制描述
相关文件
A.10.1
操作程序和职责
目标
YES
确保信息处理设备的正确和安全使用。
A.10.1.1
文件化作业程序
控制
YES
标准规定的文件化程序要求必须予以满足。
本公司按照信息安全管理要求,对通信和操作建立规范化的操作。
A.10.1.2
变更管理
控制
YES
未加以控制的系统更改会造成系统故障和安全故障。
对信息处理设施、软件等方面的更改实施严格控制。
在更改前评估更改所带来的潜在影响,正式更改前履行更改审批手续,并采取必要的措施确保不成功更改的恢复。
A.10.1.3
责任分割
控制
YES
管理员与操作员职责应予以分配,以防止未授权的更改及误用信息或服务。
为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配:
a)网络管理系统管理职责与操作职责分离;
b)信息安全审核具有独立性。
A.10.1.4
开发、测试和运行设施分离
控制
YES
开发与操作设施应分离,以防止不期望的系统的更改或未授权的访问。
在一个独立的开发与测试环境中开发软件,并与作业设施分离。
研发和测试设备分离。
操作系统管理员与用户分离。
A.10.2
第三方服务交付管理
控制
YES
执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。
检查协议的执行情况,监控其符合性并控制相应的变化,以确保交付的服务满足第三方协议中的所有要求。
A.10.2.1
服务交付
控制
YES
确保在第三方协议中规定的安全控制、服务的交付等级。
对第三方的服务的交付,包括协议规定的安全安排、服务定义以及服务管理等方面进行管理和验收。
确保第三方保持充分的服务能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务交付的连贯性。
A.10.2.2
第三方服务的监控和评审
控制
YES
第三方提供的服务、报告以及记录应定期监控和审核,并定期进行评价。
公司应有专门的人员跟踪管理第三方服务,确保第三方分配的职责符合协议要求。
对协议要求,特别是安全要求的符合性进行监控得到充分可用的资源和技术技能支持。
A.10.2.3
第三方服务的变更管理
控制
YES
对服务提供的更改进行管理,包括保持和改进现有的信
升级会员 