信息安全适用性声明

信息安全适用性声明（依据ISO27001标准）文件编号:XX-ISMS-02版本号:A/0制定日期:2016年03月01日编制：审核：批准：2016年03月01日发布2016年03月01日实施密级：内部限制XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次2OF16※管制文件禁止翻印※※※※※※※修订履历※※※※※※版本页次修订履历生效日期A/0初次发行2016.3.1XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次3OF16※管制文件禁止翻印※1.目的根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编制本程序。2.范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。3.职责与权限3.1最高管理者负责信息安全适用性声明的审批。3.2综合部负责信息安全适用性声明的编制及修订。4.相关文件a)《信息安全管理手册》5.术语定义无6.适用性声明XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次4OF16※管制文件禁止翻印※信息安全适用性声明SOAA.5信息安全方针标准条款号标题目标/控制是否选择选择理由相关文件A.5.1信息安全管理指引目标YES提供符合有关法律法规和业务需求的信息安全管理指引和支持。A.5.1.1信息安全方针控制YES信息安全方针应由管理才批准发布。《信息安全管理手册》A.5.1.2信息安全方针的评审控制YES确保方针持续的适应性。《管理评审控制程序》A.6信息安全组织标准条款号标题目标/控制是否选择选择理由相关文件A.6.1信息安全组织目标YES管理组织内部信息安全。A.6.1.1信息安全的角色和职责控制YES保持特定资产和完成特定安全过程的所有信息安全职责需确定。《信息安全管理手册》A.6.1.2职责分离控制YES分离有冲突的职责和责任范围，以减少对组织资产未经授权访问、无意修改或误用的机会。《信息安全管理手册》A.6.1.3与监管机构的联系控制YES与相关监管机构保持适当联系。《相关方服务管理程序》A.6.1.4与特殊利益团体的联系控制YES与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。《相关方服务管理程序》A.6.1.5项目管理中的信息安全控制YES实施任何项目时应考虑信息安全相关要求。《保密协议》《相关方管理程序》A.6.2移动设备和远程办公目标YES确保远程办公和使用移动设备的安全性A.6.2.1移动设备策略控制YES采取安全策略和配套的安全措施管控使用移动设备带来的风险。《信息处理设施控制程序》《计算机管理规定》《介质管理程序》A.6.2.2远程办公控制YES我司有远程访问公司少数系统的情况，需要进行安全控制。《用户访问控制程序》XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次5OF16※管制文件禁止翻印※A.7人力资源安全标准条款号标题目标/控制是否选择选择理由相关文件A.7.1聘用前目标YES确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任A.7.1.1人员筛选控制YES通过人员考察，防止人员带来的信息安全风险。《人力资源安全管理程序》A.7.1.2雇佣条款和条件控制YES履行信息安全保密协议是雇佣人员的一个基本条件。《人力资源安全管理程序》《保密协议》A.7.2聘用期间目标YES确保员工和合同方了解并履行他们的信息安全责任。A.7.2.1管理职责控制YES缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。《信息安全管理手册》《人力资源安全管理程序》A.7.2.2信息安全意识、教育和培训控制YES信息安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。《人力资源安全管理程序》A.7.2.3惩戒过程控制YES对造成安全破坏的员工应该有一个正式的惩戒过程。《信息安全惩戒管理规定》A.7.3聘用中止和变化目标YES在任用变更或中止过程保护组织利益。A.7.3.1任用终止或变更的责任控制YES应定义信息安全责任和义务在任用终止或变更后仍然有效，并向员工和合同方传达并执行。《人力资源安全管理程序》《相关方服务管理程序》A.8资产管理标准条款号标题目标/控制是否选择选择理由相关文件A.8.1资产责任目标YES对我司资产（包括顾客要求保密的数据、软件及产品）进行有效保护。A.8.1.1资产清单控制YES建立重要资产清单并实施保护。《信息安全风险评估控制程序》《重要资产清单》A.8.1.2资产责任人控制YES对所有的与信息处理设施有关的信息和资产指定“所有者”《信息安全风险评估控制程序》《资产清单》《信息处理设施控制程序》A.8.1.3资产的合理使用控制YES识别与信息系统或服务相关的资产的合理使用规则，《信息处理设施控制程序》XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次6OF16※管制文件禁止翻印※标准条款号标题目标/控制是否选择选择理由相关文件并将其文件化，并予以实施。A.8.1.4资产的归还控制YES在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织资产。《人力资源安全管理程序》《相关方服务管理程序》A.8.2信息分类目标YES我司根据信息的敏感性对信息进行分类，明确保护要求、优先权和等级，以确保对资产采取适当的保护。A.8.2.1分类指南控制YES我司的信息安全涉及信息的敏感性，适当的分类控制是必要的。《信息分类与处理指南》A.8.2.2信息标识控制YES按分类方案进行标注并规定信息处理的安全的要求。《信息分类与处理指南》A.8.2.3资产处理控制YES根据组织采用的资产分类方法制定和实施资产处理程序《信息处理设施控制程序》A.8.3介质处理目标YES防止存储在介质上的信息被非授权泄露、修改、删除或破坏。A.8.3.1可移动介质管理控制YES我司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动介质。《介质管理程序》A.8.3.2介质处置控制YES当介质不再需要时，对含有敏感信息介质采用安全的处置办法是必须。《介质管理程序》A.8.3.3物理介质传输控制YES含有信息的介质应加以保护，防止未经授权的访问、滥用或在运输过程中的损坏。《信息交换管理程序》A.9访问控制标准条款号标题目标/控制是否选择选择理由相关文件A.9.1访问控制的业务需求目标YES限制对信息和信息处理设施的访问A.9.1.1访问控制策略控制YES建立文件化的访问控制策略，并根据业务和安全要求对策略进行评审。《用户访问控制程序》A.9.1.2对网络和网络服务的访问控制YES制定策略，明确用户访问网络和网络服务的范围，防止《用户访问控制程序》XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次7OF16※管制文件禁止翻印※标准条款号标题目标/控制是否选择选择理由相关文件非授权的网络访问。A.9.2用户访问管理目标YES确保已授权用户的访问，预防对系统和服务的非授权访问。A.9.2.1用户注册和注销控制YES我司存在多用户信息系统，应建立用户登记和注销登记程序。《用户访问控制程序》A.9.2.2用户访问权限提供控制YES应有正式的用户访问分配程序，以分配和撤销对于所有信息系统及服务的访问。《用户访问控制程序》A.9.2.3特权管理控制YES应对特权帐号进行管理，特权不适当的使用会造成系统的破坏。《用户访问控制程序》A.9.2.4用户认证信息的安全管理控制YES用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。《用户访问控制程序》A.9.2.5用户访问权限的评审控制YES对用户访问权限进行评审是必要的,以防止非授权的访问。《用户访问控制程序》A.9.2.6撤销或调整访问权限控制YES在跟所有员工和承包商人员的就业合同或协议终止和调整后，应相应得删除或调整其信息和信息处理设施的访问权限。《人力资源安全管理程序》《用户访问控制程序》《相关方服务管理程序》A.9.3用户责任目标YES确保用户对认证信息的保护负责。A.9.3.1认证信息的使用控制YES应要求用户遵循组织的规则使用其认证信息。《用户访问控制程序》A.9.4系统和应用访问控制目标YES防止对系统和应用的未授权访问A.9.4.1信息访问限制控制YES我司信息访问权限是根据业务运做的需要及信息安全考虑所规定的，系统的访问功能应加以限制。《用户访问控制程序》A.9.4.2安全登录程序控制YES对操作系统的访问应有安全登录程序进行控制。《用户访问控制程序》A.9.4.3密码管理系统控制YES为减少非法访问操作系统的机会，应对密码进行管理。《用户访问控制程序》A.9.4.4特权程序的使用控制YES对特权程序的使用应严格《用户访问控制程序》XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次8OF16※管制文件禁止翻印※标准条款号标题目标/控制是否选择选择理由相关文件控制，防止恶意破坏系统安全。A.9.4.5对程序源码的访问控制控制YES对程序源代码的访问应进行限制。《软件开发安全控制程序》A.10加密技术标准条款号标题目标/控制是否选择选择理由相关文件A.10.1加密控制目标YES确保适当和有效地使用加密技术来保护信息的机密性、真实性、完整性。A.10.1.1使用加密控制的策略控制YES为保护信息，应开发并实施加密控制的使用策略《网络安全管理程序》《技术符合性管理规定》A.10.1.2密钥管理控制YES应进行密钥管理，以支持公司对密码技术的使用《网络安全管理程序》《技术符合性管理规定》《计算机管理规定》A.11物理和环境安全标准条款号标题目标/控制是否选择选择理由相关文件A.11.1安全区域目标YES防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。A.11.1.1物理安全边界控制YES我司有包含重要信息及信息处理设施的区域,应确定其安全周界对其实施保护。《安全区域控制程序》A.11.1.2物理进入控制控制YES安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。《安全区域控制程序》A.11.1.3办公室、房间及设施的安全控制YES对安全区域内的综合管理部、房间和设施应有特殊的安全要求。《安全区域控制程序》A.11.1.4防范外部和环境威胁控制YES加强我司物理安全控制，防范火灾、水灾、地震，以及其它形式的自然或人为灾害。《安全区域控制程序》A.11.1.5在安全区域工作控制YES在安全区域工作的人员只有严格遵守安全规则,才能《安全区域控制程序》《相关方服务管理程XXXXXX科技有限公司信息安全适用性声明文件编号：XX-ISMS-02版本A/0页次9OF16※管制文件禁止翻印※标准条款号标题目标/控制是否选择选择理由相关文件保证安全区域安全。序》A.11.1.6送货和装卸区控制YES对未经授权的人员可能访问到的地点进行控制，防止外来人员直接进入重要安全区域是必要的。《安全区域控制程序》A.11.2设备安全目标YES防止资产的遗失、损坏、偷窃等导致的组织业务中断。A.11.2.1设备安置及保护控制YES设备应定位和保护，防止火灾、吸烟、油污、未经授权访问等威胁。《信息处理设施控制程序》A.11.2.2支持设施控制YES对设备加以保护使其免于电力中断或者其它支持设施故障而导致的中断的影响。《信息处理设施控制程序》A.11.2.3线缆安全控制YES通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。《网络安全管理程序》A.11.2.4设备维护控制YES设备保持良好的运行状态是保持信息的完整性及可用性的基础。《信息处理设施控制程序》《计算机管理规定》A.11.2.5资产转移控制YES设备、信息、软件未经授权之前，不应将设备、信息或软件带到场所外。《信息处理设施控制程序》A.11.2.6场外设备和资产安全控制YES我司有笔记本移动设备，离开正常的办公场所应进行控制，防止其被盗窃、未经