信息安全适用性声明SOA

编制:审核:批准:发布日期:实施日期:苏州XXXX有限公司--------------------------------------------------------------------------------------------------------------------------------苏州XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。密级：敏感文档编号：ISMS-A-02信息安全适用性声明SOA版本号：V1.0信息安全适用性声明SOA日期版本号修订说明修订人审核人批准人修订履历苏州XXXXXX有限公司文件编号ISMS-A-02文件版次V1.0密级敏感信息安全适用性声明SOA1.目的2.范围3.适用性声明A.5A.5.1A.5.1.1信息安全方针文件信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。信息安全方针(KONJE-A-04.01信息安全管理体系方针.doc)信息安全目标(KONJE-A-03信息安全目标.doc)A.5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。管理评审程序(KONJE-B-07管理评审程序.doc)　为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。　本程序适用于公司范围内的系统软件及应用软件的设计、开发、生产和服务，计算机及网络设备的技术服务运行。涉及文件和记录，或不选择的理由安全方针信息安全方针依据业务要求和相关法律法规提供管理指导并支持信息安全。条款名称目标控制措施受控文件3/18苏州XXXXXX有限公司文件编号ISMS-A-02文件版次V1.0密级敏感信息安全适用性声明SOAA.6A.6.1A.6.1.1信息安全的管理承诺管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。信息安全方针(KONJE-A-04.01信息安全管理体系方针.doc)公司组织结构图(KONJE-A-04.01信息安全管理体系方针.doc)信息安全管理手册(KONJE-A-01信息安全管理手册.doc)职能分配表(KONJE-A-04.02职能分配表.doc)A.6.1.2信息安全协调信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。信息安全方针(KONJE-A-04.01信息安全管理体系方针.doc)公司组织结构图(KONJE-A-04.01信息安全管理体系方针.doc)信息安全管理手册(KONJE-A-01信息安全管理手册.doc)职能分配表(KONJE-A-04.02职能分配表.doc)A.6.1.3信息安全职责的分配所有的信息安全职责应予以清晰地定义。信息安全管理手册(KONJE-A-01信息安全管理手册.doc)职能分配表(KONJE-A-04.02职能分配表.doc)A.6.1.4信息处理设施的授权过程新信息处理设施应定义和实施一个管理授权过程。信息处理设施安装使用管理程序(KONJE-B-30信息处理设施安装使用管理程序.doc)A.6.1.5保密性协议应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。信息资源保密策略(KONJE-A-04.03信息资源保密策略.doc)员工保密守则(KONJE-C-11员工保密守则.doc，KONJE-D-103员工保密协议.doc)A.6.1.6与政府部门的联系应保持与政府相关部门的适当联系。政府部门联系表(KONJE-D-118机构联系名单.xls)A.6.1.7与特定权益团体的联系应保持与特定权益团体、其他安全专家组和专业的协会的适当联系。利益团体联系表(KONJE-D-118机构联系名单.xls)A.6.1.8信息安全的独立评审组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。管理评审程序(KONJE-B-07管理评审程序.doc)A.6.2A.6.2.1与外部各方相关风险的识别应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制。网络访问策略(KONJE-A-04.04网络访问策略.doc)访问控制策略(KONJE-A-04.05访问控制策略.doc)物理访问策略(KONJE-A-04.06物理访问策略.doc)第三方服务管理程序(KONJE-A-04.07第三方访问策略.doc)用户访问管理程序(KONJE-B-29用户访问管理程序.doc)前台业务管理规定外部各方保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。信息安全组织内部组织在组织内部管理信息安全受控文件4/18苏州XXXXXX有限公司文件编号ISMS-A-02文件版次V1.0密级敏感信息安全适用性声明SOAA.6.2.2处理与顾客有关的安全问题应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。网络访问策略(KONJE-A-04.04网络访问策略.doc)访问控制策略(KONJE-A-04.05访问控制策略.doc)物理访问策略(KONJE-A-04.06物理访问策略.doc)第三方服务管理程序(KONJE-A-04.07第三方访问策略.doc)用户访问管理程序(KONJE-B-29用户访问管理程序.doc)前台业务管理规定A.6.2.3处理第三方协议中的安全问题涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。第三方服务管理程序(KONJE-A-04.07第三方访问策略.doc)用户访问管理程序(KONJE-B-29用户访问管理程序.doc)相关方信息安全协议（KONJE-D-087相关方保密协议）保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。受控文件5/18苏州XXXXXX有限公司文件编号ISMS-A-02文件版次V1.0密级敏感信息安全适用性声明SOAA.7A.7.1A.7.1.1资产清单应清晰的识别所有资产，编制并维护所有重要资产的清单。信息分类管理程序(KONJE-B-08信息分类管理程序.doc)A.7.1.2资产责任人与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。信息处理设施安装使用管理程序(KONJE-B-30信息处理设施安装使用管理程序.doc)A.7.1.3资产的允许使用与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。便携式计算机安全策略信息处理设施安装使用管理程序(KONJE-B-30信息处理设施安装使用管理程序.doc)互联网使用准则电子邮件使用准则(KONJE-C-05电子邮件使用准则.doc)A.7.2A.7.2.1分类指南信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。商业秘密管理程序(KONJE-B-09商业秘密管理程序.doc)A.7.2.2信息的标记和处理应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。计算机管理程序(KONJE-B-25计算机管理程序.doc)商业秘密管理程序(KONJE-B-09商业秘密管理程序.doc)对资产负责资产管理信息分类实现和保持对组织资产的适当保护确保信息受到适当级别的保护受控文件6/18苏州XXXXXX有限公司文件编号ISMS-A-02文件版次V1.0密级敏感信息安全适用性声明SOAA.8A.8.1A.8.1.1角色和职责雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。信息安全方针(KONJE-A-04.01信息安全管理体系方针.doc)公司岗位职责A.8.1.2审查关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。员工聘用管理程序(KONJE-B-17员工聘用管理程序.doc)A.8.1.3任用条款和条件作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。员工聘用管理程序(KONJE-B-17员工聘用管理程序.doc)A.8.2A.8.2.1管理职责管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。第三方访问策略(KONJE-A-04.07第三方访问策略.doc)雇员访问策略(KONJE-A-04.08雇员访问策略.doc)公司岗位职责A.8.2.2信息安全意识、教育和培训组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。员工培训管理程序(KONJE-B-18员工培训管理程序.doc)信息安全事件管理程序(KONJE-B-15信息安全事件管理程序.doc)A.8.2.3纪律处理过程对于安全违规的雇员，应有一个正式的纪律处理过程。信息安全奖惩管理程序(KONJE-B-16信息安全奖惩管理程序.doc)A.8.3A.8.3.1终止职责任用终止或任用变化的职责应清晰的定义和分配。员工离职、职务变动管理程序(KONJE-B-19员工离职管理程序.doc)A.8.3.2资产的归还所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。员工离职、职务变动管理程序(KONJE-B-19员工离职管理程序.doc)A.8.3.3撤销访问权所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。员工离职、职务变动管理程序(KONJE-B-19员工离职管理程序.doc)任用中任用之前人力资源安全确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。任用的终止或变化受控文件7/18苏州XXXXXX有限公司文件编号ISMS-A-02文件版次V1.0密级敏感信息安全适用性声明SOAA.9A.9.1A.9.1.1物理安全边界应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。安全区域管理程序(KONJE-B-22安全区域管理程序.doc)门禁系统管理程序(KONJE-B-23门禁系统管理程序.doc)重要安全区域控制方案A.9.1.2物理入口控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。安全区域管理程序(KONJE-B-22安全区域管理程序.doc)门禁系统管理程序(KONJE-B-23门禁系统管理程序.doc)重要安全区域控制方案A.9.1.3办公室、房间和设施的安全保护应为办公室、房间和设施设计并采取物理安全措施。安全区域管理程序(KONJE-B-22安全区域管理程序.doc)A.9.1.4外部和环境威胁的安全防护为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。安全区域管理程序(KONJE-B-22安全区域管理程序.doc)A.9.1.5在安全区域工作应设计和运用用于安全区域工作的物理保护和指南。安全区域管理程序(KONJE-B-22安全区域管理程序.doc)A.9.1.6公共访问、交接区安全访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，要与信息处理设施隔离，以避免未授权访问。安全区域管理程序(KONJE-B