信息安全適用性聲明

1、XXXXXX科技有限公司信息安全適用性聲明 文件編號：XX-ISMS-02版本 A/0頁次 17 OF 17 密級：內(nèi)部限制信息安全適用性聲明（依據(jù)ISO27001標準）文件編號: XX-ISMS-02 版 本 號: A/0 制定日期: 2016年03月01日 編制： 審核： 批準： 2016年03月01日發(fā)布 2016年03月01日實施 修 訂 履 歷 版本頁次修 訂 履 歷生效日期A/0初次發(fā)行2016.3.11. 目的根據(jù)ISO/IEC27001:2013標準和公司實際管理需要，確定標準各條款對公司的適用性，特編制本程序。2. 范圍適用于對ISO/IEC27001:2013標準于本公司的

2、適用性管理。3. 職責與權(quán)限3.1最高管理者負責信息安全適用性聲明的審批。3.2綜合部負責信息安全適用性聲明的編制及修訂。4. 相關(guān)文件a) 信息安全管理手冊5. 術(shù)語定義無 6. 適用性聲明信息安全適用性聲明SOAA.5信息安全方針標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.5.1信息安全管理指引目標YES提供符合有關(guān)法律法規(guī)和業(yè)務需求的信息安全管理指引和支持。A.5.1.1信息安全方針控制YES信息安全方針應由管理才批準發(fā)布。信息安全管理手冊A.5.1.2信息安全方針的評審控制YES確保方針持續(xù)的適應性。管理評審控制程序A.6信息安全組織標準條款號標 題目標/控制是否

3、選擇選 擇 理 由相 關(guān) 文 件A.6.1信息安全組織目標YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色和職責控制YES保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責需確定。信息安全管理手冊A.6.1.2職責分離控制YES分離有沖突的職責和責任范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機會。信息安全管理手冊A.6.1.3與監(jiān)管機構(gòu)的聯(lián)系控制YES與相關(guān)監(jiān)管機構(gòu)保持適當聯(lián)系。相關(guān)方服務管理程序A.6.1.4與特殊利益團體的聯(lián)系控制YES與特殊利益團體、其他專業(yè)安全協(xié)會或行業(yè)協(xié)會應保持適當聯(lián)系。相關(guān)方服務管理程序A.6.1.5項目管理中的信息安全控制YES實施任何項目時應考慮

4、信息安全相關(guān)要求。保密協(xié)議相關(guān)方管理程序A.6.2 移動設(shè)備和遠程辦公目標YES確保遠程辦公和使用移動設(shè)備的安全性A.6.2.1移動設(shè)備策略控制YES采取安全策略和配套的安全措施管控使用移動設(shè)備帶來的風險。信息處理設(shè)施控制程序計算機管理規(guī)定介質(zhì)管理程序A.6.2.2遠程辦公控制YES我司有遠程訪問公司少數(shù)系統(tǒng)的情況，需要進行安全控制。用戶訪問控制程序A.7 人力資源安全標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.7.1 聘用前目標YES確保員工、合同方人員適合他們所承擔的角色并理解他們的安全責任A.7.1.1人員篩選控制YES通過人員考察，防止人員帶來的信息安全風險。人力

5、資源安全管理程序A.7.1.2雇傭條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。人力資源安全管理程序保密協(xié)議A.7.2聘用期間目標YES確保員工和合同方了解并履行他們的信息安全責任。A.7.2.1管理職責控制YES缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。信息安全管理手冊人力資源安全管理程序A.7.2.2信息安全意識、教育和培訓控制YES信息安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理工作的前提。人力資源安全管理程序A.7.2.3懲戒過程控制YES對造成安全破壞的員工應該有一個正式的懲戒過程。信息安全懲戒管理規(guī)定A.7.3聘用中止和變化目標YES在任

6、用變更或中止過程保護組織利益。A.7.3.1任用終止或變更的責任控制YES應定義信息安全責任和義務在任用終止或變更后仍然有效，并向員工和合同方傳達并執(zhí)行。人力資源安全管理程序相關(guān)方服務管理程序A.8資產(chǎn)管理標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.8.1資產(chǎn)責任目標YES對我司資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進行有效保護。A.8.1.1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實施保護。信息安全風險評估控制程序重要資產(chǎn)清單A.8.1.2資產(chǎn)責任人控制YES對所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定“所有者”信息安全風險評估控制程序資產(chǎn)清單信息處理設(shè)施控制程序A.8.

7、1.3資產(chǎn)的合理使用控制YES識別與信息系統(tǒng)或服務相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并予以實施。信息處理設(shè)施控制程序A.8.1.4資產(chǎn)的歸還控制YES在勞動合同或協(xié)議終止后，所有員工和外部方人員應退還所有他們持有的組織資產(chǎn)。人力資源安全管理程序相關(guān)方服務管理程序A.8.2信息分類目標YES我司根據(jù)信息的敏感性對信息進行分類，明確保護要求、優(yōu)先權(quán)和等級，以確保對資產(chǎn)采取適當?shù)谋Ｗo。A.8.2.1分類指南控制YES我司的信息安全涉及信息的敏感性，適當?shù)姆诸惪刂剖潜匾?。信息分類與處理指南A.8.2.2信息標識控制YES按分類方案進行標注并規(guī)定信息處理的安全的要求。信息分類與處理指南A.8.2

8、.3資產(chǎn)處理控制YES根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程序信息處理設(shè)施控制程序A.8.3 介質(zhì)處理目標YES防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除或破壞。A.8.3.1可移動介質(zhì)管理控制YES我司存在含有敏感信息的磁盤、磁帶、光盤、打印報告等可移動介質(zhì)。介質(zhì)管理程序A.8.3.2介質(zhì)處置控制YES當介質(zhì)不再需要時，對含有敏感信息介質(zhì)采用安全的處置辦法是必須。介質(zhì)管理程序A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應加以保護，防止未經(jīng)授權(quán)的訪問、濫用或在運輸過程中的損壞。信息交換管理程序A.9 訪問控制標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.9

9、.1訪問控制的業(yè)務需求目標YES限制對信息和信息處理設(shè)施的訪問A.9.1.1訪問控制策略控制YES建立文件化的訪問控制策略，并根據(jù)業(yè)務和安全要求對策略進行評審。用戶訪問控制程序A.9.1.2對網(wǎng)絡和網(wǎng)絡服務的訪問控制YES制定策略，明確用戶訪問網(wǎng)絡和網(wǎng)絡服務的范圍，防止非授權(quán)的網(wǎng)絡訪問。用戶訪問控制程序A.9.2用戶訪問管理目標YES確保已授權(quán)用戶的訪問，預防對系統(tǒng)和服務的非授權(quán)訪問。A.9.2.1用戶注冊和注銷控制YES我司存在多用戶信息系統(tǒng)，應建立用戶登記和注銷登記程序。用戶訪問控制程序A.9.2.2用戶訪問權(quán)限提供控制YES應有正式的用戶訪問分配程序，以分配和撤銷對于所有信息系統(tǒng)及服務的

10、訪問。用戶訪問控制程序A.9.2.3特權(quán)管理控制YES應對特權(quán)帳號進行管理，特權(quán)不適當?shù)氖褂脮斐上到y(tǒng)的破壞。用戶訪問控制程序A.9.2.4用戶認證信息的安全管理控制YES用戶鑒別信息的權(quán)限分配應通過一個正式的管理過程 進行安全控制。用戶訪問控制程序A.9.2.5用戶訪問權(quán)限的評審控制YES對用戶訪問權(quán)限進行評審是必要的,以防止非授權(quán)的訪問。用戶訪問控制程序A.9.2.6撤銷或調(diào)整訪問權(quán)限控制YES在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終止和調(diào)整后，應相應得刪除或調(diào)整其信息和信息處理設(shè)施 的訪問權(quán)限。人力資源安全管理程序用戶訪問控制程序相關(guān)方服務管理程序A.9.3 用戶責任目標YES確保用戶

11、對認證信息的保護負責。A.9.3.1認證信息的使用控制YES應要求用戶遵循組織的規(guī)則使用其認證信息。用戶訪問控制程序A.9.4 系統(tǒng)和應用訪問控制目標YES防止對系統(tǒng)和應用的未授權(quán)訪問A.9.4.1信息訪問限制控制YES我司信息訪問權(quán)限是根據(jù)業(yè)務運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應加以限制。用戶訪問控制程序A.9.4.2安全登錄程序控制YES對操作系統(tǒng)的訪問應有安全登錄程序進行控制。用戶訪問控制程序A.9.4.3密碼管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機會，應對密碼進行管理。用戶訪問控制程序A.9.4.4特權(quán)程序的使用控制YES對特權(quán)程序的使用應嚴格控制，防止惡意破壞系統(tǒng)安

12、全。用戶訪問控制程序A.9.4.5對程序源碼的訪問控制控制YES對程序源代碼的訪問應進行限制。軟件開發(fā)安全控制程序A.10 加密技術(shù)標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.10.1 加密控制目標YES確保適當和有效地使用加密技術(shù)來保護信息的機密性、真實性、完整性。A.10.1.1使用加密控制的策略控制YES為保護信息，應開發(fā)并實施加密控制的使用策略網(wǎng)絡安全管理程序技術(shù)符合性管理規(guī)定A.10.1.2密鑰管理控制YES應進行密鑰管理，以支持公司對密碼技術(shù)的使用網(wǎng)絡安全管理程序技術(shù)符合性管理規(guī)定計算機管理規(guī)定A.11物理和環(huán)境安全標準條款號標 題目標/控制是否選擇選 擇 理

13、 由相 關(guān) 文 件A.11.1 安全區(qū)域目標YES防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要信息及信息處理設(shè)施的區(qū)域,應確定其安全周界對其實施保護。安全區(qū)域控制程序A.11.1.2物理進入控制控制YES安全區(qū)域進入應經(jīng)過授權(quán),未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。安全區(qū)域控制程序A.11.1.3辦公室、房間及設(shè)施的安全控制YES對安全區(qū)域內(nèi)的綜合管理部、房間和設(shè)施應有特殊的安全要求。安全區(qū)域控制程序A.11.1.4防范外部和環(huán)境威脅控制YES加強我司物理安全控制，防范火災、水災、地震，以及其它形式的自然或人為災害。安全區(qū)域

14、控制程序A.11.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴格遵守安全規(guī)則,才能保證安全區(qū)域安全。安全區(qū)域控制程序相關(guān)方服務管理程序A.11.1.6送貨和裝卸區(qū)控制YES對未經(jīng)授權(quán)的人員可能訪問到的地點進行控制，防止外來人員直接進入重要安全區(qū)域是必要的。安全區(qū)域控制程序A.11.2 設(shè)備安全目標YES防止資產(chǎn)的遺失、損壞、偷竊等導致的組織業(yè)務中斷。A.11.2.1設(shè)備安置及保護控制YES設(shè)備應定位和保護，防止火災、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。信息處理設(shè)施控制程序A.11.2.2支持設(shè)施控制YES對設(shè)備加以保護使其免于電力中斷或者其它支持設(shè)施故障而導致的中斷的影響。信息處理設(shè)施

15、控制程序A.11.2.3線纜安全控制YES通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。網(wǎng)絡安全管理程序A.11.2.4設(shè)備維護控制YES設(shè)備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。信息處理設(shè)施控制程序計算機管理規(guī)定A.11.2.5資產(chǎn)轉(zhuǎn)移控制YES設(shè)備、信息、軟件未經(jīng)授權(quán)之前，不應將設(shè)備、信息或軟件帶到場所外。信息處理設(shè)施控制程序A.11.2.6場外設(shè)備和資產(chǎn)安全控制YES我司有筆記本移動設(shè)備，離開正常的辦公場所應進行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生。信息處理設(shè)施控制程序計算機管理規(guī)定介質(zhì)管理程序A.11.2.7設(shè)備報廢或重用控制YES對我司儲存有關(guān)敏感信息的

16、設(shè)備，如服務器、硬盤，對其處置和再利用應將其信息清除。信息處理設(shè)施控制程序介質(zhì)管理程序A.11.2.8無人值守的設(shè)備控制YES確保無人值守設(shè)備得到足夠的保護。計算機管理規(guī)定A.11.2.9桌面清空及清屏策略控制YES不實行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。計算機管理規(guī)定A.12操作安全標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.12.1 操作程序及職責目標YES確保信息處理設(shè)備的正確和安全使用。A.12.1.1文件化操作程序控制YES作業(yè)程序應該文件化，并在需要時可用。文件控制程序A.12.1.2變更管理控制YES未加以控制的信息處理設(shè)備和

17、系統(tǒng)更改會造成系統(tǒng)故障和安全故障。信息處理設(shè)施控制程序變更控制程序A.12.1.3容量管理控制YES為避免因系統(tǒng)容量不足導致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須的。信息安全監(jiān)控管理規(guī)定A.12.1.4開發(fā)、測試與運行環(huán)境的分離控制YES我司設(shè)有研發(fā)部門，應分離開發(fā)、測試和運營設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風險軟件開發(fā)安全控制程序A.12.2 防范惡意軟件目標YES確保對信息和信息處理設(shè)施的保護，防止惡意軟件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存在的，應實施惡意代碼的監(jiān)測、預防和恢復控制，以及適當?shù)挠脩粢庾R培訓的程序。防病毒管理規(guī)定A.12.3 備份目標Y

18、ES防止數(shù)據(jù)丟失A.12.3.1數(shù)據(jù)備份控制YES對重要信息和軟件定期備份是必須的，以防止信息和軟件的丟失和不可用，及支持業(yè)務可持續(xù)性。數(shù)據(jù)備份管理程序A.12.4 日志記錄和監(jiān)控目標YES記錄事件和生成的證據(jù)A.12.4.1事件日志控制YES為訪問監(jiān)測提供幫助，建立事件日志(審核日志)是必須的。信息安全監(jiān)控管理規(guī)定A.12.4.2日志信息保護控制YES日志記錄設(shè)施以及日志信息應該被保護，防止被篡改和未經(jīng)授權(quán)的訪問。信息安全監(jiān)控管理規(guī)定A.12.4.3管理員和操作者日志控制YES應根據(jù)需要，記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。信息安全監(jiān)控管理規(guī)定A.12.4.4時鐘同步控制YES實施時鐘同步，是

19、生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需要。信息安全監(jiān)控管理規(guī)定A.12.5 運營中軟件控制目標YES確保運營中系統(tǒng)的完整性。A.12.5.1運營系統(tǒng)的軟件安裝控制YES應建立程序?qū)\營中的系統(tǒng)的軟件安裝進行控制。軟件控制程序A.12.6技術(shù)漏洞管理目標YES防止技術(shù)漏洞被利用。A.12.6.1管理技術(shù)薄弱點控制YES及時獲得正在使用信息系統(tǒng)的技術(shù)薄弱點的相關(guān)信息，應評估對這些薄弱點的暴露程度，并采取適當?shù)姆椒ㄌ幚硐嚓P(guān)風險。技術(shù)薄弱點控制程序A.12.6.2限制軟件安裝控制YES應建立和實施用戶軟件安裝規(guī)則。軟件控制程序A.12.7 信息系統(tǒng)審計的考慮因素目標YES最小化審計活動對系統(tǒng)運營影響。A.12.

20、7.1信息系統(tǒng)審核控制控制YES應謹慎策劃對系統(tǒng)運行驗證所涉及的審核要求和活動 并獲得許可，以最小化中斷業(yè)務過程。內(nèi)部審核控制程序A.13通信安全標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.13.1 網(wǎng)絡安全管理目標YES確保網(wǎng)絡及信息處理設(shè)施中信息的安全。A.13.1.1網(wǎng)絡控制控制YES應對網(wǎng)絡進行管理和控制，以保護系統(tǒng)和應用程序的信息。網(wǎng)絡安全管理程序變更控制程序A.13.1.2網(wǎng)絡服務安全控制YES應識別所有網(wǎng)絡服務的安全機制、服務等級和管理要求，并包括在網(wǎng)絡服務協(xié)議中，無論這種服務是由內(nèi)部提供的還是外包的。網(wǎng)絡安全管理程序A.13.1.3網(wǎng)絡隔離控制YES應在網(wǎng)

21、絡中按組隔離信息服務、用戶和信息系統(tǒng)。網(wǎng)絡安全管理程序A.13.2 信息交換目標YES確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?。A.13.2.1信息交換策略和程序控制YES應建立正式的傳輸策略、程序和控制，以保護通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒌陌踩?。信息交換管理程序A.13.2.2信息交換協(xié)議控制YES建立組織和外部各方之間的業(yè)務信息的安全傳輸協(xié)議。信息交換管理程序A.13.2.3電子消息控制YES應適當保護電子消息的信息。信息交換管理程序A.13.2.4保密或不披露協(xié)議控制YES應制定并定期評審組織的信息安全保密協(xié)議或不披露協(xié)議，該協(xié)議應反映織對信息保護的要求。保密協(xié)議相關(guān)方管理程序A.

22、14系統(tǒng)的獲取、開發(fā)及維護標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.14.1信息系統(tǒng)安全需求目標YES確保信息安全成為信息系統(tǒng)整個生命周期的組成部分，包括通過公共網(wǎng)絡提供服務的信息系統(tǒng)的要求。A.14.1.1信息安全需求分析和規(guī)范控制YES新建信息系統(tǒng)或增強現(xiàn)有信息系統(tǒng)的需求中應包括信息安全相關(guān)的要求。網(wǎng)絡安全管理程序技術(shù)符合性管理規(guī)定A.14.1.2公共網(wǎng)絡應用服務的安全控制YES應保護流經(jīng)公共網(wǎng)絡的應用服務信息，以防止欺詐、 合同爭議、未授權(quán)的泄漏和修改。網(wǎng)絡安全管理程序A.14.1.3保護應用服務控制YES應保護應用服務傳輸中的信息，以防止不完整的傳輸、路由錯誤、

23、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復制和重放。網(wǎng)絡安全管理程序A.14.2開發(fā)和支持過程的安全目標YES確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安全。A.14.2.1開發(fā)的安全策略控制YES應對軟件開發(fā)及系統(tǒng)建設(shè)的安全需求進行規(guī)范管理。軟件開發(fā)安全控制程序A.14.2.2系統(tǒng)變更控制程序控制YES為防止未授權(quán)或不充分的更改，導致系統(tǒng)故障與中斷，需要實施嚴格更改控制。變更控制程序A.14.2.3操作平臺變更后的技術(shù)評審控制YES操作系統(tǒng)的不充分更改對應用系統(tǒng)會造成嚴重的影響。變更控制程序A.14.2.4軟件包變更限制控制YES不鼓勵對軟件包進行變更，對必要的更改需嚴格控制。變更控制程

24、序A.14.2.5安全系統(tǒng)工程原則控制YES應建立、文件化、維護和應用安全系統(tǒng)工程原則，并應用于任何信息系統(tǒng)工程。軟件開發(fā)安全控制程序A.14.2.6開發(fā)環(huán)境安全控制YES在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中， 應建立并妥善保障開發(fā)環(huán)境的安全。軟件開發(fā)安全控制程序A.14.2.7外包開發(fā)控制NO公司暫無軟件外包過程。A.14.2.8系統(tǒng)安全測試控制YES在開發(fā)過程中，應進行安全性的測試。軟件開發(fā)安全控制程序A.14.2.9系統(tǒng)驗收測試控制YES應建立新信息系統(tǒng)、系統(tǒng)升級及新版本的驗收測試程序和相關(guān)準則。軟件開發(fā)安全控制程序A.14.3 測試數(shù)據(jù)目標YES確保測試數(shù)據(jù)安全。A.14.3.

25、1測試數(shù)據(jù)的保護控制YES應謹慎選擇測試數(shù)據(jù)，并加以保護和控制。軟件開發(fā)安全控制程序A.15供應商關(guān)系標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.15.1 供應商關(guān)系的信息安全目標YES確保組織被供應商訪問的信息的安全。A.15.1.1供應商關(guān)系的信息安全策略控制YES為降低供應商使用組織的資產(chǎn)相關(guān)的風險，應與供應商簽署安全要求的文件協(xié)議。保密協(xié)議A.15.1.2在供應商協(xié)議中強調(diào)安全控制YES與每個供應商簽訂的協(xié)議中應覆蓋所有相關(guān)的安全要求。如可能涉及對組織的 IT 基礎(chǔ)設(shè)施組件、信息的訪 問、處理、存儲、溝通。保密協(xié)議A.15.1.3信息和通信技術(shù)的供應鏈控制YES供

26、應商協(xié)議應包括信息、通信技術(shù)服務和產(chǎn)品供應鏈的相關(guān)信息安全風險。保密協(xié)議A.15.2 供應商服務交付管理目標YES保持符合供應商協(xié)議的信息安全和服務交付水平。A.15.2.1供應商服務的監(jiān)督和評審控制YES組織應定期監(jiān)督、評審和審核供應商的服務交付。相關(guān)方服務管理程序A.15.2.2供應商服務的變更管理控制YES應管理供應商服務的變更，包括保持和改進現(xiàn)有信息安全策略、程序和控制措施，考慮對業(yè)務信息、系統(tǒng)、 過程的關(guān)鍵性和風險的再評估。相關(guān)方服務管理程序 A.16 通信安全事件管理標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.16.1 信息安全事件的管理和改進目標YES確保網(wǎng)

27、絡及信息處理設(shè)施中信息的安全。A.16.1.1職責和程序控制YES應建立管理職責和程序，以快速、有效和有序的響應信息安全事件。信息安全事件管理程序A.16.1.2報告信息安全事態(tài)控制YES應通過適當?shù)墓芾硗緩奖M快報告信息安全事態(tài)。信息安全事件管理程序A.16.1.3報告信息安全弱點控制YES應要求使用組織信息系統(tǒng)和服務的員工和承包商注意并報告系統(tǒng)或服務中任何已發(fā)現(xiàn)或疑似的信息安全弱點。信息安全事件管理程序技術(shù)薄弱點的控制程序A.16.1.4評估和決策信息安全事件控制YES應評估信息安全事件，以決定其是否被認定為信息安全事故。信息安全事件管理程序A.16.1.5響應信息安全事故控制YES應按照文

28、件化程序響應信息安全事故。信息安全事件管理程序A.16.1.6從信息安全事故中學習控制YES分析和解決信息安全事故獲得的知識應用來減少未來事故的可能性或影響。信息安全事件管理程序A.16.1.7收集證據(jù)控制YES組織應建立和采取程序，識別、收集、采集和保存可以作為證據(jù)的信息。信息安全事件管理程序A.17 業(yè)務連續(xù)性管理中的信息安全標準條款號標 題目標/控制是否選擇選 擇 理 由相 關(guān) 文 件A.17.1 信息安全的連續(xù)性目標YES信息安全連續(xù)性應嵌入到組織的業(yè)務連續(xù)性管理體系。A.17.1.1規(guī)劃信息安全的連續(xù)性控制YES組織應確定其需求，以保證在不利情況下信息安全管 理的安全和連續(xù)性，如在危機或災難時。業(yè)務持續(xù)性管理程序A.17.1.2實施信息安全的連