信息安全適用性聲明

1、密級(jí)：內(nèi)部限制信息安全適用性聲明（依據(jù)ISO27001標(biāo)準(zhǔn)）文件編號(hào)：XX-ISMS-02版本號(hào)：A/0制定日期：2016年03月01日編制：審核：批準(zhǔn)：2016年03月01日發(fā)布 2016 年03月01日實(shí)施XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次2 OF 16 修訂履歷 派版本頁次修 訂 履 歷生效日期A/0初次發(fā)行2016.3.1XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本 A/0 頁次3 OF 161 .目的根據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)和公司實(shí)際管理需要，確定標(biāo)準(zhǔn)各條款對(duì)公司的適用性，特 編制本

2、程序。2 .范圍適用于對(duì)ISO/IEC27001:2013標(biāo)準(zhǔn)于本公司的適用性管理。3 .職責(zé)與權(quán)限3.1 最高管理者負(fù)責(zé)信息安全適用性聲明的審批。3.2 綜合部負(fù)責(zé)信息安全適用性聲明的編制及修訂。4 .相關(guān)文件a）信息安全管理手冊(cè)5 .術(shù)語定義無6 .適用性聲明XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次4 OF 16信息安全適用性聲明SOAA.5信息安全方針標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.5.1信息安全管理 指引目標(biāo)YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指 引和支持。A.5.1.1信息安全方針控制YES信息安全

3、方針應(yīng)由管理才 批準(zhǔn)發(fā)布。信息安全管理手冊(cè)A.5.1.2信息安全方針 的評(píng)審控制YES確保方針持續(xù)的適應(yīng)性。管理評(píng)審控制程序A.6信息安全組織標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.6.1信息安全組織目標(biāo)YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色 和職責(zé)控制YES保持特定資產(chǎn)和完成特定 安全過程的所有信息安全 職責(zé)需確定。信息安全管理手冊(cè)A.6.1.2職責(zé)分離控制YES分離后沖突的職責(zé)和責(zé)任 范圍，以減少對(duì)組織資產(chǎn)未 經(jīng)授權(quán)訪問、無意修改或誤 用的機(jī)會(huì)。信息安全管理手冊(cè)A.6.1.3與監(jiān)管機(jī)構(gòu)的聯(lián) 系控制YES與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng) 聯(lián)系。相美方服務(wù)管理程序A.

4、6.1.4與特殊利益團(tuán)體 的聯(lián)系控制YES與特殊利益團(tuán)體、其他專業(yè) 安全協(xié)會(huì)或行業(yè)協(xié)會(huì)應(yīng)保 持適當(dāng)聯(lián)系。相美方服務(wù)管理程序A.6.1.5項(xiàng)目管理中的信 息安全控制YES實(shí)施任何項(xiàng)目時(shí)應(yīng)考慮信 息安全相關(guān)要求。保密協(xié)議相關(guān)方管理程序A.6.2移動(dòng)設(shè)備和遠(yuǎn)程 辦公目標(biāo)YES確保遠(yuǎn)程辦公和使用移動(dòng)設(shè)備的安全性A.6.2.1移動(dòng)設(shè)備策略控制YES采取安全策略和配套的安 全措施管控使用移動(dòng)設(shè)備 帶來的風(fēng)險(xiǎn)。信息處理設(shè)施控制程序計(jì)算機(jī)管理規(guī)定介質(zhì)管理程序A.6.2.2遠(yuǎn)程辦公控制YES我司有遠(yuǎn)程訪問公司少數(shù) 系統(tǒng)的情況，需要進(jìn)行安全 控制。用戶訪問控制程序XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)

5、：XX-ISMS-02版本A/0頁次5 OF 16A.7人力資源安全標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.7.1聘用前目標(biāo)YES確保員工、合同方人員適合他們所承擔(dān)的角色并理解 他們的安全責(zé)任A.7.1.1人員篩選控制YES通過人員考察，防止人員帶 來的信息安全風(fēng)險(xiǎn)。人力資源安全管理程 序A.7.1.2雇傭條款和條 件控制YES履行信息安全保密協(xié)議是 雇傭人員的一個(gè)基本條件。人力資源安全管理程序保密協(xié)議A.7.2聘用期間目標(biāo)YES確保員工和合同方了解并履行他們的信息安全責(zé)任。A.7.2.1管理職責(zé)控制YES缺乏管理職責(zé)，會(huì)使人員意 識(shí)淡薄，從而對(duì)組織造成負(fù) 向安全影響。信息安

6、全管理手冊(cè)人力資源安全管理程序A.7.2.2信息安全意識(shí)、 教育和培訓(xùn)控制YES信息安全意識(shí)及必要的信 息系統(tǒng)操作技能培訓(xùn)是信 息安全管理工作的前提。人力資源安全管理程 序A.7.2.3懲戒過程控制YES對(duì)造成安全破壞的員工應(yīng) 該什-個(gè)正式的懲戒過程。信息安全懲戒管理規(guī) 定A.7.3聘用中止和變 化目標(biāo)YES在任用變更或中止過程保護(hù)組織利益。A.7.3.1任用終止或變 更的責(zé)任控制YES應(yīng)定義信息安全責(zé)任和義 務(wù)在任用終止或交更后仍 然有效,并向貝工和合同方 傳達(dá)并執(zhí)行。人力資源安全管理程 序相關(guān)方服務(wù)管理程 序A.8資產(chǎn)管理標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.8.1資產(chǎn)

7、責(zé)任目標(biāo)YES對(duì)我司資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品） 進(jìn)行有效保護(hù)。A.8.1.1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實(shí)施 保護(hù)。信息安全風(fēng)險(xiǎn)評(píng)估控 制程序重要資產(chǎn)清單A.8.1.2資產(chǎn)責(zé)任人控制YES對(duì)所有的與信息處理設(shè)施 有關(guān)的信息和資產(chǎn)指定“所信息安全風(fēng)險(xiǎn)評(píng)估控制程序資產(chǎn)清單信息處理設(shè)施控制程序A.8.1.3資產(chǎn)的合理使用控制YES識(shí)別與信息系統(tǒng)或服務(wù)相 關(guān)的資產(chǎn)的合理使用規(guī)則，信息處理設(shè)施控制程 序XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次6 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件并將其文件化，并予以實(shí) 施

8、。A.8.1.4資產(chǎn)的歸還控制YES在勞動(dòng)合同或協(xié)議終止后， 所有員工和外部方人員應(yīng) 退還所有他們持有的組織 資產(chǎn)。人力資源安全管理程序相關(guān)方服務(wù)管理程序A.8.2信息分類目標(biāo)YES我司根據(jù)信息的敏感性對(duì)信息進(jìn)行分類，明確保護(hù)要 求、優(yōu)先權(quán)和等級(jí)，以確保對(duì)資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)。A.8.2.1分類指南控制YES我司的信息安全涉及信息 的敏感性，適當(dāng)?shù)姆诸惪刂?是必要的。信息分類與處理指 南A.8.2.2信息標(biāo)識(shí)控制YES按分類方案進(jìn)行標(biāo)注并規(guī) 定信息處理的安全的要求。信息分類與處理指 南A.8.2.3資產(chǎn)處理控制YES根據(jù)組織米用的資產(chǎn)分 類方法制定和實(shí)施資產(chǎn) 處理程序信息處理設(shè)施控制程 序A.8

9、.3介質(zhì)處理目標(biāo)YES防止存儲(chǔ)在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除 或破壞。A.8.3.1可移動(dòng)介質(zhì)管理控制YES我司存在含有敏感彳巨息的 磁盤、磁帶、光盤、打印報(bào) 告等可移動(dòng)介質(zhì)。介質(zhì)管理程序A.8.3.2介質(zhì)處置控制YES當(dāng)介質(zhì)不冉需要時(shí)，對(duì)含有 敏感信息介質(zhì)采用安全的 處置辦法是必須。介質(zhì)管理程序A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應(yīng)加以保 護(hù)，防止未經(jīng)授權(quán)的訪問、 濫用或在運(yùn)輸過程中的損 壞。信息交換管理程序A.9訪問控制標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.9.1訪問控制的業(yè)務(wù) 需求目標(biāo)YES限制對(duì)信息和信息處理設(shè)施的訪問A.9.1.1訪問控制策略

10、控制YES建立文件化的訪問控制策 略，并根據(jù)業(yè)務(wù)和安全要求 對(duì)策略進(jìn)行評(píng)審。用戶訪問控制程序A.9.1.2對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服 務(wù)的訪問控制YES制定策略，明確用戶訪問網(wǎng) 絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止用戶訪問控制程序XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次7 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件非授權(quán)的網(wǎng)絡(luò)訪問。A.9.2用戶訪問管理目標(biāo)YES確保已授權(quán)用戶的訪問，預(yù)防對(duì)系統(tǒng)和服務(wù)的非授權(quán) 訪問。A.9.2.1用戶注冊(cè)和注銷控制YES我司存在多用戶信息系統(tǒng)， 應(yīng)建立用戶登記和注銷登 記程序。用戶訪問控制程序A.9.2.2用戶訪問權(quán)

11、限提 供控制YES應(yīng)后正式的用戶訪問分配 程序，以分配和撤銷對(duì)于所 有信息系統(tǒng)及服務(wù)的訪問。用戶訪問控制程序A.9.2.3特權(quán)管理控制YES應(yīng)對(duì)特權(quán)帳號(hào)進(jìn)行管理，特 權(quán)不適當(dāng)?shù)氖褂脮?huì)造成系 統(tǒng)的破壞。用戶訪問控制程序A.9.2.4用戶認(rèn)證信息的 安全管理控制YES用戶鑒別信息的權(quán)限分配 應(yīng)通過一個(gè)正式的管理過 程進(jìn)行安全控制。用戶訪問控制程序A.9.2.5用戶訪問權(quán)限的 評(píng)審控制YES對(duì)用戶訪問權(quán)限進(jìn)行評(píng)審 是必要的，以防止非授權(quán)的 訪問。用戶訪問控制程序A.9.2.6撤銷或調(diào)整訪問 權(quán)限控制YES在跟所有員工和承包商 人員的就業(yè)合同或協(xié)議 終止和調(diào)整后，應(yīng)相應(yīng)得 刪除或調(diào)整其信息和信 息處理

12、設(shè)施的訪問權(quán)限。人力資源安全管理程序用戶訪問控制程序相關(guān)方服務(wù)管理程序A.9.3用戶責(zé)任目標(biāo)YES確保用戶對(duì)認(rèn)證信息的保護(hù)負(fù)責(zé)。A.9.3.1認(rèn)證信息的使用控制YES應(yīng)要求用戶遵循組織的規(guī) 則使用其認(rèn)證信息。用戶訪問控制程序A.9.4系統(tǒng)和應(yīng)用訪問 控制目標(biāo)YES防止對(duì)系統(tǒng)和應(yīng)用的未授權(quán)訪問A.9.4.1信息訪問限制控制YES我司信息訪問權(quán)限是根據(jù) 業(yè)務(wù)運(yùn)做的需要及信息安 全考慮所規(guī)定的，系統(tǒng)的訪 問功能應(yīng)加以限制。用戶訪問控制程序A.9.4.2安全登錄程序控制YES對(duì)操作系統(tǒng)的訪問應(yīng)啟安 全登錄程序進(jìn)行控制。用戶訪問控制程序A.9.4.3密碼管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng) 的機(jī)會(huì)，

13、應(yīng)對(duì)密碼進(jìn)行管 理。用戶訪問控制程序A.9.4.4特權(quán)程序的伸用粹制YES對(duì)特權(quán)程序的伸用應(yīng)嚴(yán)格用戶訪問粹制程序XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次8 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件控制，防止惡意破壞系統(tǒng)安 全。A.9.4.5對(duì)程序源碼的訪 問控制控制YES對(duì)程序源代碼的訪問應(yīng)進(jìn) 行限制。軟件開發(fā)安全控制程 序A.10加密技術(shù)標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.10.1加密控制目標(biāo)YES確保適當(dāng)和有效地使用加密技術(shù)來保護(hù)信息的機(jī) 密性、真實(shí)性、完整性。A.10.1.1使用加密控制的 策略控

14、制YES為保護(hù)信息，應(yīng)開發(fā)并實(shí)施 加密控制的使用策略網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.10.1.2密鑰管理控制YES應(yīng)進(jìn)行密鑰管理，以支持公 司對(duì)密碼技術(shù)的使用網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定計(jì)算機(jī)管理規(guī)定A.11物理和環(huán)境安全標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.11.1安全區(qū)域目標(biāo)YES防止對(duì)組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理 訪問、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要息及 息處理設(shè)施的區(qū)域，應(yīng)確定 其安全周界對(duì)其實(shí)施保護(hù)。安全區(qū)域控制程序A.11.1.2物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán) ， 未經(jīng)授權(quán)的非法訪問會(huì)對(duì) 信息安

15、全構(gòu)成威脅。安全區(qū)域控制程序A.11.1.3辦公室、房間及 設(shè)施的安全控制YES對(duì)安全區(qū)域內(nèi)的綜合管理 部、房間和設(shè)施應(yīng)有特殊的 安土要求。安全區(qū)域控制程序A.11.1.4防范外部和環(huán)境 威脅控制YES力口強(qiáng)我司物理安全控制，防 范火災(zāi)、水災(zāi)、地震，以及 其它形式的自然或人為災(zāi) 害。安全區(qū)域控制程序A.11.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只 后嚴(yán)格遵守安全規(guī)則，才能安全區(qū)域控制程序相關(guān)方服務(wù)管理程XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次9 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件保證安全區(qū)域安全。序A.1

16、1.1.6送貨和裝卸區(qū)控制YES對(duì)未經(jīng)授權(quán)的人員可能訪 問到的地點(diǎn)進(jìn)行控制，防止 外來人員直接進(jìn)入重要安 全區(qū)域是必要的。安全區(qū)域控制程序A.11.2設(shè)備安全目標(biāo)YES防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的組織業(yè)務(wù)中 斷。A.11.2.1設(shè)備安置及保護(hù)控制YES設(shè)備應(yīng)定位和保護(hù)，防止火 災(zāi)、吸煙、油污、未經(jīng)授權(quán) 訪問等威脅。信息處理設(shè)施控制程 序A.11.2.2支持設(shè)施控制YES對(duì)設(shè)備加以保護(hù)使其免于 電力中斷或者其它支持設(shè) 施故障而導(dǎo)致的中斷的影 響。信息處理設(shè)施控制程 序A.11.2.3線纜安全控制YES通信電纜、光纜需要進(jìn)行正 常的維護(hù)，以防止偵聽和損 壞。網(wǎng)絡(luò)安全管理程序A.11.2.4設(shè)

17、備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài) 是保持信息的完整性及可 用性的基礎(chǔ)。信息處理設(shè)施控制程序計(jì)算機(jī)管理規(guī)定A.11.2.5資產(chǎn)轉(zhuǎn)移控制YES設(shè)備、信息、軟件未經(jīng)授權(quán) 之前，小應(yīng)將設(shè)備、信息或 軟件帶到場(chǎng)所外。信息處理設(shè)施控制程 序A.11.2.6場(chǎng)外設(shè)備和資產(chǎn) 亞控制YES我司有筆記本移動(dòng)設(shè)備，離 開正常的辦公場(chǎng)所應(yīng)進(jìn)行 控制，防止其被盜竊、未經(jīng) 授權(quán)的訪問等危害的發(fā)生。信息處理設(shè)施控制程序計(jì)算機(jī)管理規(guī)定介質(zhì)管理程序A.11.2.7設(shè)備報(bào)廢或重用控制YES對(duì)我司儲(chǔ)存功夫敏感/息 的設(shè)備，如服務(wù)器、硬盤， 對(duì)其處置和再利用應(yīng)將其 信息清除。信息處理設(shè)施控制程序介質(zhì)管理程序A.11.2.8無人

18、值守的設(shè)備控制YES確保無人值守設(shè)備得到足 夠的保護(hù)。計(jì)算機(jī)管理規(guī)定A.11.2.9桌面清空及清屏 策略控制YES不實(shí)行清除桌面或清除屏 幕策略，會(huì)受到資產(chǎn)丟失、 失竊或遭到非法訪問的威 脅。計(jì)算機(jī)管理規(guī)定XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次10 OF 16A.12操作安全標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.12.1操作程序及職 責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。A.12.1.1文件化操作程 序控制YES作業(yè)程序應(yīng)該文件化，并 在需要時(shí)可用。文件控制程序A.12.1.2變更營埋控制YES未加以控制的信息處理設(shè)

19、備和系統(tǒng)更改會(huì)造成系統(tǒng) 故障和安全故障。信息處理設(shè)施控制程序變更控制程序A.12.1.3容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo) 致系統(tǒng)故障，監(jiān)控容量需 求并規(guī)劃將來容量是必須 的。信息安全監(jiān)控管理規(guī) 定A.12.1.4開發(fā)、測(cè)試與運(yùn) 行環(huán)境的分離控制YES我司設(shè)有研發(fā)部門，應(yīng)分 離開發(fā)、測(cè)試和運(yùn)營設(shè)施， 以降低未授權(quán)訪問或?qū)Σ?作系統(tǒng)艾更的風(fēng)險(xiǎn)軟件開發(fā)安全控制程 序A.12.2防范惡意軟件目標(biāo)YES確保對(duì)信息和信息處理設(shè)施的保護(hù)，防止惡意軟 件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存 在的，應(yīng)實(shí)施惡意代碼的 監(jiān)測(cè)、預(yù)防和恢復(fù)控制， 以及適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn) 的程序。防病毒

20、管理規(guī)定A.12.3備份目標(biāo)YES防止數(shù)據(jù)丟失A.12.3.1數(shù)據(jù)備份控制YES對(duì)重要信息和軟件定期備 份是必須的，以防止信息 和軟件的去失和不PJ用， 及支持業(yè)務(wù)可持續(xù)性。數(shù)據(jù)備份管理程序A.12.4日志記出和監(jiān) 控目標(biāo)YES記錄事件和生成的證據(jù)A.12.4.1事件日志控制YES為訪問監(jiān)測(cè)提供幫助，建 立事件日志（審核日志）是 必須的。信息安全監(jiān)控管理規(guī) 定A.12.4.2日志信息保護(hù)控制YES日志記錄設(shè)施以及日志信 息應(yīng)該被保護(hù)，防止被篡 改和未經(jīng)授權(quán)的訪問。信息安全監(jiān)控管理規(guī) 定A.12.4.3管理員和操作 者日志控制YES應(yīng)根據(jù)需要，記錄系統(tǒng)管理員和系統(tǒng)操作員的活信息安全監(jiān)控管理規(guī) 定

21、XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次11 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件動(dòng)。A.12.4.4時(shí)鐘同步控制YES實(shí)施時(shí)鐘同步，是生產(chǎn)、 經(jīng)營與獲取客觀證據(jù)的需 要。信息安全監(jiān)控管理規(guī) 定A.12.5運(yùn)營中軟件控 制目標(biāo)YES確保運(yùn)官中系統(tǒng)的完整性。A.12.5.1運(yùn)營系統(tǒng)的軟 件安裝控制YES應(yīng)建立程序?qū)\(yùn)宮中的 系統(tǒng)的軟件安裝進(jìn)行控 制。軟件控制程序A.12.6技術(shù)漏洞管理目標(biāo)YES防止技術(shù)漏洞被利用。A.12.6.1管理技術(shù)薄弱 點(diǎn)控制YES及時(shí)獲得正在使用信息系 統(tǒng)的技術(shù)薄弱點(diǎn)的相關(guān)信 息，應(yīng)評(píng)估對(duì)這些薄弱

22、點(diǎn) 的暴露程度，并采取適當(dāng) 的方法處理相關(guān)風(fēng)險(xiǎn)。技術(shù)薄弱點(diǎn)控制程 序A.12.6.2限制軟件安裝控制YES應(yīng)建立和實(shí)施用戶軟件 安裝規(guī)則。軟件控制程序A.12.7信息系統(tǒng)審計(jì) 的考慮因素目標(biāo)YES取小化審計(jì)活動(dòng)對(duì)系統(tǒng)返宮影響。A.12.7.1信息系統(tǒng)審核 控制控制YES應(yīng)謹(jǐn)慎策劃對(duì)系統(tǒng)運(yùn)行 驗(yàn)證所涉及的審核要求 和活動(dòng)并獲得許可，以 最小化中斷業(yè)務(wù)過程。內(nèi)部審核控制程序A.13通信安全標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.13.1網(wǎng)絡(luò)安全管理目標(biāo)YES確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。A.13.1.1網(wǎng)絡(luò)控制控制YES應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行管理和控 制，以保護(hù)系統(tǒng)和應(yīng)用程 序的信息

23、。網(wǎng)絡(luò)安全管理程序變更控制程序A.13.1.2網(wǎng)絡(luò)服務(wù)安全控制YES應(yīng)識(shí)別所有網(wǎng)絡(luò)服務(wù)的 安全機(jī)制、服務(wù)等級(jí)和管 理要求，并包括在網(wǎng)絡(luò)服 務(wù)協(xié)議中，無論這種服務(wù) 是由內(nèi)部提供的還是外 包的。網(wǎng)絡(luò)安全管理程序A.13.1.3網(wǎng)絡(luò)隔離控制YES應(yīng)在網(wǎng)絡(luò)中按組隔離信 息服務(wù)、用戶和信息系統(tǒng)0網(wǎng)絡(luò)安全管理程序XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次12 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.13.2信息交換目標(biāo)YES確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌?全。A.13.2.1信息交換策略 和程序控制YES應(yīng)建立正式的傳輸策

24、略、 程序和控制，以保護(hù)通過 通訊設(shè)施傳輸?shù)乃蓄?型信息的安全。信息交換管理程序A.13.2.2信息交換協(xié)議控制YES建立組織和外部各方之 間的業(yè)務(wù)信息的安全傳 輸協(xié)議。信息交換管理程序A.13.2.3電子消息控制YES應(yīng)適當(dāng)保護(hù)電子消息的 信息。信息交換管理程序A.13.2.4保密或不披露 協(xié)議控制YES應(yīng)制定并定期評(píng)審組織 的信息安全保密協(xié)議或 不披露協(xié)議，該協(xié)議應(yīng)反 映織對(duì)信息保護(hù)的要求。保密協(xié)議相關(guān)方管理程序A.14系統(tǒng)的獲取、開發(fā)及維護(hù)標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.14.1信息系統(tǒng)安全需 求目標(biāo)YES確保信息安全成為信息系統(tǒng)整個(gè)生命周期的組成 部分，包括

25、通過公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要 求。A.14.1.1信息安全需求分 析和規(guī)范控制YES新建信息系統(tǒng)或增強(qiáng)現(xiàn) 有信息系統(tǒng)的需求中應(yīng) 包括信息安全相關(guān)的要 求。網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全控制YES應(yīng)保護(hù)流經(jīng)公共網(wǎng)絡(luò)的應(yīng)用服務(wù)信息，以防止欺 詐、合同爭(zhēng)議、未授權(quán) 的泄漏和修改。網(wǎng)絡(luò)安全管理程序A.14.1.3保護(hù)應(yīng)用服務(wù)控制YES應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中 的信息，以防止不完整的 傳輸、路由錯(cuò)誤、未授權(quán) 的消息修改、未經(jīng)授權(quán)的 泄漏、未授權(quán)的信息復(fù)制 和重放。網(wǎng)絡(luò)安全管理程序A.14.2開發(fā)和支持過程 的安全目標(biāo)YES確保信息系統(tǒng)開發(fā)生命周期中設(shè)計(jì)和實(shí)施信

26、息安 全。A.14.2.1開發(fā)的安全策略控制YES應(yīng)對(duì)軟件開發(fā)及系統(tǒng)建設(shè) 的安全需求進(jìn)行規(guī)范管理。軟件開發(fā)安全控制程 序A.14.2.2系統(tǒng)變更控制程 序控制YES為防止未授權(quán)或不充分的 更改，導(dǎo)致系統(tǒng)故障與中變更控制程序XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次13 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件斷，需要實(shí)施嚴(yán)格更改控 制。A.14.2.3操作平臺(tái)變更后 的技術(shù)評(píng)審控制YES操作系統(tǒng)的小充分更改對(duì) 應(yīng)用系統(tǒng)會(huì)造成嚴(yán)重的影 響。變更控制程序A.14.2.4軟件包變更限制控制YES不鼓勵(lì)對(duì)軟件包進(jìn)行變更， 對(duì)必要的更改

27、需嚴(yán)格控制。變更控制程序A.14.2.5安全系統(tǒng)工程原 則控制YES應(yīng)建立、文件化、維護(hù)和應(yīng) 用安全系統(tǒng)工程原則，并 應(yīng)用于任何信息系統(tǒng)工程。軟件開發(fā)安全控制程 序A.14.2.6開發(fā)環(huán)境安全控制YES在整個(gè)系統(tǒng)開發(fā)生命周期 的系統(tǒng)開發(fā)和集成工作中， 應(yīng)建立并妥善保障開發(fā)環(huán) 境的安全。軟件開發(fā)安全控制程 序A.14.2.7外包開發(fā)控制NO公司暫無軟件外包過程。A.14.2.8系統(tǒng)安全測(cè)試控制YES在開發(fā)過程中，應(yīng)進(jìn)彳女王 性的測(cè)試。軟件開發(fā)安全控制程 序A.14.2.9系統(tǒng)驗(yàn)收測(cè)試控制YES應(yīng)建立新信息系統(tǒng)、系統(tǒng)升 級(jí)及新版本的驗(yàn)收測(cè)試程 序和相關(guān)準(zhǔn)則。軟件開發(fā)安全控制程 序A.14.3測(cè)試數(shù)

28、據(jù)目標(biāo)YES確保測(cè)試數(shù)據(jù)安全。A.14.3.1測(cè)試數(shù)據(jù)的保護(hù)控制YES應(yīng)謹(jǐn)慎選擇測(cè)試數(shù)據(jù)，并 加以保護(hù)和控制。軟件開發(fā)安全控制程 序A.15供應(yīng)商關(guān)系標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.15.1供應(yīng)商關(guān)系的 信息安全目標(biāo)YES確保組織被供應(yīng)商訪問的信息的安全。A.15.1.1供應(yīng)商關(guān)系的 信息安全策略控制YES為降低供應(yīng)商使用組織的 資產(chǎn)相關(guān)的風(fēng)險(xiǎn)，應(yīng)與供 應(yīng)商簽署安全要求的文件 協(xié)議。保密協(xié)議A.15.1.2在供應(yīng)商協(xié)議 中強(qiáng)調(diào)安全控制YES與每個(gè)供應(yīng)商簽訂的協(xié)議 中應(yīng)覆蓋所有相關(guān)的安全 要求。如可能涉及對(duì)組織 的IT基礎(chǔ)設(shè)施組件、信 息的訪問、處理、存儲(chǔ)、保密協(xié)議XX

29、XXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次14 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件溝通。A.15.1.3信息和通信技 術(shù)的供應(yīng)鏈控制YES供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)和產(chǎn)品 供應(yīng)鏈的相關(guān)信息安全 風(fēng)險(xiǎn)。保密協(xié)議A.15.2供應(yīng)商服務(wù)交 付管理目標(biāo)YES保持符合供應(yīng)商協(xié)議的信息安全和服務(wù)交付水 平。A.15.2.1供應(yīng)商服務(wù)的 監(jiān)督和評(píng)審控制YES組織應(yīng)定期監(jiān)督、評(píng)審和 審核供應(yīng)商的服務(wù)交付。相關(guān)方服務(wù)管理程 序A.15.2.2供應(yīng)商服務(wù)的 義更管理控制YES應(yīng)管理供應(yīng)商服務(wù)的變 更，包括保持和改進(jìn)現(xiàn)有 信息安全策略、程

30、序和控 制措施，考慮對(duì)業(yè)務(wù)信息、 系統(tǒng)、過程的關(guān)鍵性和風(fēng) 險(xiǎn)的再評(píng)估。相關(guān)方服務(wù)管理程 序A.16通信安全事件管理標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.16.1信息安全事件 的管理和改進(jìn)目標(biāo)YES確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。A.16.1.1職貝和程序控制YES應(yīng)建立管理職責(zé)和程序， 以快速、功效和有序的響 應(yīng)信息安全事件。信息安全事件管理程 序A.16.1.2報(bào)告信息安全 事態(tài)控制YES應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M 快報(bào)告信息安全事態(tài)。信息安全事件管理程 序A.16.1.3報(bào)告信息安全 弱點(diǎn)控制YES應(yīng)要求使用組織信息系統(tǒng) 和服務(wù)的員工和承包商注 意并報(bào)告系統(tǒng)或服務(wù)中任

31、何已發(fā)現(xiàn)或疑似的信息安 全弱點(diǎn)。信息安全事件管理程 序技術(shù)薄弱點(diǎn)的控制程 序A.16.1.4評(píng)估和決策信 息安全事件控制YES應(yīng)評(píng)估信息安全事件，以 決定其是否被認(rèn)定為信息 安全事故。信息安全事件管理程 序A.16.1.5響應(yīng)信息安全 事故控制YES應(yīng)按照文件化程序響應(yīng)信 息安全事故。信息安全事件管理程 序A.16.1.6從信息安全事控制YES分析和解決信息安全事故信息安全事件管理程XXXXXX科技有限公司信息安全適用性聲明文件編號(hào)：XX-ISMS-02版本A/0頁次15 OF 16標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件故中學(xué)習(xí)獲得的知識(shí)應(yīng)用來減少未 來事故的可能性或影響。序A.16.1.7收集證據(jù)控制YES組織應(yīng)建立和采取程序， 識(shí)別、收集、采集和保存 可以作為證據(jù)的信息。信息安全事件管理程 序A.17業(yè)務(wù)連續(xù)性管理中的信息安全標(biāo)準(zhǔn) 條款號(hào)標(biāo)題目標(biāo)/ 控制是否 選擇選擇理由相關(guān)文件A.17.1息安全的連 續(xù)性目標(biāo)YES信息安全連續(xù)性應(yīng)嵌入到組織的業(yè)務(wù)連續(xù)性管理 體系。A.17.1.1規(guī)劃信息安全 的連續(xù)性控制YES組織應(yīng)確定其需求，以保 證在不利情況卜信息安全 管理的安全和連續(xù)性，如 在危機(jī)或?yàn)?zāi)難時(shí)。業(yè)務(wù)持續(xù)性管理