信息安全適用性聲明_第1頁(yè)
信息安全適用性聲明_第2頁(yè)
信息安全適用性聲明_第3頁(yè)
信息安全適用性聲明_第4頁(yè)
信息安全適用性聲明_第5頁(yè)
已閱讀5頁(yè),還剩12頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、XXXXXX科技有限公司信息安全適用性聲明 文件編號(hào):XX-ISMS-02版本 A/0頁(yè)次 17 OF 17 密級(jí):內(nèi)部限制信息安全適用性聲明(依據(jù)ISO27001標(biāo)準(zhǔn))文件編號(hào): XX-ISMS-02 版 本 號(hào): A/0 制定日期: 2016年03月01日 編制: 審核: 批準(zhǔn): 2016年03月01日發(fā)布 2016年03月01日實(shí)施 修 訂 履 歷 版本頁(yè)次修 訂 履 歷生效日期A/0初次發(fā)行2016.3.11. 目的根據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)和公司實(shí)際管理需要,確定標(biāo)準(zhǔn)各條款對(duì)公司的適用性,特編制本程序。2. 范圍適用于對(duì)ISO/IEC27001:2013標(biāo)準(zhǔn)于本公司的

2、適用性管理。3. 職責(zé)與權(quán)限3.1最高管理者負(fù)責(zé)信息安全適用性聲明的審批。3.2綜合部負(fù)責(zé)信息安全適用性聲明的編制及修訂。4. 相關(guān)文件a) 信息安全管理手冊(cè)5. 術(shù)語(yǔ)定義無(wú) 6. 適用性聲明信息安全適用性聲明SOAA.5信息安全方針標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.5.1信息安全管理指引目標(biāo)YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。A.5.1.1信息安全方針控制YES信息安全方針應(yīng)由管理才批準(zhǔn)發(fā)布。信息安全管理手冊(cè)A.5.1.2信息安全方針的評(píng)審控制YES確保方針持續(xù)的適應(yīng)性。管理評(píng)審控制程序A.6信息安全組織標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否

3、選擇選 擇 理 由相 關(guān) 文 件A.6.1信息安全組織目標(biāo)YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色和職責(zé)控制YES保持特定資產(chǎn)和完成特定安全過(guò)程的所有信息安全職責(zé)需確定。信息安全管理手冊(cè)A.6.1.2職責(zé)分離控制YES分離有沖突的職責(zé)和責(zé)任范圍,以減少對(duì)組織資產(chǎn)未經(jīng)授權(quán)訪問(wèn)、無(wú)意修改或誤用的機(jī)會(huì)。信息安全管理手冊(cè)A.6.1.3與監(jiān)管機(jī)構(gòu)的聯(lián)系控制YES與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.4與特殊利益團(tuán)體的聯(lián)系控制YES與特殊利益團(tuán)體、其他專(zhuān)業(yè)安全協(xié)會(huì)或行業(yè)協(xié)會(huì)應(yīng)保持適當(dāng)聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.5項(xiàng)目管理中的信息安全控制YES實(shí)施任何項(xiàng)目時(shí)應(yīng)考慮

4、信息安全相關(guān)要求。保密協(xié)議相關(guān)方管理程序A.6.2 移動(dòng)設(shè)備和遠(yuǎn)程辦公目標(biāo)YES確保遠(yuǎn)程辦公和使用移動(dòng)設(shè)備的安全性A.6.2.1移動(dòng)設(shè)備策略控制YES采取安全策略和配套的安全措施管控使用移動(dòng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)。信息處理設(shè)施控制程序計(jì)算機(jī)管理規(guī)定介質(zhì)管理程序A.6.2.2遠(yuǎn)程辦公控制YES我司有遠(yuǎn)程訪問(wèn)公司少數(shù)系統(tǒng)的情況,需要進(jìn)行安全控制。用戶訪問(wèn)控制程序A.7 人力資源安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.7.1 聘用前目標(biāo)YES確保員工、合同方人員適合他們所承擔(dān)的角色并理解他們的安全責(zé)任A.7.1.1人員篩選控制YES通過(guò)人員考察,防止人員帶來(lái)的信息安全風(fēng)險(xiǎn)。人力

5、資源安全管理程序A.7.1.2雇傭條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個(gè)基本條件。人力資源安全管理程序保密協(xié)議A.7.2聘用期間目標(biāo)YES確保員工和合同方了解并履行他們的信息安全責(zé)任。A.7.2.1管理職責(zé)控制YES缺乏管理職責(zé),會(huì)使人員意識(shí)淡薄,從而對(duì)組織造成負(fù)面安全影響。信息安全管理手冊(cè)人力資源安全管理程序A.7.2.2信息安全意識(shí)、教育和培訓(xùn)控制YES信息安全意識(shí)及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。人力資源安全管理程序A.7.2.3懲戒過(guò)程控制YES對(duì)造成安全破壞的員工應(yīng)該有一個(gè)正式的懲戒過(guò)程。信息安全懲戒管理規(guī)定A.7.3聘用中止和變化目標(biāo)YES在任

6、用變更或中止過(guò)程保護(hù)組織利益。A.7.3.1任用終止或變更的責(zé)任控制YES應(yīng)定義信息安全責(zé)任和義務(wù)在任用終止或變更后仍然有效,并向員工和合同方傳達(dá)并執(zhí)行。人力資源安全管理程序相關(guān)方服務(wù)管理程序A.8資產(chǎn)管理標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.8.1資產(chǎn)責(zé)任目標(biāo)YES對(duì)我司資產(chǎn)(包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品)進(jìn)行有效保護(hù)。A.8.1.1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實(shí)施保護(hù)。信息安全風(fēng)險(xiǎn)評(píng)估控制程序重要資產(chǎn)清單A.8.1.2資產(chǎn)責(zé)任人控制YES對(duì)所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定“所有者”信息安全風(fēng)險(xiǎn)評(píng)估控制程序資產(chǎn)清單信息處理設(shè)施控制程序A.8.

7、1.3資產(chǎn)的合理使用控制YES識(shí)別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則,并將其文件化,并予以實(shí)施。信息處理設(shè)施控制程序A.8.1.4資產(chǎn)的歸還控制YES在勞動(dòng)合同或協(xié)議終止后,所有員工和外部方人員應(yīng)退還所有他們持有的組織資產(chǎn)。人力資源安全管理程序相關(guān)方服務(wù)管理程序A.8.2信息分類(lèi)目標(biāo)YES我司根據(jù)信息的敏感性對(duì)信息進(jìn)行分類(lèi),明確保護(hù)要求、優(yōu)先權(quán)和等級(jí),以確保對(duì)資產(chǎn)采取適當(dāng)?shù)谋Wo(hù)。A.8.2.1分類(lèi)指南控制YES我司的信息安全涉及信息的敏感性,適當(dāng)?shù)姆诸?lèi)控制是必要的。信息分類(lèi)與處理指南A.8.2.2信息標(biāo)識(shí)控制YES按分類(lèi)方案進(jìn)行標(biāo)注并規(guī)定信息處理的安全的要求。信息分類(lèi)與處理指南A.8.2

8、.3資產(chǎn)處理控制YES根據(jù)組織采用的資產(chǎn)分類(lèi)方法制定和實(shí)施資產(chǎn)處理程序信息處理設(shè)施控制程序A.8.3 介質(zhì)處理目標(biāo)YES防止存儲(chǔ)在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除或破壞。A.8.3.1可移動(dòng)介質(zhì)管理控制YES我司存在含有敏感信息的磁盤(pán)、磁帶、光盤(pán)、打印報(bào)告等可移動(dòng)介質(zhì)。介質(zhì)管理程序A.8.3.2介質(zhì)處置控制YES當(dāng)介質(zhì)不再需要時(shí),對(duì)含有敏感信息介質(zhì)采用安全的處置辦法是必須。介質(zhì)管理程序A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應(yīng)加以保護(hù),防止未經(jīng)授權(quán)的訪問(wèn)、濫用或在運(yùn)輸過(guò)程中的損壞。信息交換管理程序A.9 訪問(wèn)控制標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.9

9、.1訪問(wèn)控制的業(yè)務(wù)需求目標(biāo)YES限制對(duì)信息和信息處理設(shè)施的訪問(wèn)A.9.1.1訪問(wèn)控制策略控制YES建立文件化的訪問(wèn)控制策略,并根據(jù)業(yè)務(wù)和安全要求對(duì)策略進(jìn)行評(píng)審。用戶訪問(wèn)控制程序A.9.1.2對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制YES制定策略,明確用戶訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍,防止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)。用戶訪問(wèn)控制程序A.9.2用戶訪問(wèn)管理目標(biāo)YES確保已授權(quán)用戶的訪問(wèn),預(yù)防對(duì)系統(tǒng)和服務(wù)的非授權(quán)訪問(wèn)。A.9.2.1用戶注冊(cè)和注銷(xiāo)控制YES我司存在多用戶信息系統(tǒng),應(yīng)建立用戶登記和注銷(xiāo)登記程序。用戶訪問(wèn)控制程序A.9.2.2用戶訪問(wèn)權(quán)限提供控制YES應(yīng)有正式的用戶訪問(wèn)分配程序,以分配和撤銷(xiāo)對(duì)于所有信息系統(tǒng)及服務(wù)的

10、訪問(wèn)。用戶訪問(wèn)控制程序A.9.2.3特權(quán)管理控制YES應(yīng)對(duì)特權(quán)帳號(hào)進(jìn)行管理,特權(quán)不適當(dāng)?shù)氖褂脮?huì)造成系統(tǒng)的破壞。用戶訪問(wèn)控制程序A.9.2.4用戶認(rèn)證信息的安全管理控制YES用戶鑒別信息的權(quán)限分配應(yīng)通過(guò)一個(gè)正式的管理過(guò)程 進(jìn)行安全控制。用戶訪問(wèn)控制程序A.9.2.5用戶訪問(wèn)權(quán)限的評(píng)審控制YES對(duì)用戶訪問(wèn)權(quán)限進(jìn)行評(píng)審是必要的,以防止非授權(quán)的訪問(wèn)。用戶訪問(wèn)控制程序A.9.2.6撤銷(xiāo)或調(diào)整訪問(wèn)權(quán)限控制YES在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終止和調(diào)整后,應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施 的訪問(wèn)權(quán)限。人力資源安全管理程序用戶訪問(wèn)控制程序相關(guān)方服務(wù)管理程序A.9.3 用戶責(zé)任目標(biāo)YES確保用戶

11、對(duì)認(rèn)證信息的保護(hù)負(fù)責(zé)。A.9.3.1認(rèn)證信息的使用控制YES應(yīng)要求用戶遵循組織的規(guī)則使用其認(rèn)證信息。用戶訪問(wèn)控制程序A.9.4 系統(tǒng)和應(yīng)用訪問(wèn)控制目標(biāo)YES防止對(duì)系統(tǒng)和應(yīng)用的未授權(quán)訪問(wèn)A.9.4.1信息訪問(wèn)限制控制YES我司信息訪問(wèn)權(quán)限是根據(jù)業(yè)務(wù)運(yùn)做的需要及信息安全考慮所規(guī)定的,系統(tǒng)的訪問(wèn)功能應(yīng)加以限制。用戶訪問(wèn)控制程序A.9.4.2安全登錄程序控制YES對(duì)操作系統(tǒng)的訪問(wèn)應(yīng)有安全登錄程序進(jìn)行控制。用戶訪問(wèn)控制程序A.9.4.3密碼管理系統(tǒng)控制YES為減少非法訪問(wèn)操作系統(tǒng)的機(jī)會(huì),應(yīng)對(duì)密碼進(jìn)行管理。用戶訪問(wèn)控制程序A.9.4.4特權(quán)程序的使用控制YES對(duì)特權(quán)程序的使用應(yīng)嚴(yán)格控制,防止惡意破壞系統(tǒng)安

12、全。用戶訪問(wèn)控制程序A.9.4.5對(duì)程序源碼的訪問(wèn)控制控制YES對(duì)程序源代碼的訪問(wèn)應(yīng)進(jìn)行限制。軟件開(kāi)發(fā)安全控制程序A.10 加密技術(shù)標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.10.1 加密控制目標(biāo)YES確保適當(dāng)和有效地使用加密技術(shù)來(lái)保護(hù)信息的機(jī)密性、真實(shí)性、完整性。A.10.1.1使用加密控制的策略控制YES為保護(hù)信息,應(yīng)開(kāi)發(fā)并實(shí)施加密控制的使用策略網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.10.1.2密鑰管理控制YES應(yīng)進(jìn)行密鑰管理,以支持公司對(duì)密碼技術(shù)的使用網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定計(jì)算機(jī)管理規(guī)定A.11物理和環(huán)境安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理

13、 由相 關(guān) 文 件A.11.1 安全區(qū)域目標(biāo)YES防止對(duì)組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問(wèn)、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要信息及信息處理設(shè)施的區(qū)域,應(yīng)確定其安全周界對(duì)其實(shí)施保護(hù)。安全區(qū)域控制程序A.11.1.2物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過(guò)授權(quán),未經(jīng)授權(quán)的非法訪問(wèn)會(huì)對(duì)信息安全構(gòu)成威脅。安全區(qū)域控制程序A.11.1.3辦公室、房間及設(shè)施的安全控制YES對(duì)安全區(qū)域內(nèi)的綜合管理部、房間和設(shè)施應(yīng)有特殊的安全要求。安全區(qū)域控制程序A.11.1.4防范外部和環(huán)境威脅控制YES加強(qiáng)我司物理安全控制,防范火災(zāi)、水災(zāi)、地震,以及其它形式的自然或人為災(zāi)害。安全區(qū)域

14、控制程序A.11.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則,才能保證安全區(qū)域安全。安全區(qū)域控制程序相關(guān)方服務(wù)管理程序A.11.1.6送貨和裝卸區(qū)控制YES對(duì)未經(jīng)授權(quán)的人員可能訪問(wèn)到的地點(diǎn)進(jìn)行控制,防止外來(lái)人員直接進(jìn)入重要安全區(qū)域是必要的。安全區(qū)域控制程序A.11.2 設(shè)備安全目標(biāo)YES防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的組織業(yè)務(wù)中斷。A.11.2.1設(shè)備安置及保護(hù)控制YES設(shè)備應(yīng)定位和保護(hù),防止火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問(wèn)等威脅。信息處理設(shè)施控制程序A.11.2.2支持設(shè)施控制YES對(duì)設(shè)備加以保護(hù)使其免于電力中斷或者其它支持設(shè)施故障而導(dǎo)致的中斷的影響。信息處理設(shè)施

15、控制程序A.11.2.3線纜安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù),以防止偵聽(tīng)和損壞。網(wǎng)絡(luò)安全管理程序A.11.2.4設(shè)備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。信息處理設(shè)施控制程序計(jì)算機(jī)管理規(guī)定A.11.2.5資產(chǎn)轉(zhuǎn)移控制YES設(shè)備、信息、軟件未經(jīng)授權(quán)之前,不應(yīng)將設(shè)備、信息或軟件帶到場(chǎng)所外。信息處理設(shè)施控制程序A.11.2.6場(chǎng)外設(shè)備和資產(chǎn)安全控制YES我司有筆記本移動(dòng)設(shè)備,離開(kāi)正常的辦公場(chǎng)所應(yīng)進(jìn)行控制,防止其被盜竊、未經(jīng)授權(quán)的訪問(wèn)等危害的發(fā)生。信息處理設(shè)施控制程序計(jì)算機(jī)管理規(guī)定介質(zhì)管理程序A.11.2.7設(shè)備報(bào)廢或重用控制YES對(duì)我司儲(chǔ)存有關(guān)敏感信息的

16、設(shè)備,如服務(wù)器、硬盤(pán),對(duì)其處置和再利用應(yīng)將其信息清除。信息處理設(shè)施控制程序介質(zhì)管理程序A.11.2.8無(wú)人值守的設(shè)備控制YES確保無(wú)人值守設(shè)備得到足夠的保護(hù)。計(jì)算機(jī)管理規(guī)定A.11.2.9桌面清空及清屏策略控制YES不實(shí)行清除桌面或清除屏幕策略,會(huì)受到資產(chǎn)丟失、失竊或遭到非法訪問(wèn)的威脅。計(jì)算機(jī)管理規(guī)定A.12操作安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.12.1 操作程序及職責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。A.12.1.1文件化操作程序控制YES作業(yè)程序應(yīng)該文件化,并在需要時(shí)可用。文件控制程序A.12.1.2變更管理控制YES未加以控制的信息處理設(shè)備和

17、系統(tǒng)更改會(huì)造成系統(tǒng)故障和安全故障。信息處理設(shè)施控制程序變更控制程序A.12.1.3容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障,監(jiān)控容量需求并規(guī)劃將來(lái)容量是必須的。信息安全監(jiān)控管理規(guī)定A.12.1.4開(kāi)發(fā)、測(cè)試與運(yùn)行環(huán)境的分離控制YES我司設(shè)有研發(fā)部門(mén),應(yīng)分離開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施,以降低未授權(quán)訪問(wèn)或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)軟件開(kāi)發(fā)安全控制程序A.12.2 防范惡意軟件目標(biāo)YES確保對(duì)信息和信息處理設(shè)施的保護(hù),防止惡意軟件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存在的,應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)控制,以及適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn)的程序。防病毒管理規(guī)定A.12.3 備份目標(biāo)Y

18、ES防止數(shù)據(jù)丟失A.12.3.1數(shù)據(jù)備份控制YES對(duì)重要信息和軟件定期備份是必須的,以防止信息和軟件的丟失和不可用,及支持業(yè)務(wù)可持續(xù)性。數(shù)據(jù)備份管理程序A.12.4 日志記錄和監(jiān)控目標(biāo)YES記錄事件和生成的證據(jù)A.12.4.1事件日志控制YES為訪問(wèn)監(jiān)測(cè)提供幫助,建立事件日志(審核日志)是必須的。信息安全監(jiān)控管理規(guī)定A.12.4.2日志信息保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù),防止被篡改和未經(jīng)授權(quán)的訪問(wèn)。信息安全監(jiān)控管理規(guī)定A.12.4.3管理員和操作者日志控制YES應(yīng)根據(jù)需要,記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。信息安全監(jiān)控管理規(guī)定A.12.4.4時(shí)鐘同步控制YES實(shí)施時(shí)鐘同步,是

19、生產(chǎn)、經(jīng)營(yíng)與獲取客觀證據(jù)的需要。信息安全監(jiān)控管理規(guī)定A.12.5 運(yùn)營(yíng)中軟件控制目標(biāo)YES確保運(yùn)營(yíng)中系統(tǒng)的完整性。A.12.5.1運(yùn)營(yíng)系統(tǒng)的軟件安裝控制YES應(yīng)建立程序?qū)\(yùn)營(yíng)中的系統(tǒng)的軟件安裝進(jìn)行控制。軟件控制程序A.12.6技術(shù)漏洞管理目標(biāo)YES防止技術(shù)漏洞被利用。A.12.6.1管理技術(shù)薄弱點(diǎn)控制YES及時(shí)獲得正在使用信息系統(tǒng)的技術(shù)薄弱點(diǎn)的相關(guān)信息,應(yīng)評(píng)估對(duì)這些薄弱點(diǎn)的暴露程度,并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險(xiǎn)。技術(shù)薄弱點(diǎn)控制程序A.12.6.2限制軟件安裝控制YES應(yīng)建立和實(shí)施用戶軟件安裝規(guī)則。軟件控制程序A.12.7 信息系統(tǒng)審計(jì)的考慮因素目標(biāo)YES最小化審計(jì)活動(dòng)對(duì)系統(tǒng)運(yùn)營(yíng)影響。A.12.

20、7.1信息系統(tǒng)審核控制控制YES應(yīng)謹(jǐn)慎策劃對(duì)系統(tǒng)運(yùn)行驗(yàn)證所涉及的審核要求和活動(dòng) 并獲得許可,以最小化中斷業(yè)務(wù)過(guò)程。內(nèi)部審核控制程序A.13通信安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.13.1 網(wǎng)絡(luò)安全管理目標(biāo)YES確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。A.13.1.1網(wǎng)絡(luò)控制控制YES應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制,以保護(hù)系統(tǒng)和應(yīng)用程序的信息。網(wǎng)絡(luò)安全管理程序變更控制程序A.13.1.2網(wǎng)絡(luò)服務(wù)安全控制YES應(yīng)識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級(jí)和管理要求,并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中,無(wú)論這種服務(wù)是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)安全管理程序A.13.1.3網(wǎng)絡(luò)隔離控制YES應(yīng)在網(wǎng)

21、絡(luò)中按組隔離信息服務(wù)、用戶和信息系統(tǒng)。網(wǎng)絡(luò)安全管理程序A.13.2 信息交換目標(biāo)YES確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?。A.13.2.1信息交換策略和程序控制YES應(yīng)建立正式的傳輸策略、程序和控制,以保護(hù)通過(guò)通訊設(shè)施傳輸?shù)乃蓄?lèi)型信息的安全。信息交換管理程序A.13.2.2信息交換協(xié)議控制YES建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議。信息交換管理程序A.13.2.3電子消息控制YES應(yīng)適當(dāng)保護(hù)電子消息的信息。信息交換管理程序A.13.2.4保密或不披露協(xié)議控制YES應(yīng)制定并定期評(píng)審組織的信息安全保密協(xié)議或不披露協(xié)議,該協(xié)議應(yīng)反映織對(duì)信息保護(hù)的要求。保密協(xié)議相關(guān)方管理程序A.

22、14系統(tǒng)的獲取、開(kāi)發(fā)及維護(hù)標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.14.1信息系統(tǒng)安全需求目標(biāo)YES確保信息安全成為信息系統(tǒng)整個(gè)生命周期的組成部分,包括通過(guò)公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要求。A.14.1.1信息安全需求分析和規(guī)范控制YES新建信息系統(tǒng)或增強(qiáng)現(xiàn)有信息系統(tǒng)的需求中應(yīng)包括信息安全相關(guān)的要求。網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全控制YES應(yīng)保護(hù)流經(jīng)公共網(wǎng)絡(luò)的應(yīng)用服務(wù)信息,以防止欺詐、 合同爭(zhēng)議、未授權(quán)的泄漏和修改。網(wǎng)絡(luò)安全管理程序A.14.1.3保護(hù)應(yīng)用服務(wù)控制YES應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息,以防止不完整的傳輸、路由錯(cuò)誤、

23、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和重放。網(wǎng)絡(luò)安全管理程序A.14.2開(kāi)發(fā)和支持過(guò)程的安全目標(biāo)YES確保信息系統(tǒng)開(kāi)發(fā)生命周期中設(shè)計(jì)和實(shí)施信息安全。A.14.2.1開(kāi)發(fā)的安全策略控制YES應(yīng)對(duì)軟件開(kāi)發(fā)及系統(tǒng)建設(shè)的安全需求進(jìn)行規(guī)范管理。軟件開(kāi)發(fā)安全控制程序A.14.2.2系統(tǒng)變更控制程序控制YES為防止未授權(quán)或不充分的更改,導(dǎo)致系統(tǒng)故障與中斷,需要實(shí)施嚴(yán)格更改控制。變更控制程序A.14.2.3操作平臺(tái)變更后的技術(shù)評(píng)審控制YES操作系統(tǒng)的不充分更改對(duì)應(yīng)用系統(tǒng)會(huì)造成嚴(yán)重的影響。變更控制程序A.14.2.4軟件包變更限制控制YES不鼓勵(lì)對(duì)軟件包進(jìn)行變更,對(duì)必要的更改需嚴(yán)格控制。變更控制程

24、序A.14.2.5安全系統(tǒng)工程原則控制YES應(yīng)建立、文件化、維護(hù)和應(yīng)用安全系統(tǒng)工程原則,并應(yīng)用于任何信息系統(tǒng)工程。軟件開(kāi)發(fā)安全控制程序A.14.2.6開(kāi)發(fā)環(huán)境安全控制YES在整個(gè)系統(tǒng)開(kāi)發(fā)生命周期的系統(tǒng)開(kāi)發(fā)和集成工作中, 應(yīng)建立并妥善保障開(kāi)發(fā)環(huán)境的安全。軟件開(kāi)發(fā)安全控制程序A.14.2.7外包開(kāi)發(fā)控制NO公司暫無(wú)軟件外包過(guò)程。A.14.2.8系統(tǒng)安全測(cè)試控制YES在開(kāi)發(fā)過(guò)程中,應(yīng)進(jìn)行安全性的測(cè)試。軟件開(kāi)發(fā)安全控制程序A.14.2.9系統(tǒng)驗(yàn)收測(cè)試控制YES應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)及新版本的驗(yàn)收測(cè)試程序和相關(guān)準(zhǔn)則。軟件開(kāi)發(fā)安全控制程序A.14.3 測(cè)試數(shù)據(jù)目標(biāo)YES確保測(cè)試數(shù)據(jù)安全。A.14.3.

25、1測(cè)試數(shù)據(jù)的保護(hù)控制YES應(yīng)謹(jǐn)慎選擇測(cè)試數(shù)據(jù),并加以保護(hù)和控制。軟件開(kāi)發(fā)安全控制程序A.15供應(yīng)商關(guān)系標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.15.1 供應(yīng)商關(guān)系的信息安全目標(biāo)YES確保組織被供應(yīng)商訪問(wèn)的信息的安全。A.15.1.1供應(yīng)商關(guān)系的信息安全策略控制YES為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風(fēng)險(xiǎn),應(yīng)與供應(yīng)商簽署安全要求的文件協(xié)議。保密協(xié)議A.15.1.2在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全控制YES與每個(gè)供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對(duì)組織的 IT 基礎(chǔ)設(shè)施組件、信息的訪 問(wèn)、處理、存儲(chǔ)、溝通。保密協(xié)議A.15.1.3信息和通信技術(shù)的供應(yīng)鏈控制YES供

26、應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險(xiǎn)。保密協(xié)議A.15.2 供應(yīng)商服務(wù)交付管理目標(biāo)YES保持符合供應(yīng)商協(xié)議的信息安全和服務(wù)交付水平。A.15.2.1供應(yīng)商服務(wù)的監(jiān)督和評(píng)審控制YES組織應(yīng)定期監(jiān)督、評(píng)審和審核供應(yīng)商的服務(wù)交付。相關(guān)方服務(wù)管理程序A.15.2.2供應(yīng)商服務(wù)的變更管理控制YES應(yīng)管理供應(yīng)商服務(wù)的變更,包括保持和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施,考慮對(duì)業(yè)務(wù)信息、系統(tǒng)、 過(guò)程的關(guān)鍵性和風(fēng)險(xiǎn)的再評(píng)估。相關(guān)方服務(wù)管理程序 A.16 通信安全事件管理標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.16.1 信息安全事件的管理和改進(jìn)目標(biāo)YES確保網(wǎng)

27、絡(luò)及信息處理設(shè)施中信息的安全。A.16.1.1職責(zé)和程序控制YES應(yīng)建立管理職責(zé)和程序,以快速、有效和有序的響應(yīng)信息安全事件。信息安全事件管理程序A.16.1.2報(bào)告信息安全事態(tài)控制YES應(yīng)通過(guò)適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事態(tài)。信息安全事件管理程序A.16.1.3報(bào)告信息安全弱點(diǎn)控制YES應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報(bào)告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點(diǎn)。信息安全事件管理程序技術(shù)薄弱點(diǎn)的控制程序A.16.1.4評(píng)估和決策信息安全事件控制YES應(yīng)評(píng)估信息安全事件,以決定其是否被認(rèn)定為信息安全事故。信息安全事件管理程序A.16.1.5響應(yīng)信息安全事故控制YES應(yīng)按照文

28、件化程序響應(yīng)信息安全事故。信息安全事件管理程序A.16.1.6從信息安全事故中學(xué)習(xí)控制YES分析和解決信息安全事故獲得的知識(shí)應(yīng)用來(lái)減少未來(lái)事故的可能性或影響。信息安全事件管理程序A.16.1.7收集證據(jù)控制YES組織應(yīng)建立和采取程序,識(shí)別、收集、采集和保存可以作為證據(jù)的信息。信息安全事件管理程序A.17 業(yè)務(wù)連續(xù)性管理中的信息安全標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.17.1 信息安全的連續(xù)性目標(biāo)YES信息安全連續(xù)性應(yīng)嵌入到組織的業(yè)務(wù)連續(xù)性管理體系。A.17.1.1規(guī)劃信息安全的連續(xù)性控制YES組織應(yīng)確定其需求,以保證在不利情況下信息安全管 理的安全和連續(xù)性,如在危機(jī)或?yàn)?zāi)難時(shí)。業(yè)務(wù)持續(xù)性管理程序A.17.1.2實(shí)施信息安全的連

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論