信息安全適用性聲明

1、XXXXXX科技有限公司信息安全適用性聲明 文件編號：XX-ISMS-02版本 A/0頁次 17 OF 17 密級：內(nèi)部限制信息安全適用性聲明（依據(jù)ISO27001標(biāo)準(zhǔn)）文件編號: XX-ISMS-02 版 本 號: A/0 制定日期: 2016年03月01日 編制： 審核： 批準(zhǔn)： 2016年03月01日發(fā)布 2016年03月01日實施 修 訂 履 歷 版本頁次修 訂 履 歷生效日期A/0初次發(fā)行2016.3.11. 目的根據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)和公司實際管理需要，確定標(biāo)準(zhǔn)各條款對公司的適用性，特編制本程序。2. 范圍適用于對ISO/IEC27001:2013標(biāo)準(zhǔn)于本公司的

2、適用性管理。3. 職責(zé)與權(quán)限3.1最高管理者負(fù)責(zé)信息安全適用性聲明的審批。3.2綜合部負(fù)責(zé)信息安全適用性聲明的編制及修訂。4. 相關(guān)文件a) 信息安全管理手冊5. 術(shù)語定義無 6. 適用性聲明信息安全適用性聲明SOAA.5信息安全方針標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.5.1信息安全管理指引目標(biāo)YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。A.5.1.1信息安全方針控制YES信息安全方針應(yīng)由管理才批準(zhǔn)發(fā)布。信息安全管理手冊A.5.1.2信息安全方針的評審控制YES確保方針持續(xù)的適應(yīng)性。管理評審控制程序A.6信息安全組織標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否

3、選擇選 擇 理 由相 關(guān) 文 件A.6.1信息安全組織目標(biāo)YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色和職責(zé)控制YES保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責(zé)需確定。信息安全管理手冊A.6.1.2職責(zé)分離控制YES分離有沖突的職責(zé)和責(zé)任范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機會。信息安全管理手冊A.6.1.3與監(jiān)管機構(gòu)的聯(lián)系控制YES與相關(guān)監(jiān)管機構(gòu)保持適當(dāng)聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.4與特殊利益團(tuán)體的聯(lián)系控制YES與特殊利益團(tuán)體、其他專業(yè)安全協(xié)會或行業(yè)協(xié)會應(yīng)保持適當(dāng)聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.5項目管理中的信息安全控制YES實施任何項目時應(yīng)考慮

4、信息安全相關(guān)要求。保密協(xié)議相關(guān)方管理程序A.6.2 移動設(shè)備和遠(yuǎn)程辦公目標(biāo)YES確保遠(yuǎn)程辦公和使用移動設(shè)備的安全性A.6.2.1移動設(shè)備策略控制YES采取安全策略和配套的安全措施管控使用移動設(shè)備帶來的風(fēng)險。信息處理設(shè)施控制程序計算機管理規(guī)定介質(zhì)管理程序A.6.2.2遠(yuǎn)程辦公控制YES我司有遠(yuǎn)程訪問公司少數(shù)系統(tǒng)的情況，需要進(jìn)行安全控制。用戶訪問控制程序A.7 人力資源安全標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.7.1 聘用前目標(biāo)YES確保員工、合同方人員適合他們所承擔(dān)的角色并理解他們的安全責(zé)任A.7.1.1人員篩選控制YES通過人員考察，防止人員帶來的信息安全風(fēng)險。人力

5、資源安全管理程序A.7.1.2雇傭條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。人力資源安全管理程序保密協(xié)議A.7.2聘用期間目標(biāo)YES確保員工和合同方了解并履行他們的信息安全責(zé)任。A.7.2.1管理職責(zé)控制YES缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安全影響。信息安全管理手冊人力資源安全管理程序A.7.2.2信息安全意識、教育和培訓(xùn)控制YES信息安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。人力資源安全管理程序A.7.2.3懲戒過程控制YES對造成安全破壞的員工應(yīng)該有一個正式的懲戒過程。信息安全懲戒管理規(guī)定A.7.3聘用中止和變化目標(biāo)YES在任

6、用變更或中止過程保護(hù)組織利益。A.7.3.1任用終止或變更的責(zé)任控制YES應(yīng)定義信息安全責(zé)任和義務(wù)在任用終止或變更后仍然有效，并向員工和合同方傳達(dá)并執(zhí)行。人力資源安全管理程序相關(guān)方服務(wù)管理程序A.8資產(chǎn)管理標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.8.1資產(chǎn)責(zé)任目標(biāo)YES對我司資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進(jìn)行有效保護(hù)。A.8.1.1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實施保護(hù)。信息安全風(fēng)險評估控制程序重要資產(chǎn)清單A.8.1.2資產(chǎn)責(zé)任人控制YES對所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定“所有者”信息安全風(fēng)險評估控制程序資產(chǎn)清單信息處理設(shè)施控制程序A.8.

7、1.3資產(chǎn)的合理使用控制YES識別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并予以實施。信息處理設(shè)施控制程序A.8.1.4資產(chǎn)的歸還控制YES在勞動合同或協(xié)議終止后，所有員工和外部方人員應(yīng)退還所有他們持有的組織資產(chǎn)。人力資源安全管理程序相關(guān)方服務(wù)管理程序A.8.2信息分類目標(biāo)YES我司根據(jù)信息的敏感性對信息進(jìn)行分類，明確保護(hù)要求、優(yōu)先權(quán)和等級，以確保對資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)。A.8.2.1分類指南控制YES我司的信息安全涉及信息的敏感性，適當(dāng)?shù)姆诸惪刂剖潜匾?。信息分類與處理指南A.8.2.2信息標(biāo)識控制YES按分類方案進(jìn)行標(biāo)注并規(guī)定信息處理的安全的要求。信息分類與處理指南A.8.2

8、.3資產(chǎn)處理控制YES根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程序信息處理設(shè)施控制程序A.8.3 介質(zhì)處理目標(biāo)YES防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除或破壞。A.8.3.1可移動介質(zhì)管理控制YES我司存在含有敏感信息的磁盤、磁帶、光盤、打印報告等可移動介質(zhì)。介質(zhì)管理程序A.8.3.2介質(zhì)處置控制YES當(dāng)介質(zhì)不再需要時，對含有敏感信息介質(zhì)采用安全的處置辦法是必須。介質(zhì)管理程序A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應(yīng)加以保護(hù)，防止未經(jīng)授權(quán)的訪問、濫用或在運輸過程中的損壞。信息交換管理程序A.9 訪問控制標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.9

9、.1訪問控制的業(yè)務(wù)需求目標(biāo)YES限制對信息和信息處理設(shè)施的訪問A.9.1.1訪問控制策略控制YES建立文件化的訪問控制策略，并根據(jù)業(yè)務(wù)和安全要求對策略進(jìn)行評審。用戶訪問控制程序A.9.1.2對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制YES制定策略，明確用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止非授權(quán)的網(wǎng)絡(luò)訪問。用戶訪問控制程序A.9.2用戶訪問管理目標(biāo)YES確保已授權(quán)用戶的訪問，預(yù)防對系統(tǒng)和服務(wù)的非授權(quán)訪問。A.9.2.1用戶注冊和注銷控制YES我司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和注銷登記程序。用戶訪問控制程序A.9.2.2用戶訪問權(quán)限提供控制YES應(yīng)有正式的用戶訪問分配程序，以分配和撤銷對于所有信息系統(tǒng)及服務(wù)的

10、訪問。用戶訪問控制程序A.9.2.3特權(quán)管理控制YES應(yīng)對特權(quán)帳號進(jìn)行管理，特權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的破壞。用戶訪問控制程序A.9.2.4用戶認(rèn)證信息的安全管理控制YES用戶鑒別信息的權(quán)限分配應(yīng)通過一個正式的管理過程 進(jìn)行安全控制。用戶訪問控制程序A.9.2.5用戶訪問權(quán)限的評審控制YES對用戶訪問權(quán)限進(jìn)行評審是必要的,以防止非授權(quán)的訪問。用戶訪問控制程序A.9.2.6撤銷或調(diào)整訪問權(quán)限控制YES在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終止和調(diào)整后，應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施 的訪問權(quán)限。人力資源安全管理程序用戶訪問控制程序相關(guān)方服務(wù)管理程序A.9.3 用戶責(zé)任目標(biāo)YES確保用戶

11、對認(rèn)證信息的保護(hù)負(fù)責(zé)。A.9.3.1認(rèn)證信息的使用控制YES應(yīng)要求用戶遵循組織的規(guī)則使用其認(rèn)證信息。用戶訪問控制程序A.9.4 系統(tǒng)和應(yīng)用訪問控制目標(biāo)YES防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問A.9.4.1信息訪問限制控制YES我司信息訪問權(quán)限是根據(jù)業(yè)務(wù)運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應(yīng)加以限制。用戶訪問控制程序A.9.4.2安全登錄程序控制YES對操作系統(tǒng)的訪問應(yīng)有安全登錄程序進(jìn)行控制。用戶訪問控制程序A.9.4.3密碼管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機會，應(yīng)對密碼進(jìn)行管理。用戶訪問控制程序A.9.4.4特權(quán)程序的使用控制YES對特權(quán)程序的使用應(yīng)嚴(yán)格控制，防止惡意破壞系統(tǒng)安

12、全。用戶訪問控制程序A.9.4.5對程序源碼的訪問控制控制YES對程序源代碼的訪問應(yīng)進(jìn)行限制。軟件開發(fā)安全控制程序A.10 加密技術(shù)標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.10.1 加密控制目標(biāo)YES確保適當(dāng)和有效地使用加密技術(shù)來保護(hù)信息的機密性、真實性、完整性。A.10.1.1使用加密控制的策略控制YES為保護(hù)信息，應(yīng)開發(fā)并實施加密控制的使用策略網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.10.1.2密鑰管理控制YES應(yīng)進(jìn)行密鑰管理，以支持公司對密碼技術(shù)的使用網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定計算機管理規(guī)定A.11物理和環(huán)境安全標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理

13、 由相 關(guān) 文 件A.11.1 安全區(qū)域目標(biāo)YES防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要信息及信息處理設(shè)施的區(qū)域,應(yīng)確定其安全周界對其實施保護(hù)。安全區(qū)域控制程序A.11.1.2物理進(jìn)入控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán),未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。安全區(qū)域控制程序A.11.1.3辦公室、房間及設(shè)施的安全控制YES對安全區(qū)域內(nèi)的綜合管理部、房間和設(shè)施應(yīng)有特殊的安全要求。安全區(qū)域控制程序A.11.1.4防范外部和環(huán)境威脅控制YES加強我司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。安全區(qū)域

14、控制程序A.11.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則,才能保證安全區(qū)域安全。安全區(qū)域控制程序相關(guān)方服務(wù)管理程序A.11.1.6送貨和裝卸區(qū)控制YES對未經(jīng)授權(quán)的人員可能訪問到的地點進(jìn)行控制，防止外來人員直接進(jìn)入重要安全區(qū)域是必要的。安全區(qū)域控制程序A.11.2 設(shè)備安全目標(biāo)YES防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的組織業(yè)務(wù)中斷。A.11.2.1設(shè)備安置及保護(hù)控制YES設(shè)備應(yīng)定位和保護(hù)，防止火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。信息處理設(shè)施控制程序A.11.2.2支持設(shè)施控制YES對設(shè)備加以保護(hù)使其免于電力中斷或者其它支持設(shè)施故障而導(dǎo)致的中斷的影響。信息處理設(shè)施

15、控制程序A.11.2.3線纜安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。網(wǎng)絡(luò)安全管理程序A.11.2.4設(shè)備維護(hù)控制YES設(shè)備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。信息處理設(shè)施控制程序計算機管理規(guī)定A.11.2.5資產(chǎn)轉(zhuǎn)移控制YES設(shè)備、信息、軟件未經(jīng)授權(quán)之前，不應(yīng)將設(shè)備、信息或軟件帶到場所外。信息處理設(shè)施控制程序A.11.2.6場外設(shè)備和資產(chǎn)安全控制YES我司有筆記本移動設(shè)備，離開正常的辦公場所應(yīng)進(jìn)行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生。信息處理設(shè)施控制程序計算機管理規(guī)定介質(zhì)管理程序A.11.2.7設(shè)備報廢或重用控制YES對我司儲存有關(guān)敏感信息的

16、設(shè)備，如服務(wù)器、硬盤，對其處置和再利用應(yīng)將其信息清除。信息處理設(shè)施控制程序介質(zhì)管理程序A.11.2.8無人值守的設(shè)備控制YES確保無人值守設(shè)備得到足夠的保護(hù)。計算機管理規(guī)定A.11.2.9桌面清空及清屏策略控制YES不實行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。計算機管理規(guī)定A.12操作安全標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.12.1 操作程序及職責(zé)目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。A.12.1.1文件化操作程序控制YES作業(yè)程序應(yīng)該文件化，并在需要時可用。文件控制程序A.12.1.2變更管理控制YES未加以控制的信息處理設(shè)備和

17、系統(tǒng)更改會造成系統(tǒng)故障和安全故障。信息處理設(shè)施控制程序變更控制程序A.12.1.3容量管理控制YES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須的。信息安全監(jiān)控管理規(guī)定A.12.1.4開發(fā)、測試與運行環(huán)境的分離控制YES我司設(shè)有研發(fā)部門，應(yīng)分離開發(fā)、測試和運營設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險軟件開發(fā)安全控制程序A.12.2 防范惡意軟件目標(biāo)YES確保對信息和信息處理設(shè)施的保護(hù)，防止惡意軟件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存在的，應(yīng)實施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R培訓(xùn)的程序。防病毒管理規(guī)定A.12.3 備份目標(biāo)Y

18、ES防止數(shù)據(jù)丟失A.12.3.1數(shù)據(jù)備份控制YES對重要信息和軟件定期備份是必須的，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。數(shù)據(jù)備份管理程序A.12.4 日志記錄和監(jiān)控目標(biāo)YES記錄事件和生成的證據(jù)A.12.4.1事件日志控制YES為訪問監(jiān)測提供幫助，建立事件日志(審核日志)是必須的。信息安全監(jiān)控管理規(guī)定A.12.4.2日志信息保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。信息安全監(jiān)控管理規(guī)定A.12.4.3管理員和操作者日志控制YES應(yīng)根據(jù)需要，記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。信息安全監(jiān)控管理規(guī)定A.12.4.4時鐘同步控制YES實施時鐘同步，是

19、生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需要。信息安全監(jiān)控管理規(guī)定A.12.5 運營中軟件控制目標(biāo)YES確保運營中系統(tǒng)的完整性。A.12.5.1運營系統(tǒng)的軟件安裝控制YES應(yīng)建立程序?qū)\營中的系統(tǒng)的軟件安裝進(jìn)行控制。軟件控制程序A.12.6技術(shù)漏洞管理目標(biāo)YES防止技術(shù)漏洞被利用。A.12.6.1管理技術(shù)薄弱點控制YES及時獲得正在使用信息系統(tǒng)的技術(shù)薄弱點的相關(guān)信息，應(yīng)評估對這些薄弱點的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險。技術(shù)薄弱點控制程序A.12.6.2限制軟件安裝控制YES應(yīng)建立和實施用戶軟件安裝規(guī)則。軟件控制程序A.12.7 信息系統(tǒng)審計的考慮因素目標(biāo)YES最小化審計活動對系統(tǒng)運營影響。A.12.

20、7.1信息系統(tǒng)審核控制控制YES應(yīng)謹(jǐn)慎策劃對系統(tǒng)運行驗證所涉及的審核要求和活動 并獲得許可，以最小化中斷業(yè)務(wù)過程。內(nèi)部審核控制程序A.13通信安全標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.13.1 網(wǎng)絡(luò)安全管理目標(biāo)YES確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。A.13.1.1網(wǎng)絡(luò)控制控制YES應(yīng)對網(wǎng)絡(luò)進(jìn)行管理和控制，以保護(hù)系統(tǒng)和應(yīng)用程序的信息。網(wǎng)絡(luò)安全管理程序變更控制程序A.13.1.2網(wǎng)絡(luò)服務(wù)安全控制YES應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全機制、服務(wù)等級和管理要求，并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)安全管理程序A.13.1.3網(wǎng)絡(luò)隔離控制YES應(yīng)在網(wǎng)

21、絡(luò)中按組隔離信息服務(wù)、用戶和信息系統(tǒng)。網(wǎng)絡(luò)安全管理程序A.13.2 信息交換目標(biāo)YES確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩.13.2.1信息交換策略和程序控制YES應(yīng)建立正式的傳輸策略、程序和控制，以保護(hù)通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒌陌踩?。信息交換管理程序A.13.2.2信息交換協(xié)議控制YES建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議。信息交換管理程序A.13.2.3電子消息控制YES應(yīng)適當(dāng)保護(hù)電子消息的信息。信息交換管理程序A.13.2.4保密或不披露協(xié)議控制YES應(yīng)制定并定期評審組織的信息安全保密協(xié)議或不披露協(xié)議，該協(xié)議應(yīng)反映織對信息保護(hù)的要求。保密協(xié)議相關(guān)方管理程序A.

22、14系統(tǒng)的獲取、開發(fā)及維護(hù)標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.14.1信息系統(tǒng)安全需求目標(biāo)YES確保信息安全成為信息系統(tǒng)整個生命周期的組成部分，包括通過公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要求。A.14.1.1信息安全需求分析和規(guī)范控制YES新建信息系統(tǒng)或增強現(xiàn)有信息系統(tǒng)的需求中應(yīng)包括信息安全相關(guān)的要求。網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全控制YES應(yīng)保護(hù)流經(jīng)公共網(wǎng)絡(luò)的應(yīng)用服務(wù)信息，以防止欺詐、 合同爭議、未授權(quán)的泄漏和修改。網(wǎng)絡(luò)安全管理程序A.14.1.3保護(hù)應(yīng)用服務(wù)控制YES應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息，以防止不完整的傳輸、路由錯誤、

23、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和重放。網(wǎng)絡(luò)安全管理程序A.14.2開發(fā)和支持過程的安全目標(biāo)YES確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安全。A.14.2.1開發(fā)的安全策略控制YES應(yīng)對軟件開發(fā)及系統(tǒng)建設(shè)的安全需求進(jìn)行規(guī)范管理。軟件開發(fā)安全控制程序A.14.2.2系統(tǒng)變更控制程序控制YES為防止未授權(quán)或不充分的更改，導(dǎo)致系統(tǒng)故障與中斷，需要實施嚴(yán)格更改控制。變更控制程序A.14.2.3操作平臺變更后的技術(shù)評審控制YES操作系統(tǒng)的不充分更改對應(yīng)用系統(tǒng)會造成嚴(yán)重的影響。變更控制程序A.14.2.4軟件包變更限制控制YES不鼓勵對軟件包進(jìn)行變更，對必要的更改需嚴(yán)格控制。變更控制程

24、序A.14.2.5安全系統(tǒng)工程原則控制YES應(yīng)建立、文件化、維護(hù)和應(yīng)用安全系統(tǒng)工程原則，并應(yīng)用于任何信息系統(tǒng)工程。軟件開發(fā)安全控制程序A.14.2.6開發(fā)環(huán)境安全控制YES在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中， 應(yīng)建立并妥善保障開發(fā)環(huán)境的安全。軟件開發(fā)安全控制程序A.14.2.7外包開發(fā)控制NO公司暫無軟件外包過程。A.14.2.8系統(tǒng)安全測試控制YES在開發(fā)過程中，應(yīng)進(jìn)行安全性的測試。軟件開發(fā)安全控制程序A.14.2.9系統(tǒng)驗收測試控制YES應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級及新版本的驗收測試程序和相關(guān)準(zhǔn)則。軟件開發(fā)安全控制程序A.14.3 測試數(shù)據(jù)目標(biāo)YES確保測試數(shù)據(jù)安全。A.14.3.

25、1測試數(shù)據(jù)的保護(hù)控制YES應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù)，并加以保護(hù)和控制。軟件開發(fā)安全控制程序A.15供應(yīng)商關(guān)系標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.15.1 供應(yīng)商關(guān)系的信息安全目標(biāo)YES確保組織被供應(yīng)商訪問的信息的安全。A.15.1.1供應(yīng)商關(guān)系的信息安全策略控制YES為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風(fēng)險，應(yīng)與供應(yīng)商簽署安全要求的文件協(xié)議。保密協(xié)議A.15.1.2在供應(yīng)商協(xié)議中強調(diào)安全控制YES與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對組織的 IT 基礎(chǔ)設(shè)施組件、信息的訪 問、處理、存儲、溝通。保密協(xié)議A.15.1.3信息和通信技術(shù)的供應(yīng)鏈控制YES供

26、應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險。保密協(xié)議A.15.2 供應(yīng)商服務(wù)交付管理目標(biāo)YES保持符合供應(yīng)商協(xié)議的信息安全和服務(wù)交付水平。A.15.2.1供應(yīng)商服務(wù)的監(jiān)督和評審控制YES組織應(yīng)定期監(jiān)督、評審和審核供應(yīng)商的服務(wù)交付。相關(guān)方服務(wù)管理程序A.15.2.2供應(yīng)商服務(wù)的變更管理控制YES應(yīng)管理供應(yīng)商服務(wù)的變更，包括保持和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施，考慮對業(yè)務(wù)信息、系統(tǒng)、 過程的關(guān)鍵性和風(fēng)險的再評估。相關(guān)方服務(wù)管理程序 A.16 通信安全事件管理標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.16.1 信息安全事件的管理和改進(jìn)目標(biāo)YES確保網(wǎng)

27、絡(luò)及信息處理設(shè)施中信息的安全。A.16.1.1職責(zé)和程序控制YES應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事件。信息安全事件管理程序A.16.1.2報告信息安全事態(tài)控制YES應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報告信息安全事態(tài)。信息安全事件管理程序A.16.1.3報告信息安全弱點控制YES應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點。信息安全事件管理程序技術(shù)薄弱點的控制程序A.16.1.4評估和決策信息安全事件控制YES應(yīng)評估信息安全事件，以決定其是否被認(rèn)定為信息安全事故。信息安全事件管理程序A.16.1.5響應(yīng)信息安全事故控制YES應(yīng)按照文

28、件化程序響應(yīng)信息安全事故。信息安全事件管理程序A.16.1.6從信息安全事故中學(xué)習(xí)控制YES分析和解決信息安全事故獲得的知識應(yīng)用來減少未來事故的可能性或影響。信息安全事件管理程序A.16.1.7收集證據(jù)控制YES組織應(yīng)建立和采取程序，識別、收集、采集和保存可以作為證據(jù)的信息。信息安全事件管理程序A.17 業(yè)務(wù)連續(xù)性管理中的信息安全標(biāo)準(zhǔn)條款號標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.17.1 信息安全的連續(xù)性目標(biāo)YES信息安全連續(xù)性應(yīng)嵌入到組織的業(yè)務(wù)連續(xù)性管理體系。A.17.1.1規(guī)劃信息安全的連續(xù)性控制YES組織應(yīng)確定其需求，以保證在不利情況下信息安全管 理的安全和連續(xù)性，如在危機或災(zāi)難時。業(yè)務(wù)持續(xù)性管理程序A.17.1.2實施信息安全的連