信息安全适用性声明
版本号:A0
依据GB/T22080-2016 idt ISO27001:2013
文件编号 | 签字 | |
编制 | ||
审核 | ||
批准 | ||
发布日期 | ||
实施日期 | ||
适用性声明
(LJD-HB-02)
文档密级:一般
文档状态:[ ] 草案 [√]正式发布 [ ]正在修订
受控状态:[√] 受控 [ ]非受控
2021.7.1 | A0 | 首次A0版发布 | 刘仕芬 | 吴文彬 | 李广 |
| soa | |||||
说明 | 公司于2021年7月1日进行了SOA发布实施了A0版本,不适用说明: IS1:计算机信息系统集成相关,不适用13条制措措施: A.9.4.5、A.12.1.4/A.14.1.2 、A.14.1.3、A.14.2.1、A.14.2.2、A.14.2.3、A.14.2.4、A.14.2.5、A.14.2.6、A.14.2.7、A.14.2.8、A.14.3.1。其他控制措施均适用。 IS2:计算机应用软件开发相关,A.14.2.7控制措施不适用,其他控制措施均适用。 |
A.5信息安全策略
编号 | 控制措施 | 控制目标 | 软件开发Y/N | 系统集成Y/N | 说明 |
A.5.1 信息安全管理指导 目标:为信息安全提供管理指导和支持并确保信息安全符合业务需求和相关法律、法规。 | |||||
A.5.1.1 | 信息安全策略 | 信息安全策略集应被定义,由管理者批准、发布并传达给所有员工和外部相关方。 | Yes | Yes | 《信息安全&信息技术服务管理手册》 |
A.5.1.2 | 信息安全策略的评审 | 应按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保它持续的适宜性、充分性和有效性。 | Yes | Yes | 《管理评审控制程序》 |
A.6信息安全组织
编号 | 控制措施 | 控制目标 | 软件开发Y/N | 系统集成Y/N | 说明 |
A.6.1 内部组织 目标:建立一个管理框架,在组织内启动和控制信息安全的实施和运行信息。 | |||||
A.6.1.1 | 信息安全的角和责任 | 所有信息安全职责应被确定和分配。 | Yes | Yes | 《信息安全&信息技术服务管理手册》 |
A.6.1.2 | 职责分离 | 冲突的职责和权限应被分开,减少对组织资产未经授权或无意的修改与误用。 | Yes | Yes | 《信息安全&信息技术服务管理手册》 |
A.6.1.3 | 与职能机构的联系 | 应保持与职能机构的适当联系。 | Yes | Yes | 《信息安全&信息技术服务管理手册》 《信息安全沟通协调管理程序》 |
A.6.1.4 | 与特定相关方的联系 | 应保护与特定相关方、其他专业安全论坛和行业协会应保持适当联系。 | Yes | Yes | 《信息安全沟通协调管理程序》《信息安全内部专家名单》 |
A.6.1.5 | 项目中的信息安全 | 信息安全应融入项目管理中,与项目类型无关。 | Yes | Yes | 《信息安全风险评估管理程序》 《用户访问管理制度》 《变更管理程序》 |
A.6.2 移动设备和远程工作 目标:确保远程办公和移动设备使用的安全。 | |||||
A.6.2.1 | 移动设备策略 | 应使用策略和配套的安全措施来管理移动设备带来的风险。 | Yes | Yes | 《计算机管理制度》 《笔记本管理制度》 |
A.6.2.2 | 远程工作 | 应执行策略和配套的安全措施来保护在远程工作地点的信息访问、处理和存储。 | Yes | Yes | 《远程工作管理制度》 |
A.7人力资源安全
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论