****公司
信息安全管理体系文件
信息安全适用性声明
(依据ISO/IEC 27001:2022标准编制)
(ISMS-SOA)
版本号:A/0
编 制:
审 批:
2023.1.1
信息安全适用性声明SOA
A.5组织控制
标准 条款号 | 标题 | 目标/控制 | 是否选择 | 选择理由 | 控制描述 | 文件名称 |
A5.1 | 信息安全策略 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司依据公司内外部情况以及信息安全管理、信息安全保障和合规的需要,根据信息安全管理方针,特制订信息安全管理策略。 | 《信息安全管理策略》 |
A5.2 | 信息安全的角和责任 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作 | 《信息安全内部组织管理程序》 |
A5.3 | 职责分离 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 宜分割冲突的责任和职责范围,以降低未授权或无意的修改或者不当使用组织资产的机会。 | 《信息安全内部组织管理程序》 |
A5.4 | 管理层责任 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 各部门根据公司业务要求,明确本部门的关键工作岗位及任职要求并依据建立的方针和程序来应用安全。 | 《人力资源管理程序》 |
A5.5 | 与职能机构的联系 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 详细说明由谁何时与权威机构联系,以及怎样识别应该及时报告的可能会违背法律的信息安全事件。公司建立信息安全顾问,必要时聘请外部专家。 | 《信息安全内部组织管理程序》 |
A5.6 | 与特定相关方的联系 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司就计算机信息及通信网络安全问题与服务提供部门(保持联系。以确保和在出现安全事故时尽快采取适当的行动和取得建议。交流确保敏感信息不外传。 | soa《信息安全内部组织管理程序》 |
A5.7 | 威胁情报 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司与权威机构保持联系,及时获取信息安全威胁情报件。公司建立信息安全顾问,必要时聘请外部专家。 | 《信息安全内部组织管理程序》 |
A5.8 | 项目管理中的信息安全 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 无论何种类型的项目,信息安全都要整合到组织的项目管理方法中,以确保将识别并处理信息安全风险作为项目的一部分。 | 《信息安全内部组织管理程序》 |
A5.9 | 信息和其他相关资产的清单 | 控制 | YES | 根据 风险评估的结果 | 各部门按《信息安全风险评估计划》对影响到本公司经营、服务和日常管理的重要业务系统以及涉及资产进行识别。并建立和保持一份重要资产清单。 | 《信息安全风险识别与评价管理程序》 |
A5.10 | 信息和其他相关资产的可接受的使用 | 控制 | YES | 根据 风险评估的结果 | 综合部识别信息处理设施的使用要求和限制,必要时制定文件化的使用规则(操作手册或说明书),并确保所有的使用者了解和遵守设备的使用要求和限制。使用或访问组织资产员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用,以及发生在其责任下的使用负责。 | 《信息处理设施管理程序》 《个人计算机管理程序》 |
A5.11 | 资产返还 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 在员工离职前应收回保密文件,退还身份证件和使用组织的所有资产,并执行财务清款,法律事务清查。 第三方用户完成合同时,应按《相关方信息安全管理程序》办理完所负责的所有资产归还手续。 | 《人力资源管理程序》 《相关方信息安全管理程序》 |
A5.12 | 信息分类 | 控制 | YES | 根据 风险评估的结果 | 公司的信息资产等级应根据《信息安全风险识别与评价管理程序》来分,对信息的价值、法律要求、敏感度以及对组织的关键程度,对信息进行分类。 公司的信息密级按《商业秘密管理程序》规定的原则进行确定。 | 《信息安全风险识别与评价管理程序》 《商业秘密管理程序》 |
A5.13 | 信息标签 | 控制 | YES | 根据 风险评估的结果 | 对于属于企业的秘密、企业机密与国家秘密的文件,秘级确定部门应按照要求做好标识或加盖识别印章。 个人计算机建立《个人计算机配备一览表》,加贴资产标识。 | 《商业秘密管理程序》 《个人计算机管理程序》 |
A5.14 | 信息传递 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 在内部或与外部进行信息交换或传递的过程中采用有效的安全控制措施,公司规定在使用电子通信设施进行信息交换时,防止交换的信息被截取、备份、修改、误传以及破坏;保护以附件形式传输的电子信息;公司互联网的计算机,不得含有涉密的电子数据信息。 | 《信息交换管理程序》 《数据安全管理程序》 |
A5.15 | 访问控制 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 本公司内部可公开的信息,允许所有服务用户访问。本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。 | 《用户访问管理程序》 |
A5.16 | 身份管理 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司对所有人员进行身份识别,依据不同身份分配以不同权限,并定期对不同身份人员的权限进行评审来保护信息。 | 《信息系统开发建设管理程序》 《数据安全管理程序》 |
A5.17 | 鉴别信息 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司在《用户访问管理程序》和相应的应用管理中明确规定了口令安全选择与使用要求,所有用户应严格遵守。 实施口令定期变更策略(一般用户每半年,特权用户口令每季度)。 | 《用户访问管理程序》 |
A5.18 | 访问权限 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 用户(包括技术支持人员、操作员、网络管理员、系统管理员和软件开发工程师)应有唯一的识别符,以便他们个人单独使用时,能查出活动的个人责任,用户ID由系统管理员根据授权的规定予以设置。用户识别符可以由用户名称加口令或其它适宜方式组成。 | 《用户访问管理程序》 |
A5.19 | 供应商关系中的信息安全 | 控制 | YES | 根据 风险评估的结果 | 相关部门应协同综合部识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制。 | 《相关方信息安全管理程序》 |
A5.20 | 解决供应商协议中的信息安全问题 | 控制 | YES | 根据 风险评估的结果 | 相关部门应与外部相关方签署涉及物理访问、逻辑访问和工作安排条款和条件的《相关方服务保密协议》,所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映,在未实施适当的控制之前不应该向外部相关方提供对信息的访问。 | 《相关方信息安全管理程序》 |
A5.21 | 管理ICT 供应链中的信息安全 | 控制 | YES | 根据 风险评估的结果 | 相关方协议应该包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。 | 《相关方信息安全管理程序》 |
A5.22 | 供应商服务的监控、审查和变更管理 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 相关方提供的服务、报告以及记录应该定期监控和评审,并定期进行审核,保持对相关方访问、处理和管理敏感信息、关键信息、信息处理设施的安全活动的全面充分控制和了解。通过确定的报告过程、方式和结构,确保对安全活动的全面了解,例如变更管理、薄弱点的识别、信息安全事件报告和响应等。 当提供服务的相关方或内容发生变更时,应进行变更登记,并对现有和变更后的服务进行评估。 相关方应提供服务报告,并对供应商服务情况进行评价。 | 《相关方信息安全管理程序》 |
A5.23 | 使用云服务的信息安全 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司所使用的云服务相关方提供的服务、报告以及记录应该定期监控和评审,并定期进行审核,保持对相关方访问、处理和管理敏感信息、关键信息、信息处理设施的安全活动的全面充分控制和了解。通过确定的报告过程、方式和结构,确保对安全活动的全面了解,例如变更管理、薄弱点的识别、信息安全事件报告和响应等。 | 序》 |
A5.24 | 规划和准备管理信息安全事故 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 综合部在接到报告后应迅速做出响应,各相关部门应即使按要求采取处置措施与意见,将信息安全事件所造成的影响降低到最低限度。 | 《信息系统监控管理程序》 《信息安全事件管理程序》 |
A5.25 | 信息安全事件的评估和决策 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 事件责任部门使用商定的信息安全事态和事件分级尺度评估每个信息安全事态,并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。 | 《信息安全事件管理程序》 |
A5.26 | 应对信息安全事故 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 事件响应的首要目标是重新回到“正常的安全水平”,然后启动必要的恢复。事件责任部门负责对信息安全事件予以响应。 | 《信息安全事件管理程序》 |
A5.27 | 从信息安全事故中吸取教训 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 事故发生以后,主管部门应对事故发生的原因、类型、损失进行鉴定,并提出防止此类事故再次发生的措施和建议,形成事故调查分析及处理报告,责成责任部门实施纠正措施。 | 《信息安全事件管理程序》 |
A5.28 | 收集证据 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 事件责任部门应对事件原因进行分析,必要时,采取纠正措施,事件原因及采取措施纠正结果要予以记录。 | 《信息安全事件管理程序》 |
A5.29 | 中断期间的信息安全 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 为达到公司业务的持续性目标,技术部组织有关部门在适当的风险评估的基础上,进行灾难及系统中断影响分析,识别出造成关键业务中断的主要事件及其影响。 | 《信息业务连续性管理程序》 |
A5.30 | ICT 为业务连续性做好准备 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 公司建立并实施《信息业务连续性管理程序》,在发生灾难或安全故障时,实施持续性管理计划,确保关键业务及时得到恢复。 每年公司应组织有关部门采取适宜的测试方法对《业务连续性管理计划》进行测试,并保持测试记录;每次测试后,公司组织与计划有关的部门对计划的时效和有效性进行评审,必要时,对业务连续性计划进行修改。 | 《信息业务连续性管理程序》 |
A5.31 | 法律、法规、监管和合同要求 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 综合部从政府主管部门获取相关的国家及地方最新信息安全法律法规及其他要求,并通过相关渠道进行补充。 | 《信息安全合规性管理程序》 |
A5.32 | 知识产权 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 本公司尊重知识产权,按法律、法规和合同约定保护知识产权。 | 《信息安全合规性管理程序》 |
A5.33 | 记录保护 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 各部门应按照《记录管理程序》和有关法律、法规要求,明确规定重要记录的保存期限并提供适当的保护,防止丢失、损坏和伪造。 | 《记录管理程序》 《信息安全合规性管理程序》 |
A5.34 | PII 隐私和保护 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 信息处理与个人数据与信息有关的部门应按照有关规定,对个人信息进行妥善管理与保护,防止丢失或泄露个人秘密。 | 《数据安全管理程序》 《信息安全合规性管理程序》 |
A5.35 | 信息安全独立审查 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 综合部负责组织和策划内部审核,根据策划的时间间隔,或者有特殊情况时,对组织管理信息安全的方法及其实施情况进行独立评审。 | 《内部审核管理程序》 |
A5.36 | 信息安全策略、规则和标准的遵从性 | 控制 | YES | 根据信息安全体系规定和公司实际需求 | 内部审核每年进行1次,每次审核的范围应覆盖与信息安全管理体系有关的所有部门与安全区域,确保职责范围内的所有安全程序正确完成,依从安全方针和标准。 公司利用入侵检测、漏洞扫描等工具对网络系统进行定期技术性检查。 内部审核活动应包括对各信息系统的技术性审核,内部审核组至少拥有一名具有一定信息安全技术的内部专家;技术性审核应在被监督的情况下进行。 | 《内部审核管理程序》 |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论