收藏 分销(赏)

ITSM-3-SoA-000信息安全适用性声明.docx

上传人:pc****0 文档编号:8758298 上传时间:2025-03-01 格式:DOCX 页数:33 大小:77.19KB 下载积分:10 金币
下载 相关 举报
ITSM-3-SoA-000信息安全适用性声明.docx_第1页
第1页 / 共33页
ITSM-3-SoA-000信息安全适用性声明.docx_第2页
第2页 / 共33页


点击查看更多>>
资源描述
适用性声明 编号:ISMS-P-2001 状态:受控 编写: 200X年XX月XX日 审核: 200X年XX月XX日 批准: 200X年XX月XX日 发布版次:第A/0版 200X年XX月XX日 生效日期 200X年XX月XX日 分发:各部门(或XXX) 接受部门: 变 更 记 录 变更日期 版本 变更说明 编写 审核 批准 2009-XX-XX A/0 初始版本 XXX XXX XXX 目 录 1 目的与范围 4 2 相关文件 4 3 职责 4 4 声明 4 A.5安全方针 5 A.6安全组织 5 A.7资产管理 7 A.8人力资源安全 7 A.9实物与环境安全 7 A.10通信和操作管理 7 A.11访问控制 7 A.12信息系统获取、开发和维护 7 A.13信息安全事件管理 7 A.14业务持续性管理 7 A.15符合性 7 信息安全适用性声明 1 目的与范围 本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。 2 相关文件 ISMS-1001《信息安全管理手册》 3 职责 《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。 4 声明 本公司按GB/T 22080-2008 idt ISO/IEC27001:2005建立信息安全管理体系。 根据公司风险评估的结果和风险可接受水平,GB/T 22080-2008 idt ISO/IEC27001:2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控制措施。 A.5安全方针 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.5.1 信息安全方针 目标 YES 为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。 A.5.1.1 信息安全方针文件 控制 YES 信息安全管理实施的需要。 信息安全方针由公司总经理制定,在《信息安全管理手册》中描述,由公司总经理批准发布。通过培训、发放《信息安全管理手册》等方式传达到每一员工。采用张贴布告于宣传栏、网站等形式传达到各主管部门、客户群等外部相关方。 ISMS-1001《信息安全管理手册》 A.5.1.2 评审与评价 控制 YES 确保方针持续的适宜性。 每年利用管理评审对方针的适宜性进行评价,必要时对方针进行修订。 ISMS-P-2004《管理评审控制程序》 A.6安全组织 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.6.1 内部组织 目标 YES 建立一个有效的信息安全管理组织机构。 A.6.1.1 信息安全管理承诺 控制 YES 确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。 公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。会议主要议题包括: a) 评审信息安全承诺; b) 确认风险评估的结果; c) 对与信息安全管理有关的重大更改事项,如组织机构调整、关键人事变动、信息系统更改等,进行决策; e) 评审与处理重大信息安全事故; f) 审批与信息安全管理有关的其他重要事项。 ISMS-1001《信息安全管理手册》 A.6.1.2 信息安全的协调 控制 YES 公司涉及信息安全部门众多,组织机构复杂,需要一个有效沟通与协调机制。 公司成立信息安全管理协调小组,由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。 协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。 有关信息安全管理委员会会议记录(会议纪要) A.6.1.3 信息安全职责的分配 控制 YES 保持特定资产和完成特定安全过程的职责需确定。 公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。 与ISMS有关各部门的信息安全职责在《信息安全管理手册》中予以描述,关于具体的信息安全活动的职责在程序及作业文件中予以明确。 A.6.1.4 信息处理设施的授权程序 控制 YES 本公司有新信息处理设备(设施)使用时,实施使用授权程序。 对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,由XXX部进行技术选型,并组织验收,确保与原系统的兼容。 明确信息处理设施的使用部门接受新设施的信息安全负责人为XXX部,XXX部人员需要讲解新设施的正确使用方法。 ISMS-P-2010《信息处理设备管理程序》 A.6.1.5 信息安全保密性协议 控制 YES 为更好掌握信息安全的技术及听取安全方面的有意建议,需与内外部经常访问我公司信息处理设施的人员订立保密性协议。 本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员(合同方、临时员工)的安全考察与控制。 a) 保密信息的形式:标明“秘密”、“受控”字样的资料,以及相关的文件、数据、分析报告、算法、样品、实物、规格说明软盘等,未标明“秘密”、“受控”字样的即为公开文件; b) 乙方仅能够在甲方规定的范围内使用保密信息、或者向甲方书面认可的第三方披露甲方认可可披露范围内的保密信息; c) 乙方不得向其他任何第三方披露任何从甲方处收到或合法获知的保密信息。 ISMS-P-2020《密级控制程序》 A.6.1.6 与政府部门的联系 控制 YES 与法律实施部门、标准机构等组织保持适当的联系是必须的,以获得必要的安全管理、标准、法律法规方面的信息。 XXX部就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系,其他部门与相应的政府职能部门及社会服务机构保持联系,以便及时掌握信息安全的法律法规,及时获得安全事故的预防和纠正信息,并得到相应的支持。 信息安全交流时,确保本公司的敏感信息不传给未经授权的人。 ISMS-1001《信息安全管理手册》 XXXX A.6.1.7 与特定利益团体的联系 控制 YES 为更好掌握信息安全的新技术及安全方面的有益建议,需获得内外部信息安全专家的建议。 本公司设内部信息安全顾问,必要时聘请外部专家,与特定利益群体保持沟通,解答有关信息安全的问题。顾问与专家名单由本公司信息安全委员会提出,管理者代表批准。 内部信息安全顾问负责: a) 按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议; b) 收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员; c) 必要时,参与信息安全事故的调查工作。 《信息安全内部顾问名单和信息安全外部专家名单》 A.6.1.8 信息安全的独立评审 控制 YES 为验证信息安全管理体系实施的有效性及符合性,公司定期进行内部审核,审核需要客观公正性。 信息安全管理体系的内部审核员由有审核能力和经验的人员组成(包括IT方面的专家),并接受ISMS内部审核员培训且考评合格。内部审核员在现场审核时保持审核的独立性,并不审核自己的工作。内审员获得授权,在审核期间不受行政的领导的限制,直接对审核组长负责。 ISMS-P-2003《内部审核管理程序》 A.6.2 外部各方 目标 YES 识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要求,并控制外部各方带来的风险。 A.6.2.1 与外部各方相关风险的识别 控制 YES 本公司存在诸如设备供应商来公司维修设备、顾客访问公司信息网络系统等第三方访问的情况,应采取必要的安全措施进行控制。 第三方物理访问须经公司被访问部门的授权,进入工作区应进行登记。公司与长期访问的第三方签订保密协议。 访问特别安全区域时由专人陪同,具体执行《物理访问控制程序》。 第三方逻辑访问,按照《用户访问控制程序》要求进行控制。 ISMS-P-2011《物理访问控制程序》 ISMS-P-2012《用户访问控制程序》 A.6.2.2 处理与顾客有关的安全问题 控制 YES 在正式的合同中规定必要的安全要求是必须的。 公司与长期访问的顾客签订保密协议,明确规定信息安全要求,顾客方访问同样适用物理、逻辑访问控制措施。 ISMS-P-2011《物理访问控制程序》 ISMS-P-2012《用户访问控制程序》 A.6.2.3 处理第三方协议中的安全问题 控制 YES 与本公司存在相关服务主要有XXXXXX、XXX。 公司外包责任部门识别外包活动的风险,明确外包活动的信息安全要求,在外包合同中明确规定信息安全要求。 ISMS-P-2010《信息处理设备管理程序》 A.7资产管理 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.7.1 资产责任 目标 YES 对本公司重要信息资产(包括顾客要求保密的数据、软件及产品)进行有效保护。 A.7.1.1 资产清单 控制 YES 公司需建立重要资产清单并实施保护。 XXX部按照ISMS-P-2002《信息安全风险评估管理程序》组织各部门按业务流程识别所有信息资产,根据重要信息资产判断准则确定公司的重要信息资产,《重要信息资产清单》,并明确资产负责人。 ISMS-P-2002《信息安全风险评估管理程序》 《重要信息资产清单》 A.7.1.2 资产负责人 控制 YES 需要对重要信息处理设施有及重要信息指定责任人。 XX部组织相关部门依据ISMS-P-2002《信息安全风险评估管理程序》指定资产负责人。 ISMS-P-2002《信息安全风险评估管理程序》 A.7.1.3 资产的可接受使用 控制 YES 识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,予以实施。 制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用,以及发生在其责任下的使用负责。 ISMS-P-2010《信息处理设备管理程序》 A.7.2 信息分类 目标 YES 本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护。 A.7.2.1 分类指南 控制 YES 本公司的信息安全涉及信息的敏感性,适当的分类控制是必要的。 本公司的信息密级划分为:公开信息、受控信息、企业秘密三级。 不同密级事项的界定,由涉及秘密事项产生部门按照ISMS-P-2020《密级控制程序》规定的原则进行。 ISMS-P-2020《密级控制程序》 A.7.2.2 信息的标识和处理 控制 YES 按分类方案进行标注并规定信息处理的安全的要求。 对于属于企业秘密与国家秘密的文件(无论任何媒体),密级确定部门按《密级控制程序》的要求进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。 信息的使用、传输、存储等处理活动要进行控制。 ISMS-P-2020《密级控制程序》 A.8人力资源安全 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.8.1 任用之前 目标 YES 对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。 A.8.1.1 角色和职责 控制 YES 与信息安全有关的人员的安全职责必须明确规定并履行。 XX部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。 所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾客秘密)与国家秘密。 《工作岗位说明书》 A.8.1.2 审查 控制 YES 通过人员考察,防止人员带来的信息安全风险。 XX部负责对初始录用员工进行能力、信用考察,每年对关键信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.8.1.3 任用条款和条件 控制 YES 履行信息安全保密协议是雇佣人员的一个基本条件。 在《劳动合同》中明确规定保密的义务及违约的责任。 《劳动合同》 A.8.2 聘用期间 控制 YES 确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。 A.8.2.1 管理职责 控制 YES 缺乏管理职责,会使人员意识淡薄,从而对组织造成负面安全影响。 公司管理者要求员工、合作方以及第三方用户加强信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.8.2.2 信息安全教育和培训 控制 YES 安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。 与 ISMS有关的所有员工,有关的第三方访问者,应该接受安全意识、方针、程序的培训。方针、程序变更后应及时传达到全体员工。XX部通过组织实施《教育培训规程》,确保员工安全意识的提高与有能力胜任所承担的信息安全工作。 《教育培训规程》 A.8.2.3 纪律处理过程 控制 YES 对造成安全破坏的员工应该有一个正式的惩戒过程。 违背组织安全方针和程序的员工,公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行。处罚的形式包括精神和物质两方面。 《信息安全奖励、惩戒管理规定》 A.8.3 聘用中止或变化 目标 YES 确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。 A.8.3.1 终止职责 控制 YES 执行工作终止或工作变化的职责应清晰的定义和分配。 在员工离职前和第三方用户完成合同时,应进行明确终止责任的沟通。再次沟通保密协议和重申是否有竞业禁止要求等。 《劳动合同》 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.8.3.2 资产归还 目标 YES 所有员工、合作方以及第三方用户应该在聘用期限、合同或协议终止时归还所负责的所有资产。 员工离职或工作变动前,应办理资产归还手续,然后方能办理移交手续。 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.8.3.3 解除访问权 目标 YES 对所有员工、合作方以及第三方用户对信息和信息处理设施的访问权限进行管理。 员工离职或工作变动前,应解除对信息和信息处理设施访问权限,或根据变化作相应的调整。 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.9物理与环境安全 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.9.1 安全区域 目标 YES 防止未经授权对业务场所和信息的访问、损坏及干扰,防止保密制品丢失或被盗。 A.9.1.1 物理安全周边 控制 YES 本公司有包含重要信息处理设施的区域和储存重要信息资产及保密制品的区域,如开发办公室、机柜所在地应确定其安全周界,并对其实施保护。 本公司安全区域分为一般区域、普通安全区域和特别安全区域。特别安全区域包括数据存储机房、配电房;普通安全区域包括开发部办公室、管理中心、档案室、其他办公区域;大堂、杂物室、洽谈室、公共会议室、接待室、员工休息区为一般区域。 保密文件存放于带锁的柜子里。 ISMS-P-2011《物理访问控制程序》 A.9.1.2 物理进入控制 控制 YES 安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。 外来人员进入公司区域要进行登记。 临时访问的第三方应在接待部门同意后,经前台登记可以进入。进入特别安全区域须被授权,进出有记录。 员工加班也需登记。 ISMS-P-2011《物理访问控制程序》 A.9.1.3 办公室、房间和设施的安全 控制 YES 对安全区域内的办公室、房间和设施应有特殊的安全要求。 当有紧急自然灾害发生,则需要提前示警。 本公司制定《物力访问控制程序》,避免出现对办公室、房间和设施的未授权访问。另外,对特别安全区域内的办公室和设施进行必要的控制,以防止火灾、盗窃或其它形式的危害,这些控制措施包括: a) 大厦配备有一定数量的消防设施; b) 房间装修符合消防安全的要求; c) 易燃、易爆物品严禁存放在安全区域内,并与安全区域保持一定的安全距离; d) 办公室或房间无人时,应关紧窗户,锁好门; e) 防雷击设施由大厦物管每年检测一次。 ISMS-P-2011《物理访问控制程序》 A.9.1.4 外部和环境威胁的安全保护 控制 YES 加强公司物理安全控制,防范火灾、水灾、地震,以及其它形式的自然或人为灾害。 机房设备安装在距墙、门窗有一定距离的地方。并具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施。 ISMS-P-2011《物理访问控制程序》 A.9.1.5 在安全区域工作 控制 YES 在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全。 处理敏感信息的设备不易被窥视。除非在公司设立的专门吸烟室外,其他任何地方禁止吸烟。 公司建立ISMS-P-2011《物理访问控制程序》等制度,明确规定员工在有关安全区域工作的基本安全要求,并要求员工严格遵守。 ISMS-P-2011《物理访问控制程序》 A.9.1.6 公共访问、交接区安全 控制 YES 对特别安全区域,禁止外来人员直接进入传送物资是必要的。 公司外的饮水送水人员、邮件投递人员在送水、投递过程中,不得进入普通办公室和特别安全区域。 未经授权,不允许外来人员直接进入特别安全区域提供物资。可先存放于前台或接待室,再由行政专员搬进,以防止未经授权的访问。 ISMS-P-2011《物理访问控制程序》 A.9.2 设备安全 目标 YES 防止资产的损失、损坏或丢失及业务活动的中断。 A.9.2.1 设备的安置和保护 控制 YES 设备存在火灾、吸烟、油污、未经授权访问等威胁。 设备使用部门负责对设备进行定置管理和保护。为降低来自环境威胁和危害的风险,减少未经授权的访问机会,特采取以下措施: a) 设备的定置,要考虑到尽可能减少对工作区不必要的访问; b) 对需要特别保护的设备加以隔离; c) 采取措施,以尽量降低盗窃、火灾、爆炸、吸烟、灰尘、震动、化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险; d) 禁止在信息处理设施附近饮食、吸烟。 《机房、专用平台管理制度》 A.9.2.2 支持性设施 控制 YES 供电中断或异常会给信息系统造成影响,甚至影响正常的生产作业。 大楼物业提供供电双回路线路,确保不间断供电。由XX部负责定期监督。 ISMS-P-2010《信息处理设备管理程序》 A.9.2.3 布缆的安全 控制 YES 通信电缆、光缆需要进行正常的维护,以防止侦听和损坏。 XX部按照《信息处理设施维护管理程序》对传输线路进行维护,防止线路故障。通信电缆与电力电缆分开铺设,防止干扰。 ISMS-P-2010《信息处理设备管理程序》 A.9.2.4 设备维护 控制 YES 设备保持良好的运行状态是保持信息的完整性及可用性的基础。 计算机信息网络系统设备及用户计算机终端(包括笔记本电脑)由XX部按照《信息处理设备管理程序》进行维护。 ISMS-P-2010《信息处理设备管理程序》 A.9.2.5 组织场所外的设备安全 控制 YES 本公司有笔记本电脑移动设备,离开公司办公场所应进行控制,防止其被盗窃、未经授权的访问等危害的发生。 笔记本电脑在离开规定的区域时,经过部门领导授权并对其进行严格控制,防止其丢失和未经授权的访问,具体按照《信息系统硬件管理规定》执行。 《信息系统硬件管理规定》 A.9.2.6 设备的安全处置或再利用 控制 YES 对本公司储存有关敏感信息的设备,对其处置时应彻底清除。 含有敏感信息的设备在报废或改作他用时,由使用部门用安全的处置方法,将设备中存储的敏感信息清除并保存清除记录。 ISMS-P-2010《信息处理设备管理程序》 A.9.2.7 资产的迁移 控制 YES 设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。 重要信息设备、保密信息的迁移应被授权,迁移活动应被记录。 信息处理设施(网络设备及计算机终端)的迁移控制执行《信息处理设备管理程序》。 ISMS-P-2010《信息处理设备管理程序》 A.10通信和操作管理 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.10.1 操作程序和职责 目标 YES 确保信息处理设备的正确和安全使用。 A.10.1.1 文件化作业程序 控制 YES 标准规定的文件化程序要求必须予以满足。 本公司按照信息安全管理要求,对通信和操作建立规范化的操作。 ISMS-P-2010《信息处理设备管理程序》 A.10.1.2 变更管理 控制 YES 未加以控制的系统更改会造成系统故障和安全故障。 对信息处理设施、软件等方面的更改实施严格控制。在更改前评估更改所带来的潜在影响,正式更改前履行更改审批手续,并采取必要的措施确保不成功更改的恢复。 ISMS-P-2008《更改控制程序》 A.10.1.3 责任分割 控制 YES 管理员与操作员职责应予以分配,以防止未授权的更改及误用信息或服务。 为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配: a) 网络管理系统管理职责与操作职责分离; b) 信息安全审核具有独立性。 ISMS-P-2012《用户访问控制程序》 A.10.1.4 开发、测试和运行设施分离 控制 YES 开发与操作设施应分离,以防止不期望的系统的更改或未授权的访问。 XX部是在一个独立的开发与测试环境中开发软件,并与作业设施分离。研发和测试设备分离。操作系统管理员与用户分离。 ISMS-P-2014《系统开发与维护控制程序》 A.10.2 第三方服务交付管理 控制 YES 执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。 检查协议的执行情况,监控其符合性并控制相应的变化,以确保交付的服务满足第三方协议中的所有要求。 A.10.2.1 服务交付 控制 YES 确保在第三方协议中规定的安全控制、服务的交付等级。 对第三方的服务的交付,包括协议规定的安全安排、服务定义以及服务管理等方面进行管理和验收。确保第三方保持充分的服务能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务交付的连贯性。 《外包方控制办法》 A.10.2.2 第三方服务的监控和评审 控制 YES 第三方提供的服务、报告以及记录应定期监控和审核,并定期进行评价。 我公司有专门的人员跟踪管理第三方服务,确保第三方分配的职责符合协议要求。对协议要求,特别是安全要求的符合性进行监控得到充分可用的资源和技术技能支持。 《外包方控制办法》 与第三方签订的合同 A.10.2.3 第三方服务的变更管理 控制 YES 对服务提供的更改进行管理,包括保持和改进现有的信息安全方针、程序和控制,要考虑业务系统的关键程度、所涉及的过程以及风险的再评估。 对第三方服务更改的管理过程需要考虑: a) 组织的更改,包括加强当前提供的服务,开发新应用程序和系统,修改和更新方针及程序,解决信息安全事件,提高安全性的新控制。 b) 第三方服务的更改,包括更改和加强网络,使用新技术,更改服务设施的物理位置,更改供应商。 ISMS-P-2008《更改控制程序》 《外包方控制办法》 A.10.3 系统规划和验收 目标 YES 使系统故障风险最小化。 A.10.3.1 容量管理 控制 YES 为避免因系统容量不足导致系统故障,必须监控容量需求并规划将来容量。 XX部负责对信息网络系统的容量(CPU利用率、内存和硬盘空间大小、传输线路带宽)需求进行监控,并对将来容量需求进行策划,适当时机进行容量扩充。 ISMS-P-2014《系统开发与维护控制程序》 A.10.3.2 系统验收 控制 YES 对新的信息系统、系统升级或使用新版本的活动,建立接受标准和在接受之前进行系统测试。 新系统、系统升级接收前,系统验收部门明确接收准则 ,经测试合格后方可正式运行,并保存测试记录及验收报告。 XX部负责办公管理系统、电话/网络通讯与办公系统的验收。 ISMS-P-2014《系统开发与维护控制程序》 A.10.4 防范恶意软件 目标 YES 保护软件和信息的完整性。 A.10.4.1 恶意代码的控制 控制 YES 恶意软件的威胁是客观存在的,特别是本公司许多电脑终端可以访问Internet互联网。 IT部为控制恶意软件的主管部门,负责提供防范恶意软件的技术工具并对技术工具进行实时升级,各部门具体负责本部门的恶意软件预防控制工作。 a) 技术工具的应用及其升级要求; b) 查杀病毒的周期; c) 预防恶意软件意识培训; d) 预防恶意软件的一般要求; e) 对重要系统的防范恶意软件的特殊要求; f) 发生恶意软件的侵害应急措施。 ISMS-P-2029《恶意软件控制程序》 A.10.4.2 移动代码的控制 控制 YES 移动代码的控制是有效避免系统、网络或应用资源以及信息安全的其他方面未授权应用或破坏的基础。 授权使用移动代码时,配置应该确保已授权移动代码的运行符合明确定义的安全方针,未经授权的移动代码应该被阻止执行。 ISMS-P-2029《恶意软件控制程序》 A.10.5 备份 目标 YES 保持信息处理和通信服务的完整性和可用性。 A.10.5.1 信息备份 控制 YES 必须对重要信息和软件定期备份,以防止信息和软件的丢失和不可用,及支持业务可持续性。 本公司根据风险评估的结果对重要数据库、软件等进行备份。XX部为全公司信息备份提供技术支持,各部门按照《重要信息备份管理程序》要求进行备份。 ISMS-P-2009《重要信息备份管理程序》 A.10.6 网络安全管理 目标 YES 为保持对网络中的信息及支持性设施进行有效保护 A.10.6.1 网络控制 控制 YES 本公司已建立设计、制造应用系统和各种管理应用系统,网络结构简单,实施网络控制是必须的,目前采用设计部门的内部网与办公系统的外部网络物理隔离的方式。 本公司网络安全控制措施包括: a)对财务网络与研发网络物理隔离; b)对研发网络与互联网物理隔离; c)对网络设备定期维护; d)对防火墙、交换机等实施安全配置管理; e)对用户访问网络实施授权管理; f)实施有效的安全策略; g)对系统的变更进行严格控制; h)对网络的运行情况进行监控; i)对网络设备的变更进行控制; j)对网络系统管理与操作人员的管理。 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2008《更改控制程序》 A.10.6.2 网络服务的安全 控制 YES 明确规定网络服务安全属性是实施网络安全管理的需要。 XX部根据组织的安全策略,识别现有的网络服务,明确规定网络服务安全属性值,由授权的网络系统安全管理员进行参数配置与维护管理。 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2008《更改控制程序》 A.10.7 介质处置 目标 YES 为防止资产损坏和业务活动中断,根据媒体(包括产品)所储存的信息的敏感性或重要性进行适当的保护,安全处置,确保因媒体不当造成信息泄露事故发生。 A.10.7.1 可移动介质的管理 控制 YES 本公司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动媒体。 可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告,各部门按其管理权限并根据风险评估的结果对其实施有效的控制。 媒体移动的记录予以保持。 《信息系统硬件管理规定》 A.10.7.2 介质的处置 控制 YES 当介质不再需要时,必须对含有敏感信息的媒体采用安全的处置办法。 对于含有敏感信息或重要信息的介质在不需要或再使用时,介质处置部门按照《信息系统硬件管理规定》的要求,采取安全可靠处置的方法将其信息清除。 《信息系统硬件管理规定》 A.10.7.3 信息处置程序 控制 YES 对信息的处理与贮存采取适当的控制方法,避免滥用或泄密的威胁。 为保护敏感信息不会因未经授权处理而造成泄漏或滥用,本公司在《密级控制程序》等文件中明确规定对敏感信息的复制、传输、使用、贮存、处理等活动的安全要求。 ISMS-P-2020《密级控制程序》 A.10.7.4 系统文件的安全 控制 YES 系统文件存在非授权访问威胁。 本公司与信息安全有关的系统文件包括: a)系统操作手册; b)关键商业作业流程; c)网络系统拓扑结构图; d)访问授权说明书及授权登记表; e)ISMS体系文件; f)监视系统网络图; g)其它系统文件。 ISMS-P-2020《密级控制程序》 ISMS-P-2005《文件和资料管理程序》 《信息系统硬件管理规定》 A.10.8 信息交换 目标 YES 明确信息和软件交换的控制目标,保护信息在交换时发生丢失、更改和误用现象。 A.10.8.1 信息交换策略和程序 控制 YES 本公司存在与其他组织进行信息与软件交换的活动。 XX部在与顾客进行产品(设计)数据、测试程序等数据与软件交换的过程中采用以下的安全控制措施: a) 签订安全保密协议; b) 如果顾客有要求,采用加密方式传输数据; c) 由授权人员接收并登记。 《外包方控制办法》 A.10.8.2 交换协议 控制 YES 建立并遵守相应的协议,以保护被传输的信息和物理介质的安全。 在与顾客进行数据与软件交换的过程中签订相关的安全控制协议: 明确双方的安全责任与安全交接方式; 如果有要求,采用加密方式传输数据。 与外部方签订的合同或协议 A.10.8.3 物理介质的传送 控制 YES 本公司存在如文件、技术资料等信息介质传送及保密制品的运输活动,确定安全的传送方法是必要的。 为避免被传送的介质在传送(运输)过程中发生丢失、未经授权的访问或毁坏,造成信息的泄露、不完整或不可用,负责介质(包括保密产品的运输)传送的部门采用以下方法进行控制: a) 选择适宜的安全传送方式,对保密产品运输供方进行选择与评价,并与之签订保密协议; b) 保持传送活动记录。 《外包方控制办法》 A.10.8.4 电子邮件安全 控制 YES 本公司有企业邮箱,员工可采用电子邮件方式进行信息交换,公司与外部客户通过电子邮件进行安全交换时进行了安全控制。 基于业务及管理的需要,及减少企业秘密被泄露与防范计算机病毒的原则,本公司建立了电子邮件安全使用的策略,并将该策略传达到所有员工予以执行。 本公司有内部电子邮件系统,只有授权的用户履行审批手续才可以使用。 《信息安全奖励、惩戒管理规定》 《电邮电话管理规定》 A.10.8.5 业务信息系统 控制 YES 本公司各系统间存在信息交流。 本公司建立的办公自动化是以单机为基础,不存在业务的交互式连接,对其控制依赖人员的意识和经验技能,其中纸质文件按照密级和文件管理程序加以控制,减少信息的泄露及越权滥用。 ISMS-P-2020《密级控制程序》 A.10.9 电子商务服务 目标 YES 确保电子商务服务的安全及其安全使用。 A.10.9.1 电子商务 控制 NO 本公司不涉及电子商务,本控制措施不适用。 A.10.9.2 在线交易 控制 NO 本公司不涉及在线交易,本控制措施不适用。 A.10.9.3 公共可用信息 控制 YES 在公共可用系统中可用信息的完整性应受保护,以防止未授权的修改。 A.10.10 监视 目标 YES 探测未经授权的信息处理活动。 A.10.10.1 审计记录 控制 YES 为访问监测提供帮助,建立事件记录(审核日志)是必须的。 公司信息安全范围边境监控是外包的。公司内部监控
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 管理财经 > 管理学资料

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服