HXZNKJ ISMS A 30信息安全适用性声明soa1

1、文件编号：HXZNKJ-ISMS-A-02信息安全适用性声明 SOAXXXXX科技有限公司信息安全适用性声明SOAVer 1.1发布日期XXXXX年03月27日发布部门综合管理部实施日期XXXXX年04月15日信息安全适用性声明ISO/IEC27001:2013标准附录A条款是否 选择涉及文件和 记录条款号标题控制目标选择/删减理由A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件信息安全方针文件应由管理者批信息安全方针依据业务要求和相 关法律法规提供管准、发布并传达给所有员工和外部 相关方。YES信息安全目标A.5.1.2信息安全方针的评审理指导并支持信息应按计划的时间间隔或

2、当重大变化安全发生时进行信息安全方针评审，以 确保它持续的适宜性、充分性和有 效性。YES管理评审程序A.6信息安全组织A.6.1内部组织A.6.1.1信息安全的管理承诺管理者应通过清晰的说明、可证实信息安全方针的承诺、明确的信息安全职责分配 及确认，来积极支持组织内的安全。YES公司组织结构图信息安全管理手册职能分配表A.6.1.2信息安全协调信息安全活动应由来自组织不同部信息安全方针门并具备相关角色和工作职责的代 表进行协调。YES公司组织结构图信息安全管理手册职能分配表A.6.1.3信息安全职责的分配所有的信息安全职责应予以清晰地 定义。YES信息安全管理手册职能分配表A.6.1.4信息

3、处理设施的授权新信息处理设施应定义和实施一个信息处理设施安装使用过程在组织内部管理信 息安全管理授权过程。YES管理程序A.6.1.5保密性协议应识别并定期评审反映组织信息保 护需要的保密性或不泄露协议的要 求。YES信息资源保密策略员工保密协议管理程序员工保密守则A.6.1.6与政府部门的联系应保持与政府相关部门的适当联 系。YES相关政府部门联系表A.6.1.7与特定权益团体的联 系应保持与特定权益团体、其他安全 专家组和专业的协会的适当联系。YES相关利益团体联系表A.6.1.8信息安全的独立评审组织管理信息安全的方法及其实施 （例如信息安全的控制目标、控制 措施、策略、过程和程序）应按

4、计 划的时间间隔进行独立评审，当安 全实施发生重大变化时，也要进行 独立评审。YES管理评审程序A.6.2外部各方A.6.2.1与外部各方相关风险应识别涉及外部各方业务过程中组网络访问策略的识别保持组织的被外部织的信息和信息处理设施的风险，访问控制策略各方访问、处理、 管理或与外部进行并在允许访问前实施适当的控制。YES物理访问策略通信的信息和信息第三方服务管理程序处理设施的安全。用户访问管理程序A.6.2.2处理与顾客有关的安应在允许顾客访问组织信息或资产YES网络访问策略全问题之前处理所有确定的安全要求。访问控制策略物理访问策略 第三方服务管理程序 用户访问管理程序A.6.2.3处理第三方

5、协议中的涉及访问、处理或管理组织的信息安全问题或信息处理设施以及与之通信的第 三方协议，或在信息处理设施中增 加产品或服务的第三方协议，应涵 盖所有相关的安全要求。YES第三方服务管理程序用户访问管理程序A.7资产管理A.7.1对资产负责A.7.1.1资产清单应清晰的识别所有资产，编制并维 护所有重要资产的清单。YES信息分类管理程序A.7.1.2资产责任人与信息处理设施有关的所有信息和 资产应由组织的指定部门或人员承YES信息处理设施安装使用实现和保持对组织担责任。官理程序A.7.1.3资产的允许使用资产的适当保护与信息处理设施有关的信息和资产 使用允许规则应被确定、形成文件信息处理设施安装

6、使用并加以实施。YES管理程序电子邮件使用准则A.7.2信息分类A.7.2.1分类指南信息的标记和处理确保信息受到适当信息应按照它对组织的价值、法律 要求、敏感性和关键性予以分类。YES商业秘密管理程序A.7.2.2级别的保护应按照组织所采纳的分类机制建立 和实施一组合适的信息标记和处理YES计算机管理程序程序。商业秘密管理程序A.8人力资源安全A.8.1任用之前雇员、承包方人员和第三方人员的信息安全方针A.8.1.1角色和职责安全角色和职责应按照组织的信息YES安全方针定义并形成文件。公司岗位职责确保雇员、承包方关于所有任用的候选者、承包方人人员和第三方人员员和第三方人员的背景验证检查应A.

7、8.1.2审查理解其职责、考虑按照相关法律法规、道德规范和对YES员工聘用管理程序对其承担的角色是应的业务要求、被访问信息的类别适合的，以降低设和察觉的风险来执行。施被窃、欺诈和误作为他们合同义务的一部分，雇员、用的风险。承包方人员和第三方人员应同意并A.8.1.3任用条款和条件签署他们的任用合同的条款和条 件，这些条款和条件要声明他们和 组织的信息安全职责。YES员工聘用管理程序A.8.2任用中确保所有的雇员、 承包方人员和第三管理者应要求雇员、承包方人员和第三方访问策略A.8.2.1管理职责第三方人员按照组织已建立的方针YES雇员访问策略方人员知悉信息安策略和程序对安全尽心尽力。公司岗位职

8、责信息安全意识、教育全威胁和利害关 系、他们的职责和 义务、并准备好在组织的所有雇员，适当时，包括承 包方人员和第三方人员，应受到与员工培训管理程序A.8.2.2其正常工作过程中其工作职能相关的适当的意识培训YES和培训和组织方针策略及程序的定期更新信息安全事件管理程序纪律处理过程支持组织的安全方 针，以减少人为过培训。对于安全违规的雇员，应有一个正信息安全奖惩管理程序A.8.2.3失的风险。式的纪律处理过程。YESA.8.3任用的终止或变化A.8.3.1终止职责确保雇员、承包方任用终止或任用变化的职责应清晰 的定义和分配。所有的雇员、承包方人员和第三方YES员工离职管理程序A.8.3.2资产

9、的归还人员和第三方人员人员在终止任用、合同或协议时，YES员工离职管理程序以一个规范的方式应归还他们使用的所有组织资产。退出一个组织或改所有雇员、承包方人员和第三方人A.8.3.3撤销访问权变其任用关系。员对信息和信息处理设施的访问权 应在任用、合同或协议终止时删除， 或在变化时调整。YES员工离职管理程序A.9物理和环境安全A.9.1安全区域物理安全边界应使用安全边界（诸如墙、卡控制 的入口或有人管理的接待台等屏安全区域管理程序门禁系统管理程序A.9.1.1YES障）来保护包含信息和信息处理设施的区域。重要安全区域控制方案安全区域应由适合的入口控制所保安全区域管理程序A.9.1.2物理入口控

10、制护，以确保只有授权的人员才允许YES门禁系统管理程序访问。重要安全区域控制方案A.9.1.3综合管理部、房间和 设施的安全保护防止对组织场所和应为综合管理部、房间和设施设计 并采取物理安全措施。YES安全区域管理程序信息的未授权物理为防止火灾、洪水、地震、爆炸、A.9.1.4外部和环境威胁的安访问、损坏和十扰社会动荡和其他形式的自然或人为YES安全区域管理程序全防护灾难引起的破坏，应设计和米取物 理保护措施。A.9.1.5在安全区域工作应设计和运用用于安全区域工作的 物理保护和指南。访问点（例如交接区）和未授权人YES安全区域管理程序A.9.1.6公共访问、交接区安员可进入办公场所的其他点应

11、加以YES安全区域管理程序全控制，如果可能，要与信息处理设 施隔离，以避免未授权访问。A.9.2设备安全应安置或保护设备，以减少由环境A.9.2.1设备安置和保护威胁和危险所造成的各种风险以及 未授权访问的机会。应保护设备使其免于由支持性设施YES设备及布缆安全策略A.9.2.2支持性设施的失效而引起的电源故障和其他中 断。应保证传输数据或支持信息服务的YES设备及布缆安全策略A.9.2.3布缆安全防止资产的丢失、电源布缆和通信布缆免受窃听或损 坏。YES设备及布缆安全策略A.9.2.4设备维护损坏、失窃或危及设备应予以正确地维护，以确保其YES信息处理设施维护管理资产安全以及组织持续的可用性

12、和完整性。程序组织场所外的设备安活动的中断。应对组织场所的设备采取安全措计算机管理程序A.9.2.5全施，要考虑工作在组织场所以外的 不同风险。包含存储介质的设备的所有项目应YESA.9.2.6设备的安全处置或再进行检查，以确保在销毁之前，任YES信息处理设施维护管理利用何敏感信息和注册软件已被删除或 安全重写。程序A.9.2.7资产的移动设备、信息或软件在授权之前不应 带岀组织场所。YES可移动介质管理程序A.10通讯和操作管理A.10.1操作程序和职责XXXXX科技有限公司丨版权所有第12页A.10.1.1文件化的操作程序A.10.1.2变更管理确保正确、安全的 操作信息处理设A.10.1

13、.3A.10.1.4责任分割开发、测试和运行设施。施分离A.10.2第三方服务交付管理A.10.2.1服务交付A.10.2.2第三方服务的监视和实施和保持符合第评审第三方服务的变更管三方服务交付协议 的信息安全和服务 交付的适当水准。A.10.2.3理A.10.3系统规划和验收A.10.3.1容量管理将系统失效的风险 降至最小。A.10.3.2系统验收A.10.4防范恶意和移动代码A.10.4.1控制恶意代码保护软件和信息的 完整性。A.10.4.2控制移动代码A.10.5备份保持信息和信息处A.10.5.1信息备份理设施的完整性和 可用性A.10.6网络安全管理A.10.6.1网络控制确保网

14、络中信息的 安全性并保护支持 性的基础设施。A.10.6.2网络服务的安全A.10.7介质处置A.10.7.1可移动介质的管理防止资产遭受未授 权泄漏、修改、移 动或销毁以及对业A.10.7.2介质的处置务活动的中断。操作程序应形成文件、保持并对所 有需要的用户可用。对信息处理设施和系统的变更应加 以控制。各类责任及职责范围应加以分割， 以降低未授权或无意识的修改或者 不当使用组织资产的机会。开发、测试和运行设施应分离，以 减少未授权访问或改变运行系统的 风险。应确保第三方实施、运行并保持包 含在第三方服务交付协议中的安全 控制措施、服务定义和交付水准。应定期监视和评审由第三方提供的 服务、报

15、告和记录，审核也应定期 执行。应管理服务提供的变更，包括保持 和改进现有的信息安全策略、程序 和控制措施，要考虑业务系统和涉 及过程的关键程度及风险的再评 估。资源的使用应加以监视、调整，并 应作岀对于未来容量要求的预测， 以确保拥有所需的系统性能。应建立对新的信息系统、升级及新 版本的验收准则，并且在开发中和 验收前对系统进行适当的测试。应实施恶意代码的监测、预防和恢 复的控制措施，以及适当的提高用 户安全意识的程序。当授权使用移动代码时，其配置应 确保授权的移动代码按照清晰定义 的安全策略运行，应阻止执行未授 权的移动代码。应按照已设的备份策略，定期备份 和测试信息和软件。应充分管理和控制

16、网络，以防止威 胁的发生，维护系统和使用网络的 应用程序的安全，包括传输中的信 息。安全特性、服务级别以及所有网络 服务的管理要求应予以确定并包括 在所有网络服务协议中，无论这些 服务是由内部提供的还是外包的。应有适当的可移动介质的管理程 序。不再需要的介质，应使用正式的程 序可靠并安全地处置。YES 文件控制程序变更管理安全策略YES软件开发管理程序YES职责分配表YES 软件开发管理程序YES 第三方服务管理程序YES 第三方服务管理程序YES 第三方服务管理程序信息处理设施安装使用YES管理程序信息系统验收管理程序YES软件开发管理程序病毒防范策略YES恶意软件管理程序YES 可移动代码

17、防范策略信息备份安全策略YES 重要信息备份管理程序网络配置安全策略YES 网络设备安全配置管理程序网络配置安全策略YES 网络设备安全配置管理程序YES 可移动介质管理程序YES 可移动介质管理程序应建立信息处理及存储程序，以防A.10.7.3信息处理程序止信息的未授权的泄漏或不当使 用。YESA.10.7.4系统文件安全应保护系统文件以防止未授权的访 问。YESA.10.8信息的交换应有正式的交换策略、程序和控制A.10.8.1信息交换策略和程序措施，以保护通过使用各种类型通 信设施的信息交换。YESA.10.8.2交换协议保持组织内信息和应建立组织与外部团体交换信息和 软件的协议。YES

18、软件交换及与外部包含信息的介质在组织的物理边界A.10.8.3运输中的物理介质组织信息和软件交以外运送时，应防止未授权的访问、YESA.10.8.4A.10.8.5电子消息发送换的安全。不当使用或毁坏。包含在电子消息发送中的信息应给 予适当的保护。应建立和实施策略和程序以保护与 业务信息系统互联的信息。YESYES业务信息系统A.10.9电子商务服务A.10.9.1电子商务在线交易确保电子商务服务本公司无此项业务，予以删减。NOA.10.9.2的安全及其安全使本公司无此项业务，予以删减。NOA.10.9.3公共可用信息用。在公共可用系统中可用信息的完整 性应受保护，以防止未授权的修改。YESA

19、.10.10监视应产生记录用户活动、异常和信息A.10.10.1审计日志安全事态的审计日志，并要保持一 个已设的周期以支持将来的调查和 访问控制监视。YES监视系统的使用应建立信息处理设施的监视使用程YESA.10.10.2序，监视活动的结果要经常评审。A.10.10.3日志信息保护记录日志的设施和日志信息应加以YES检测未授权的信息保护，以防止篡改和未授权的访问。管理员和操作员日志处理活动。系统管理员和系统操作员活动应记A.10.10.4入日志。YES故障日志故障应被记录、分析，并采取适当YESA.10.10.5的措施。一个组织或安全域内的所有相关信A.10.10.6时钟同步息处理设施的时钟

20、应使用已设的精 确时间源进行同步。YESA.11访问控制A.11.1访问控制的业务要求控制对信息的访 问。访问控制策略应建立、形成文件，A.11.1.1访问控制策略并基于业务和访问的安全要求进行 评审。YESA.11.2用户访问管理确保授权用户访问应有正式的用户注册及注销程序，A.11.2.1用户注册来授权撤销对所有信息系统和服务 的访问。YES信息系统，并防止 未授权的访问。A.11.2.2特权管理应限制和控制特殊权限的分配和使YES办法可移动介质管理程序文件控制程序信息交换策略信息交换策略业务持续性管理控制程序信息安全监控策略信息系统监控管理程序信息安全监控策略信息系统监控管理程序信息安全

21、监控策略信息系统监控管理程序信息安全监控策略信息系统监控管理程序访问控制策略用户访问管理程序特权访问管理策略信息安全监控策略信息系统监控管理程序信息安全监控策略信息系统监控管理程序网站信息发布管 理程序运输中物理介质安全策略电子媒体介质销毁管理电子邮件策略用。用户访问管理程序应通过正式的管理过程控制口令的口令控制策略A.11.2.3用户口令管理YES分配。用户访问管理程序管理者应定期使用正式过程对用户A.11.2.4用户访问权限的复查YES用户访问管理程序的访冋权进行复查。A.11.3用户职责A.11.3.1口令使用应要求用户在选择及使用口令时，YES口令控制策略遵循良好的安全习惯。防止未授权

22、用户对用户应确保无人值守的用户设备有A.11.3.2无人值守的用户设备信息和信息处理设适当的保护。YES清洁桌面和清屏策略施的访冋、危害或窃取。应采取清空桌面上文件、可移动存A.11.3.3清除桌面和屏幕策略储介质的策略和清空信息处理设施YES清洁桌面和清屏策略屏幕的策略A.11.4网络访问控制用户应仅能访问已获专门授权使用访问控制策略A.11.4.1使用网络服务的策略的服务。YES网络访问策略A.11.4.2外部连接的用户鉴别应使用适当的鉴别方法以控制远程 用户的访问YES远程访问控制策略网络访问策略A.11.4.3网络上的设备识别应考虑将自动设备标识，将其作为 鉴别特定位置和设备连接的方法

23、。YES网络访问策略A.11.4.4远程诊断和配置端口的保护防止对网络服务的对于诊断和配置端口的物理和逻辑 访问应加以控制。YES网络访问策略A.11.4.5网络隔离未授权访问。应在网络中隔离信息服务、用户及 信息系统。对于共享的网络，特别是越过组织YES网络访问策略A.11.4.6网络连接控制边界的网络，用户的联网能力应按 照访问控制策略和业务应用要求加 以限制（见11.1 ）。应在网络中实施路由控制，以确保YES网络访问策略A.11.4.7网络路由控制计算机连接和信息流不违反业务应 用的访问控制策略。YES网络访问策略A.11.5操作系统访问控制A.11.5.1安全登录程序访问操作系统应通

24、过安全登录程序 加以控制。所有用户应有唯一的、专供其个人YES访问控制策略A.11.5.2用户标识和鉴别使用的标识符（用户ID ），应选择 一种适当的鉴别技术证实用户所宣 称的身份。YES口令控制策略A.11.5.3口令管理系统防止对操作系统的 未授权访问。口令管理系统应是交互式的，并应 确保优质的口令。可能超越系统和应用程序控制的实YES口令控制策略A.11.5.4系统实用工具的使用用工具的使用应加以限制并严格控 制。不活动会话应在一个设定的休止期 后关闭。YES网络访问策略A.11.5.5会话超时YES网络访问策略A.11.5.6联机时间的限定应使用联机时间的限制，为高风险 应用程序提供额

25、外的安全。YES网络访问策略A.11.6应用和信息访问控制A.11.6.1信息访问限制防止对应用系统中用户和支持人员对信息和应用系统 功能的访问应依照已确定的访问控YES访问控制策略信息的未授权访制策略加以限制。A.11.6.2敏感系统隔离问。敏感系统应有专用的（隔离的）运 算环境。YES网络访问策略A.11.7移动计算和远程工作应有正式策略并且采用适当的安全A.11.7.1移动计算和通信确保使用可移动计 算和远程工作设施措施，以防范使用可移动计算和通 信设施时所造成的风险。YES信息交换策略A.11.7.2远程工作时的信息安全应为远程工作活动开发和实施策 略、操作计划和规程。YES远程访问管

26、理策略A.12信息系统获取、开发和维护A.12.1信息系统的安全要求确保安全是信息系在新的信息系统或增强已有信息系软件开发管理程序A.12.1.1安全要求分析和说明统的一个有机组成统的业务要求陈述中，应规定对安YES部分。全控制措施的要求。A.12.2应用中的正确处理A.12.2.1输入数据的验证输入应用系统的数据应加以验证， 以确保数据是正确且恰当的。验证检查应整合到应用中，以检查YES软件开发管理程序A.12.2.2A.12.2.3内部处理的控制消息完整性防止应用系统中的 信息的错误、遗失、 未授权的修改及误 用。由于处理的错误或故意的行为造成 的信息的讹误。应用中的确保真实性和保护消息完

27、 整性的要求应得到识别，适当的控 制措施也应得到识别并实施。从应用系统输岀的数据应加以验YESYES软件开发管理程序软件开发管理程序A.12.2.4输岀数据的验证证，以确保对所存储信息的处理是 正确的且适于环境的。YES软件开发管理程序A.12.3密码控制A.12.3.1A.12.3.2使用加密控制的策略密钥管理通过密码方法保护 信息的保密性、真 实性或完整性。应开发和实施使用密码控制措施来 保护信息的策略。应有密钥管理以支持组织使用密码 技术。YESYES口令安全策略口令安全策略A.12.4系统文件的安全A.12.4.1运行软件的控制应有程序来控制在运行系统上安装 软件。YES配置管理A.1

28、2.4.2系统测试数据的保护确保系统文件的安全测试数据应认真地加以选择、保护 和控制。YES配置管理A.12.4.3对程序源代码的访问 控制应限制访问程序源代码。YES配置管理A.12.5开发和支持过程中的 安全A.12.5.1变更控制程序应使用正式的变更控制程序控制变 更的实施当操作系统发生变更后，应对业务YES软件开发管理程序A.12.5.2操作系统变更后的技的关键应用进行评审和测试，以确YES软件开发管理程序术评审维护应用系统软件保对组织的运行或安全没有负面影 响。和信息的安全应对软件包的修改进行劝阻，限制A.12.5.3软件包变更限制必要的变更，且对所有的变更加以 严格控制。YES软件

29、开发管理程序A.12.5.4信息泄漏应防止信息泄漏的可能性。YES软件开发管理程序A.12.5.5外包软件开发公司无外包软件研发，予以删减NOA.12.6技术脆弱性管理降低利用公布的技应及时得到现用信息系统技术脆弱A.12.6.1技术脆弱性的控制术脆弱性导致的风性的信息，评价组织对这些脆弱性YES软件开发管理程序险。的暴露程度，并采取适当的措施来处理相关的风险。A.13信息安全事件管理A.13.1报告信息安全事态和 弱点A.13.1.1报告信息安全事态确保与信息系统有 关的信息安全事态信息安全事态应该尽可能快地通过 适当的管理渠道进行报告。YES信息安全事件管理程序和弱点能够以某种应要求信息系

30、统和服务的所有雇A.13.1.2报告安全弱点方式传达，以便及员、承包方人员和第三方人员记录YES时采取纠正措施。并报告他们观察到的或怀疑的任何 系统或服务的安全弱点。信息安全事件管理程序A.13.2信息安全事件和改进的管理应建立管理职责和程序，以确保能A.13.2.1职责和程序对信息安全事件做岀快速、有效和YES信息安全事件管理程序A.13.2.2对信息安全事件的总 结有序的响应。诒仲B中 宓壬n若应有一套机制量化和监视信息安全确保木用一致和有事件的类型、数量和代价。YES信息安全事件管理程序A.13.2.3证据的收集效的件进行信理安当民事的或安全事件涉需要进讼步（民事的或刑事的），需要进一步

31、 对个人或组织进行起诉时，应收集、YES信息安全事件管理程序A.14A.14.1业务连续性管理 业务连续性管理的信 息安全方面保留和呈递证据，以使证据符合相 关诉讼管辖权。应为贯穿于组织的业务连续性开发A.14.1.1业务连续性管理过 程中包含的信息安全和保持一个管理过程，以解决组织 的业务连续性所需的信息安全要 求。应识别能引起业务过程中断的事YES业务持续性管理程序A.14.1.2业务连续性和风险评 估防止业务活动中态，这种中断发生的概率和影响， 以及它们对信息安全所造成的后YES业务持续性管理程序断，保护关键业务果。过程免受信息系统应制定和实施计划来保持或恢复运A.14.1.3制定和实施包含信息重大失误或灾难的