信息安全适用性声明SOA程序
信息安全适用性声明SOA程序
选择,见《信息安全方针信 息安全策略管理制度》。
A.6.2移动设备和外部办公
A.6.2.1
移动设备策 略
确保组织 远程办公 和使用移 动设备的 安全性。
应采取安全策略和配 套的安全措施控制使 用移动设备带来的风 险。
选择,见《移动设备管理制 度》。
A.6.2.2
远程办公
选择,
见《信息系统授权管理制度》 《信息岗位职责》
A.6.1.3
与监管机构 的联系
与相关监管机构保持 适当联系。
选择,见《对外联络表》。
A.6.1.4
与特殊利益 团体的联系
应保持与特定权益团 体、其他安全专家组和 专业协会的适当联系。
选择,获取行业信息,见《对 外联络表》。
A.6.1.5
项目管理中 的信息安全
资产清单
确定组织 资产,并 确定适当 的保护责 任。
应制定和维护信息资 产和信息处理设施相 关资产的资产清单。
选择,见《重要信息资产清 单》。
A.8.1.2
资产责任人
资产清单中的资产应 指定资产责任人
(OWNER)。
选择,见《重要信息资产清 单》。
A.8.1.3
资产的合理 使用
应识别信息和信息处 理设施相关资产的合 理使用准则,形成文件 并实施。
应在允许顾客访问组 织信息或资产之前处 理所有确定的安全要 求。
选择,见《远程访问管理制 度》。
A.7人力资源安全
A.7.1任用前
A.7.1.1
人员筛选
确保员 工、合同 方人员理 解他们的 职责并适 合他们所 承担的角 色。
根据相关法律、法规、 道德规范,对员工、合 同人员及承包商人员 进行背景调查,调查应 符合业务需求、访问的 信息类别及已知风险。
2022版信息安全适用性声明 SOA
A5.24
规划和准备管理信息安全事故
控制
YES
根据信息安全体系规定和公司实际需求
综合部在接到报告后应迅速做出响应,各相关部门应即使按要求采取处置措施与意见,将信息安全事件所造成的影响降低到最低限度。
《信息系统监控管理程序》
《信息安全事件管理程序》
A5.25
信息安全事件的评估和决策
控制
YES
根据信息安全体系规定和公司实际需求
《信息业务连续性管理程序》
A5.31
法律、法规、监管和合同要求
控制
YES
根据信息安全体系规定和公司实际需求
综合部从政府主管部门获取相关的国家及地方最新信息安全法律法规及其他要求,并通过相关渠道进行补充。
《信息安全合规性管理程序》
A5.32
知识产权
控制
YES
根据信息安全体系规定和公司实际需求
本公司尊重知识产权,按法律、法规和合同约定保护知识产权。
事件责任部门使用商定的信息安全事态和事件分级尺度评估每个信息安全事态,并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。
《信息安全事件管理程序》
A5.26
应对信息安全事故
控制
YES
根据信息安全体系规定和公司实际需求
事件响应的首要目标是重新回到“正常的安全水平”,然后启动必要的恢复。事件责任部门负责对信息安全事件予以响应。
《信息交换管理程序》
《数据安全管理程序》
A5.15
访问控制
控制
YES
根据信息安全体系规定和公司实际需求
本公司内部可公开的信息,允许所有服务用户访问。本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。
信息安全适用性声明(soa)v1.0
《信息安全交流控制程序》
A.7 资产管理
A.7.1 对资产负责 目标:实现和保持对组织资产的适当保护。
A.7.1.1 资产清单
应清晰的识别所有资产,编制并维护所有重要资产 的清单。
设施上线时,应更新资产清单。并在每 YES 年进行风险评估时,复查资产清单。
《风险评估程序》
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的 指定部门或人员承担责任。
《信息资产密级管理规定》
A.8 人力资源安全
A.8.1 任用之前 目标:确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
本版权归上海天帷管理咨询有限公司所有,未经允许,不得翻版与泄露
1 of 7
标准条款
是否 适用
控制措施
相关文件
A.8.1.1
1.新信息处理设施上线前,应指定系统 的管理者。 YES 2.新信息处理设施的上线,将被视为一 次信息系统的变更,遵循信息系统的变 更流程。
《设备管理规定》 《变更管理规定》
保密性协议
应识别并定期评审反映组织信息保护需要的保密性 或不泄露协议的要求。
对所有涉密岗位员工,均要求签订保密 YES 协议。
YES 在资产清单中,规定相应的责任人。
《风险评估程序》
A.7.1.3
资产的合格使用
与信息处理设施有关的信息和资产使用允许规则应 被确定、形成文件并加以实施。
所有雇员、承包方人员和和第三方人员 YES 应遵循信息处理设施相关信息和资产的 《信息资产密级管理规定》
使用规范。
A.7.2 信息分类 目标:确保信息受到适当级别的保护。
《保密协议书》
ISO27001信息安全适用性声明
受控*********有限公司信息安全管理体系文件信息安全适用性声明Statement of Applicability(ISMS-SOA-2017)版本号:A/0编制:****审批:*****2017-2-1信息安全适用性声明SOA A.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.5.1 信息安全管理指导目标YES 依据业务要求以及相关的法律法规为信息安全提供管理指导和支持。
A.5.1.1 信息安全方针文件控制YES 根据信息安全体系规定和公司实际需求总经理确保制定与公司目标一致的清晰的信息安全方针,并且通过在组织内发布和维护信息安全方针来表明对信息安全的支持和承诺。
《信息安全管理手册》A.5.1.2 信息安全方针评审控制YES 根据信息安全体系规定和公司实际需求定期对信息安全进行监督检查,包括:日常检查、专项检查、内部审核和管理评审等。
每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订。
《信息安全管理手册》A.6信息安全组织标准条款号标题目标/控制是否选择选择理由控制描述文件名称A.6.1 内部组织目标YES 建立管理框架,启动和控制组织内信息安全的实施和运行。
A.6.1.1 信息安全角色和职责控制YES 根据信息安全体系规定和公司实际需求公司在信息安全管理职责明细表里明确了信息安全职责。
公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作《信息安全内部组织管理程序》A.6.1.2 职责分离控制YES 根据信息安全体系规定和公司实际需求宜分割冲突的责任和职责范围,以降低未授权或无意的修改或者不当使用组织资产的机会。
《信息安全内部组织管理程序》A.6.1.3 与政府部门的联系控制YES 根据信息安全体系规定和公司实际需求详细说明由谁何时与权威机构(如法律仲裁部门、消防部门、信息安全监管机构)联系,以及怎样识别应该及时报告的可能会违背法律的信息安全事件。
ISMS适用性声明(SoA)
Yes Yes
信息交换管理规定 信息交换管理规定
在组织的物理边界之外进行传输 A.10.8.3 传输中的物理介 的过程中,应保护包含信息的媒 体免受未授权的访问、误用或破 质 坏 A.10.8.4 电子信息交换 A.10.8.5 业务信息系统 A.10.9 电子商务服务 A.10.9.1 电子商务 A.10.9.2 在线交易 A.10.9.3 公共可用信息 应适当保护电子消息的信息 应开发并实施策略和程序,以保 护与业务信息系统互联的信息 无此过程 无此过程 应保护公共可用系统中信息的完 整性,以防止未经授权的修改
Yes
网络、电话、系统及邮 件使用规则 员工信息安全手册 网络、电话、系统及邮 件使用规则 员工信息安全手册
A.10.4.2 移动代码控制 A.10.5 备份 A.10.5.1 信息备份 A.10.6 网络安全管理 A.10.6.1 网络控制
Yes
Yes
机房管理规定
Yes
访问控制规范 网络、电话、系统及邮 件使用规则 访问控制规范 网络、电话、系统及邮 件使用规则
Yes Yes
外来人员进出管理规定 业务连续性管理规定 外来人员进出管理规定
A.9.1.6 公共访问和交接 区域 A.9.2 设备安全 A.9.2.1 设备安置和保护
Yes
外来人员进出管理规定 访问控制规范
Yes
机房管理规定
A.9.2.2 支持性设施
Yes
机房管理规定
A.9.2.3 电缆安全 A.9.2.4 设备维护
A.7 A.7.1
资产管理 资产责任
A.7.1.1 资产清单
应清楚识别所有的资产,编制并 保持所有重要资产列表 所有信息及与信息处理设施有关 的资产应指定组织的部门负责 应识别信息及与信息处理设施有 关的资产的可接受的使用准则, 形成文件并实施 应按照信息的价值、法律要求及 对组织的敏感程度和关键程度进 行分类 应制定一套与组织所采用的分类 方案一致的信息标识和处置的程 序,并实施
JYYH-PS-22-适用性声明(SOA)汇总
变化时,对方针进行相应的审查。
说明
《信息安全管理体系手册》 《管理评审控制程序》 《内部审核控制程序》
A.6 组织安全
编号 控制措施 描述
Y/N
A.6.1 信息安全基础设施
控制目标:管理组织内部的信息安全。
A6.1.1 信息安全管 管理层应该在组织内部通过明确 Yes
理承诺
指导,展示承诺,资源分配以及
----------------来自----------------------------- 5 ----------------------------------------------
适用性申明
A.9 物理和环境安全
编号
控制措施 描述
Y/N
A.9.1 安全区
控制目标:防止对公司工作场所和信息的非法访问、破坏和干扰。
的使用
处理设施有关的信息与资产的可
接受使用的规则。
A.7.2 信息分类
控制目标:保证信息资产得到适当的保护级别。
A7.2.1 分类原则 根据信息的价值,法律法规的需 Yes
求,敏感性以及对组织的重要性,
对信息进行分类。
A7.2.2 信息标识和 根据组织采用的分类方法,明确 Yes
处理
标记和处理信息的妥善步骤。
A.9.1.4 防止外部和 组织应制定并实施防止火灾、洪 Yes
环境威胁 水、地震、爆炸、暴乱以及其他
形式的自然或人为灾难的物理保
护措施。
A.9.1.5 在安全区中 要加强安全区域的安全性,还应 Yes
工作
该采用其它控制措施和指导原
则。
A.9.1.5 与其它区域 应该对装运区进行控制,而且应 Yes
说明
信息安全管理体系之适用性声明(SOA)
说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果说明 (对于选择的控制以及选择该控制的原因)LR: 法律要求, CO: 合同责任, BR/BP: 业务经营需要/采纳的最佳实践, RRA: 风险评估结果。
信息安全适用性声明SOA
A.7.1.2 任用条款和条件
与员工和承包商的合同协议应当规定他们对组织的信息 安全责任。
A.7.2任用中 目标:确保员工和合同方了解并履行他们的信息安全职责
A.7.2.1
管理职责
管理层应要求员工、合同方符合组织建立的信息安全策 略和程序。
适用
A.7.2.2
信息安全意识、 教育与培训
组织内所有员工、相关合同人员及合同方人员应接受适 当的意识培训和必要的信息安全操作技能培训,并定期 更新与他们工作相关的程序。
当访问控制策略要求时,应通过安全的登录程序, 控制对系统和应用的访问。
适用
A.9.4.3 口令管理系统 应使用交互式口令管理系统,确保口令质量。
适用
A.9.4.4
特 权 实 用 程 序 的 对于可能超越系统和应用控制措施的工具程序的使
使用
用,应做出限制并严格控制。
适用
A.9.4.5
对程序 问控制
源
适用
A.7.2.3
纪律处理过程
应建立并传达正式的惩戒程序,据此对违反安全策略的 员工进行惩戒。
适用
A.7.3任用终止和变更 目标:在作用变更或终止过程中保护组织的利益。
A.7.3.1
任用职责的终止 应确定信息安全责任和义务在任用终止或变更后仍然有
或变更
效,向员工和合同方传达并执行。
适用
A.8资产管理
适用
A.6.1.4
与特定相关方的 联系
应保持与特定权益团体、其他安全专家组和专业协会的 适当联系。以获取行业信息。
适用
A.6.1.5
项目管理中的信 息安全
对特定项目进行信息安全策划并控制。
适用
A.6.2移动设备和远程工作 目标:确保组织远程办公和移动设备使用的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全适用性声明SOA
(ISO27001-2013)
1、目的
为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。
2、范围
本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。
3、适用性声明
条款目标控制措施是否选择/及理由
A.5 安全方针
A.5.1 信息安全方针
A.5.1.1 信息安全方
针文件提供符合
有关法律
法规和业
务需求的
信息安全
管理指引
和支持。
应定义信息安全方针,
信息安全方针文件应
经过管理层批准,并向
所有员工和相关方发
布和沟通。
选择
信息安全工作要求所确定,
见《信息安全管理手册》。
A.5.1.2 信息安全方
针的评审应定期或在发生重大
的变化时评审方针文
件,确保方针的持续
性、稳定性、充分性和
有效性。
选择
信息安全工作要求所确定,
见《管理评审控制程序》。
A.6信息安全组织A.6.1内部组织
A.6.1.1 信息安全的
角色和职责建立信息
安全管理
定义和分配所有信息
安全职责。
选择
见《信息岗位职责》
A.6.1.2 职责分离框架,在
组织内部
启动和控
制信息安
全实施。
有冲突的职责和责任
范围应分离,以减少对
组织资产未经授权访
问、无意修改或误用的
机会。
选择,
见《信息系统授权管理制度》
《信息岗位职责》
A.6.1.3 与监管机构
的联系与相关监管机构保持
适当联系。
选择,见《对外联络表》。
A.6.1.4 与特殊利益
团体的联系应保持与特定权益团
体、其他安全专家组和
专业协会的适当联系。
选择,获取行业信息,见《对
外联络表》。
A.6.1.5 项目管理中
的信息安全对特定项目进行信息
安全策划并控制。
选择,见《信息安全方针信
息安全策略管理制度》。
A.6.2移动设备和外部办公
A.6.2.1 移动设备策
略确保组织
远程办公
和使用移
动设备的
安全性。
应采取安全策略和配
套的安全措施控制使
用移动设备带来的风
险。
选择,见《移动设备管理制
度》。
A.6.2.2 远程办公应在允许顾客访问组
织信息或资产之前处
理所有确定的安全要
求。
选择,见《远程访问管理制度》。
A.7人力资源安全A.7.1任用前
A.7.1.1 人员筛选确保员
工、合同
方人员理
解他们的
职责并适
合他们所
承担的角
色。
根据相关法律、法规、
道德规范,对员工、合
同人员及承包商人员
进行背景调查,调查应
符合业务需求、访问的
信息类别及已知风险。
选择,见《信息安全人员考
察审批与保密管理程序》。
A.7.1.2 任用条款和
条件与员工和承包商的合
同协议应当规定他们
对组织的信息安全责
任。
选择,见《涉密人员保密责
任协议书》。
A.7.2任用中
A.7.2.1 管理职责确保员工
和合同方管理层应要求员工、合
同方符合组织建立的
选择,见《信息安全管理手
册》与《信息安全管理体系
了解并履行他们的信息安全责任。
信息安全策略和程序。
职责描述》。
A.7.2.2 信息安全
意识、教育
与培训组织内所有员工、相关
合同人员及合同方人
员应接受适当的意识
培训,并定期更新与他
们工作相关的组织策
略及程序。
选择,见《信息安全培训管
理程序》。
A.7.2.3 纪律处理
过程应建立并传达正式的
惩戒程序,据此对违反
安全策略的员工进行
惩戒。
选择,见《信息安全惩戒管
理规定》。
A.7.3任用终止和变更
A.7.3.1 任用终止
或变更的
责任任用终止
或变更的
责任
应定义信息安全责任
和义务在雇用终止或
变更后仍然有效,并向
员工和合同方传达并
执行。
选择,见《信息安全人员考
察审批与保密管理程序》。
A.8资产管理
A.8.1资产的责任
A.8.1.1 资产清单确定组织
资产,并
确定适当
的保护责
任。
应制定和维护信息资
产和信息处理设施相
关资产的资产清单。
选择,见《重要信息资产清
单》。
A.8.1.2 资产责任人资产清单中的资产应
指定资产责任人
(OWNER)。
选择,见《重要信息资产清单》。
A.8.1.3 资产的合理
使用应识别信息和信息处
理设施相关资产的合
理使用准则,形成文件
并实施。
选择,见《信息资产管理办
法》。
A.8.1.4 资产的归还在劳动合同或协议终
止后,所有员工和外部
方人员应退还所有他
们使用的组织资产。
选择,见《信息资产管理办法》。
A.8.2信息分类。