1-信息安全适用性声明

FHYJ-ISMS-2001-2010-1-信息安全适用性声明1范围本声明所列的控制目标和控制措施直接源自ISO/IEC27001:2005及ISO/IEC27002:2005要求，以保证公司进行信息安全管理体系认证实施的有效性及适用性。本声明经公司信息安全管理委员会会议审核通过，适用于湖南丰汇银佳科技有限公司对信息安全控制的全过程。2职责2.1信息安全实施小组负责对公司信息安全适用的控制目标和控制措施的收集与定期评价，提交信息安全管理小组审核。2.2信息安全管理委员会负责对公司信息安全适用性声明进行审核，确认公司信息安全适用的控制目标及控制措施。3湖南丰汇银佳科技有限公司信息安全适用性控制目标和控制措施：适用性ISO27001要求对应文件适用不适用理由(注)A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件✓信息安全管理实施的需要A.5.1.2信息安全方针的评审《信息安全管理手册.doc》《管理评审控制程序.doc》✓确保方针的持续适宜性A.6信息安全组织A.6.1信息安全组织A.6.1.1信息安全的管理承诺✓信息安全管理实施的需要A.6.1.2信息安全协作✓公司涉及到的信息安全问题需要一个有效沟通和协调的机制A.6.1.3信息安全职责分配《信息安全管理手册.doc》✓保持信息资产和完成特定安全过程的职责需要规定A.6.1.4信息处理设备的授权过程《软、硬件及网络管理程序.doc》✓公司有新信息处理设施采购和使用的活动，需要进行授权A.6.1.5保密协议《人力资源控制程序.doc》[保密协议][第三方服务保密协议]✓员工和第三方进入公司都会涉及到公司的信息安全，以保密协议对其进行高知和约束。受控副本章发放编号003有效版本A版0次实施日期2010-05-01使用部门管理者代表FHYJ-ISMS-2001-2010-2-适用性ISO27001要求对应文件适用不适用理由(注)A.6.1.6与权威机构的联系✓为了更好的得到信息安全的新动向A.6.1.7与专业小组的联系《第三方信息安全管理程序》✓为了更好的得到信息安全的新动向，并得到专家的协助A.6.1.8信息安全的独立评审《内部审核控制程序.doc》《管理评审控制程序.doc》✓为了验证公司信息安全体系的符合性和有效性A.6.2外部相关方A.6.2.1与外部相关方有关的风险识别✓公司存在如来维修设备、顾客物理、逻辑访问公司等情况，必须控制A.6.2.2处理与顾客相关的安全问题✓顾客物理、逻辑访问公司等情况，必须有安全措施控制A.6.2.3处理第三方协议中涉及的安全《信息安全风险评估管理程序.doc》《用户访问控制程序.doc》《物理访问控制程序.doc》✓与长期访问的第三方签订保密协议规定并培训安全要求是必须的A.7资产管理A.7.1资产责任A.7.1.1资产清单✓风险控制的需要A.7.1.2资产所有权✓明确资产管理责任A.7.1.3资产的合理使用《资产识别管理程序.doc》[信息资产登记/评估表.xls]✓将资产合理使用制度化A.7.2信息分类A.7.2.1分类指南《资产识别管理程序.doc》✓为了便于对信息资产的分级管理A.7.2.2信息的标识和处理《资产识别管理程序.doc》《软、硬件及网络管理程序.doc》✓按照分类方案进行标注并规定信息处理的安全要求A.8人力资源安全A.8.1聘用前A.8.1.1角色和职责《信息安全管理手册.doc》《人力资源控制程序.doc》✓为了明确信息安全责任A.8.1.2筛选《人力资源控制程序.doc》✓降低风险A.8.1.3雇佣条款和条件《人力资源控制程序.doc》✓履行保密协议是与员工、合同方以及第三方用户的基A.8.2聘用期间A.8.2.1管理职责《人力资源控制程序.doc》✓领导的必须责任是提出要求A.8.2.2信息安全教育和培训《人力资源控制程序.doc》✓安全意识和必要的信息安全操作技能培训是开展信息安全管理的前提A.8.2.3惩戒过程《人力资源控制程序.doc》✓惩戒是控制信息安全事故事件的必要手段A.8.3聘用中止或变化A.8.3.1终止责任《人力资源控制程序.doc》✓在合同中明确终止责任A.8.3.2资产归还《人力资源控制程序.doc》✓保证资产归还的完整性A.8.3.3解除访问权限《用户访问控制程序.doc》✓确保访问权限及时修改FHYJ-ISMS-2001-2010-3-适用性ISO27001要求对应文件适用不适用理由(注)A.9物理和环境安全A.9.1安全区域A.9.1.1实物安全周界《办公大楼平面图》✓对重要信息资产进行保护A.9.1.2物理进入控制✓安全区进入应授权，未经过授权访问会导致信息安全威胁A.9.1.3办公室、房间和设施的安全✓保证物理安全，未经过授权访问会导致信息安全威胁A.9.1.4防范外部和环境威胁✓保证物理安全，未经过授权访问会导致信息安全威胁A.9.1.5在安全区域工作《物理访问控制程序.doc》✓确保工作在安全的区域进行A.9.1.6公共访问、交付和装载区《物理访问控制程序.doc》《办公大楼平面图》✓防止外来的未经过授权访问A.9.2设备安全A.9.2.1设备的定位和保护《软、硬件及网络管理程序.doc》✓保证设备安全A.9.2.2支持性设施[信息资产登记/评估表.xls]✓保证支持性设施稳定A.9.2.3电缆的安全[信息资产登记/评估表.xls]✓保证通信电缆的安全A.9.2.4设备维护《软、硬件及网络管理程序.doc》✓维护设备，确保设备的完整性、保密性和可用性A.9.2.5场所外设备的安全《软、硬件及网络管理程序.doc》✓对场所外设备的保护，防止丢失A.9.2.6设备的安全处置及再利用《软、硬件及网络管理程序.doc》✓对报废设备处理要防止泄密A.9.2.7资产转移《软、硬件及网络管理程序.doc》✓资产离开工作场所要保证安全A.10通信和操作管理A.10.1操作程序和职责A.10.1.1作业程序文件化[受控文件清单][记录总目录表][文件发放清单]✓确保信息设备操作的规范A.10.1.2变更管理《变更管理程序.doc》✓确保系统变更的安全A.10.1.3职责分离《软、硬件及网络管理程序》[系统权限登记表]✓便于监督管理A.10.1.4开发和运作设备的分离《第三方信息安全管理程序》✓降低对操作系统未经授权的访问和更改的风险A.10.2第三方服务交付管理A.10.2.1服务交付《第三方信息安全管理程序》✓标准要求A.10.2.2第三方服务的监控和评审《第三方信息安全管理程序》✓标准要求A.10.2.3管理第三方服务的更改《第三方信息安全管理程序》✓标准要求A.10.3系统策划与验收FHYJ-ISMS-2001-2010-4-适用性ISO27001要求对应文件适用不适用理由(注)A.10.3.1容量管理《软、硬件及网络管理程序.doc》✓对有限的空间合理利用A.10.3.2系统验收《信息系统开发建设管理程序》✓确保信息系统符合设计要求A.10.4防范恶意软件A.10.4.1防范恶意代码《恶意软件控制程序.doc》✓防止恶意代码对系统的入侵和损害A.10.4.2防范可移动代码《恶意软件控制程序.doc》✓防止可移动代码对系统的入侵和损害A.10.5备份A.10.5.1信息备份《重要信息备份管理程序.doc》✓对重要信息进行备份A.10.6网络安全管理A.10.6.1网络控制《软、硬件及网络管理程序.doc》✓对公司网络实施有效的管理A.10.6.2网络服务的安全《软、硬件及网络管理程序.doc》✓确保网络服务的安全A.10.7介质的处理A.10.7.1可移动介质的管理《介质及信息交换管理程序.doc》✓A.10.7.2介质的处置《介质及信息交换管理程序.doc》✓为防止资产损坏和业务活动中断，根据媒体（包括产品）所储存的信息的敏感性或重要性进行适当的保护，安全处置，确保因媒体不当造成信息泄露事故发生。A.10.7.3信息处置程序《介质及信息交换管理程序.doc》✓为保护敏感信息不会因未经授权处理而造成泄漏或滥用A.10.7.4系统文件的安全《介质及信息交换管理程序.doc》✓确保系统文件安全A.10.8信息和软件交换A.10.8.1信息交换方针和程序《介质及信息交换管理程序.doc》✓确保信息交换的安全A.10.8.2交换协议《介质及信息交换管理程序.doc》✓确保数据交换的安全A.10.8.3物理介质的传送《介质及信息交换管理程序.doc》✓物理介质的运送应符合安全需要A.10.8.4电子邮件安全《介质及信息交换管理程序.doc》✓确保数据交换的安全A.10.8.5业务信息系统《介质及信息交换管理程序.doc》✓A.10.9电子商务服务A.10.9.1电子商务✓本公司目前不存在电子商务，本条款不适用。A.10.9.2在线交易✓本公司目前不存在在线交易，本条款不适用。A.10.9.3公共信息《资产识别管理程序.doc》✓公司网站信息的发布A.10.10监控A.10.10.1审核日志✓对公司设备的日志进行控制A.10.10.2监控系统的使用网管的检查记录✓建立监控设备的使用规则，并定期评审监控结果FHYJ-ISMS-2001-2010-5-适用性ISO27001要求对应文件适用不适用理由(注)A.10.10.3日志信息的保护✓对系统日志进行保护，因为如果数据被修改或者删除，那么就可能对安全造成错误的理解。A.10.10.4管理员和操作员日志✓对管理员和操作员对系统的操作活动进行控制，防止非法操作A.10.10.5故障日志✓对于用户或系统程序报告的有关信息处理系统或者通信系统的问题应当做记录。对于如何处理报告的故障应当清楚的规定A.10.10.6时钟同步《记录控制程序.doc》《软、硬件及网络管理程序.doc》✓保证公司PC机等时间同步A.11访问控制A.11.1访问控制的业务要求A.11.1.1访问控制策略《用户访问控制程序.doc》✓控制对信息的访问A.11.2用户访问管理A.11.2.1用户注册✓使用唯一的用户身份，以便将用户与其行为关联，使用户对其行为负责。只有因业务和操作原因而需要时，才准许使用工作组用户身份；A.11.2.2特权管理✓对需要防范未经授权访问的多用户系统，应该通过正式的授权过程对特权分配进行控制。A.11.2.3用户口令管理✓A.11.2.4用户访问权的评审《用户访问控制程序.doc》[系统权限登记表.xls]✓须定期评审用户的访问权，保持对数据和信息服务访问的有效控制。A.11.3用户责任A.11.3.1口令的使用《用户访问控制程序.doc》✓标准要求A.11.3.2无人值守的用户设备✓标准要求A.11.3.3清洁桌面和清除屏幕策略《软、硬件及网络管理程序.doc》✓标准要求A.11.4网络访问控制A.11.4.1网络服务使用策略《软、硬件及网络管理程序.doc》✓标准要求A.11.4.2外部连接用户的验证✓本公司目前不存在外部连接用户，本条款不适用。A.11.4.3网络中设备的鉴别《软、硬件及网络管理程序.doc》✓标准要求A.11.4.4远程诊断和配置端口的保护✓公司内没有需要提供给外部进行远程诊断的设备，本条款不适用。A.11.4.5网络分离《软、硬件及网络管理程序.doc》✓标准要求FHYJ-ISMS-2001-2010-6-适用性ISO27001要求对应文件适用不适用理由(注)A.11.4.6网络连接控制《软、硬件及网络管理程序.doc》✓标准要求A.11.4.7网络路由控制《软、硬件及网络管理程序.doc》✓标准要求A.11.5操作系统的访问控制A.11.5.1安全登录程序《用户访问控制程序.doc》✓标准要求A.11.5.2用户标识与验证《用户访问控制程序.doc》✓标准要求A.11.5.3口令管理系统《用户访问控制程序.doc》✓标准要求A.11.5.4系统实用程序的使用《用户访问控制程序.doc》✓标准要求A.11.5.5会话超时✓本公司目前没有此项应用的需求，本条款不适用。A.11.5.6联接时间的限制✓本公司目