信息安全适用性声明修改版

适用性声明编号：ISMS-P-2001状态：受控编写：200X年XX月XX日审核：200X年XX月XX日批准：200X年XX月XX日发布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分发：各部门（或XXX）接受部门：ISMS-2001XXXXXX有限公司第2页共33页变更记录变更日期版本变更说明编写审核批准2009-XX-XXA/0初始版本XXXXXXXXXISMS-2001XXXXXX有限公司第3页共33页目录1目的与范围...................................................................................................................................42相关文件.......................................................................................................................................43职责...............................................................................................................................................44声明...............................................................................................................................................4A.5安全方针....................................................................................................................................5A.6安全组织....................................................................................................................................5A.7资产管理....................................................................................................................................8A.8人力资源安全............................................................................................................................9A.9实物与环境安全......................................................................................................................11A.10通信和操作管理....................................................................................................................13A.11访问控制................................................................................................................................19A.12信息系统获取、开发和维护................................................................................................24A.13信息安全事件管理................................................................................................................28A.14业务持续性管理....................................................................................................................29A.15符合性....................................................................................................................................30ISMS-2001XXXXXX有限公司第4页共33页信息安全适用性声明1目的与范围本声明描述了在ISO27001:2005附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。2相关文件ISMS-1001《信息安全管理手册》3职责《信息安全适用性声明》由XXX编制、修订，由管理者代表批准。4声明本公司按GB/T22080-2008idtISO/IEC27001:2005建立信息安全管理体系。根据公司风险评估的结果和风险可接受水平，GB/T22080-2008idtISO/IEC27001:2005附录A的下列条款被选择（或不选择)用于本公司信息安全管理体系，共删除X条控制措施。ISMS-2001XXXXXX有限公司第5页共33页A.5安全方针标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.5.1信息安全方针目标YES依据业务要求和相关法律法规为信息安全提供管理方向和支持，并表明管理层对信息安全的承诺。A.5.1.1信息安全方针文件控制YES信息安全管理实施的需要。信息安全方针文件应由管理阶层核准，并通过培训、张贴布告于宣传栏、网站等形式公布与传达给所有聘雇人员与相关外部团体。A.5.1.2信息安全方针的评审与评价控制YES确保方针持续的适宜性。按照计划的时间间隔（如每年）或当重大变化发生时利用管理评审对方针的进行评审以确保它持续的适宜性、充分性和有效性，必要时对方针进行修订。A.6安全组织标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.6.1内部组织目标YES建立一个有效的信息安全管理组织机构。A.6.1.1信息安全管理承诺控制YES确定评审安全承诺及处理重大安全事故，确定与安全有关重大事项所必须的职责分配及确认、沟通机制。管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配来积极支持组织内的安全。公司成立信息安全管理委员会，由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次，或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题，行政部负责准备会议日程的安排。会议主要议题包括：a)评审信息安全承诺；b)确认风险评估的结果；ISMS-2001XXXXXX有限公司第6页共33页c)对与信息安全管理有关的重大更改事项，如组织机构调整、关键人事变动、信息系统更改等，进行决策；e)评审与处理重大信息安全事故；f)审批与信息安全管理有关的其他重要事项。A.6.1.2信息安全的协调控制YES公司涉及信息安全部门众多，组织机构复杂，需要一个有效沟通与协调机制。公司成立信息安全管理协调小组，由信息安全管理者代表、保密办以及信息安全体系内审员组成。协调小组每季度召开一次协调会议（特殊情况随时召开会议），对上一季度的信息安全管理工作进行总结，解决体系运行中存在的问题，并布置下一季度的信息安全工作。由保密办负责组织安排并做好会议记录。A.6.1.3信息安全职责的分配控制YES保持特定资产和完成特定安全过程的职责需确定。公司设立信息安全管理者代表，全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。与ISMS有关各部门的信息安全职责应予以描述，关于具体的信息安全活动的职责在程序及作业文件中予以明确。在哪个文件里描述职责，《信息安全组织》么？A.6.1.4信息处理设施的授权程序为什么在这个域中？控制YES本公司有新信息处理设备（设施）使用时，实施使用授权程序。对各自负责管理的信息系统，根据使用者需求提出新设施（包括软件）的采购技术规格，由XXX部进行技术选型，并组织验收，确保与原系统的兼容。明确信息处理设施的使用部门接受新设施的信息安全负责人为XXX部，XXX部人员需要讲解新设施的正确使用方法。A.6.1.5信息安全保密性协议控制YES为更好掌握信息安全的技术及听取安全方面的有益建议，需与内外部经常访问我公司信息处理设施的人员订立保密性协议。本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员（合同方、临时员工）的安全考察与控制。a)保密信息的形式：标明“秘密”、“受控”字样的资料，以及相关的文件、数据、分析报告、算法、样品、实物、规格说明软盘等，未标明“秘密”、“受控”字样的即为公开文件；ISMS-2001XXXXXX有限公司第7页共33页b)乙方仅能够在甲方规定的范围内使用保密信息、或者向甲方书面认可的第三方披露甲方认可可披露范围内的保密信息；c)乙方不得向其他任何第三方披露任何从甲方处收到或合法获知的保密信息。A.6.1.6与政府部门的联系控制YES与法律实施部门、标准机构等组织保持适当的联系是必须的，以获得必要的安全管理、标准、法律法规方面的信息。信息部就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系，其他部门与相应的政府职能部门及社会服务机构保持联系，以便及时掌握信息安全的法律法规，及时获得安全事故的预防和纠正信息，并得到相应的支持。信息安全交流时，确保本公司的敏感信息不传给未经授权的人。A.6.1.7与特定利益团体的联系控制YES为更好掌握信息安全的新技术及安全方面的有益建议，需获得内外部信息安全专家的建议。本公司设内部信息安全顾问，必要时聘请外部专家，与特定利益群体保持沟通，解答有关信息安全的问题。顾问与专家名单由本公司信息安全委员会提出，管理者代表批准。内部信息安全顾问负责：a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议；b)收集与本公司信息安全有关的信息、新技术变化，经本部门负责人审核同意，利用本公司电子邮件系统或采用其它方式传递到相关部门和人员；c)必要时，参与信息安全事故的调查工作。A.6.1.8信息安全的独立评审控制YES为验证信息安全管理体系实施的有效性及符合性，公司定期进行内部审核，审核需要客观公正性。信息安全管理体系的内部审核员由有审核能力和经验的人员组成（包括IT方面的专家），并接受ISMS内部审核员培训且考评合格。内部审核员在现场审核时保持审核的独立性，并不审核自己的工作。内审员获得授权，在审核期间不受行政的领导的限制，直接对审核组长负责。A.6.2外部各方目标YES识别外部各方访问、处理、管理、通信的风险，明确对外部各方访问控制的要求，并控制外部各方带来的风险。ISMS-2001XXXXXX有限公司第8页共33页A.6.2.1与外部各方相关风险的识别控制YES本公司存在