(2020年最新版本)信息安全適用性聲明

1、1.目的根據(jù)ISO/IEC27001:2013標準和公司實際管理需要，確定標準各條款對公司的適用性，特編制本程序。2.范圍適用于對ISO/IEC27001:2013標準于本公司的適用性管理。3.職責與權(quán)限3.1最高管理者負責信息安全適用性聲明的審批。3.2綜合部負責信息安全適用性聲明的編制及修訂。4.相關(guān)文件a)信息安全管理手冊5.術(shù)語定義無6.適用性聲明信息安全適用性聲明SOAA.5信息安全方針標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.5.1信息安全管理指引目標YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。A.5.1.1信息安全方針控制YES信息安全方針應(yīng)由管理才批

2、準發(fā)布。信息安全管理手冊A.5.1.2信息安全方針的評審控制YES確保方針持續(xù)的適應(yīng)性。管理評審控制程序A.64信息安全組織標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.6.1信息安全組織目標YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色和職責控制YES保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責需確定。信息安全管理手冊A.6.1.2職責分離控制YES分離有沖突的職責和責任范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機會。信息安全管理手冊A.6.1.3與監(jiān)管機構(gòu)的聯(lián)系控制YES與相關(guān)監(jiān)管機構(gòu)保持適當聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.4與特殊利益團體的聯(lián)系控制YES

3、與特殊利益團體、其他專業(yè)安全協(xié)會或行業(yè)協(xié)會應(yīng)保持適當聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.5項目管理中的信息安全控制YES實施任何項目時應(yīng)考慮信息安全相關(guān)要求。保密協(xié)議相關(guān)方管理程序A.6.2移動設(shè)備和遠程辦公目標YES確保遠程辦公和使用移動設(shè)備的安全性A.6.2.1移動設(shè)備策略控制YES米取安全策略和配套的安全措施管控使用移動設(shè)備帶來的風險。信息處理設(shè)施控制程序計算機管理規(guī)定介質(zhì)管理程序A.6.2.2遠程辦公控制YES我司有遠程訪問公司少數(shù)系統(tǒng)的情況，需要進行安全控制。用戶訪問控制程序A.7人力資源安全標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件標準條款號標題目標/控制是否選擇選擇理由相關(guān)

4、文件A.7.1聘用前目標YES確保員工、合同方人員適合他們所承擔的角色并理解他們的安全責任A.7.1.1人員篩選控制YES通過人員考察，防止人員帶來的信息安全風險。人力資源安全管理程序A.7.1.2雇傭條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。人力資源安全管理程序保密協(xié)議A.7.2聘用期間目標YES確保員工和合同方了解并履行他們的信息安全責任。A.7.2.1管理職責控制YES缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。信息安全管理手冊人力資源安全管理程序A.7.2.2信息安全意識、教育和培訓控制YES信息安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理

5、工作的前提。人力資源安全管理程序A.7.2.3懲戒過程控制YES對造成安全破壞的員工應(yīng)該有一個正式的懲戒過程。信息安全懲戒管理規(guī)定A.7.3聘用中止和變化目標YES在任用變更或中止過程保護組織利益。A.7.3.1任用終止或變更的責任控制YES應(yīng)定義信息安全責任和義務(wù)在任用終止或變更后仍然有效，并向員工和合同方傳達并執(zhí)行。人力資源安全管理程序相關(guān)方服務(wù)管理程序A.8資產(chǎn)管理標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.8.1資產(chǎn)責任目標YES對我司資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進行有效保護。A.8.1.1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實施保護。信息安全風險評估控制程序重要

6、資產(chǎn)清單A.8.1.2資產(chǎn)責任人控制YES對所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定'所有者”信息安全風險評估控制程序資產(chǎn)清單信息處理設(shè)施控制程序A.8.1.3資產(chǎn)的合理使用控制YES識別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并予以實施。信息處理設(shè)施控制程序A.8.1.4資產(chǎn)的歸還控制YES在勞動合同或協(xié)議終止后，人力資源安全管理程標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件所有員工和外部方人員應(yīng)退還所有他們持有的組織資產(chǎn)。序相關(guān)方服務(wù)管理程序A.8.2信息分類目標YES我司根據(jù)信息的敏感性對信息進行分類，明確保護要求、優(yōu)先權(quán)和等級，以確保對資產(chǎn)采取適當?shù)谋Ｗo。A

7、.8.2.1分類指南控制YES我司的信息安全涉及信息的敏感性，適當?shù)姆诸惪刂剖潜匾摹Ｐ畔⒎诸惻c處理指南A.8.2.2信息標識控制YES按分類方案進行標注并規(guī)定信息處理的安全的要求。信息分類與處理指南A.8.2.3資產(chǎn)處理控制YES根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程序信息處理設(shè)施控制程序A.8.3介質(zhì)處理目標YES防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除或破壞。A.8.3.1可移動介質(zhì)管理控制YES我司存在含有敏感信息的磁盤、磁帶、光盤、打印報告等可移動介質(zhì)。介質(zhì)管理程序A.8.3.2介質(zhì)處置控制YES當介質(zhì)不再需要時,對含有敏感信息介質(zhì)采用安全的處置辦法是必須。介質(zhì)管理程序

8、A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應(yīng)加以保護，防止未經(jīng)授權(quán)的訪問、濫用或在運輸過程中的損壞。信息交換管理程序A.9訪-問控制標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.9.1訪問控制的業(yè)務(wù)需求目標YES限制對信息和信息處理設(shè)施的訪問A.9.1.1訪問控制策略控制YES建立文件化的訪問控制策略，并根據(jù)業(yè)務(wù)和安全要求對策略進行評審。用戶訪問控制程序A.9.1.2對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制YES制定策略，明確用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止非授權(quán)的網(wǎng)絡(luò)訪問。用戶訪問控制程序A.9.2用戶訪問管理目標YES確保已授權(quán)用戶的訪問，預防對系統(tǒng)和服務(wù)的非授權(quán)訪問。A.9.2.1用戶

9、注冊和注銷控制YES我司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和注銷登用戶訪問控制程序標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件記程序。A.9.2.2用戶訪問權(quán)限提供控制YES應(yīng)有正式的用戶訪問分配程序，以分配和撤銷對于所有信息系統(tǒng)及服務(wù)的訪問。用戶訪問控制程序A.9.2.3特權(quán)管理控制YES應(yīng)對特權(quán)帳號進行管理，特權(quán)不適當?shù)氖褂脮斐上到y(tǒng)的破壞。用戶訪問控制程序A.9.2.4用戶認證信息的安全管理控制YES用戶鑒別信息的權(quán)限分配應(yīng)通過一個正式的管理過程進行安全控制。用戶訪問控制程序A.9.2.5用戶訪問權(quán)限的評審控制YES對用戶訪問權(quán)限進行評審是必要的，以防止非授權(quán)的訪問。用戶訪問控制程序

10、A.9.2.6撤銷或調(diào)整訪問權(quán)限控制YES在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終止和調(diào)整后，應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限人力資源安全管理程序用戶訪問控制程序相關(guān)方服務(wù)管理程序A.9.3用戶責任目標YES確保用戶對認證信息的保護負責。A.9.3.1認證信息的使用控制YES應(yīng)要求用戶遵循組織的規(guī)則使用其認證信息。用戶訪問控制程序A.9.4系統(tǒng)和應(yīng)用訪問控制目標YES防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問A.9.4.1信息訪問限制控制YES我司信息訪問權(quán)限是根據(jù)業(yè)務(wù)運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應(yīng)加以限制。用戶訪問控制程序A.9.4.2安全登錄程序控制YES對操作系統(tǒng)

11、的訪問應(yīng)有安全登錄程序進行控制。用戶訪問控制程序A.9.4.3密碼管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng)的機會，應(yīng)對密碼進行管理。用戶訪問控制程序A.9.4.4特權(quán)程序的使用控制YES對特權(quán)程序的使用應(yīng)嚴格控制，防止惡意破壞系統(tǒng)安全。用戶訪問控制程序A.9.4.5對程序源碼的訪問控制控制YES對程序源代碼的訪問應(yīng)進行限制。軟件開發(fā)安全控制程序A.10加密技術(shù)標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.10.1加密控制目標YES確保適當和有效地使用加密技術(shù)來保護信息的機密性、真實性、完整性。A.10.1.1使用加密控制的策略控制YES為保

12、護信息,應(yīng)開發(fā)并實施加密控制的使用策略網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.10.1.2密鑰管理控制YES應(yīng)進行密鑰管理，以支持公司對密碼技術(shù)的使用網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定計算機管理規(guī)定A.11物理和環(huán)境安全標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.11.1安全區(qū)域目標YES防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要信息及信息處理設(shè)施的區(qū)域,應(yīng)確定其安全周界對其實施保護。安全區(qū)域控制程序A.11.1.2物理進入控制控制YES安全區(qū)域進入應(yīng)經(jīng)過授權(quán)，未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。安全區(qū)域控制程序A

13、.11.1.3辦公室、房間及設(shè)施的安全控制YES對安全區(qū)域內(nèi)的綜合管理部、房間和設(shè)施應(yīng)有特殊的安全要求。安全區(qū)域控制程序A.11.1.4防范外部和環(huán)境威脅控制YES加強我司物理安全控制，防范火災、水災、地震，以及其它形式的自然或人為災害。安全區(qū)域控制程序A.11.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴格遵守安全規(guī)則，才能保證安全區(qū)域安全。安全區(qū)域控制程序相關(guān)方服務(wù)管理程序A.11.1.6送貨和裝卸區(qū)控制YES對未經(jīng)授權(quán)的人員可能訪問到的地點進行控制，防止外來人員直接進入重要安全區(qū)域是必要的。安全區(qū)域控制程序A.11.2設(shè)備安全目標YES防止資產(chǎn)的遺失、損壞、偷竊等導致的組織業(yè)

14、務(wù)中斷。A.11.2.1設(shè)備安置及保護控制YES設(shè)備應(yīng)定位和保護,防止火災、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。信息處理設(shè)施控制程序A.11.2.2支持設(shè)施控制YES對設(shè)備加以保護使其免于信息處理設(shè)施控制程標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件電力中斷或者其它支持設(shè)施故障而導致的中斷的影響。序A.11.2.3線纜安全控制YES通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。網(wǎng)絡(luò)安全管理程序A.11.2.4設(shè)備維護控制YES設(shè)備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。信息處理設(shè)施控制程序計算機管理規(guī)定A.11.2.5資產(chǎn)轉(zhuǎn)移控制YES設(shè)備、信息、軟件未經(jīng)授權(quán)之前，不應(yīng)將設(shè)備

15、、信息或軟件帶到場所外。信息處理設(shè)施控制程序A.11.2.6場外設(shè)備和資產(chǎn)安全控制YES我司有筆記本移動設(shè)備，離開正常的辦公場所應(yīng)進行控制，防止其被盜竊、未經(jīng)授權(quán)的訪問等危害的發(fā)生。信息處理設(shè)施控制程序計算機管理規(guī)定介質(zhì)管理程序A.11.2.7設(shè)備報廢或重用控制YES對我司儲存有關(guān)敏感信息的設(shè)備，如服務(wù)器、硬盤，對其處置和再利用應(yīng)將其信息清除。信息處理設(shè)施控制程序介質(zhì)管理程序A.11.2.8無人值守的設(shè)備控制YES確保無人值守設(shè)備得到足夠的保護。計算機管理規(guī)定A.11.2.9桌面清空及清屏策略控制YES不實行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。計算機管理規(guī)定A.1

16、2操作安全標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.12.1操作程序及職責目標YES確保信息處理設(shè)備的正確和安全使用。A.12.1.1文件化操作程序控制YES作業(yè)程序應(yīng)該文件化，并在需要時可用。文件控制程序A.12.1.2變更管理控制YES未加以控制的信息處理設(shè)備和系統(tǒng)更改會造成系統(tǒng)故障和安全故障。信息處理設(shè)施控制程序變更控制程序A.12.1.3容量管理控制YES為避免因系統(tǒng)容量不足導致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須的。信息安全監(jiān)控管理規(guī)定標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.12.1.4開發(fā)、測試與運行環(huán)境的分離控制YES我司設(shè)有研發(fā)部門，應(yīng)分離開發(fā)、測試

17、和運營設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風險軟件開發(fā)安全控制程序A.12.2防范惡意軟件目標YES確保對信息和信息處理設(shè)施的保護，防止惡意軟件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存在的，應(yīng)實施惡意代碼的監(jiān)測、預防和恢復控制，以及適當?shù)挠脩粢庾R培訓的程序。防病毒管理規(guī)定A.12.3備份目標YES防止數(shù)據(jù)丟失A.12.3.1數(shù)據(jù)備份控制YES對重要信息和軟件定期備份是必須的，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性。數(shù)據(jù)備份管理程序A.12.4日志記錄和監(jiān)控目標YES記錄事件和生成的證據(jù)A.12.4.1事件日志控制YES為訪問監(jiān)測提供幫助，建立事件日志（審核

18、日志）是必須的。信息安全監(jiān)控管理規(guī)定A.12.4.2日志信息保護控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護，防止被篡改和未經(jīng)授權(quán)的訪問。信息安全監(jiān)控管理規(guī)定A.12.4.3管理員和操作者日志控制YES應(yīng)根據(jù)需要，記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。信息安全監(jiān)控管理規(guī)定A.12.4.4時鐘同步控制YES實施時鐘同步，是生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需要。信息安全監(jiān)控管理規(guī)定A.12.5運營中軟件控制目標YES確保運營中系統(tǒng)的完整性。A.12.5.1運營系統(tǒng)的軟件安裝控制YES應(yīng)建立程序?qū)\營中的系統(tǒng)的軟件安裝進行控制。軟件控制程序A.12.6技術(shù)漏洞管理目標YES防止技術(shù)漏洞被利用。A.12.6.1

19、管理技術(shù)薄弱占八、控制YES及時獲得正在使用信息系統(tǒng)的技術(shù)薄弱點的相關(guān)信息，應(yīng)評估對這些薄弱點的暴露程度，并采取適當?shù)姆椒ㄌ幚硐嚓P(guān)風險。技術(shù)薄弱點控制程序標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.12.6.2限制軟件安裝控制YES應(yīng)建立和實施用戶軟件安裝規(guī)則。軟件控制程序A.12.7信息系統(tǒng)審計的考慮因素目標YES最小化審計活動對系統(tǒng)運營影響。A.12.7.1信息系統(tǒng)審核控制控制YES應(yīng)謹慎策劃對系統(tǒng)運行驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務(wù)過程。內(nèi)部審核控制程序A.13通（信安全標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.13.1網(wǎng)絡(luò)安全管理目標YES確保網(wǎng)

20、絡(luò)及信息處理設(shè)施匚P信息的安全。A.13.1.1網(wǎng)絡(luò)控制控制YES應(yīng)對網(wǎng)絡(luò)進行管理和控制,以保護系統(tǒng)和應(yīng)用程序的信息。網(wǎng)絡(luò)安全管理程序變更控制程序A.13.1.2網(wǎng)絡(luò)服務(wù)安全控制YES應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全機制、服務(wù)等級和管理要求，并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)安全管理程序A.13.1.3網(wǎng)絡(luò)隔離控制YES應(yīng)在網(wǎng)絡(luò)中按組隔離信息服務(wù)、用戶和信息系統(tǒng)。網(wǎng)絡(luò)安全管理程序A.13.2信息交換目標YES確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?。A.13.2.1信息交換策略和程序控制YES應(yīng)建立正式的傳輸策略、程序和控制，以保護通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒌陌?/p>

21、全。信息交換管理程序A.13.2.2信息交換協(xié)議控制YES建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議。信息交換管理程序A.13.2.3電子消息控制YES應(yīng)適當保護電子消息的信息。信息交換管理程序A.13.2.4保密或不披露協(xié)議控制YES應(yīng)制定并定期評審組織的信息安全保密協(xié)議或不披露協(xié)議，該協(xié)議應(yīng)反映織對信息保護的要求。保密協(xié)議相關(guān)方管理程序A.14系統(tǒng)的獲取、開發(fā)及維護標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.14.1信息系統(tǒng)安全需求目標YES確保信息安全成為信息系統(tǒng)整個生命周期的組成部分，包括通過公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要求。

22、A.14.1.1信息安全需求分析和規(guī)范控制YES新建信息系統(tǒng)或增強現(xiàn)有信息系統(tǒng)的需求中應(yīng)包括信息安全相關(guān)的要求。網(wǎng)絡(luò)安全管理程序技術(shù)符合性管理規(guī)定A.14.1.2公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全控制YES應(yīng)保護流經(jīng)公共網(wǎng)絡(luò)的應(yīng)用服務(wù)信息，以防止欺詐、合同爭議、未授權(quán)的泄漏和修改。網(wǎng)絡(luò)安全管理程序A.14.1.3保護應(yīng)用服務(wù)控制YES應(yīng)保護應(yīng)用服務(wù)傳輸中的信息，以防止不完整的傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復制和重放。網(wǎng)絡(luò)安全管理程序A.14.2開發(fā)和支持過程的安全目標YES確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安全。A.14.2.1開發(fā)的安全策略控制YES應(yīng)對軟件開發(fā)及系

23、統(tǒng)建設(shè)的安全需求進行規(guī)范管理。軟件開發(fā)安全控制程序A.14.2.2系統(tǒng)變更控制程序控制YES為防止未授權(quán)或不充分的更改，導致系統(tǒng)故障與中斷，需要實施嚴格更改控制。變更控制程序A.14.2.3操作平臺變更后的技術(shù)評審控制YES操作系統(tǒng)的不充分更改對應(yīng)用系統(tǒng)會造成嚴重的影響。變更控制程序A.14.2.4軟件包變更限制控制YES不鼓勵對軟件包進行變更，對必要的更改需嚴格控制。變更控制程序A.14.2.5安全系統(tǒng)工程原則控制YES應(yīng)建立、文件化、維護和應(yīng)用安全系統(tǒng)工程原則，并應(yīng)用于任何信息系統(tǒng)工程。軟件開發(fā)安全控制程序A.14.2.6開發(fā)環(huán)境安全控制YES在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，

24、應(yīng)建立并妥善保障開發(fā)環(huán)境的安全。軟件開發(fā)安全控制程序A.14.2.7外包開發(fā)控制NO公司暫無軟件外包過程。A.14.2.8系統(tǒng)安全測試控制YES在開發(fā)過程中，應(yīng)進仃安全性的測試。軟件開發(fā)安全控制程序A.14.2.9系統(tǒng)驗收測試控制YES應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級及新版本的驗收測試程序和相關(guān)準則。軟件開發(fā)安全控制程序標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.14.3測試數(shù)據(jù)目標YES確保測試數(shù)據(jù)安全。A.14.3.1測試數(shù)據(jù)的保護控制YES應(yīng)謹慎選擇測試數(shù)據(jù)，并加以保護和控制。軟件開發(fā)安全控制程序A.15供應(yīng)商關(guān)系標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.15.1供應(yīng)商關(guān)系的

25、信息安全目標YES確保組織被供應(yīng)商訪問的信息的安全。A.15.1.1供應(yīng)商關(guān)系的信息安全朿略控制YES為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風險，應(yīng)與供應(yīng)商簽署安全要求的文件協(xié)議。保密協(xié)議A.15.1.2在供應(yīng)商協(xié)議中強調(diào)安全控制YES與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存儲、溝通。保密協(xié)議A.15.1.3信息和通信技術(shù)的供應(yīng)鏈控制YES供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風險。保密協(xié)議A.15.2供應(yīng)商服務(wù)交付管理目標YES保持符合供應(yīng)商協(xié)議的信息安全和服務(wù)交付水平。A.15.2.1供應(yīng)商服務(wù)的監(jiān)督和評審控

26、制YES組織應(yīng)定期監(jiān)督、評審和審核供應(yīng)商的服務(wù)交付。相關(guān)方服務(wù)管理程序A.15.2.2供應(yīng)商服務(wù)的變更管理控制YES應(yīng)管理供應(yīng)商服務(wù)的變更，包括保持和改進現(xiàn)有信息安全策略、程序和控制措施，考慮對業(yè)務(wù)信息、系統(tǒng)、過程的關(guān)鍵性和風險的再評估。相關(guān)方服務(wù)管理程序A.16通信安全事件管理標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.16.1信息安全事件的管理和改進目標YES確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。A.16.1.1職責和程序控制YES應(yīng)建立管理職責和程序，以快速、有效和有序的響信息安全事件管理程序標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件應(yīng)信息安全事件。A.16.1.2報告信息安

27、全事態(tài)控制YES應(yīng)通過適當?shù)墓芾硗緩奖M快報告信息安全事態(tài)。信息安全事件管理程序A.16.1.3報告信息安全弱點控制YES應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點。信息安全事件管理程序技術(shù)薄弱點的控制程序A.16.1.4評估和決策信息安全事件控制YES應(yīng)評估信息安全事件，以決定其是否被認定為信息安全事故。信息安全事件管理程序A.16.1.5響應(yīng)信息安全事故控制YES應(yīng)按照文件化程序響應(yīng)信息安全事故。信息安全事件管理程序A.16.1.6從信息安全事故中學習控制YES分析和解決信息安全事故獲得的知識應(yīng)用來減少未來事故的可能性或影響。信息安全事件管理程序A.16.1.7收集證據(jù)控制YES組織應(yīng)建立和采取程序，識別、收集、采集和保存可以作為證據(jù)的信息。信息安全事件管理程序A.17業(yè)務(wù)連續(xù)性管理中的信息安全標準條款號標題目標/控制是否選擇選擇理由相關(guān)文件A.17.1信息安全的連續(xù)性目標YES信息安全連續(xù)性應(yīng)嵌入到組織的業(yè)務(wù)連續(xù)性管理體系。A.17.1.1規(guī)劃信息安全的連續(xù)性控制YES組織應(yīng)確定其需求，以保證在不利情況下信息安全管理的安全和連續(xù)性，如在危機或災難時。業(yè)務(wù)持續(xù)性管理程序A.17.1.2實施信息安全的連續(xù)性控制YES組織應(yīng)建