GBT22080信息安全適用性聲明

GB/T22080信息安全適用性聲明TOC\o"1-5"\h\z1目的與范圍 22相關(guān)文件 23職責 24聲明 2A.5安全方針 3A.6安全組織 3A.7資產(chǎn)管理 6A.8人力資源安全 8A.9實物與環(huán)境安全 9A.10通信和操作管理 12A.11訪問控制 19A.12信息系統(tǒng)獲取、開發(fā)和維護 24信息安全適用性聲明1目的與范圍本聲明描述了在IS027001:2005附錄A中，適用于本公司信息安全管理體系的目標/控制、是否選擇這些目標/控制的理由、公司現(xiàn)行的控制方式、以及實施這些控制所涉及的相關(guān)文件。2相關(guān)文件ISMS-1001《信息安全管理手冊》3職責《信息安全適用性聲明》由XXX編制、修訂，由管理者代表批準。4聲明

A.5安全方針標準條款號標題目標/控制是否選擇選擇理由控制描述相關(guān)文件A.5.1信息安全方針目標YES為信息安全提供管理方向和支持，并表明管理層對信息安全的承諾。A.5.1.1信息安全方針文件控制YES信息安全管理實施的需要。信息安全方針由公司總經(jīng)理制定，在《信息安全管理手冊》中描述，由公司總經(jīng)理批準發(fā)布。通過培訓、發(fā)放《信息安全管理手冊》等方式傳達到每一員工。采用張貼布告于宣傳欄、網(wǎng)站等形式傳達到各主管部門、客戶群等外部相關(guān)方。ISMS-1001《信息安全管理手冊》A.5.1.2評審與評價控制YES確保方針持續(xù)的適宜性。每年利用管理評審對方針的適宜性進行評價，必要時對方針進行修訂。ISMS-P-2004《管理評審控制程序》A.6安全組織標準條款號標題目標/控制是否選擇選擇理由控制描述相關(guān)文件A.6.1內(nèi)部組織目標YES建立一個有效的信息安全管理組織機構(gòu)。A.6.1.1信息安全管理承諾控制YES確定評審安全承諾及處理重大安全事故，確定與安全有關(guān)重大事項所必須的職責分配及確認、溝通機制。公司成立信息安全管理委員會，由公司領(lǐng)導、信息安全管理者代表、各主要部門負責人組成。信息安全管理委員會至少每半年召開一次，或者當信息安全管理體系發(fā)生重大變化或當管理者代表認為有必要時召開。信息安全管理者代表負責決定召開會議的時機及會議議題，行政部負責準備會議日程的安排。會議主要議題包括?：ISMS-1001《信息安全管理手冊》

a）評審信息安全承諾:b）確認風險評估的結(jié)果：c）對與信息安全管理有關(guān)的重大更改事項，如組織機構(gòu)調(diào)整、關(guān)鍵人事變動、信息系統(tǒng)更改等，進行決策：e）評審與處理重大信息安全事故：f）審批與信息安全管理有關(guān)的其他重要事項。A.6.1.2信息安全的協(xié)調(diào)控制YES公司涉及信息安全部門眾多，組織機構(gòu)更雜，需要一個有效溝通與協(xié)調(diào)機制。公司成立信息安全管理協(xié)調(diào)小組，由信息安全管理者代表和XXX部、XXX部信息安全體系內(nèi)審員組成。協(xié)調(diào)小組每季度召開一次協(xié)調(diào)會議（特殊情況隨時召開會議），對上一季度的信息安全管理工作進行總結(jié)，解決體系運行中存在的問題，并布置下一季度的信息安全工作。會議由XXX負責組織安排并做好會議記錄。有關(guān)信息安全管理委員會會議記錄（會議紀要）A.6.1.3信息安全職責的分配控制YES保持特定資產(chǎn)和完成特定安全過程的職責需確定。公司設(shè)立信息安全管理者代表，全面負貨公司ISMS的建立、實施與保持工作。對每一項重要信息資產(chǎn)指定信息安全責任人。與ISMS有關(guān)各部門的信息安全職責在《信息安全管理手冊》中予以描述，關(guān)于具體的信息安全活動的職責在程序及作業(yè)文件中予以明確，A.6.1.4信息處理設(shè)施的授權(quán)程序控制YES本公司有新信息處理設(shè)備（設(shè)施）使用時，實施使用授權(quán)程序。對各自負貨管理的信息系統(tǒng)，根據(jù)使用者需求提出新設(shè)施（包括軟件）的采購技術(shù)規(guī)格，由XXX部進行技術(shù)選型，并組織驗收，確保與原系統(tǒng)的兼容。明確信息處理設(shè)施的使用部門接受新設(shè)施的信息安全負責人為XXX部，XXX部人員需要講解新設(shè)施的正確使用方法。ISMS-P-2010《信息處理設(shè)備管理程序》A.6.1.5信息安全保控制YES為更好掌握信息安本公司的正式員工和借用員工聘用、任職期間ISMS-P-2020《密級控制

密性協(xié)議全的技術(shù)及聽取安全方面的有意建議，需與內(nèi)外部經(jīng)常訪問我公司信息處理設(shè)施的人員訂立保密性協(xié)議。及離職的安全考察與保密控制以及其他相關(guān)人員（合同方、臨時員工）的安全考察與控制。a）保密信息的形式：標明“秘密”、“受控”字樣的資料，以及相關(guān)的文件、數(shù)據(jù)、分析報告、算法、樣品、實物、規(guī)格說明軟盤等，未標明“秘密，“受控”字樣的即為公開文件：b）乙方僅能夠在甲方規(guī)定的范圍內(nèi)使用保密信息、或者向甲方書面認可的第三方披露甲方認可可披露范圍內(nèi)的保密信息：c）乙方不得向其他任何第三方披露任何從甲方處收到或合法獲知的保密信息。程序》A.6.1.6與政府部門的聯(lián)系控制YES與法律實施部門、標準機構(gòu)等組織保持適當?shù)穆?lián)系是必須的，以獲得必要的安全管理、標準、法律法規(guī)方面的信息。XXX部就電話/網(wǎng)絡(luò)通訊系統(tǒng)的安全問題與市信息主管部門及標準制定部門保持聯(lián)系，其他部門與相應(yīng)的政府職能部門及社會服務(wù)機構(gòu)保持聯(lián)系，以便及時掌握信息安全的法律法規(guī)，及時獲得安全事故的預(yù)防和糾正信息,并得到相應(yīng)的支持。信息安全交流時，確保本公司的敏感信息不傳給未經(jīng)授權(quán)的人。ISMS-1001《信息安全管理手冊》XXXXA.6.1.7與特定利益團體的聯(lián)系控制YES為更好掌握信息安全的新技術(shù)及安全方面的有益建議，需獲得內(nèi)外部信息安全專家的建議。本公司設(shè)內(nèi)部信息安全顧問，必要時聘請外部專家，與特定利益群體保持溝通，解答有關(guān)信息安全的問題。顧問與專家名單由本公司信息安全委員會提出，管理者代表批準。內(nèi)部信息安全顧問負責：a）按照專業(yè)分工負責解答公司有關(guān)信息安全的問題并提供信息安全的建議；b）收集與木公司信息安全有關(guān)的信息、、新技術(shù)變化，經(jīng)本部門負責人審核同意，利用木公司電子郵件系統(tǒng)或采用其它方式傳遞到相關(guān)部門和人員：《信息安全內(nèi)部顧問名的和信息安全外部專家名單》

c）必要時，參與信息安全事故的調(diào)查工作。A.6.1.8信息安全的獨立評審控制YES為驗證信息安全管理體系實施的有效性及符合性，公司定期進行內(nèi)部審核，審核需要客觀公正性。信息安全管理體系的內(nèi)部審核員由有審核能力和經(jīng)驗的人員組成（包括IT方面的專家），并接受ISMS內(nèi)部審核員培訓且考評合格。內(nèi)部審核員在現(xiàn)場審核時保持審核的獨立性，并不審核自己的工作。內(nèi)審員獲得授權(quán)，在審核期間不受行政的領(lǐng)導的限制，直接對審核組長負責。ISMS-P-2003《內(nèi)部審核管理程序》A.6.2外部各方目標YES識別外部各方訪問、各方帶來的風險。處理、管理、通信的風險，明確對外部各方訪布控制的要求，并控制外部A.6.2.1與外部各方相關(guān)風險的識別控制YES本公司存在諸如設(shè)備供應(yīng)商來公司維修設(shè)備、顧客訪問公司信息網(wǎng)絡(luò)系統(tǒng)等第三方訪問的情況，應(yīng)采取必要的安全措施進行控制。第三方物理訪問須經(jīng)公司被訪問部門的授權(quán)，進入工作區(qū)應(yīng)進行登記。公司與長期訪問的第三方簽訂保密協(xié)議。訪問特別安全區(qū)域時由專人陪同，具體執(zhí)行《物理訪問控制程序》。第三方邏輯訪問，按照《用戶訪問控制程序》要求進行控制。ISMS-P-2011《物理訪問控制程序》ISMS-P-2012《用戶訪問控制程序》A.6.2.2處理與顧客有關(guān)的安全問題控制YES在正式的合同中規(guī)定必要的安全要求是必須的。公司與長期訪問的顧客簽訂保密協(xié)議，明確規(guī)定信息安全要求，顧客方訪問同樣適用物理、邏輯訪問控制措施。ISMS-P-2011《物理訪問控制程序》ISMS-P-2012《用戶訪問控制程序》A.6.2.3處理第三方協(xié)議中的安全問題控制YES與木公司存在相關(guān)服務(wù)主要有XXXXXXxXXX。公司外包責任部門識別外包活動的風險，明確外包活動的信息安全要求，在外包合同中明確規(guī)定信息安全要求。ISMS-P-2010《信息處理設(shè)備管理程序》A.7資產(chǎn)管理標準條款號標題目標/控制是否選擇選擇理由控制描述相關(guān)文件

A.7.1資產(chǎn)責任目標YES對木公司重要信息資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進行有效保護。A.7.1.1資產(chǎn)清的控制YES公司需建立重要資產(chǎn)清單并實施保護。XXX部按照ISMS-P-2002《信息安全風險評估管理程序》組織各部門按業(yè)務(wù)流程識別所有信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷準則確定公司的重要信息資產(chǎn)，《重要信息資產(chǎn)清單譏并明確資產(chǎn)負責人。ISMS-P-2002《信息安全風險評估管理程序》《重要信息資產(chǎn)清單》A.7.1.2資產(chǎn)負貢人控制YES需要對重要信息處理設(shè)施有及重要信息指定費任人。XX部組織相關(guān)部門依據(jù)ISMS-P-2002《信息安全風險評估管理程序》指定資產(chǎn)負費人。ISMS-P-2002《信息安全風險評估管理程序》A.7.1.3資產(chǎn)的可接受使用控制YES識別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，予以實施。制定相應(yīng)的業(yè)務(wù)系統(tǒng)應(yīng)用管理制度，重要設(shè)備有使用說明書，規(guī)定了資產(chǎn)的合理使用規(guī)則。使用或訪問組織資產(chǎn)的員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對信息資源的使用，以及發(fā)生在其責任下的使用負責。ISMS-P-2010《信息處理設(shè)備管理程序》A.7.2信息分類目標YES本公司根據(jù)信息的采取適當?shù)谋Ｗo。取感性對信息進行分類，明確保護要求、優(yōu)先權(quán)和等級，以明確對信息資產(chǎn)A.7.2.1分類指南控制YES本公司的信息安全涉及信息的敏感性，適當?shù)姆诸惪刂剖潜匾?。本公司的信息密級劃分為：公開信息、受控信息、企業(yè)秘密三級C不同密成事項的界定，由涉及秘密事項產(chǎn)生部門按照ISMS-P-2020《密級控制程序》規(guī)定的原則進行。ISMS-P-2020《密級控制程序》A.7.2.2信息的標識和處理控制YES按分類方案進行標注并規(guī)定信息處理的安全的要求。對于屬于企業(yè)秘密與國家秘密的文件（無論任何媒體），密級確定部門按《密級控制程序》的要求進行適當?shù)臉俗ⅲ汗_信息不需要標注，其余均標注受控或秘密。信息的使用、傳輸、存儲等處理活動要進行控制。ISMS-P-2020《密級控制程序》

A.8人力資源安全標準條款號標題目標/控制是否選擇選擇理由控制描述相關(guān)文件A.8.1任用之前目標YES時聘用過程進行管理，確保員工、合同方和第三方用戶理解其責任，并且能勝任其任務(wù)，以降低設(shè)施被盜竊、欺詐或誤用的風險。A.8.1.1角色和職貴控制YES與信息安全有關(guān)的人員的安全職責必須明確規(guī)定并履行。XX部負責組織各部門在各崗位描述中明確規(guī)定每個員工在信息安全方面應(yīng)履行的職責。所有員工須遵守公司有關(guān)信息安全管理的規(guī)章制度，保守本公司秘密（包括顧客秘密）與國家秘密?！豆ぷ鲘徫徽f明書》A.8.1.2審查控制YES通過人員考察，防止人員帶來的信息安全風險。XX部負責對初始錄用員工進行能力、信用考察，每年對關(guān)健信息安全崗位進行年度考察，對于不符合安全要求的不得錄用或進行崗位調(diào)整。ISMS-P-2037《信息安全人員考察與保密管理程A.8.1.3任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個基本條件。在《勞動合同》中明確規(guī)定保密的義務(wù)及違約的責任?！秳趧雍贤稟.8.2聘用期間控制YES確保所有的員工、合同方和笫三方用戶知道信息安全威脅和利害關(guān)系、他們的職責和義務(wù)、并準備好在其正常工作過程中支持組織的安全方針，并且減少人為錯誤的風險。A.8.2.1管理職責控制YES缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。公司管理者要求員工、合作方以及第三方用戶加強信息安全意識,依據(jù)建立的方針和程序來應(yīng)用安全，服從公司管理，當有其他的管理制度與信息安全管理制度沖突時，首選信息安全管理制度執(zhí)行°ISMS-P-2037《信息安全人員考察與保密管理程A.8.2.2信息安全教育和培控制YES安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理工作的與ISMS有關(guān)的所有員工，有關(guān)的第三方訪問者，應(yīng)該接受安全意識、方針、程序的培訓。方針、程序變更后應(yīng)及時傳達到全體員工。XX部通過組織實施《教育培訓規(guī)程》，確保員工《教育培訓規(guī)程》

前提。安全意識的提高與有能力勝任所承擔的信息安全工作。A.8.2.3紀律處理過程控制YES對造成安全破壞的員工應(yīng)該有一個正式的懲戒過程。違背組織安全方針和程序的員工,公司將根據(jù)違反程度及造成的影響進行處罰,處罰在安全破壞經(jīng)過證實地情況下進行。處罰的形式包括精神和物質(zhì)兩方面?！缎畔踩剟?、懲戒管理規(guī)定》A.8.3聘用中止或變化目標YES確保員工、合作方以及第三方用戶以一種有序的方式離開公司或變更聘用關(guān)系。A.8.3.1終止職責控制YES執(zhí)行工作終止或工作變化的職責應(yīng)清晰的定義和分配。在員工離職前和第三方用戶完成合同時，應(yīng)進行明確終止責任的溝通。再次溝通保密協(xié)議和重申是否有競業(yè)禁止要求等。《勞動合同》ISMS-P-2037《信息安全人員考察與保密管理程A.8.3.2資產(chǎn)歸還目標YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時歸還所負責的所有資產(chǎn)。員工離職或工作變動前,應(yīng)辦理資產(chǎn)歸還手續(xù)，然后方能辦理移交手續(xù)。ISMS-P-2037《信息安全人員考察與保密管理程A.8.3.3解除訪問權(quán)目標YES對所有員工、合作方以及笫三方用戶對信息和信息處理設(shè)施的訪問權(quán)限進行管理。員工離職或工作變動前，應(yīng)解除對信息和信息處理設(shè)施訪問權(quán)限，或根據(jù)變化作相應(yīng)的調(diào)整。ISMS-P-2037《信息安全人員考察與保密管理程A.9物理與環(huán)境安全標準條款號標題目標/控制是湖選擇理由控制描述相關(guān)文件

A.9.1安全區(qū)域目標YES防止未經(jīng)授權(quán)對業(yè)務(wù)場所和信息的訪問、損壞及干擾，防止保密制品丟失或被盜，A.9.1.1物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲存重要信息資產(chǎn)及保密制品的區(qū)域，如開發(fā)辦公室、機柜所在地應(yīng)確定其安全周界,并對其實施保護。本公司安全區(qū)域分為一般區(qū)域、普通安全區(qū)域和特別安全區(qū)域。特別安全區(qū)域包括數(shù)據(jù)存儲機房、配電房：普通安全區(qū)域包括開發(fā)部辦公室、