YS-ISMS-2014-0102-信息安全適用性聲明

YS-ISMS-2014-0102-信息安全適用性聲明云神科技股份有限公司信息安全管理體系文件信息安全適用性聲明YS-ISMS-2014-01022014-1-1發(fā)布2014-1-1實(shí)施云神科技股份有限公司發(fā)布信息安全適用性聲明第25頁共=NUMPAGES28-127頁 修改履歷 版本制訂者修改時(shí)間更改內(nèi)容審批人審核意見變更申請(qǐng)單號(hào)0.1蔡曉輝2014-1-1草稿做成龍翔同意1.01.0蔡曉輝2014-1-1發(fā)布實(shí)施張建勇同意信息安全適用性聲明ISO27001requirement對(duì)應(yīng)文件適用性選用及控制描述(注)適用不適用AnnexA.ControlobjectivesandcontrolsA.5SecuritypolicyA.5.1信息安全方針A.5.1.1信息安全方文件《信息安全管理手冊(cè)》《管理評(píng)審程序》?信息安全管理體系實(shí)施的需要。A.5.1.2信息安全方針評(píng)審?確保方針的持續(xù)適宜性。A.6OrganizationofinformationsecurityA.6.1內(nèi)部組織A.6.1.1信息安全管理承諾《信息安全管理手冊(cè)》?信息安全管理體系實(shí)施的需要。A.6.1.2信息安全協(xié)作《信息安全管理手冊(cè)》?公司涉及到的信息安全問題需要一個(gè)有效溝通和協(xié)調(diào)的機(jī)制。A.6.1.3信息安全職責(zé)分配《信息安全管理手冊(cè)》?保持信息資產(chǎn)和完成特定安全過程的職責(zé)需要規(guī)定。A.6.1.4信息處理設(shè)施的授權(quán)過程《軟、硬件及網(wǎng)絡(luò)管理程序》?公司有新信息處理設(shè)施采購和使用的活動(dòng)，需要進(jìn)行授權(quán)。A.6.1.5保密性協(xié)議《人力資源管理程序》《員工保密協(xié)議》《第三方信息安全管理程序》?員工和第三方進(jìn)入公司都會(huì)涉及到公司的信息安全，以保密協(xié)議對(duì)其進(jìn)行告知和約束。A.6.1.6與權(quán)威機(jī)構(gòu)的聯(lián)系《第三方信息安全管理程序》《第三方服務(wù)聯(lián)絡(luò)表》?為了更好的得到信息安全發(fā)展的新動(dòng)向。A.6.1.7與專業(yè)小組的聯(lián)系?為了更好的得到信息安全發(fā)展的新動(dòng)向，并得到專家的協(xié)助。A.6.1.8信息安全的獨(dú)立評(píng)審《內(nèi)審管理程序》《管理評(píng)審程序》?為了驗(yàn)證公司信息安全管理體系的符合性和有效性。A.6.2外部相關(guān)方A.6.2.1與外部相關(guān)方有關(guān)的風(fēng)險(xiǎn)識(shí)別《信息安全風(fēng)險(xiǎn)管理程序》《用戶訪問控制程序》《物理訪問控制程序》?公司存在外來維修設(shè)備、顧客物理、邏輯訪問公司等情況，必須加以控制。A.6.2.2題處理與顧客相關(guān)的安全問題?顧客若有物理、邏輯訪問公司等情況，必須有相應(yīng)安全措施控制。A.6.2.3處理第三方協(xié)議中涉及的安全問題?與長期訪問的第三方簽訂保密協(xié)議，規(guī)定并培訓(xùn)安全要求是必須的。A.7AssetmanagementA.7.1資產(chǎn)責(zé)任A.7.1.1資產(chǎn)清單《資產(chǎn)識(shí)別管理程序》《信息資產(chǎn)登記表》?風(fēng)險(xiǎn)控制的需要。A.7.1.2資產(chǎn)所有權(quán)?明確資產(chǎn)管理部門或責(zé)任人。A.7.1.3資產(chǎn)的合理使用?將資產(chǎn)合理使用制度化、文件化。A.7.2信息分類A.7.2.1分類指南《資產(chǎn)識(shí)別管理程序》?便于對(duì)信息資產(chǎn)進(jìn)行分類管理。A.7.2.2信息標(biāo)識(shí)和處理《資產(chǎn)識(shí)別管理程序》《軟、硬件及網(wǎng)絡(luò)管理程序》?按照分類方案進(jìn)行標(biāo)識(shí)并規(guī)定信息處理的安全要求。A.8HumanresouYSessecurityA.8.1聘用前A.8.1.1角色和職責(zé)《信息安全管理手冊(cè)》《人力資源管理程序》?為了明確信息安全責(zé)任。A.8.1.2篩選《人力資源管理程序》?降低風(fēng)險(xiǎn)。A.8.1.3聘用條款和條件《人力資源管理程序》?履行合同中的條款和條件是與員工、合同方以及第三方用戶的基本控制條件。A.8.2聘用期間A.8.2.1管理職責(zé)《人力資源管理程序》?體系方針和目標(biāo)得以實(shí)現(xiàn)的保障。A.8.2.2信息安全意識(shí)、教育和培訓(xùn)《人力資源管理程序》?安全意識(shí)和必要的信息安全操作技能培訓(xùn)是開展信息安全管理的前提。A.8.2.3懲戒過程《人力資源管理程序》?控制信息安全事件的必要手段之一。A.8.3聘用終止或變化A.8.3.1終止職責(zé)《人力資源管理程序》?在合同中明確終止責(zé)任。A.8.3.2資產(chǎn)歸還《人力資源管理程序》?保證資產(chǎn)歸還的完整性。A.8.3.3解除訪問權(quán)限《用戶訪問控制程序》?確保訪問權(quán)限及時(shí)修改。A.9PhysicalandenvironmentalsecurityA.9.1安全區(qū)域A.9.1.1物理安全邊界辦公場所平面圖?對(duì)重要信息資產(chǎn)進(jìn)行保護(hù)A.9.1.2物理進(jìn)入控制《物理訪問控制程序》?安全區(qū)進(jìn)入應(yīng)授權(quán)，未經(jīng)過授權(quán)訪問會(huì)導(dǎo)致信息安全威脅。A.9.1.3保護(hù)辦公室、房間和設(shè)施的安全?保證物理安全，未經(jīng)過授權(quán)訪問會(huì)導(dǎo)致信息安全威脅。A.9.1.4防范外部和環(huán)境威脅?保證物理安全，未經(jīng)過授權(quán)訪問會(huì)導(dǎo)致信息安全威脅。A.9.1.5在安全區(qū)域工作?確保工作在安全的區(qū)域進(jìn)行。A.9.1.6公共訪問、交付和裝卸區(qū)《物理訪問控制程序》辦公場所平面圖?防止外來的未經(jīng)過授權(quán)訪問。A.9.2設(shè)備安全A.9.2.1設(shè)備定置和保護(hù)《軟、硬件及網(wǎng)絡(luò)管理程序》?保證設(shè)備安全A.9.2.2支持性設(shè)施《信息安全登記表》?保證支持性設(shè)施穩(wěn)定A.9.2.3電纜安全《信息安全登記表》?保證通信電纜的安全A.9.2.4設(shè)備維護(hù)《軟、硬件及網(wǎng)絡(luò)管理程序》?維護(hù)設(shè)備，確保設(shè)備的完整性、保密性和可用性A.9.2.5場所外設(shè)備的安全《軟、硬件及網(wǎng)絡(luò)管理程序》?對(duì)組織場所外的設(shè)備和應(yīng)用安全進(jìn)行控制。A.9.2.6設(shè)備的安全處置和再利用《軟、硬件及網(wǎng)絡(luò)管理程序》?對(duì)報(bào)廢設(shè)備處理要防止泄密A.9.2.7資產(chǎn)轉(zhuǎn)移《軟、硬件及網(wǎng)絡(luò)管理程序》?資產(chǎn)離開工作場所要保證安全A.10CommunicationsandoperationsmanagementA.10.1作業(yè)的程序及責(zé)任A.10.1.1操作程序文件化《網(wǎng)絡(luò)管理員手冊(cè)》《受控文件清單》?確保信息設(shè)備操作的規(guī)范A.10.1.2變更管理《變更管理程序》?確保系統(tǒng)變更的安全A.10.1.3職責(zé)分離《軟、硬件及網(wǎng)絡(luò)管理程序》《系統(tǒng)權(quán)限登記表》?便于監(jiān)督管理A.10.1.4開發(fā)、測試和運(yùn)作設(shè)施的區(qū)隔《信息系統(tǒng)開發(fā)建設(shè)管理程序》?降低對(duì)操作系統(tǒng)未經(jīng)授權(quán)的訪問和更改的風(fēng)險(xiǎn)A.10.2第三方服務(wù)交付管理A.10.2.1服務(wù)交付《第三方信息安全管理程序》?標(biāo)準(zhǔn)要求A.10.2.2第三方服務(wù)的監(jiān)控和評(píng)審《第三方信息安全管理程序》?標(biāo)準(zhǔn)要求A.10.2.3管理第三方服務(wù)的更改《第三方信息安全管理程序》?標(biāo)準(zhǔn)要求A.10.3系統(tǒng)策劃與接收A.10.3.1容量管理《軟、硬件及網(wǎng)絡(luò)管理程序》?確保容量符合業(yè)務(wù)需求A.10.3.2系統(tǒng)接收《信息系統(tǒng)開發(fā)建設(shè)管理程序》?確保新的應(yīng)用系統(tǒng)安全A.10.4防范惡意和可移動(dòng)代碼A.10.4.1防范惡意代碼《惡意軟件控制程序》?防止惡意代碼對(duì)系統(tǒng)的入侵和損害A.10.4.2防范可移動(dòng)代碼《惡意軟件控制程序》?防止可移動(dòng)代碼對(duì)系統(tǒng)的入侵和損害A.10.5備份A.10.5.1信息備份《重要信息備份管理程序》?對(duì)重要信息進(jìn)行備份A.10.6網(wǎng)絡(luò)安全管理A.10.6.1網(wǎng)絡(luò)控制《軟、硬件及網(wǎng)絡(luò)管理程序》?對(duì)公司網(wǎng)絡(luò)實(shí)施有效的管理A.10.6.2網(wǎng)絡(luò)服務(wù)的安全《軟、硬件及網(wǎng)絡(luò)管理程序》?確保網(wǎng)絡(luò)服務(wù)的安全A.10.7介質(zhì)的操作A.10.7.1可移動(dòng)介質(zhì)的管理《介質(zhì)及信息交換管理程序》?為防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，根據(jù)媒體（包括產(chǎn)品）所儲(chǔ)存的信息的敏感性或重要性進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生。A.10.7.2介質(zhì)的處置《介質(zhì)及信息交換管理程序》?A.10.7.3信息操作程序《介質(zhì)及信息交換管理程序》?為保護(hù)敏感信息不會(huì)因未經(jīng)授權(quán)處理而造成泄漏或?yàn)E用A.10.7.4系統(tǒng)文件的安全《介質(zhì)及信息交換管理程序》?確保系統(tǒng)文件安全A.10.8信息交換A.10.8.1信息交換方針和程序《介質(zhì)及信息交換管理程序》?確保信息交換的安全A.10.8.2交換協(xié)議《介質(zhì)及信息交換管理程序》?確保數(shù)據(jù)交換的安全A.10.8.3物理介質(zhì)的運(yùn)送《介質(zhì)及信息交換管理程序》?物理介質(zhì)的運(yùn)送應(yīng)符合安全需要A.10.8.4電子訊息《介質(zhì)及信息交換管理程序》?確保數(shù)據(jù)交換的安全A.10.8.5業(yè)務(wù)信息系統(tǒng)《介質(zhì)及信息交換管理程序》?保護(hù)與業(yè)務(wù)信息系統(tǒng)相關(guān)的信息A.10.9電子商務(wù)服務(wù)A.10.9.1電子商務(wù)?公司網(wǎng)站上不存在業(yè)務(wù)邀約內(nèi)容，不具備電子訂單的功能A.10.9.2在線交易?公司網(wǎng)站上沒有電子訂單、電子簽名和驗(yàn)證、在線支付等相關(guān)功能。A.10.9.3公共信息?無電子商務(wù)業(yè)務(wù)A.10.10監(jiān)控A.10.10.1審核日志《記錄管理程序》網(wǎng)絡(luò)管理員工作手冊(cè)網(wǎng)絡(luò)管理員的工作記錄?對(duì)公司設(shè)備的日志進(jìn)行控制A.10.10.2監(jiān)視系統(tǒng)的使用?必須使用監(jiān)控程序，確保用戶只執(zhí)行被明確授權(quán)的活動(dòng)。A.10.10.3日志信息的保護(hù)?對(duì)系統(tǒng)日志進(jìn)行保護(hù)，因?yàn)槿绻麛?shù)據(jù)被修改或者刪除，那么就可能對(duì)安全造成錯(cuò)誤的理解。A.10.10.4管理員和操作員日志?對(duì)管理員和操作員對(duì)系統(tǒng)的操作活動(dòng)進(jìn)行控制，防止非法操作A.10.10.5故障日志?對(duì)于用戶或系統(tǒng)程序報(bào)告的有關(guān)信息處理系統(tǒng)或者通信系統(tǒng)的問題應(yīng)當(dāng)做記錄。對(duì)于如何處理報(bào)告的故障應(yīng)當(dāng)清楚的規(guī)定A.10.10.6時(shí)鐘同步《記錄管理程序》《軟、硬件及網(wǎng)絡(luò)管理程序》?正確的設(shè)定計(jì)算機(jī)時(shí)鐘對(duì)確保審核日志的準(zhǔn)確性是十分重要的，審核日志是進(jìn)行調(diào)查、法律和懲戒案件中的證據(jù)。不準(zhǔn)確的審查日志可能會(huì)妨礙調(diào)查研究的進(jìn)行，并會(huì)削弱它作為證據(jù)的可信度。A.11lAccesscontroA.11.1訪問控制的業(yè)務(wù)需求A.11.1.1存取控制方針《用戶訪問控制程序》?控制對(duì)信息的訪問A.11.2用戶訪問管理A.11.2.1用戶注冊(cè)《用戶訪問控制程序》《系統(tǒng)權(quán)限登記表》?使用唯一的用戶身份，以便將用戶與其行為關(guān)聯(lián)，使用戶對(duì)其行為負(fù)責(zé)。只有因業(yè)務(wù)和操作的原因而需要時(shí)，才準(zhǔn)許使用工作組用戶身份；A.11.2.2特權(quán)管理?對(duì)需要防范未經(jīng)授權(quán)訪問的多用戶系統(tǒng)，應(yīng)該通過正式的授權(quán)過程對(duì)特權(quán)分配進(jìn)行控制。A.11.2.3用戶口令管理?確保需使用口令系統(tǒng)的安全A.11.2.4用戶訪問權(quán)的評(píng)審?必須定期評(píng)審用戶的訪問權(quán)，以保持對(duì)數(shù)據(jù)和信息服務(wù)訪問進(jìn)行有效控制。A.11.3用戶責(zé)任A.11.3.1口令使用《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.3.2無人值守的用戶設(shè)備《軟、硬件及網(wǎng)絡(luò)管理程序》?加強(qiáng)可移動(dòng)設(shè)備場外無人監(jiān)管移動(dòng)的控制A.11.3.3清潔桌面和清除屏幕方針?標(biāo)準(zhǔn)要求A.11.4網(wǎng)絡(luò)訪問控制A.11.4.1網(wǎng)絡(luò)服務(wù)的使用方針《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.2外部連接的用戶驗(yàn)證《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.3網(wǎng)絡(luò)中設(shè)備的鑒別《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.4遠(yuǎn)程診斷和配置端口保護(hù)《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.5網(wǎng)絡(luò)區(qū)隔《軟、硬件及網(wǎng)絡(luò)管理程序》?將內(nèi)外網(wǎng)或是不同的部門劃分為不同網(wǎng)段，以保證信息傳遞的安全。A.11.4.6網(wǎng)絡(luò)連接控制《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.7網(wǎng)絡(luò)路由控制《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.5操作系統(tǒng)訪問控制A.11.5.1安全登錄程序《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.2用戶識(shí)別和驗(yàn)證《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.3口令管理系統(tǒng)《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.4系統(tǒng)實(shí)用程序的使用《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.5會(huì)話超時(shí)?在服務(wù)器的策略中需作相應(yīng)設(shè)置以保障服務(wù)器的穩(wěn)定。A.11.5.6連接時(shí)間限制?在服務(wù)器的策略中需作相應(yīng)設(shè)置以保障服務(wù)器的穩(wěn)定。A.11.6應(yīng)用程序以及信息訪問控制A.11.6.1信息訪問限制《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.6.2敏感系統(tǒng)隔離《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.7移動(dòng)計(jì)算和遠(yuǎn)程工作A.11.7.1移動(dòng)計(jì)算和通信《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.7.2遠(yuǎn)程工作?本公司目前不存在遠(yuǎn)程工作，本條款不適用。A.12Informationsystemsacquisition,developmentandmaintenanceA.12.1信息系統(tǒng)的安全需求A.12.1.1安全需求分析和規(guī)范《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.2應(yīng)用程序的正確處理A.12.2.1輸入數(shù)據(jù)的驗(yàn)證《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.2.2內(nèi)部處理的控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.2.3消息完整性《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.2.4輸出數(shù)據(jù)驗(yàn)證《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.3加密控制A.12.3.1使用密碼控制的方針?程序開發(fā)中對(duì)特定的模塊和數(shù)據(jù)加密以保護(hù)數(shù)據(jù)安全A.12.3.2密鑰管理?程序開發(fā)中對(duì)特定的模塊和數(shù)據(jù)加密以保護(hù)數(shù)據(jù)安全A.12.4系統(tǒng)文件的安全A.12.4.1操作軟件的控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.4.2系統(tǒng)測試數(shù)據(jù)的保護(hù)《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.4.3對(duì)程序源代碼的訪問控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.5開發(fā)和支持過程的安全A.12.5.1變更控制程序《變更管理程序》?運(yùn)營要求A.12.5.2操作系統(tǒng)變更后對(duì)應(yīng)用程序的技術(shù)評(píng)審《變更管理程序》?運(yùn)營要求A.12.5.3軟件包變更的限制《變更管理程序》?運(yùn)營要求A.12.5.4信息泄露《介質(zhì)及信息交換管理程序》?運(yùn)營要求A.12.5.5外包軟件開發(fā)《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.12.6技術(shù)薄弱點(diǎn)管理A.12.6.1技術(shù)薄弱點(diǎn)的控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運(yùn)營要求A.13InformationsecurityincidentmanagementA.13.1報(bào)告信息安全事件和弱點(diǎn)A.13.1.1報(bào)告信息安全事件《信息安全事故管理程序》?運(yùn)營要求A.13.1.2報(bào)告安全弱點(diǎn)《信息安全事故管理程序》?運(yùn)營要求A.13.2信息安全事件和改進(jìn)的管理A.13.2.1責(zé)任和程序《信息安全事故管理程序》?運(yùn)營要求A.13.2.2吸取信息安全事件教訓(xùn)《信息安全事故管理程序》?運(yùn)營要求A.13.2.3證據(jù)的收集《信息安全事故管理程序》?運(yùn)營要求A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理中的信息安全事項(xiàng)A.14.1.1業(yè)務(wù)連續(xù)性管理過程中包含的信息安全《業(yè)務(wù)持續(xù)性管理程序》?運(yùn)營要求A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估《業(yè)務(wù)持續(xù)性管理程序