YS-ISMS-2014-0102-信息安全適用性聲明

YS-ISMS-2014-0102-信息安全適用性聲明云神科技股份有限公司信息安全管理體系文件信息安全適用性聲明YS-ISMS-2014-01022014-1-1發(fā)布2014-1-1實施云神科技股份有限公司發(fā)布信息安全適用性聲明第25頁共=NUMPAGES28-127頁 修改履歷 版本制訂者修改時間更改內(nèi)容審批人審核意見變更申請單號0.1蔡曉輝2014-1-1草稿做成龍翔同意1.01.0蔡曉輝2014-1-1發(fā)布實施張建勇同意信息安全適用性聲明ISO27001requirement對應(yīng)文件適用性選用及控制描述(注)適用不適用AnnexA.ControlobjectivesandcontrolsA.5SecuritypolicyA.5.1信息安全方針A.5.1.1信息安全方文件《信息安全管理手冊》《管理評審程序》?信息安全管理體系實施的需要。A.5.1.2信息安全方針評審?確保方針的持續(xù)適宜性。A.6OrganizationofinformationsecurityA.6.1內(nèi)部組織A.6.1.1信息安全管理承諾《信息安全管理手冊》?信息安全管理體系實施的需要。A.6.1.2信息安全協(xié)作《信息安全管理手冊》?公司涉及到的信息安全問題需要一個有效溝通和協(xié)調(diào)的機制。A.6.1.3信息安全職責(zé)分配《信息安全管理手冊》?保持信息資產(chǎn)和完成特定安全過程的職責(zé)需要規(guī)定。A.6.1.4信息處理設(shè)施的授權(quán)過程《軟、硬件及網(wǎng)絡(luò)管理程序》?公司有新信息處理設(shè)施采購和使用的活動，需要進行授權(quán)。A.6.1.5保密性協(xié)議《人力資源管理程序》《員工保密協(xié)議》《第三方信息安全管理程序》?員工和第三方進入公司都會涉及到公司的信息安全，以保密協(xié)議對其進行告知和約束。A.6.1.6與權(quán)威機構(gòu)的聯(lián)系《第三方信息安全管理程序》《第三方服務(wù)聯(lián)絡(luò)表》?為了更好的得到信息安全發(fā)展的新動向。A.6.1.7與專業(yè)小組的聯(lián)系?為了更好的得到信息安全發(fā)展的新動向，并得到專家的協(xié)助。A.6.1.8信息安全的獨立評審《內(nèi)審管理程序》《管理評審程序》?為了驗證公司信息安全管理體系的符合性和有效性。A.6.2外部相關(guān)方A.6.2.1與外部相關(guān)方有關(guān)的風(fēng)險識別《信息安全風(fēng)險管理程序》《用戶訪問控制程序》《物理訪問控制程序》?公司存在外來維修設(shè)備、顧客物理、邏輯訪問公司等情況，必須加以控制。A.6.2.2題處理與顧客相關(guān)的安全問題?顧客若有物理、邏輯訪問公司等情況，必須有相應(yīng)安全措施控制。A.6.2.3處理第三方協(xié)議中涉及的安全問題?與長期訪問的第三方簽訂保密協(xié)議，規(guī)定并培訓(xùn)安全要求是必須的。A.7AssetmanagementA.7.1資產(chǎn)責(zé)任A.7.1.1資產(chǎn)清單《資產(chǎn)識別管理程序》《信息資產(chǎn)登記表》?風(fēng)險控制的需要。A.7.1.2資產(chǎn)所有權(quán)?明確資產(chǎn)管理部門或責(zé)任人。A.7.1.3資產(chǎn)的合理使用?將資產(chǎn)合理使用制度化、文件化。A.7.2信息分類A.7.2.1分類指南《資產(chǎn)識別管理程序》?便于對信息資產(chǎn)進行分類管理。A.7.2.2信息標(biāo)識和處理《資產(chǎn)識別管理程序》《軟、硬件及網(wǎng)絡(luò)管理程序》?按照分類方案進行標(biāo)識并規(guī)定信息處理的安全要求。A.8HumanresouYSessecurityA.8.1聘用前A.8.1.1角色和職責(zé)《信息安全管理手冊》《人力資源管理程序》?為了明確信息安全責(zé)任。A.8.1.2篩選《人力資源管理程序》?降低風(fēng)險。A.8.1.3聘用條款和條件《人力資源管理程序》?履行合同中的條款和條件是與員工、合同方以及第三方用戶的基本控制條件。A.8.2聘用期間A.8.2.1管理職責(zé)《人力資源管理程序》?體系方針和目標(biāo)得以實現(xiàn)的保障。A.8.2.2信息安全意識、教育和培訓(xùn)《人力資源管理程序》?安全意識和必要的信息安全操作技能培訓(xùn)是開展信息安全管理的前提。A.8.2.3懲戒過程《人力資源管理程序》?控制信息安全事件的必要手段之一。A.8.3聘用終止或變化A.8.3.1終止職責(zé)《人力資源管理程序》?在合同中明確終止責(zé)任。A.8.3.2資產(chǎn)歸還《人力資源管理程序》?保證資產(chǎn)歸還的完整性。A.8.3.3解除訪問權(quán)限《用戶訪問控制程序》?確保訪問權(quán)限及時修改。A.9PhysicalandenvironmentalsecurityA.9.1安全區(qū)域A.9.1.1物理安全邊界辦公場所平面圖?對重要信息資產(chǎn)進行保護A.9.1.2物理進入控制《物理訪問控制程序》?安全區(qū)進入應(yīng)授權(quán)，未經(jīng)過授權(quán)訪問會導(dǎo)致信息安全威脅。A.9.1.3保護辦公室、房間和設(shè)施的安全?保證物理安全，未經(jīng)過授權(quán)訪問會導(dǎo)致信息安全威脅。A.9.1.4防范外部和環(huán)境威脅?保證物理安全，未經(jīng)過授權(quán)訪問會導(dǎo)致信息安全威脅。A.9.1.5在安全區(qū)域工作?確保工作在安全的區(qū)域進行。A.9.1.6公共訪問、交付和裝卸區(qū)《物理訪問控制程序》辦公場所平面圖?防止外來的未經(jīng)過授權(quán)訪問。A.9.2設(shè)備安全A.9.2.1設(shè)備定置和保護《軟、硬件及網(wǎng)絡(luò)管理程序》?保證設(shè)備安全A.9.2.2支持性設(shè)施《信息安全登記表》?保證支持性設(shè)施穩(wěn)定A.9.2.3電纜安全《信息安全登記表》?保證通信電纜的安全A.9.2.4設(shè)備維護《軟、硬件及網(wǎng)絡(luò)管理程序》?維護設(shè)備，確保設(shè)備的完整性、保密性和可用性A.9.2.5場所外設(shè)備的安全《軟、硬件及網(wǎng)絡(luò)管理程序》?對組織場所外的設(shè)備和應(yīng)用安全進行控制。A.9.2.6設(shè)備的安全處置和再利用《軟、硬件及網(wǎng)絡(luò)管理程序》?對報廢設(shè)備處理要防止泄密A.9.2.7資產(chǎn)轉(zhuǎn)移《軟、硬件及網(wǎng)絡(luò)管理程序》?資產(chǎn)離開工作場所要保證安全A.10CommunicationsandoperationsmanagementA.10.1作業(yè)的程序及責(zé)任A.10.1.1操作程序文件化《網(wǎng)絡(luò)管理員手冊》《受控文件清單》?確保信息設(shè)備操作的規(guī)范A.10.1.2變更管理《變更管理程序》?確保系統(tǒng)變更的安全A.10.1.3職責(zé)分離《軟、硬件及網(wǎng)絡(luò)管理程序》《系統(tǒng)權(quán)限登記表》?便于監(jiān)督管理A.10.1.4開發(fā)、測試和運作設(shè)施的區(qū)隔《信息系統(tǒng)開發(fā)建設(shè)管理程序》?降低對操作系統(tǒng)未經(jīng)授權(quán)的訪問和更改的風(fēng)險A.10.2第三方服務(wù)交付管理A.10.2.1服務(wù)交付《第三方信息安全管理程序》?標(biāo)準(zhǔn)要求A.10.2.2第三方服務(wù)的監(jiān)控和評審《第三方信息安全管理程序》?標(biāo)準(zhǔn)要求A.10.2.3管理第三方服務(wù)的更改《第三方信息安全管理程序》?標(biāo)準(zhǔn)要求A.10.3系統(tǒng)策劃與接收A.10.3.1容量管理《軟、硬件及網(wǎng)絡(luò)管理程序》?確保容量符合業(yè)務(wù)需求A.10.3.2系統(tǒng)接收《信息系統(tǒng)開發(fā)建設(shè)管理程序》?確保新的應(yīng)用系統(tǒng)安全A.10.4防范惡意和可移動代碼A.10.4.1防范惡意代碼《惡意軟件控制程序》?防止惡意代碼對系統(tǒng)的入侵和損害A.10.4.2防范可移動代碼《惡意軟件控制程序》?防止可移動代碼對系統(tǒng)的入侵和損害A.10.5備份A.10.5.1信息備份《重要信息備份管理程序》?對重要信息進行備份A.10.6網(wǎng)絡(luò)安全管理A.10.6.1網(wǎng)絡(luò)控制《軟、硬件及網(wǎng)絡(luò)管理程序》?對公司網(wǎng)絡(luò)實施有效的管理A.10.6.2網(wǎng)絡(luò)服務(wù)的安全《軟、硬件及網(wǎng)絡(luò)管理程序》?確保網(wǎng)絡(luò)服務(wù)的安全A.10.7介質(zhì)的操作A.10.7.1可移動介質(zhì)的管理《介質(zhì)及信息交換管理程序》?為防止資產(chǎn)損壞和業(yè)務(wù)活動中斷，根據(jù)媒體（包括產(chǎn)品）所儲存的信息的敏感性或重要性進行適當(dāng)?shù)谋Ｗo，安全處置，確保因媒體不當(dāng)造成信息泄露事故發(fā)生。A.10.7.2介質(zhì)的處置《介質(zhì)及信息交換管理程序》?A.10.7.3信息操作程序《介質(zhì)及信息交換管理程序》?為保護敏感信息不會因未經(jīng)授權(quán)處理而造成泄漏或濫用A.10.7.4系統(tǒng)文件的安全《介質(zhì)及信息交換管理程序》?確保系統(tǒng)文件安全A.10.8信息交換A.10.8.1信息交換方針和程序《介質(zhì)及信息交換管理程序》?確保信息交換的安全A.10.8.2交換協(xié)議《介質(zhì)及信息交換管理程序》?確保數(shù)據(jù)交換的安全A.10.8.3物理介質(zhì)的運送《介質(zhì)及信息交換管理程序》?物理介質(zhì)的運送應(yīng)符合安全需要A.10.8.4電子訊息《介質(zhì)及信息交換管理程序》?確保數(shù)據(jù)交換的安全A.10.8.5業(yè)務(wù)信息系統(tǒng)《介質(zhì)及信息交換管理程序》?保護與業(yè)務(wù)信息系統(tǒng)相關(guān)的信息A.10.9電子商務(wù)服務(wù)A.10.9.1電子商務(wù)?公司網(wǎng)站上不存在業(yè)務(wù)邀約內(nèi)容，不具備電子訂單的功能A.10.9.2在線交易?公司網(wǎng)站上沒有電子訂單、電子簽名和驗證、在線支付等相關(guān)功能。A.10.9.3公共信息?無電子商務(wù)業(yè)務(wù)A.10.10監(jiān)控A.10.10.1審核日志《記錄管理程序》網(wǎng)絡(luò)管理員工作手冊網(wǎng)絡(luò)管理員的工作記錄?對公司設(shè)備的日志進行控制A.10.10.2監(jiān)視系統(tǒng)的使用?必須使用監(jiān)控程序，確保用戶只執(zhí)行被明確授權(quán)的活動。A.10.10.3日志信息的保護?對系統(tǒng)日志進行保護，因為如果數(shù)據(jù)被修改或者刪除，那么就可能對安全造成錯誤的理解。A.10.10.4管理員和操作員日志?對管理員和操作員對系統(tǒng)的操作活動進行控制，防止非法操作A.10.10.5故障日志?對于用戶或系統(tǒng)程序報告的有關(guān)信息處理系統(tǒng)或者通信系統(tǒng)的問題應(yīng)當(dāng)做記錄。對于如何處理報告的故障應(yīng)當(dāng)清楚的規(guī)定A.10.10.6時鐘同步《記錄管理程序》《軟、硬件及網(wǎng)絡(luò)管理程序》?正確的設(shè)定計算機時鐘對確保審核日志的準(zhǔn)確性是十分重要的，審核日志是進行調(diào)查、法律和懲戒案件中的證據(jù)。不準(zhǔn)確的審查日志可能會妨礙調(diào)查研究的進行，并會削弱它作為證據(jù)的可信度。A.11lAccesscontroA.11.1訪問控制的業(yè)務(wù)需求A.11.1.1存取控制方針《用戶訪問控制程序》?控制對信息的訪問A.11.2用戶訪問管理A.11.2.1用戶注冊《用戶訪問控制程序》《系統(tǒng)權(quán)限登記表》?使用唯一的用戶身份，以便將用戶與其行為關(guān)聯(lián)，使用戶對其行為負責(zé)。只有因業(yè)務(wù)和操作的原因而需要時，才準(zhǔn)許使用工作組用戶身份；A.11.2.2特權(quán)管理?對需要防范未經(jīng)授權(quán)訪問的多用戶系統(tǒng)，應(yīng)該通過正式的授權(quán)過程對特權(quán)分配進行控制。A.11.2.3用戶口令管理?確保需使用口令系統(tǒng)的安全A.11.2.4用戶訪問權(quán)的評審?必須定期評審用戶的訪問權(quán)，以保持對數(shù)據(jù)和信息服務(wù)訪問進行有效控制。A.11.3用戶責(zé)任A.11.3.1口令使用《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.3.2無人值守的用戶設(shè)備《軟、硬件及網(wǎng)絡(luò)管理程序》?加強可移動設(shè)備場外無人監(jiān)管移動的控制A.11.3.3清潔桌面和清除屏幕方針?標(biāo)準(zhǔn)要求A.11.4網(wǎng)絡(luò)訪問控制A.11.4.1網(wǎng)絡(luò)服務(wù)的使用方針《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.2外部連接的用戶驗證《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.3網(wǎng)絡(luò)中設(shè)備的鑒別《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.4遠程診斷和配置端口保護《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.5網(wǎng)絡(luò)區(qū)隔《軟、硬件及網(wǎng)絡(luò)管理程序》?將內(nèi)外網(wǎng)或是不同的部門劃分為不同網(wǎng)段，以保證信息傳遞的安全。A.11.4.6網(wǎng)絡(luò)連接控制《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.4.7網(wǎng)絡(luò)路由控制《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.5操作系統(tǒng)訪問控制A.11.5.1安全登錄程序《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.2用戶識別和驗證《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.3口令管理系統(tǒng)《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.4系統(tǒng)實用程序的使用《用戶訪問控制程序》?標(biāo)準(zhǔn)要求A.11.5.5會話超時?在服務(wù)器的策略中需作相應(yīng)設(shè)置以保障服務(wù)器的穩(wěn)定。A.11.5.6連接時間限制?在服務(wù)器的策略中需作相應(yīng)設(shè)置以保障服務(wù)器的穩(wěn)定。A.11.6應(yīng)用程序以及信息訪問控制A.11.6.1信息訪問限制《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.6.2敏感系統(tǒng)隔離《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.7移動計算和遠程工作A.11.7.1移動計算和通信《軟、硬件及網(wǎng)絡(luò)管理程序》?標(biāo)準(zhǔn)要求A.11.7.2遠程工作?本公司目前不存在遠程工作，本條款不適用。A.12Informationsystemsacquisition,developmentandmaintenanceA.12.1信息系統(tǒng)的安全需求A.12.1.1安全需求分析和規(guī)范《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.2應(yīng)用程序的正確處理A.12.2.1輸入數(shù)據(jù)的驗證《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.2.2內(nèi)部處理的控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.2.3消息完整性《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.2.4輸出數(shù)據(jù)驗證《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.3加密控制A.12.3.1使用密碼控制的方針?程序開發(fā)中對特定的模塊和數(shù)據(jù)加密以保護數(shù)據(jù)安全A.12.3.2密鑰管理?程序開發(fā)中對特定的模塊和數(shù)據(jù)加密以保護數(shù)據(jù)安全A.12.4系統(tǒng)文件的安全A.12.4.1操作軟件的控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.4.2系統(tǒng)測試數(shù)據(jù)的保護《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.4.3對程序源代碼的訪問控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.5開發(fā)和支持過程的安全A.12.5.1變更控制程序《變更管理程序》?運營要求A.12.5.2操作系統(tǒng)變更后對應(yīng)用程序的技術(shù)評審《變更管理程序》?運營要求A.12.5.3軟件包變更的限制《變更管理程序》?運營要求A.12.5.4信息泄露《介質(zhì)及信息交換管理程序》?運營要求A.12.5.5外包軟件開發(fā)《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.12.6技術(shù)薄弱點管理A.12.6.1技術(shù)薄弱點的控制《信息系統(tǒng)開發(fā)建設(shè)管理程序》?運營要求A.13InformationsecurityincidentmanagementA.13.1報告信息安全事件和弱點A.13.1.1報告信息安全事件《信息安全事故管理程序》?運營要求A.13.1.2報告安全弱點《信息安全事故管理程序》?運營要求A.13.2信息安全事件和改進的管理A.13.2.1責(zé)任和程序《信息安全事故管理程序》?運營要求A.13.2.2吸取信息安全事件教訓(xùn)《信息安全事故管理程序》?運營要求A.13.2.3證據(jù)的收集《信息安全事故管理程序》?運營要求A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理中的信息安全事項A.14.1.1業(yè)務(wù)連續(xù)性管理過程中包含的信息安全《業(yè)務(wù)持續(xù)性管理程序》?運營要求A.14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險評估《業(yè)務(wù)持續(xù)性管理程序