信息安全適用性聲明SOA-2022版

密級：文檔編號：ISMS過程文件信息平安適用性聲明SOA擬制審核批準(zhǔn)日期日期日期修訂記錄日期版本修訂內(nèi)容概要擬制審核批準(zhǔn)ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第2頁共9頁 ISO/IEC27001:2022_標(biāo)準(zhǔn)附錄A條款 阜丕是否一一選擇一一選擇/刪減的理 由 涉及文件和L _記錄 條款號 標(biāo)題 控制目標(biāo) , 控制措施 一q 一一平安策略 一 一一信息平安方針 信息平安方針文件依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息平安信息平安策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)一方。 是信息平安管理需求信息平安方針信息平安目標(biāo)信息平安方針的評審應(yīng)按方案的時間間隔或當(dāng)重大變化發(fā)生時進(jìn)行信息平安策略評審，以確保L它持續(xù)的適宜性、充分性和有效性一—是信息平安管理需求信息平安方針管理評審程序...A..6 ,.信息平安組織… 內(nèi)部組織建立管理框架，以啟動和控制組織范圍內(nèi)的信息平安的實施和運(yùn)行?！畔⑵桨步巧吐氊?zé)在組織內(nèi)部管理信息平安所有的信息平安職責(zé)應(yīng)予以定義和分配。是信息平安管理需求信息平安管理手冊附錄3-信息平安職能分配表附錄2-部門職責(zé)附錄5-信息平安小組成員職責(zé)別離別離相沖突的責(zé)任及職責(zé)范圍，以降低未授權(quán)或無意識的修改或者不當(dāng)使用組織資產(chǎn)的時機(jī)。是信息平安管理需求信息系統(tǒng)訪問與使用監(jiān)控管理程序、用戶訪問管理程序與政府部門的聯(lián)系控制措施應(yīng)保持與政府相關(guān)部門的適一當(dāng)聯(lián)系。 是信息平安管理一需求 ,相關(guān)政府部門聯(lián)系表與特定利益集團(tuán)的聯(lián)系控制措施應(yīng)保持與特定利益集團(tuán)、其L他平安論壇和專業(yè)協(xié)會的適當(dāng)聯(lián)系?！切畔⑵桨补芾硪恍枨?,相關(guān)利益團(tuán)體聯(lián)系表工程管理中的信息平安控制措施無論工程是什么類型，在項目管理中都應(yīng)處理信息平安問題。是信息平安管理需求信息系統(tǒng)工程管理規(guī)范、信息系統(tǒng)訪問與使用監(jiān)控管理程序一 一一移動設(shè)備和遠(yuǎn)程工作 移動設(shè)備策略確保遠(yuǎn)程工作和使用移動設(shè)備時的平安。應(yīng)采用策略和支持性平安措施來管理由于使用移動設(shè)備帶來的風(fēng)險。是信息平安管理需求網(wǎng)絡(luò)訪問策略便攜式計算機(jī)平安策略可移動介質(zhì)管理程序遠(yuǎn)程工作應(yīng)實施策略和支持性平安措施來保護(hù)在遠(yuǎn)程工作場地訪問、處理或存儲的信息是信息平安管理需求網(wǎng)絡(luò)訪問策略用戶訪問管理程序遠(yuǎn)程工作策略△7 一一人力資源平安 一 一一任用之前 審查確保雇員和承包方人員理解其職責(zé)、適于考慮讓其承當(dāng)?shù)慕巧P(guān)于所有任用候選者的背景驗證核查應(yīng)按照相關(guān)法律、法規(guī)、道德標(biāo)準(zhǔn)和對應(yīng)的業(yè)務(wù)要求、被訪問信息的類別和發(fā)覺的風(fēng)險來執(zhí)行是信息平安管理需求員工聘用管理程序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第3頁共9頁任用條款和條件與雇員和承包方人員的合同協(xié)議應(yīng)聲, L明他們和組織的信息平安職責(zé)。 是信息平安管理」一需求 員工聘用管理程序」.7.2 一一任用中 ■管理職責(zé)管理者應(yīng)要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對信息1是信息平安管理需求員工聘用管理程序公司崗位職責(zé)確保雇員和承包方人L平安盡心盡力4 ■信息平安意識、教育和培員知悉并履行其信息組織的所有雇員，適當(dāng)時，包括承包1訓(xùn)平安職責(zé)。 方人員，應(yīng)受到與其工作職能相關(guān)的］適當(dāng)?shù)囊庾R培訓(xùn)和組織策略及規(guī)程的是信息平安管理需求員工培訓(xùn)管理程序 .....…….....……［定期更新培訓(xùn)?！?....…….....…….....紀(jì)律處理過程應(yīng)有一個正式的、已傳達(dá)的紀(jì)律處理過程，來對信息平安違規(guī)的雇員采取 .....…….....……L措施?！?....…….....…….....…….....是信息平安管理需求信息平安獎懲管理程1序任用的終止或變更將保護(hù)組織利益作為變更或終止任用過程|是信息平安管理需求i|. 的一局部 _j_ i任用終止或變更職責(zé)應(yīng)定義信息平安職責(zé)和義務(wù)在任用終■信息平安管理需求i員工聘用管理程序i止或變更后保持有效的要求，并傳達(dá)卜 L給雇員或承包方人員，予以執(zhí)行。一…?是1員工離職管理程序一心_8 -資產(chǎn)管理 1一人8」 —對資產(chǎn)負(fù)責(zé) i i i i i 應(yīng)識別與信息和信息處理設(shè)施的資信息平安風(fēng)險評估管資產(chǎn)清單產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單。_i 是i信息平安資產(chǎn)風(fēng)險評估要求］理程序信息資產(chǎn)識別清單清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)。信息平安風(fēng)險評估管資產(chǎn)所有權(quán)是i信息平安管理1!需求|理程序——識別組織資產(chǎn)，并定義i 1-i--■—— ?信息資產(chǎn)識別清單適當(dāng)?shù)谋Ｗo(hù)職責(zé)。 信息及與信息和信息處理設(shè)施有關(guān)的便攜式計算機(jī)平安策i資產(chǎn)的可接受使用規(guī)那么應(yīng)被確定、形：略資產(chǎn)的可接受使用成文件并加以實施。是信息平安管理需求信息處理設(shè)施安裝使用管理程序網(wǎng)絡(luò)訪問策略i電子郵件策略i所有的雇員和外部方人員在終止任信息平安管理需求資產(chǎn)的歸還i用、合同或協(xié)議時，應(yīng)歸還他們使用是i員工離職管理程序卜 L的所有組織資產(chǎn) 1一〔82 ..信息分類 ■信息的分類信息應(yīng)按照法律要求、價值、關(guān)鍵性以及它對未授權(quán)泄露或修改的敏感性二予以分類. ?是信息平安管理需求信息分類管理程序、商|業(yè)秘密管理程序信息的標(biāo)記確保信息按照其對組應(yīng)按照組織所采納的信息分類機(jī)制建織的重要性受到適當(dāng)L立和實施一組適宜的信息標(biāo)記規(guī)程?！?是信息平安管理/一需求 信息分類管理程序級別的保護(hù)。 應(yīng)按照組織所采納的信息分類機(jī)制建商業(yè)秘密管理程序、信信息的處理立和實施處理資產(chǎn)的規(guī)程。是i信息平安管理需求息處理設(shè)施安裝使用1管理程序一〔_8.3 一介質(zhì)處置 1 : : 1 : 可移動介質(zhì)的一管理 3,-w 應(yīng)按照組織所采納的分類機(jī)制實施可防止存儲在介質(zhì)上的! 人工田科,巾.力上移動介質(zhì)的管理規(guī)程。 r 是信息平安管理,一需求 |可移動介質(zhì)管理程序介質(zhì)的處置信息遭受未授權(quán)泄露、! 7性如畛不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程修改、移動或銷毀?！?可靠并平安地處置。1是信息平安管理i需求|可移動介質(zhì)管理程序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第4頁共9頁物理介質(zhì)傳輸1 1包含信息的介質(zhì)在運(yùn)送時，應(yīng)防止未： i i可移動介質(zhì)管理程序運(yùn)輸中物理介質(zhì)平安策略授權(quán)的訪問、不當(dāng)使用或毀壞。 |是i信息平安管理i需求 一一訪問控制 .2.」 …平安區(qū)域 1 4- k—■—-i- 4-—訪問控制策略應(yīng)建立、形成文件，并1信息平安管理i需求訪問控制策略訪問控制策略；一口工一口以i基于業(yè)務(wù)和信息平安要求進(jìn)行評 1:限制對信息和信息處：:是網(wǎng)絡(luò)訪問策略—………r 申。i理設(shè)施的訪問。 i- i----——i- 雇員訪問策略網(wǎng)絡(luò)和網(wǎng)絡(luò)效勞的訪問用戶應(yīng)僅能訪問已獲專門授權(quán)使用的j是1信息平安管理網(wǎng)絡(luò)訪問策略網(wǎng) 網(wǎng)絡(luò)和網(wǎng)絡(luò)效勞a :一—4一需求 "T-—用戶訪問管理i信息平安管理—r t ——一二需求 -T-—用戶注冊及注銷i i應(yīng)實施正式的用戶注冊及注銷規(guī)程，i是j信息平安管理用戶訪問管理程序—i 卜使訪問權(quán)限得以分配。 :一一—一卜需求 1-T-—i i應(yīng)實施正式的用戶訪問開通過程，以!信息平安管理i需求用戶訪問開通分配或撤銷所有系統(tǒng)和效勞所有用戶1是用戶訪問管理程序—i i一類型的訪問權(quán)限 —1—1- 1-+■—特殊訪問權(quán)限i 巾、、、、才i應(yīng)限制和控制特殊訪問權(quán)限的分配及：；確保授權(quán)用戶訪問系； !是；信息平安管理用戶訪問管理程序■,,管理 !統(tǒng)和效勞，并防止未授！使用。 ! —4一需求 -- - - -用戶秘密鑒別信息管理i .的、、1 :應(yīng)通過正式的管理過程控制秘密鑒別!； 權(quán)的訪問。 ：金白的八而口 ：是i信息平安管理用戶訪問管理程序—i 二信工息的分配九 L_?—工一需求 -T-—用戶訪問權(quán)限的復(fù)查1 1資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問權(quán):是|信息平安管理用戶訪問管理程序—| 上限- 匚--—$一需求 -+■—i i所有雇員、外部方人員對信息和信息j信息平安管理需求—i- 撤銷或調(diào)整訪問權(quán)限i i處理設(shè)施的訪問權(quán)限應(yīng)在任用、合同i是用戶訪問管理程序— 或協(xié)議終止時撤銷，或在變化時調(diào)整。3-——用戶職責(zé)使用秘密鑒別信息i使用戶承當(dāng)保護(hù)認(rèn)證i應(yīng)要求用戶在使用秘密鑒別信息時，!是i信息平安管理口令控制策略；一一信息平安的責(zé)任?！灰弧蹲裱M織的實踐。 L.4.需求 1-T-—系統(tǒng)和應(yīng)用訪問控制信息訪問控制應(yīng)依照訪問控制策略限制對信息和應(yīng)]!用系統(tǒng)功能的訪問。 [是信息平安管理i需求1—1.用戶訪問管理程序訪問控制策略i i在訪問控制策略要求下，訪問操作系j信息平安管理需求平安登錄規(guī)程統(tǒng)和應(yīng)用應(yīng)通過平安登錄規(guī)程加以控j是訪問控制策略—L-制- L.-T-口令管理系統(tǒng)i吐左公對心中的i口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確：防止對系統(tǒng)和應(yīng)用的是i信息平安管理口令控制策略—! 未授權(quán)訪問。 廠保優(yōu)質(zhì)的一口令。 [--—-4-需求 十—A.9.4.4—特殊權(quán)限使用工具軟件的使用對于可能超越系統(tǒng)和應(yīng)用程序控制措i施的適用工具軟件的使用應(yīng)加以限制i并嚴(yán)格控制。1是信息平安管理需求—I- -+-計算機(jī)管理程序計算機(jī)軟件安裝說明書對程序源代碼的訪問控制應(yīng)限制訪問程序源代碼。 j是信息平安管理!需求信息系統(tǒng)開發(fā)控制程序11A.10密碼學(xué)密碼控制使用密碼控制的策略應(yīng)開發(fā)和實施使用密碼控制措施來保i恰當(dāng)和有效的利用密j護(hù)信息的策略。 [是i信息平安管理1需求密鑰管理i碼學(xué)保護(hù)信息的保密?宜開發(fā)和實施貫穿整個密鑰生命周期1性、真實性或完整性。的關(guān)于密鑰使用、保護(hù)和生存期的策i :略。 j是信息平安控制需求ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第5頁共9頁一，-11 一一物理和環(huán)境平安一 一A.11J 一一平安區(qū)域 防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。應(yīng)定義平安周邊和所保護(hù)的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設(shè)施…的區(qū)域。 —是—信息平安控制需求平安區(qū)域管理程序平安區(qū)域控制方案物理平安周邊物理入口控制平安區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪「問。 .....…….....…….....……......是信息平安控制需求平安區(qū)域管理程序平安區(qū)域控制方案辦公室、房間和設(shè)施的安..全保護(hù)一 應(yīng)為辦公室、房間和設(shè)施設(shè)計并采取一物理平安措施?！?....…….....……......是信息平安控制一需求 」平安區(qū)域管理程序外部環(huán)境威脅的平安防護(hù)為防止自然災(zāi)難、惡意攻擊或事件，…應(yīng)設(shè)計和采取物理保護(hù)措施。 是信息平安控制…需求 ，平安區(qū)域管理程序在平安區(qū)域工作應(yīng)設(shè)計和應(yīng)用工作在平安區(qū)域的規(guī)一程。 訪問點〔例如交接區(qū)〕和未授權(quán)人員可進(jìn)入辦公場所的其他點應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，…以防止未授權(quán)訪問。 是是信息平安控制—需求 信息平安控制需求平安區(qū)域管理程序平安區(qū)域管理程序交接區(qū)平安…設(shè)備 設(shè)備安置和保護(hù)防止資產(chǎn)的喪失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷。應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險所造成的各種風(fēng)險以及未授權(quán)訪問的時機(jī)。是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序設(shè)備及布纜平安策略支持性設(shè)施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序設(shè)備及布纜平安策略布纜平安應(yīng)保證傳輸數(shù)據(jù)或支持信息效勞的電源布纜和通信布纜免受竊聽或損壞。是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序設(shè)備及布纜平安策略設(shè)備維護(hù)設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序資產(chǎn)的移動設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序組織場外設(shè)備和資產(chǎn)的安全應(yīng)對組織場所外的設(shè)備采取平安措施，要考慮工作在組織場所以外的不同風(fēng)險。是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序設(shè)備的平安處置或在利用包含儲存介質(zhì)的設(shè)備的所有工程應(yīng)進(jìn)行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪除或平安地一寫覆蓋。 是信息平安設(shè)施要求信息處理設(shè)施維護(hù)管理程序無人值守的用戶設(shè)備用戶應(yīng)確保無人值守的用戶設(shè)備有適-當(dāng)?shù)谋Ｗo(hù)。 是信息平安設(shè)施一要求 ,清潔桌面和清屏策略清潔桌面和清屏策略清空桌面和屏幕策略應(yīng)采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕卜一的策略。 是信息平安設(shè)施要求,△12 一一操作平安 ▲12.1 一一操作規(guī)程和職責(zé) 文件化的操作規(guī)程確保正確、平安的操作信息處理設(shè)施。操作規(guī)程應(yīng)形成文件并對所有需要的用戶可用。是信息平安管理需求相關(guān)指導(dǎo)書和手冊ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第6頁共9頁-變更管理對影響信息平安的組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)等的變更應(yīng)加以「控制L 是信息平安管理需求變更管理程序A.12.1.3—容量管理—開發(fā)、測試和運(yùn)行環(huán)境分離資源的使用應(yīng)加以監(jiān)視、調(diào)整，并作出對于未來容量要求的預(yù)測，以確?！瓝碛兴璧南到y(tǒng)性能。 開發(fā)、測試和運(yùn)行環(huán)境應(yīng)別離，以減少未授權(quán)訪問或改變運(yùn)行環(huán)境的風(fēng)險。是—是信息平安管理需求—信息平安管理需求信息處理設(shè)施維護(hù)管程序信息系統(tǒng)開發(fā)管理程序生產(chǎn)和測試數(shù)據(jù)平安策略.，12_2 —一工12.3 一一惡意軟件防護(hù) 控制惡意軟件—一一備份 確保對信息和信息處理設(shè)施進(jìn)行惡意軟件 防護(hù)。 應(yīng)實施惡意軟件的檢測、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭病庾R。 是—信息平安控制要求—病毒防范策略惡意軟件管理程序-A.-12.4 信息備份…日志和監(jiān)視一… 為了防止數(shù)據(jù)喪失。應(yīng)按照已設(shè)的備份策略，定期備份和測試信息和軟件。是信息平安備份要求信息備份平安策略重要信息備份管理程序 A.12.4.1事態(tài)記錄應(yīng)產(chǎn)生記錄用戶活動、異常情況、故障和信息平安事態(tài)的事態(tài)日志，并保持定期評審。是信息平安監(jiān)視要求信息平安監(jiān)控策略信息系統(tǒng)訪問與使用監(jiān)控管理程序日志信息的保護(hù)記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。是信息平安監(jiān)視要求信息平安監(jiān)控策略、信息系統(tǒng)訪問與使用監(jiān)控管理程序管理員和操作員日志記錄事態(tài)和生成證據(jù)。統(tǒng)管理員和系統(tǒng)操作員的活動應(yīng)記入日志，保護(hù)日志并定期評審。是信息平安監(jiān)視要求信息平安監(jiān)控策略、信息系統(tǒng)訪問與使用監(jiān)控管理程序A.12.4.4—.A..12.5. 時鐘同步—一一運(yùn)行軟件的控制 在運(yùn)行系統(tǒng)上安裝軟件確保運(yùn)行系統(tǒng)的完整性。一個組織或平安域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用單一參考時間源進(jìn)行同步。應(yīng)實施規(guī)程來控制在運(yùn)行系統(tǒng)上安裝軟件。是——是信息平安監(jiān)視要求——信息平安開發(fā)要求信息平安監(jiān)控策略、信息系統(tǒng)訪問與使用監(jiān)控管理程序信息系統(tǒng)開發(fā)管理程序.，12_6 一一技術(shù)脆弱性管理. 技術(shù)脆弱性的控制防止技術(shù)脆弱性被利應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嘁魂P(guān)的風(fēng)險. 是信息平安管理需求信息處理設(shè)施維護(hù)管理程序A.12.6.2—限制軟件安裝—信息系統(tǒng)審計考慮用。應(yīng)建立和實施軟件安裝的用戶管理規(guī)貝限是—信息平安管理需求—計算機(jī)管理程序計算機(jī)軟件安裝說明書信息系統(tǒng)審計控制措施將運(yùn)行系統(tǒng)審計活動的影響最小化。涉及對運(yùn)行系統(tǒng)驗證的審計要求和活動，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便使造成業(yè)務(wù)過程中斷最小化。 是信息平安管理需求信息平安合規(guī)性管理程序一工13A13一一通信平安 1網(wǎng)絡(luò)平安管理ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第7頁共9頁網(wǎng)絡(luò)控制應(yīng)管理和控制網(wǎng)絡(luò)，以保護(hù)系統(tǒng)中信1L息和應(yīng)用程序的平安。 L-是信息平安控制」一要求 網(wǎng)絡(luò)訪問策略網(wǎng)絡(luò)效勞平安平安機(jī)制、效勞級別以及所有網(wǎng)絡(luò)服|確保網(wǎng)絡(luò)中信息的安|務(wù)的管理要求應(yīng)予以確定并包括在所|全性并保護(hù)支持性信?有網(wǎng)絡(luò)效勞協(xié)議中，無論這些效勞是|息處理設(shè)施。L由內(nèi)部提供的還是外■包的。 L-是信息平安控制|要求網(wǎng)絡(luò)訪問策略網(wǎng)絡(luò)隔離應(yīng)在網(wǎng)絡(luò)中隔離信息效勞、用戶及信1息系統(tǒng)。 !是信息平安控制i要求網(wǎng)絡(luò)設(shè)備平安配置管i理程序、網(wǎng)絡(luò)訪問策略」13.2 一一信息傳遞 信息傳遞策略和規(guī)程應(yīng)有正式的傳遞策略、規(guī)程和控制措j施，以保護(hù)通過使用各種類型信設(shè)施i匚的信息傳遞。 i.---是信息平安管理］要求遠(yuǎn)程訪問控制程序信息傳遞協(xié)議1協(xié)議應(yīng)解決組織與外部方之間業(yè)務(wù)信1確保采用一致和有效j息的平安傳遞。 !是1信息平安管理1i要求1遠(yuǎn)程訪問控制程序1電子消息發(fā)送的方法對信息平安事i =件進(jìn)行管理。 包含在電子消息發(fā)送中的信息應(yīng)給予1適當(dāng)?shù)谋Ｗo(hù)。 i是信息平安管理：要求電子郵件策略即時通軟件使用策略A.13.2.4—_114 保密性或不泄露協(xié)議—,.系統(tǒng)獲取。開發(fā)和維護(hù)……應(yīng)識別、定期評審并記錄反映組織信|息保護(hù)需要的保密性或不泄露協(xié)議的1卜 L要求. i....是信息平安管理i要求1—1- 保密及競業(yè)禁止協(xié)議模板,一一AJ4J 信息系統(tǒng)的平安需求 1信息平安要求分析和說明信息平安相關(guān)要求應(yīng)包括新的信息系j確保信息平安是信息統(tǒng)要求或增強(qiáng)已有信息系統(tǒng)的要求。|是信息平安管理i要求信息系統(tǒng)開發(fā)控制程序、惡意軟件控制程序公共網(wǎng)絡(luò)應(yīng)用效勞平安系統(tǒng)整個生命周期中應(yīng)保護(hù)公共網(wǎng)絡(luò)中的應(yīng)用效勞信息，|的一個有機(jī)組成局部。i以防止欺騙行為、合同糾紛、未授權(quán)i這也包括提供公共網(wǎng)l泄露和修改。 l-是信息平安管理|要求保護(hù)應(yīng)用效勞交易絡(luò)效勞的信息系統(tǒng)的i應(yīng)保護(hù)涉及應(yīng)用效勞交易的信息，以i要求 防止不完整傳送、錯誤路由、未授權(quán)|消息變更、未授權(quán)泄露、未授權(quán)消息1 L復(fù)制或重放。 L..是信息平安管理|要求,一一A.14.2 一一開發(fā)和支持過程中的平安…平安開發(fā)策略應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)那么，并應(yīng)用］1于組織內(nèi)的開發(fā)。 1是信息平安管理1需求信息系統(tǒng)開發(fā)控制程序、惡意軟件控制程序系統(tǒng)變更控制規(guī)程應(yīng)通過使用正式變更控制程序控制開1發(fā)生命周期中的系統(tǒng)變更。 i是信息平安管理需求信息系統(tǒng)開發(fā)控制程i序運(yùn)行平臺變更后應(yīng)用的技術(shù)評審當(dāng)運(yùn)行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的］關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對!L組織的運(yùn)行和平安沒有負(fù)面影響。 二是信息平安管理需求信息系統(tǒng)開發(fā)控制程1序軟件包變更限制應(yīng)確保進(jìn)行信息平安［應(yīng)對軟件包的修改良行勸阻，只限于\、n_、i必必/口口qd匕：4人」以1丁0口J1幺以巫1」MHtL，八HKJ:設(shè)計，并確保其在信息1、，曲田+木口am*木士”行!萬“■宜心?人人日日口^i必要的變更，且對所有的變更加以嚴(yán)；系統(tǒng)開發(fā)生命周期中：人4小 ：、、- 上格控制。 L—是信息平安管理需求信息系統(tǒng)開發(fā)控制程i序平安系統(tǒng)工程原那么實施。 '.,,,s ,,1、、人一Q一LIi應(yīng)建立、記錄和維護(hù)平安系統(tǒng)H程原I貝1，并應(yīng)用到任何信息系統(tǒng)實施工作。i是信息平安管理需求信息系統(tǒng)開發(fā)控制程1序平安開發(fā)環(huán)境組織應(yīng)建立并適當(dāng)保護(hù)系統(tǒng)開發(fā)和集］成工作的平安開發(fā)環(huán)境，覆蓋整個系jL統(tǒng)開發(fā)生命周期。 L..是信息平安管理需求信息系統(tǒng)開發(fā)控制程1序外包開發(fā)組織應(yīng)管理和監(jiān)視外包系統(tǒng)開發(fā)活|動。 1否信息平安管理需求信息系統(tǒng)開發(fā)控制程i序ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第8頁共9頁系統(tǒng)平安測試在開發(fā)過程中，應(yīng)進(jìn)行平安功能測試。是 信息平安管理需求信息系統(tǒng)開發(fā)控制程序系統(tǒng)驗收測試對于新建信息系統(tǒng)和新版本升級系統(tǒng)，應(yīng)建立驗收測試方案和相關(guān)準(zhǔn)那么。是信息平安管理需求信息系統(tǒng)開發(fā)控制程序測試數(shù)據(jù)是系統(tǒng)測試數(shù)據(jù)的保護(hù)確保保護(hù)測試數(shù)據(jù)。測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。是信息平安開發(fā)要求生產(chǎn)和測試數(shù)據(jù)平安策略一人15 一一供給商關(guān)系 ▲15J 一一供給商關(guān)系的信息、平安……確保保護(hù)可被供給商訪問的組織資產(chǎn)。供給商關(guān)系的信息平安策略為減緩供給商訪問組織資產(chǎn)帶來的風(fēng)險，應(yīng)與供給商協(xié)商并記錄相關(guān)信息一平安要求。 是供給商管理需求供給商管理程序處理供給商協(xié)議的平安問題應(yīng)與每個可能訪問、處理、存儲組織信息、與組織進(jìn)行通信或為組織提供IT根底設(shè)施組件的供給商建立并協(xié)L一商所有相關(guān)的信息平安要求。 是供給商管理需求供給商管理程序信息和通信技術(shù)供給鏈供給商協(xié)議應(yīng)包括信息和通信技術(shù)服務(wù)以及產(chǎn)品供給鏈相關(guān)信息平安風(fēng)險L處理的要求。 是供給商管理需求供給商管理程序一A62 ,,供給商效勞交付管理,………供給商效勞的監(jiān)視和評審保持符合供給商交付協(xié)議的信息平安和服務(wù)交付的商定水準(zhǔn)。組織應(yīng)定期監(jiān)視、評審和審計供給商…效勞交付。 卜 是—供給商管理需一求 供給商管理程序供給商效勞的變更管理應(yīng)管理供給商效勞提供的變更，包括保持和改良現(xiàn)有的信息平安策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)信息、系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的一再評估。 是供給商管理需求供給商管理程序一A.16 一一信息平安事件管理 信息平安事件和改良的管一一理 確保采用一致和有效的方法對信息平安事件進(jìn)行管理，包括平安事件和弱點的傳達(dá)。職責(zé)和規(guī)程應(yīng)建立管理職責(zé)和規(guī)程，以確?？焖?、有效和有序地響應(yīng)信息平安事件。是信息平安管理需求信息平安事件管理程序報告信息平安事態(tài)信息平安事態(tài)應(yīng)盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報告。是 信息平安管理要求信息平安事件管理程序報告信息平安弱點應(yīng)要求使用組織信息系統(tǒng)和效勞的所有雇員和承包方人員記錄并報告他們觀察到的或疑心的任何系統(tǒng)或效勞的L平安弱點d 是信息平安管理要求信息平安事件管理程序評估和確定信息平安事態(tài)信息平安事態(tài)應(yīng)被評估，并且確定是否劃分成信息平安事件。是信息平安管理要求信息平安事件管理程序信息平安事件響應(yīng)應(yīng)具有與信息平安事件響應(yīng)相一致的文件化規(guī)程。是信息平安管理要求信息平安事件管理程序?qū)π畔⑵桨彩录目偨Y(jié)獲取信息平安事件分析和解決的知識應(yīng)被用戶降低將來事件發(fā)生的可能性L或影響。 是信息平安管理要求信息平安事件管理程序證據(jù)的收集組織應(yīng)定義和應(yīng)用識別、收集、獲取和保存信息的程序，這些信息可以作為證據(jù)。 是信息平安管理要求信息平安事件管理程序A.17業(yè)務(wù)連續(xù)性管理的信息安全方面ISMS過程文件文件編號：信息平安適用性聲明SOA版本：A/0第9頁共9頁信息平安連續(xù)性信息平安連續(xù)性方案組織的業(yè)務(wù)連續(xù)性管理體系中應(yīng)