适用性声明(管理内容).docVIP

A.5安全方针A.5.1 信息安全方针删减性A.5.1.1 信息安全方针文件信息安全方针文件信息安全方针文件管理者批准、发布给所有员工和相关外方信息安全方针文件A.5.1.2信息安全方针的评审 为了确保信息安全方针持续适宜性、充分性和有效性按的时间间隔或当发生重大变化时进行评审.6信息安全组织A.6.1 内部组织删减性A.6.1.1信息安全的管理承诺 管理者通过清晰的、承诺、明确的信息安全职责，来积极支持组织内的安全A.6.1.2信息安全协调 信息安全活动由不同部门代表协调相关工作A.6.1.3信息安全职责的分配 所有的信息安全职责 部门安全职责、岗位任职条件 A.6.1.4信息处理设施的授权过程新信息处理设施管理授权过程 《信息处理设施A.6.1.5保密性协议反映组织信息保护需要的保密协议或不泄露协议保密协议或不泄露协议识别定期评审A.6.1.6联系部门与相关部门保持适当联系 政府部门联系清单 A.6.1.7联系特 组织是否与特安全专家组和保持适当的联系A.6.1.8信息安全的独立评审组织管理信息安全的方法信息安全控制目标控制措施、、过程和程序按的时间间隔当安全实施发生重大变化时进行独立评审A.6.2 外方删减性A.6.2.1外方相关风险的组织的信息和信息处理设施外方的风险，识别组织的信息和信息处理设施在允许外方访问前适当的控制措施A.6.2.2处理与顾客有关的安全问题在允许顾客访问组织信息或资产之前所有的安全要求 《第三方服务提供管理规定》——3.3访问安全要求 A.6.2.3处理第三方协议中的安全问题 涉及访问、处理或管理组织的信息或信息处理设施的第三方协议所有相关的安全要求.7资产 A.7.1 对资产删减性A.7.1.1资产清单所有资产所有资产清单A.7.1.2资产责任人所有信息信息处理设施关资产责任人A.7.1.3资产的使用 信息信息处理设施关资产使用规则、形成文件并加以实施 《信息资产管理规定》 A.7.2 信息分类删减性A.7.2.1分类指南信息分类指南信息按照对组织的价值、法律要求、敏感性和关键性分类价值、法律要求、敏感性关键性A.7.2.2信息的标记和处理信息标记处理程序按照组织的分类实施.8 人力资源安全A.8.1雇用之前删减性A.8.1.1角色和职责雇员、和第三方的安全角色和职责按照组织的信息安全方针定义并形成文件和第三方 A.8.1.2筛所有用、和第三方按照相关法律法规、道德规范应的业务要求被访问信息的和察觉的风险背景验证检查 《人员管理和培训程序》——4.2聘用筛选 A.8.1.3雇用的条款和条件雇员、和第三方签署雇合同条款和条件作为他们合同义务的一部分 “雇合同条款和条件声明雇员、和第三方信息安全职责 A.8.2 雇用期间 相关条款 控制要求与检查内容 实施的方法，或删减性A.8.2.1管理职责管理者雇员、和第三方按照组织已建立的方针和程序 A.8.2.2信息安全意识、教育和培训组织的所有雇员承包人第三方，受适当的意识培训定期更新组织方针程序 A.8.2.3纪律处理过程 对于安全违规的雇员，正式的纪律处理过程 《人员管理和培训程序》——4.3违规处罚 A.8.3 雇用终止或变删减性A.8.3.1终止职责用终止或变的职责清晰和分配 A.8.3.2归还资产所有雇员、和第三方在雇用、合同或协议时，归还组织资产信息处理设施 A.8.3.3删除访问权 所有雇员、和第三方对信息和信息处理设施的访问权在雇用、合同或协议时，删除调整 《信息处理设施 A.9 物理和环境安全A.9.1安全区域删减性A.9.1.1物理安全边界包含信息和信息处理设施的区域安全边界（诸如墙、入口控制卡或管理的接待台等屏障） A.9.1.2物理入口控制确保只有授权人员才允许访问安全区域适的入口控制A.9.1.3保护办公室、房间和设施的安全 办公室、房间和设施物理安全设计并A.9.1.4 防范外部威胁和环境威胁 火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的，设计物理保护火灾、洪水、地震、爆炸A.9.1.5在安全区域工作在物理保护指南设计并 对在 A.9.1.6 公共访问区交接区避免未授权访问访问点（如交接区和未授权人员可进入其点）控制 交接区与信息处理设施隔A.9.2 设备安全删减性A.9.2.1 设备安置和保护设备安置减少未授权访问的安置A.9.2.2支持性设施由支持性设施的失效而引起电源故障和其他 A.9.2.3布缆安全电源和数据或支持信息服务缆或损坏A.9.2.4设备维护设备正确维护 《信息处理设施设备维护 设备维护 设备维护 设备维护 设备维护A.9.2.5组织场所外的设备安全 场所的设备考虑不同风险安全信息处理设施A.9.2.6设备安全销毁或安全再利用 任