- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
适用性声明书-中州科技大学
管理系統文件
文件類別
第 一 階 文 件
文件編號
ISMS-M-002
文件名稱
適用性聲明書
發行單位
文 件 管 制 小 組
發行日期
103年12月01日
版次
A
訂修廢單位
審 查
核 准
資通安全處理小組
(原版簽名頁保存於文件管制小組)
訂 修 廢 記 錄
版次
發行日期
訂 修 廢 內 容 摘 要
A
103/12/01
初版發行
1.資訊安全管理制度範圍:本校圖資處辦公區域環境、資訊機房及校務行政系統運作及維護之安全管理。
2.適用性聲明
條文編號 ISO 27001控制要項 是否適用 參考文件 適用與非適用之說明 A.5資訊安全政策 A.5.1資訊安全的管理方向
控制目標:依照營運需要及相關法律與法規,提供管理階層對資訊安全之指示與支持。 A.5.1.1 資訊安全政策文件 Y 資訊安全管理政策 資訊安全管理政策為本校資訊安全最高指導原則,為確保資訊安全各項作業能順利運作,須制訂資訊安全管理政策並公告週知。 A.5.1.2 資訊安全政策之審查 Y 資訊安全管理政策 為維持「資訊安全管理政策」之適用性及正確性,須定期於「資通安全管理委員會」會議中進行檢討、修訂。 A.6資訊安全的組織 A.6.1內部組織
控制目標:建立一個管理框架,用以開創與管制組織內資訊安全的實施和操作。 A.6.1.1 資訊安全的角色與責任 Y 資安及個資保護組織與權責管理程序書 為有效落實資訊安全管理政策及相關管理規範,須明確定義資訊安全相關責任。 A.6.1.2 職務的區隔 Y 人力資源安全管理程序書 為降低人員蓄意或誤用對資訊系統所造成之風險,應將人員分工並作職責區隔。 A.6.1.3 與權責機關的聯繫 Y 資安及個資保護組織與權責管理程序書 為確保資訊安全相關事件發生時能立即得到相關之建議或緊急之處理,應與主管機關或消防單位維持適當之聯繫。 A.6.1.4 與特殊利害相關團體的聯繫 Y 資安及個資保護組織與權責管理程序書 為取得新技術或相關資訊安全知識,應與資訊安全專家提供資訊安全相關建議。 A.6.1.5 專案管理的資訊安全 Y 委外作業管理程序書 已於內、外部專案管理的過程中,透過風險評鑑明訂及陳述與專案相關之各項資訊安全要求。 A.6.2行動設備與遠距工作
控制目標:確保遠距工作與使用行動設備的安全。 A.6.2.1 行動設備的政策 Y 資訊設備維護與管理程序書 為確保系統使用行動電腦作業之安全,應加以控管。 A.6.2.2 遠距工作 Y 委外作業管理程序書 為確保本校委外廠商以遠端方式存取本校資訊設備之安全性,應予以控管。 A.7人力資源安全 A.7.1聘僱之前
控制目標:確保員工與承包商了解他們的責任,且適合他們被認定的角色。 A.7.1.1 篩選 Y 人力資源安全管理程序書 為確保人員晉用時符合內部規定或資格之要求,應建立相關作業人員任用篩選標準。 A.7.1.2 聘僱條款與條件 Y 人力資源安全管理程序書 為確保人員安全,人員任用時需描述其對本校相關安全要求。 A.7.2聘僱期間
控制目標:確保員工與承包商認知並履行其資訊安全的責任。 A.7.2.1 管理階層責任 Y 資安及個資保護組織與權責管理程序書
人力資源安全管理程序書 為落實資訊安全相關規定,員工或外包廠商於工作執掌中應包含明確之資訊安全管理責任。 A.7.2.2 資訊安全認知、教育及訓練 Y 人力資源安全管理程序書
人員教育訓練管理程序書 為加強相關作業人員資訊安全認知以及相關技能,需進行相關教育訓練。 A.7.2.3 懲處過程 Y 人力資源安全管理程序書 為使違反資訊安全規定情節者有警惕,應建立相關懲處規定。 A.7.3聘僱的終止與變更
控制目標:保護組織的利益,作為變更或終止聘僱的過程之一部分。 A.7.3.1 聘僱責任的終止與變更 Y 人力資源安全管理程序書 為確保人員於聘僱終止後一段時間其保密協定及任用條件仍為有效,應於雙方協定或合約中清楚定義。 A.8資產管理 A.8.1資產責任
控制目標:鑑別組織的資產與明訂適當的保護責任。 A.8.1.1 資產清冊 Y 資訊資產管理程序書 為確認所需保護之標的,應清查所有資產並適當的分類後列冊。 A.8.1.2 資產的擁有權 Y 資訊資產管理程序書 為確保所有資訊資產皆有適當之維護,應指派專人負責管理。 A.8.1.3 資產之可被接受的使用 Y 資訊資產管理程序書 為確保人員對資訊資產使用皆
您可能关注的文档
最近下载
- 2024广东德良投资集团有限公司招聘7人笔试参考题库及答案解析.docx
- 2024年内蒙古赤峰市中考英语试卷真题(含答案解析).docx
- 人教版化学高二上学期期末试卷及解答参考(2024-2025学年).docx VIP
- 施工应急预案专项施工方案.docx
- 模板工程专项施工方案(钢背楞)-图文.doc VIP
- 小学数学思维培养现状及发展策略研究.DOC
- 课题申报书:基于新时代红色基因传承的中职“课程思政”教学改革方法与实践研究.docx VIP
- 2024北京海淀初二(下)期末语文试卷及答案 .pdf VIP
- 2024广东德良投资集团有限公司招聘2人笔试备考试题及答案解析.docx
- 基于plc的自动售货机系统设计—学士学位论文.doc VIP
文档评论(0)