信息安全适用性声明 33页.docVIP

适用性声明 编号ISMS-P-2001 状态 编写： 200年月日 审核：年月日 批准：年月日 发布版次：第A/版 年月日 生效 200X年月日 接受部门： 变 更 记 录 变更日期 版本 变更说明 编写 审核 批准 2009-XX-XX A/0 初始版本 XXX XXX XXX 目 录 1 目的与范围 4 2 相关文件 4 3 职责 4 4 声明 4 A.5安全方针 5 A.6安全组织 5 A.7资产管理 7 A.8人力资源安全 7 A.9实物与环境安全 7 A.10通信和操作管理 7 A.11访问控制 7 A.12信息系统获取、开发和维护 7 A.13信息安全事件管理 7 A.14业务持续性管理 7 A.15符合性 7 信息安全适用性声明 1 目的与范围 本声明描述了在ISO27001:2005附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。 2 相关文件 ISMS-1001《信息安全管理手册》 3 职责 《信息安全适用性声明》由XXX编制、修订，由管理者代表批准。 4 声明 本公司按GB/T 22080-2008 idt ISO/IEC27001:2005建立信息安全管理体系。 根据公司风险评估的结果和风险可接受水平，GB/T 22080-2008 idt ISO/IEC27001:2005附录A的下列条款被选择（或不选择)用于本公司信息安全管理体系，共删除X条控制措施。 A.5安全方针 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.5.1 信息安全方针 目标 YES 为信息安全提供管理方向和支持，并表明管理层对信息安全的承诺。 A.5.1.1 信息安全方针文件 控制 YES 信息安全管理实施的需要。 信息安全方针由公司总经理制定，在《信息安全管理手册》中描述，由公司总经理批准发布。通过培训、发放《信息安全管理手册》等方式传达到每一员工。采用张贴布告于宣传栏、网站等形式传达到各主管部门、客户群等外部相关方。 ISMS-1001《信息安全管理手册》 A.5.1.2 评审与评价 控制 YES 确保方针持续的适宜性。 每年利用管理评审对方针的适宜性进行评价，必要时对方针进行修订。 ISMS-P-2004《管理评审控制程序》 A.6安全组织 标准 条款号 标 题 目标/ 控制 是否 选择 选择理由 控制描述 相关文件 A.6.1 内部组织 目标 YES 建立一个有效的信息安全管理组织机构。 A.6.1.1 信息安全管理承诺 控制 YES 确定评审安全承诺及处理重大安全事故，确定与安全有关重大事项所必须的职责分配及确认、沟通机制。 公司成立信息安全管理委员会，由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次，或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题，行政部负责准备会议日程的安排。会议主要议题包括： a) 评审信息安全承诺； b) 确认风险评估的结果； c) 对与信息安全管理有关的重大更改事项，如组织机构调整、关键人事变动、信息系统更改等，进行决策； e) 评审与处理重大信息安全事故； f) 审批与信息安全管理有关的其他重要事项。 ISMS-1001《信息安全管理手册》 A.6.1.2 信息安全的协调 控制 YES 公司涉及信息安全部门众多，组织机构复杂，需要一个有效沟通与协调机制。 公司成立信息安全管理协调小组，由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。 协调小组每季度召开一次协调会议（特殊情况随时召开会议），对上一季度的信息安全管理工作进行总结，解决体系运行中存在的问题，并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。 有关信息安全管理委员会会议记录（会议纪要） A.6.1.3 信息安全职责的分配 控制 YES 保持特定资产和完成特定安全过程的职责需确定。 公司设立信息安全管理者代表，全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。 与ISMS有关各部门的信息安全职责在《信息安全管理手册》中予以描述，关于具体的信息安全活动的职责在程序及作业文件中予以明确。 A.6.1.4 信息处理设施的授权程序 控制 YES 本公司有新信息处理设备（设施）使用时，实施使用授权程序。 对各自负责管理的信息系统，根据使用者需求提出新设施（包括软件）的采购技术规格，由XXX部