YS-ISMS-2014-0102-信息安全适用性声明.doc

云神科技股份有限公司 信息安全管理体系文件 信息安全-ISMS-2014-0102 2014-1-1发布 2014-1-1实施 云神科技股份有限公司  修 改 履 历 版本 制订者 修改时间 更改内容 审批人 审核意见 变更申请单号 信息安全适用性声明 ISO 27001 requirement 对应文件 适用性 选用及控制描述 (注) 适用 不适用 Annex A. Control objectives and controls A.5 Security policy A.5.1 信息安全方针 A.5.1.1 信息安全方文件 《信息安全管理手册》 《管理评审程序》 ? 信息安全管理体系实施的需要。 A.5.1.2 信息安全方针评审 ? 确保方针的持续适宜性。 A.6 Organization of information security A.6.1 内部组织 A.6.1.1 信息安全管理承诺 《信息安全管理手册》 ? 信息安全管理体系实施的需要。 A.6.1.2 信息安全协作 《信息安全管理手册》 ? 公司涉及到的信息安全问题需要一个有效沟通和协调的机制。 A.6.1.3 信息安全职责分配 《信息安全管理手册》 ? 保持信息资产和完成特定安全过程的职责需要规定。 A.6.1.4 信息处理设施的授权过程 《软、硬件及网络管理程序》 ? 公司有新信息处理设施采购和使用的活动，需要进行授权。 A.6.1.5 保密性协议 《人力资源管理程序》 《员工保密协议》 《》 ? 员工和第三方进入公司都会涉及到公司的信息安全，以保密协议对其进行告知和约束。 A.6.1.6 与权威机构的联系 《》 《》? 为了更好的得到信息安全发展的新动向。 A.6.1.7 与专业小组的联系 ? 为了更好的得到信息安全发展的新动向，并得到专家的协助。 A.6.1.8 信息安全的独立评审 《内审管理程序》 《管理评审程序》 ? 为了验证公司信息安全管理体系的符合性和有效性。 A.6.2 外部相关方 A.6.2.1 与外部相关方有关的风险识别 《信息安全风险管理程序》 《用户访问控制程序》 《物理访问控制程序》 ? 公司存在外来维修设备、顾客物理、逻辑访问公司等情况，必须加以控制。 A.6.2.2题 处理与顾客相关的安全问题 ? 顾客若有物理、逻辑访问公司等情况，必须有相应安全措施控制。 A.6.2.3 处理第三方协议中涉及的安全问题 ? 与长期访问的第三方签订保密协议，规定并培训安全要求是必须的。 A.7 Asset management A.7.1 资产责任 A.7.1.1 资产清单 《资产识别管理程序》 《信息资产登记表》 ? 风险控制的需要。 A.7.1.2 资产所有权 ? 明确资产管理部门或责任人。 A.7.1.3 资产的合理使用 ? 将资产合理使用制度化、文件化。 A.7.2 信息分类 A.7.2.1 分类指南 《资产识别管理程序》 ? 便于对信息资产进行分类管理。 A.7.2.2 信息标识和处理 《资产识别管理程序》 《软、硬件及网络管理程序》 ? 按照分类方案进行标识并规定信息处理的安全要求。 A.8 Human resouYSes security A.8.1 聘用前 A.8.1.1 角色和职责 《信息安全管理手册》 《人力资源管理程序》 ? 为了明确信息安全责任。 A.8.1.2 筛选 《》 ? 降低风险。 A.8.1.3 聘用条款和条件 《》 ? 履行合同中的条款和条件是与员工、合同方以及第三方用户的基本控制条件。 A.8.2 聘用期间 A.8.2.1 管理职责 《》 ? 体系方针和目标得以实现的保障。 A.8.2.2 信息安全意识、教育和培训 《》 ? 安全意识和必要的信息安全操作技能培训是开展信息安全管理的前提。 A.8.2.3 惩戒过程 《》 ? 控制信息安全事件的必要手段之一。 A.8.3 聘用终止或变化 A.8.3.1 终止职责 《》 ? 在合同中明确终止责任。 A.8.3.2 资产归还 《》 ? 保证资产归还的完整性。 A.8.3.3 解除访问权限 《》? 确保访问权限及时修改。 A.9 Physical and environmental security A.9.1 安全区域 A.9.1.1 物理安全边界 办公场所平面图 ? 对重要信息资产进行保护 A.9.1.2 物理进入控制 《物理访问控制程序》 ? 安全