信息安全适用性声明SOA程序.doc

信息安全适用性声明SOA （ISO27001-2013） 1、目的 为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。 2、范围 本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。 3、适用性声明 条款 目标 控制措施 是否选择/及理由 A.5 安全方针 A.5.1 信息安全方针 A.5.1.1 信息安全方针文件 提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针，信息安全方针文件应经过管理层批准，并向所有员工和相关方发布和沟通。 选择 信息安全工作要求所确定，见《信息安全管理手册》。 A.5.1.2 信息安全方针的评审 应定期或在发生重大的变化时评审方针文件，确保方针的持续性、稳定性、充分性和有效性。 选择 信息安全工作要求所确定，见《管理评审控制程序》。 A.6信息安全组织 A.6.1内部组织 A.6.1.1 信息安全的角色和职责 建立信息安全管理框架，在组织内部启动和控制信息安全实施。 定义和分配所有信息安全职责。 选择 见《信息岗位职责》 A.6.1.2 职责分离 有冲突的职责和责任范围应分离，以减少对组织资产未经授权访问、无意修改或误用的机会。 选择， 见《信息系统授权管理制度》《信息岗位职责》 A.6.1.3 与监管机构的联系 与相关监管机构保持适当联系。 选择，见《对外联络表》。 A.6.1.4 与特殊利益团体的联系 应保持与特定权益团体、其他安全专家组和专业协会的适当联系。 选择，获取行业信息，见《对外联络表》。 A.6.1.5 项目管理中的信息安全 对特定项目进行信息安全策划并控制。 选择，见《信息安全方针信息安全策略管理制度》。 A.6.2移动设备和外部办公 A.6.2.1 移动设备策略 确保组织远程办公和使用移动设备的安全性。 应采取安全策略和配套的安全措施控制使用移动设备带来的风险。 选择，见《移动设备管理制度》。 A.6.2.2 远程办公 应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。 选择，见《远程访问管理制度》。 A.7人力资源安全 A.7.1任用前 A.7.1.1 人员筛选 确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 根据相关法律、法规、道德规范，对员工、合同人员及承包商人员进行背景调查，调查应符合业务需求、访问的信息类别及已知风险。 选择，见《信息安全人员考察审批与保密管理程序》。 A.7.1.2 任用条款和条件 与员工和承包商的合同协议应当规定他们对组织的信息安全责任。 选择，见《涉密人员保密责任协议书》。 A.7.2任用中 A.7.2.1 管理职责 确保员工和合同方了解并履行他们的信息安全责任。 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。 选择，见《信息安全管理手册》与《信息安全管理体系职责描述》。 A.7.2.2 信息安全意识、教育与培训 组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训，并定期更新与他们工作相关的组织策略及程序。 选择，见《信息安全培训管理程序》。 A.7.2.3 纪律处理过程 应建立并传达正式的惩戒程序，据此对违反安全策略的员工进行惩戒。 选择，见《信息安全惩戒管理规定》。 A.7.3任用终止和变更 A.7.3.1 任用终止或变更的责任 任用终止或变更的责任 应定义信息安全责任和义务在雇用终止或变更后仍然有效，并向员工和合同方传达并执行。 选择，见《信息安全人员考察审批与保密管理程序》。 A.8资产管理 A.8.1资产的责任 A.8.1.1 资产清单 确定组织资产，并确定适当的保护责任。 应制定和维护信息资产和信息处理设施相关资产的资产清单。 选择，见《重要信息资产清单》。 A.8.1.2 资产责任人 资产清单中的资产应指定资产责任人（OWNER）。 选择，见《重要信息资产清单》。 A.8.1.3 资产的合理使用 应识别信息和信息处理设施相关资产的合理使用准则，形成文件并实施。 选择，见《信息资产管理办法》。 A.8.1.4 资产的归还 在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们使用的组织资产。 选择，见《信息资产管理办法》。 A.8.2信息分类 A.8.2.1 信息分类 确保信息资产是按照其对组织的重要性受到适当级别的保护。 应根据法规、价值、重要性和敏感性对信息进行分类，保护信息免受未授权泄露或篡改。 选择，见《重要信息资产清单》见《风险评估》。 A.8.2.2 信息标记 应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。 选择，见《信息资产分类与标识管理规定》。 A.8.2.3 资产处理 应根据组织采用的