安全适用声明SOA-v..pdf

是否 标准条款 控制措施 相关文件 适用 A.5 安全方针 A.5.1 信息安全方针 目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。 信息安全方针文 信息安全方针文件应由管理者批准、发布并传达给 方针内容：满足客户要求，实施风险管 A.5.1.1 YES 《信息安全管理手册》 件 所有员工和外部相关方。 理，确保信息安全，实现持续改进。 应按计划的时间间隔或当重大变化发生时进行 应每年在管理评审时或当重大变化发生 信息安全方针 A.5.1.2 信息安全方针评审，以确保它持续的适宜性、 YES 时进行信息安全方针评审，以确保它持 《信息安全管理手册》 的评审 充分性和有效性。 续的适宜性、充分性和有效性。 A.6 信息安全组织 A.6.1 内部组织 目标：在组织内管理信息安全。 管理者应通过清晰的说明、可证实的承诺、明确的 信息安全的管理 通过制定方针、目标、提供资源等方式 A.6.1.1 信息安全职责分配及确认，来积极支持组织内的安 YES 《信息安全管理手册》 承诺 以积极支持组织内的安全。 全。 信息安全活动应由来自组织不同部门并具备相关角 制定了组织内的信息安全管理组织架 A.6.1.2 信息安全协调 YES 《信息安全管理手册》 色和工作职责的代表进行协调。 构，并有来自各个部门的代表参加。 信息安全职责的 对信息安全管理组织架构的人员职责进 A.6.1.3 所有的信息安全职责应予以清晰地定义。 YES 《信息安全管理手册》 分配 行了明确的定义。 1.新信息处理设施上线前，应指定系统 的管理者。 信息处理设施的 《设备管理规定》 A.6.1.4 新信息处理设施应定义和实施一个管理授权过程。 YES 2.新信息处理设施的上线，将被视为一 授权过程 《变更管理规定》 次信息系统的变更，遵循信息系统的变 更流程。 应识别并定期评审反映组织信息保护需要的保密性 对所有涉密岗位员工，均要求签订保密 A.6.1.5 保密性协议 YES