适用性声明(管理容).docVIP

A.5安全方针 A.5.1 信息安全方针 相关条款 控制要求与检查内容 实施的方法，或删减的正当性 A.5.1.1 信息安全方针文件 是否有信息安全方针文件？ 手册：安全方针 信息安全方针文件是否获得管理者批准、发布和传达给所有员工和相关的外方？ 手册：方针批准页 信息安全方针文件是否符合标准的要求，如是否说明管理承诺，并提出组织管理信息安全的方法？ 手册：安全方针内容 A.5.1.2信 为了确保信息安全方针持续的适宜性、充分性和有效性，是否按既定的时间间隔(或当发生重大变化时)对其进行评审？ 手册：规定方针定期评审 管评内容：评审方针 A.6信息安全的组织 A.6.1 内部的组织 相关条款 控制要求与检查内容 实施的方法，或删减的正当性 A.6 管理者是否通过清晰的方向、可证实的承诺、明确的任务，和信息安全职责的承认，来积极支持组织内的安全？ 手册：管理者承诺 A.6 信息安全活动是否由不同部门的代表协调相关工作？ 手册：“信息安全推进小组” A.6 所有的信息安全职责（包括保护各个资产的职责和执行特定安全过程的职责）是否有明确的规定？ 部门安全职责、岗位任职条件 A.6 对新信息处理设施，是否有管理授权过程？ 《信息处理设施管理规定》——3.1 授权文件：安全信息处理设施责任人授权批准书 A.6 是否所有员工都要签署一个反映组织信息保护需要的保密协议(或不泄露协议)？ 《人员管理和培训程序》——4.2员工签署保密协议 保密协议(或不泄露协议)是否得到识别和定期评审？ 《人员管理和培训程序》——4.2协议定期评审 A.6.1.6 组织是否与相关权威部门(例如，执法部门、消防部门和监管部门)保持适当的联系？ 政府部门联系清单 A.6.1. 组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系？ 利益团体联系清单 A.6 组织是否对其管理信息安全的方法与实践(即信息安全控制目标与控制措施、方针、过程和程序)，按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审？ 评审：方针、目标、措施、风险评估、内审 A.6.2 外方 相关条款 控制要求与检查内容 实施的方法，或删减的正当性 A.6. 组织的信息和信息处理设施受外方访问或管理而产生的风险，是否进行识别？ 《第三方服务提供管理规定》——3.1风险识别：外方访问 组织的信息和信息处理设施，在允许外方访问前，是否执行适当的控制措施？ 《第三方服务提供管理规定》——3.2风险控制 A.6 在允许顾客访问组织信息或资产之前，所有确定的安全要求是否得到解决？ 《第三方服务提供管理规定》——3.3访问安全要求 A.6 涉及访问、处理、交流(或管理)组织的信息或信息处理设施的第三方协议，是否涵盖所有相关的安全要求？ 第三方服务协议中安全要求 第三方：快递、网络、运输、客户、分包方、仪器设备供应方 A.7资产 A.7.1 对资产的职责 相关条款 控制要求与检查内容 实施的方法，或删减的正当性 A.7 是否所有资产都进行了识别？ 资产识别清单 是否所有重要资产都进行了登记、建立了清单文件并加以维护？ 硬件、软件、人员、网络、数据、文件 A.7 所有信息和信息处理设施相关资产，是否都有责任人？ 清单——资产的使用部门、使用区域、责任人 A.7.1 信息和信息处理设施相关资产的可接受使用规则，是否确定、形成了文件并加以实施？ 《信息资产管理规定》 A.7.2 信息分类 相关条款 控制要求与检查题 实施的方法，或删减的正当性 A.7 是否有一个信息分类指南(或分类法)？ 《信息资产管理规定》——分类方法 信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类？ 《信息资产管理规定》——资产分类原则：价值、法律要求、敏感性、关键性 A.7 信息标记与处理程序是否按照组织采用的分类法，加以开发和实施？ 分四类：一般、保密、秘密、绝密 A.8 人力资源安全 A.8.1雇用之前 相关条款 控制要求与检查内容 实施的方法，或删减的正当性 A.8 雇员、承包人和第三方用户的安全角色和职责是否按照组织的信息安全方针加以定义并形成了文件？ 《岗位职责工作程序》——信息安全相关岗位人员职责、承包人和第三方用户服协议 A.8. 对所有雇用的候选者、承包人和第三方用户，是否按照相关法律法规、道德规范、相应的业务要求、要被访问信息的类别、和已察觉的风险，进行背景验证检查？ 《人员管理和培训程序》——4.2聘用筛选 A.8.1 雇员、承包人和第三方用户是否签署了雇用合同的条款和条件，作为他们合同义务的一部分？ 《人员管理和培训程序》——4.2签署聘用合同， “雇用合同的条款和条件”是否声明雇员、承包人和第三方用户的信息安全职责？ 合同条款有信息安全责任要求 A.8.2 雇用期间 相关条款 控