MS00101A0.2 附件一信息安全适用性声明.xlsxVIP

ISO27001:2013信息安全管理适用性声明

条款 标题 目标/控制 适用性 标准控制措施 已有控制措施或不适用原因 相关文件及说明

文件名称 条款

A.5信息安全策略

A.5.1 信息安全的管理方向 目标 为信息安全提供管理方向和支持，并表明管理层对信息安全的承诺

A.5.1.1 信息安全策略 控制 Yes 信息安全策略集应由管理者定义、批准、发布并传达给员工和相关外部方 方针：积极预防，权限控制，快速响应，安全可靠！

方针通过新员工入职培训，海报，宣传栏等方式传达给员工和相关外部方 信息安全方针与目标颁布令

A.5.1.2 信息安全策略的评审 控制 Yes 信息安全策略应按计划的时间间隔或当重大变化发生时进行评审，以确保其持续的适宜性、充分性和有效性。 每年通过管理评审，对信息安全方针进行评审，每年进行一次评审，两次评审的间隔时间不超过12个月，当发生重大变化时增加临时性审核，确保方针的适宜性，充分性和有效性 管理评审控制程序 5.1.2

A.6信息安全组织

A.6.1 内部组织 目标 管理组织内部信息安全

A.6.1.1 信息安全角色和职责 控制 Yes 所有的信息安全职责应予以定义和分配。 建立了信息安全组织架构，并明确了架构下人员的信息安全职责 附件三组织架构图

A.6.