信息安全管理手册-信息安全 适用性声明20250311.xlsxVIP

秘密

信息安全适用性声明2025（V3.0）

ISO27001要求 标准控制措施要求 适用性 选择/删除理由 公司的控制措施 对应文件 责任部门

章节号 章节条款 适用 不适用

A.5.1 信息安全策略 信息安全策略和特定主题的策略应由管理层定义、批准、发布、传达给相关人员和相关利益方，并由其确认，如果发生重大变化，应按计划的时间间隔进行审查。 √ 信息安全管理需求 最高管理者制定《信息安全管理策略》，为信息安全管理提供管理方向,将信息和资产控制在安全水平,保证信息安全在整个组织内得到有效贯彻执行｡ 《信息安全管理策略》

每年管理评审或发生重大变化时对《信息安全管理策略》的持续适宜性、充分性和有效性进行评价，必要时进行修订。 《管理评审控制程序》

A.5.2 信息安全角色和责任 应根据组织需要定义和分配信息安全角色和职责。 √ 信息安全管理需求 公司在信息安全管理手册_职责和权限中，明确了信息安全职责。本公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。 《信息安全管理手册》

[职能与权限]

A.5.3 职责分离 相互冲突的职责和相互冲突的责任范围应分离。 √ 信息安全管理需求 信息系统管理职责与操作职责分离；信息安全审核具有独立性。 《信息安全管理策略》

A.5.4 管理层责任 管理层应要求所有人员按照组织制定的信息安全策略、特定主题的策略和程序应用信息安全。 √ 信息安全管理需求 公司根据业务要求，明确本部门的关键工作岗位及任职要求并依据建立的方针和程序来执行。 《人力资源控制程序》

人力资源部负责制定《年度培训计划》，所有的新员工，适当时还包括合作方和第三方用户，都接受适当的信息安全意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新情况。 《培训管理制度》

违背组织安全方针和程序的员工，公司将根据《员工奖惩制度》中违反程度及造成的影响进行处罚，处罚在安全破坏经过证实地情况下进行，对于影响严重的，可解除劳动合同并依法追究法律责任。 《员工奖惩制度》

A.5.5 与职能机构的联系 应维护相关职能机构的适当联系。 √ 信息安全管理需求 公司建立《信息安全沟通管理程序》，详细说明由谁何时与权威机构（如法律仲裁部门、消防部门、信息安全监管机构）联系，以及怎样识别应该及时报告的可能会违背法律的信息安全事件。 《信息安全沟通管理程序》

A.5.6 与特定相关方的联系 应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。

√ 信息安全管理需求 公司就计算机信息及通信网络安全问题与服务提供部门（认证机构、咨询机构、信息安全机构）保持联系。以确保和在出现安全事故时尽快采取适当的行动和取得建议。交流确保敏感信息不外传。

信息管理部注册安全网站绑定邮箱如有安全事件通过邮件及时反馈。 《信息安全沟通管理程序》

A.5.7 威胁情报 应收集并分析与信息安全威胁相关的信息，以产生威胁情报。 √ 信息安全管理需求 内部威胁：公司定期使用工具如：IDS、IPS漏洞扫描发现威胁情况。外部威胁：供应商定期提供新的威胁情报，在安全网站注册邮箱有新威胁或者事件邮件通知。 《威胁情报管理制度》

A.5.8 项目管理中的信息安全 信息安全应融入项目管理中。 √ 信息安全管理需求 各部门针对不同的项目建立项目组，开通相应的配置管理权限；人员离职或调岗，则变更其权限；研发人员安装加密客户端，项目核心资料加密。

在进行新系统建设或系统更新时，首先应对系统进行分析，根据业务功能要求及信息安全要求，明确规定控制要求。系统（软件）本身的功能及安全特性应在设计开发输入时应明确提出，并进行评审。 《信息安全管理策略》

《软件开发工作流程》

《系统管理制度》

各部门的开发过程控制程序和配置管理程序

A.5.9 信息和其他相关资产清单 应编制和维护信息和其他相关资产清单，清单中应包含所有者。 √ 信息安全管理需求 各部门按《信息安全风险评估控制程序》对影响到本公司经营、服务和日常管理的重要业务系统以及涉及资产进行识别。并建立和保持一份重要资产清单。

资产识别中，对与信息处理设施有关的所有信息和资产确定资产负责人，确定对资产分类、确定访问授权。 《信息安全风险评估控制程序》

A.5.10 信息和其他相关资产的可接受使用 应确定、记录和实施信息和其他相关资产的可接受使用规则和处理程序。 √ 信息安全管理需求 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。

对识别信息处理设施的使用要求和限制，必要时制定文件化的使用规则（操作手册或说明书），并确保所有的使用者了解和遵守设备的使用要求和限制。使用