适用性声明
编号:ISMS-P-2001 编写: 审核: 批准: 发布版次:第A/0版 生效日期 分发:各部门(或XXX) 状态:受控 200X年XX月XX日 200X年XX月XX日 200X年XX月XX日 200X年XX月XX日 200X年XX月XX日 接受部门: ISMS- 2001
变 更 记 录
变更日期 2009-XX-XX 版本 A/0 变更说明 初始版本 编写 XXX 审核 XXX 批准 XXX XXXXXX有限公司 第2页 共33页
ISMS- 2001
目 录
1 目的与范围 ................................................................................................................................... 4 2 相关文件 ....................................................................................................................................... 4 3 职责............................................................................................................................................... 4 4 声明............................................................................................................................................... 4 A.5安全方针 .................................................................................................................................... 5 A.6安全组织 .................................................................................................................................... 5 A.7资产管理 .................................................................................................................................... 8 A.8人力资源安全 ............................................................................................................................ 9 A.9实物与环境安全 ...................................................................................................................... 11 A.10通信和操作管理 .................................................................................................................... 14 A.11访问控制 ................................................................................................................................ 20 A.12信息系统获取、开发和维护 ................................................................................................ 25 A.13信息安全事件管理 ................................................................................................................ 28 A.14业务持续性管理 .................................................................................................................... 29 A.15符合性 .................................................................................................................................... 31
XXXXXX有限公司 第3页 共33页
ISMS- 2001
信息安全适用性声明
1 目的与范围
本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2 相关文件
ISMS-1001《信息安全管理手册》
3 职责
《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。
4 声明
本公司按GB/T 22080-2008 idt ISO/IEC27001:2005建立信息安全管理体系。 根据公司风险评估的结果和风险可接受水平,GB/T 22080-2008 idt ISO/IEC27001:2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系,共删除X条控制措施。
XXXXXX有限公司 第4页 共33页
ISMS- 2001
A.5安全方针
标准 条款号 A.5.1
标 题 目标/ 控制 目标 控制 是否 选择 YES YES 选择理由 控制描述 相关文件 为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。 信息安全管理实施的需要。 信息安全方针由公司总经理制定,在《信息安全管理手册》中描述,由公司总经理批准发布。通过培训、发放《信息安全管理手册》等方式传达到每一员工。采用张贴布告于宣传栏、网站等形式传达到各主管部门、客户群等外部相关方。 ISMS-1001《信息安全管理手册》 信息安全方针 A.5.1.1 信息安全方针文 件 A.5.1.2 评审与评价 控制 YES 确保方针持续的适宜性。 每年利用管理评审对方针的适宜性进行评价,必要时对方针进行修订。 ISMS-P-2004《管理评审控制程序》 A.6安全组织
标准 条款号 A.6.1 标 题 内部组织 目标/ 控制 目标 控制 是否 选择 YES YES 选择理由 建立一个有效的信息安全管理组织机构。 确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。 公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。会议主要议题包括: a) 评审信息安全承诺; b) 确认风险评估的结果; c) 对与信息安全管理有关的重大更改事项,如组织机构调整、ISMS-1001《信息安全管理手册》 控制描述 相关文件 A.6.1.1 信息安全管理承 诺 XXXXXX有限公司 第5页 共33页
ISMS- 2001
关键人事变动、信息系统更改等,进行决策; e) 评审与处理重大信息安全事故; f) 审批与信息安全管理有关的其他重要事项。 A.6.1.2 信息安全的协调 A.6.1.3 信息安全职责的 分配 控制 控制 YES YES 公司涉及信息安全部门众多,组织机构复杂,需要一个有效沟通与协调机制。 保持特定资产和完成特定安全过程的职责需确定。 公司成立信息安全管理协调小组,由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。 对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。 公司设立信息安全管理者代表,全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。 与ISMS有关各部门的信息安全职责在《信息安全管理手册》中予以描述,关于具体的信息安全活动的职责在程序及作业文件中予以明确。 A.6.1.4 信息处理设施的 授权程序 控制 YES 本公司有新信息处理设备(设施)使用时,实施使用授权程序。 对各自负责管理的信息系统,根据使用者需求提出新设施(包括软件)的采购技术规格,由XXX部进行技术选型,并组织验收,确保与原系统的兼容。 明确信息处理设施的使用部门接受新设施的信息安全负责人为XXX部,XXX部人员需要讲解新设施的正确使用方法。 A.6.1.5 信息安全保密性 协议 控制 YES 为更好掌握信息安全的技术及听取安全方面的有意建议,需与内外部经常访问我公司信息处理设施的人员订立保密性本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员(合同方、临时员工)的安全考察与控制。 a) 保密信息的形式:标明“秘密”、“受控”字样的资料,以及相关的文件、数据、分析报告、算法、样品、实物、规格说ISMS-P-2020《密级控制程序》 ISMS-P-2010《信息处理设备管理程序》 有关信息安全管理委员会会议记协调小组每季度召开一次协调会议(特殊情况随时召开会议),录(会议纪要) XXXXXX有限公司 第6页 共33页
ISMS- 2001
协议。 明软盘等,未标明“秘密”、“受控”字样的即为公开文件; b) 乙方仅能够在甲方规定的范围内使用保密信息、或者向甲方书面认可的第三方披露甲方认可可披露范围内的保密信息; c) 乙方不得向其他任何第三方披露任何从甲方处收到或合法获知的保密信息。 A.6.1.6 与政府部门的联 系 控制 YES 与法律实施部门、标准机构等组织保持适当的联系是必须的,以获得必要的安全管理、标准、法律法规方面的信息。 XXX部就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系,其他部门与相应的政府职能部门及社会服务机构保持联系,以便及时掌握信息安全的法律法规,及时获得安全事故的预防和纠正信息,并得到相应的支持。 信息安全交流时,确保本公司的敏感信息不传给未经授权的人。 ISMS-1001《信息安全管理手册》 XXXX A.6.1.7 与特定利益团体 的联系 控制 YES 为更好掌握信息安全的新技术及安全方面的有益建议,需获得内外部信息安全专家的建议。 本公司设内部信息安全顾问,必要时聘请外部专家,与特定利益群体保持沟通,解答有关信息安全的问题。顾问与专家名单由本公司信息安全委员会提出,管理者代表批准。 内部信息安全顾问负责: a) 按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议; b) 收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员; c) 必要时,参与信息安全事故的调查工作。 《信息安全内部顾问名单和信息安全外部专家名单》 A.6.1.8 信息安全的独立 评审 控制 YES 为验证信息安全管理体系实施的有效性及符合性,公司定期进行内部审核,审核需要客观公正性。 信息安全管理体系的内部审核员由有审核能力和经验的人员组成(包括IT方面的专家),并接受ISMS内部审核员培训且考评合格。内部审核员在现场审核时保持审核的独立性,并不审核自己的工作。内审员获得授权,在审核期间不受行政的领导的限制,直接对审核组长负责。 ISMS-P-2003《内部审核管理程序》 XXXXXX有限公司 第7页 共33页
ISMS- 2001
A.6.2 外部各方 目标 控制 YES YES 识别外部各方访问、处理、管理、通信的风险,明确对外部各方访问控制的要求,并控制外部各方带来的风险。 本公司存在诸如设备供应商来公司维修设备、顾客访问公司信息网络系应采取必要的安全措施进行控制。 第三方物理访问须经公司被访问部门的授权,进入工作区应进行登记。公司与长期访问的第三方签订保密协议。 访问特别安全区域时由专人陪同,具体执行《物理访问控制程ISMS-P-2011《物理访问控制程序》 ISMS-P-2012《用户访问控制程序》 A.6.2.1 与外部各方相关 风险的识别 统等第三方访问的情况,序》。 第三方逻辑访问,按照《用户访问控制程序》要求进行控制。 A.6.2.2 处理与顾客有关 的安全问题 控制 YES 在正式的合同中规定必公司与长期访问的顾客签订保密协议,明确规定信息安全要ISMS-P-2011《物理访问控制程序》 ISMS-P-2012《用户访问控制程序》 要的安全要求是必须的。 求,顾客方访问同样适用物理、逻辑访问控制措施。 A.6.2.3 处理第三方协议 中的安全问题 控制 YES 与本公司存在相关服务主要有XXXXXX、XXX。 公司外包责任部门识别外包活动的风险,明确外包活动的信息安全要求,在外包合同中明确规定信息安全要求。 ISMS-P-2010《信息处理设备管理程序》 A.7资产管理
标准 条款号 A.7.1 标 题 资产责任 目标/ 控制 目标 控制 是否 选择 YES YES 选择理由 控制描述 相关文件 对本公司重要信息资产(包括顾客要求保密的数据、软件及产品)进行有效保护。 公司需建立重要资产清单并实施保护。 XXX部按照ISMS-P-2002《信息安全风险评估管理程序》组织各部门按业务流程识别所有信息资产,根据重要信息资产判断准则确定公司的重要信息资产,《重要信息资产清单》,并明确资产负责人。 ISMS-P-2002《信息安全风险评估管理程序》 《重要信息资产清单》 A.7.1.1 资产清单 A.7.1.2 资产负责人 控制 YES 需要对重要信息处理设施有及重要信息指定责XX部组织相关部门依据ISMS-P-2002《信息安全风险评估管理程序》指定资产负责人。 ISMS-P-2002《信息安全风险评估管理程序》 XXXXXX有限公司 第8页 共33页
ISMS- 2001
任人。 A.7.1.3 资产的可接受使用 控制 YES 识别与信息系统或服务相关的资产的合理使用规则,并将其文件化,予以实施。 A.7.2 信息分类 目标 控制 YES YES 制定相应的业务系统应用管理制度,重要设备有使用说明书,规定了资产的合理使用规则。使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用,以及发生在其责任下的使用负责。 本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护。 本公司的信息安全涉及信息的敏感性,适当的分类控制是必要的。 控制 YES 按分类方案进行标注并规定信息处理的安全的要求。 本公司的信息密级划分为:公开信息、受控信息、企业秘密三级。 ISMS-P-2020《密级控制程序》 不同密级事项的界定,由涉及秘密事项产生部门按照ISMS-P-2020《密级控制程序》规定的原则进行。 对于属于企业秘密与国家秘密的文件(无论任何媒体),密级确定部门按《密级控制程序》的要求进行适当的标注;公开信息不需要标注,其余均标注受控或秘密。 信息的使用、传输、存储等处理活动要进行控制。 ISMS-P-2020《密级控制程序》 ISMS-P-2010《信息处理设备管理程序》 A.7.2.1 分类指南 A.7.2.2 信息的标识和处 理 A.8人力资源安全
标准 条款号 A.8.1 标 题 任用之前 目标/ 控制 目标 是否 选择 YES 选择理由 控制描述 相关文件 对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。 A.8.1.1 A.8.1.2 角色和职责 控制 YES 与信息安全有关的人员的安全职责必须明确规定并履行。 XX部负责组织各部门在各岗位描述中明确规定每个员工在信息安全方面应履行的职责。 所有员工须遵守公司有关信息安全管理的规章制度,保守本公司秘密(包括顾客秘密)与国家秘密。 《工作岗位说明书》 审查 控制 YES 通过人员考察,防止人员XX部负责对初始录用员工进行能力、信用考察,每年对关键ISMS-P-2037《信息安全人员考察XXXXXX有限公司 第9页 共33页
ISMS- 2001
A.8.1.3 带来的信息安全风险。 信息安全岗位进行年度考察,对于不符合安全要求的不得录用或进行岗位调整。 与保密管理程序》 任用条款和条件 控制 YES 履行信息安全保密协议是雇佣人员的一个基本条件。 在《劳动合同》中明确规定保密的义务及违约的责任。 《劳动合同》 A.8.2 聘用期间 控制 YES 确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,并且减少人为错误的风险。 A.8.2.1 管理职责 控制 YES 缺乏管理职责,会使人员意识淡薄,从而对组织造成负面安全影响。 公司管理者要求员工、合作方以及第三方用户加强信息安全意识,依据建立的方针和程序来应用安全,服从公司管理,当有其他的管理制度与信息安全管理制度冲突时,首选信息安全管理制度执行。 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.8.2.2 A.8.2.3 信息安全教育和培训 控制 YES 安全意识及必要的信息系统操作技能培训是信与 ISMS有关的所有员工,有关的第三方访问者,应该接受安全意识、方针、程序的培训。方针、程序变更后应及时传达到全意识的提高与有能力胜任所承担的信息安全工作。 《教育培训规程》 息安全管理工作的前提。 全体员工。XX部通过组织实施《教育培训规程》,确保员工安纪律处理过程 控制 YES 对造成安全破坏的员工应该有一个正式的惩戒过程。 违背组织安全方针和程序的员工,公司将根据违反程度及造成的影响进行处罚,处罚在安全破坏经过证实地情况下进行。处罚的形式包括精神和物质两方面。 《信息安全奖励、惩戒管理规定》 A.8.3 聘用中止或变化 目标 控制 YES YES 确保员工、合作方以及第三方用户以一种有序的方式离开公司或变更聘用关系。 A.8.3.1 终止职责 执行工作终止或工作变化的职责应清晰的定义和分配。 在员工离职前和第三方用户完成合同时,应进行明确终止责任的沟通。再次沟通保密协议和重申是否有竞业禁止要求等。 《劳动合同》 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.8.3.2 资产归还 目标 YES 所有员工、合作方以及第三方用户应该在聘用期员工离职或工作变动前,应办理资产归还手续,然后方能办理移交手续。 ISMS-P-2037《信息安全人员考察与保密管理程序》 XXXXXX有限公司 第10页 共33页
ISMS- 2001
限、合同或协议终止时归还所负责的所有资产。 A.8.3.3 解除访问权 目标 YES 对所有员工、合作方以及第三方用户对信息和信息处理设施的访问权限进行管理。 员工离职或工作变动前,应解除对信息和信息处理设施访问权限,或根据变化作相应的调整。 ISMS-P-2037《信息安全人员考察与保密管理程序》 A.9物理与环境安全
标准 条款号 A.9.1 A.9.1.1 标 题 安全区域 物理安全周边 目标/ 控制 目标 控制 是否 选择 YES YES 选择理由 控制描述 相关文件 防止未经授权对业务场所和信息的访问、损坏及干扰,防止保密制品丢失或被盗。 本公司有包含重要信息处理设施的区域和储存重要信息资产及保密制品的区域,如开发办公室、机柜所在地应确定其安全周界,并对其实施保护。 本公司安全区域分为一般区域、普通安全区域和特别安全区域。ISMS-P-2011《物理访问控制程特别安全区域包括数据存储机房、配电房;普通安全区域包括开洽谈室、公共会议室、接待室、员工休息区为一般区域。 保密文件存放于带锁的柜子里。 序》 发部办公室、管理中心、档案室、其他办公区域;大堂、杂物室、 A.9.1.2 A.9.1.3 物理进入控制 控制 YES 安全区域进入应经过授权,未经授权的非法访问会对信息安全构成威胁。 外来人员进入公司区域要进行登记。 进入特别安全区域须被授权,进出有记录。 员工加班也需登记。 本公司制定《物力访问控制程序》,避免出现对办公室、房间和设施的未授权访问。另外,对特别安全区域内的办公室和设施进行必要的控制,以防止火灾、盗窃或其它形式的危害,这些控制ISMS-P-2011《物理访问控制程临时访问的第三方应在接待部门同意后,经前台登记可以进入。序》 办公室、房间和设施的安全 控制 YES 对安全区域内的办公室、房间和设施应有特殊的安全要求。 ISMS-P-2011《物理访问控制程序》 XXXXXX有限公司 第11页 共33页
ISMS- 2001
当有紧急自然灾害发措施包括: b) 房间装修符合消防安全的要求; c) 易燃、易爆物品严禁存放在安全区域内,并与安全区域保持一定的安全距离; d) 办公室或房间无人时,应关紧窗户,锁好门; e) 防雷击设施由大厦物管每年检测一次。 生,则需要提前示警。 a) 大厦配备有一定数量的消防设施; A.9.1.4 外部和环境威胁的安全保护 控制 YES 加强公司物理安全控制,防范火灾、水灾、地震,以及其它形式的自然或人为灾害。 机房设备安装在距墙、门窗有一定距离的地方。并具有防范火灾、ISMS-P-2011《物理访问控制程水灾、雷击等自然、人为灾害的安全控制措施。 序》 A.9.1.5 在安全区域工作 控制 YES 在安全区域工作的人员只有严格遵守安全规则,才能保证安全区域安全。 处理敏感信息的设备不易被窥视。除非在公司设立的专门吸烟室外,其他任何地方禁止吸烟。 公司建立ISMS-P-2011《物理访问控制程序》等制度,明确规定员工在有关安全区域工作的基本安全要求,并要求员工严格遵守。 ISMS-P-2011《物理访问控制程序》 A.9.1.6 A.9.2 A.9.2.1 公共访问、交接区安全 控制 YES 对特别安全区域,禁止外来人员直接进入传送物资是必要的。 公司外的饮水送水人员、邮件投递人员在送水、投递过程中,不得进入普通办公室和特别安全区域。 未经授权,不允许外来人员直接进入特别安全区域提供物资。可先存放于前台或接待室,再由行政专员搬进,以防止未经授权的访问。 ISMS-P-2011《物理访问控制程序》 设备安全 设备的安置和保护 目标 控制 YES YES 防止资产的损失、损坏或丢失及业务活动的中断。 设备存在火灾、吸烟、油污、未经授权访问等威胁。 设备使用部门负责对设备进行定置管理和保护。为降低来自环境a) 设备的定置,要考虑到尽可能减少对工作区不必要的访问; b) 对需要特别保护的设备加以隔离; 《机房、专用平台管理制度》 威胁和危害的风险,减少未经授权的访问机会,特采取以下措施: XXXXXX有限公司 第12页 共33页
ISMS- 2001
A.9.2.2 支持性设施 控制 YES 供电中断或异常会给信息系统造成影响,甚至影响正常的生产作业。 A.9.2.3 布缆的安全 控制 YES 通信电缆、光缆需要进行正常的维护,以防止侦听和损坏。 A.9.2.4 设备维护 控制 YES 设备保持良好的运行状态是保持信息的完整性及可用性的基础。 A.9.2.5 组织场所外的设备安全 控制 YES 本公司有笔记本电脑移动设备,离开公司办公场所应进行控制,防止其被盗窃、未经授权的访问等危害的发生。 A.9.2.6 设备的安全处置或再利用 A.9.2.7 资产的迁移 控制 YES 控制 YES 对本公司储存有关敏感信息的设备,对其处置时应彻底清除。 设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。 c) 采取措施,以尽量降低盗窃、火灾、爆炸、吸烟、灰尘、震动、化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险; d) 禁止在信息处理设施附近饮食、吸烟。 大楼物业提供供电双回路线路,确保不间断供电。由XX部负责定期监督。 ISMS-P-2010《信息处理设备管理程序》 XX部按照《信息处理设施维护管理程序》对传输线路进行维护,ISMS-P-2010《信息处理设备管防止线路故障。通信电缆与电力电缆分开铺设,防止干扰。 理程序》 计算机信息网络系统设备及用户计算机终端(包括笔记本电脑)ISMS-P-2010《信息处理设备管由XX部按照《信息处理设备管理程序》进行维护。 笔记本电脑在离开规定的区域时,经过部门领导授权并对其进行严格控制,防止其丢失和未经授权的访问,具体按照《信息系统硬件管理规定》执行。 《信息系统硬件管理规定》 理程序》 含有敏感信息的设备在报废或改作他用时,由使用部门用安全的处置方法,将设备中存储的敏感信息清除并保存清除记录。 ISMS-P-2010《信息处理设备管理程序》 重要信息设备、保密信息的迁移应被授权,迁移活动应被记录。 ISMS-P-2010《信息处理设备管信息处理设施(网络设备及计算机终端)的迁移控制执行《信息处理设备管理程序》。 理程序》 XXXXXX有限公司 第13页 共33页
ISMS- 2001
A.10通信和操作管理
标准 条款号 A.10.1 A.10.1.1 A.10.1.2 标 题 操作程序和职责 文件化作业程序 变更管理 目标/ 控制 目标 控制 控制 是否 选择 YES YES YES 选择理由 确保信息处理设备的正确和安全使用。 标准规定的文件化程序要求必须予以满足。 未加以控制的系统更改会造成系统故障和安全故障。 A.10.1.3 责任分割 控制 YES 管理员与操作员职责应予以分配,以防止未授权的更改及误用信息或服务。 A.10.1.4 开发、测试和运行设施分离 A.10.2 A.10.2.1 第三方服务交付管理 服务交付 控制 控制 YES YES 控制 YES 开发与操作设施应分离,以防止不期望的系统的更改或未授权的访问。 执行并保持与第三方服务交付协议相一致的信息安全和服务交付等级。 检查协议的执行情况,监控其符合性并控制相应的变化,以确保交付的服务满足第三方协议中的所有要求。 确保在第三方协议中规定的安全控制、服务的交付等级。 对第三方的服务的交付,包括协议规定的安全安排、服务定义以及服务管理等方面进行管理和验收。确保第三方保持充分的服务能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务交付的连贯性。 A.10.2.2 第三方服务的控制 YES 第三方提供的服务、报告我公司有专门的人员跟踪管理第三方服务,确保第三方分配的《外包方控制办法》 《外包方控制办法》 本公司按照信息安全管理要求,对通信和操作建立规范化的操作。 对信息处理设施、软件等方面的更改实施严格控制。在更改前并采取必要的措施确保不成功更改的恢复。 为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配: a) 网络管理系统管理职责与操作职责分离; b) 信息安全审核具有独立性。 XX部是在一个独立的开发与测试环境中开发软件,并与作业ISMS-P-2014《系统开发与维护控ISMS-P-2012《用户访问控制程序》 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2008《更改控制程序》 控制描述 相关文件 评估更改所带来的潜在影响,正式更改前履行更改审批手续, 设施分离。研发和测试设备分离。操作系统管理员与用户分离。 制程序》 XXXXXX有限公司 第14页 共33页
ISMS- 2001
监控和评审 以及记录应定期监控和职责符合协议要求。对协议要求,特别是安全要求的符合性进与第三方签订的合同 审核,并定期进行评价。 行监控得到充分可用的资源和技术技能支持。 A.10.2.3 第三方服务的变更管理 控制 YES 对服务提供的更改进行管理,包括保持和改进现有的信息安全方针、程序和控制,要考虑业务系统的关键程度、所涉及的过程以及风险的再评估。 A.10.3 A.10.3.1 A.10.3.2 系统验收 控制 YES 系统规划和验收 容量管理 目标 控制 YES YES 使系统故障风险最小化。 为避免因系统容量不足导致系统故障,必须监控容量需求并规划将来容量。 对新的信息系统、系统升级或使用新版本的活动,建立接受标准和在接受之前进行系统测试。 A.10.4 A.10.4.1 防范恶意软件 恶意代码的控制 目标 控制 YES YES 保护软件和信息的完整性。 恶意软件的威胁是客观存在的,特别是本公司许多电脑终端可以访问Internet互联网。 IT部为控制恶意软件的主管部门,负责提供防范恶意软件的技术工具并对技术工具进行实时升级,各部门具体负责本部门的恶意软件预防控制工作。 a) 技术工具的应用及其升级要求; b) 查杀病毒的周期; c) 预防恶意软件意识培训; d) 预防恶意软件的一般要求; ISMS-P-2029《恶意软件控制程序》 XX部负责对信息网络系统的容量(CPU利用率、内存和硬盘空间大小、传输线路带宽)需求进行监控,并对将来容量需求进行策划,适当时机进行容量扩充。 新系统、系统升级接收前,系统验收部门明确接收准则 ,经测试合格后方可正式运行,并保存测试记录及验收报告。 ISMS-P-2014《系统开发与维护控制程序》 ISMS-P-2014《系统开发与维护控制程序》 对第三方服务更改的管理过程需要考虑: a) 组织的更改,包括加强当前提供的服务,开发新应用程序和系统,修改和更新方针及程序,解决信息安全事件,提高安全性的新控制。 b) 第三方服务的更改,包括更改和加强网络,使用新技术,更改服务设施的物理位置,更改供应商。 ISMS-P-2008《更改控制程序》 《外包方控制办法》 XX部负责办公管理系统、电话/网络通讯与办公系统的验收。 XXXXXX有限公司 第15页 共33页
ISMS- 2001
A.10.4.2 移动代码的控制 控制 YES 移动代码的控制是有效避免系统、网络或应用资源以及信息安全的其他方面未授权应用或破坏的基础。 A.10.5 A.10.5.1 A.10.6 A.10.6.1 网络安全管理 网络控制 目标 控制 YES YES 备份 信息备份 目标 控制 YES YES e) 对重要系统的防范恶意软件的特殊要求; f) 发生恶意软件的侵害应急措施。 授权使用移动代码时,配置应该确保已授权移动代码的运行符合明确定义的安全方针,未经授权的移动代码应该被阻止执行。 ISMS-P-2029《恶意软件控制程序》 保持信息处理和通信服务的完整性和可用性。 必须对重要信息和软件定期备份,以防止信息和软件的丢失和不可用,及支持业务可持续性。 本公司根据风险评估的结果对重要数据库、软件等进行备份。ISMS-P-2009《重要信息备份管理XX部为全公司信息备份提供技术支持,各部门按照《重要信息备份管理程序》要求进行备份。 程序》 为保持对网络中的信息及支持性设施进行有效保护 本公司已建立设计、制造应用系统和各种管理应用系统,网络结构简单,实施网络控制是必须的,目前采用设计部门的内部网与办公系统的外部网络物理隔离的方式。 本公司网络安全控制措施包括: a)对财务网络与研发网络物理隔离; b)对研发网络与互联网物理隔离; c)对网络设备定期维护; d)对防火墙、交换机等实施安全配置管理; e)对用户访问网络实施授权管理; f)实施有效的安全策略; g)对系统的变更进行严格控制; h)对网络的运行情况进行监控; i)对网络设备的变更进行控制; j)对网络系统管理与操作人员的管理。 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2008《更改控制程序》 A.10.6.2 网络服务的安全 控制 YES 明确规定网络服务安全属性是实施网络安全管XX部根据组织的安全策略,识别现有的网络服务,明确规定网络服务安全属性值,由授权的网络系统安全管理员进行参数ISMS-P-2010《信息处理设备管理程序》 XXXXXX有限公司 第16页 共33页
ISMS- 2001
A.10.7 A.10.7.1 A.10.7.2 介质处置 目标 可移动介质的管理 控制 YES YES 理的需要。 配置与维护管理。 ISMS-P-2008《更改控制程序》 为防止资产损坏和业务活动中断,根据媒体(包括产品)所储存的信息的敏感性或重要性进行适当的保护,安全处置,确保因媒体不当造成信息泄露事故发生。 本公司存在含有敏感信息的磁盘、磁带、光盘、可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告,各部门按其管理权限并根据风险评估的结果对其实媒体移动的记录予以保持。 《信息系统硬件管理规定》 打印报告等可移动媒体。 施有效的控制。 介质的处置 控制 YES 当介质不再需要时,必须对含有敏感信息的媒体采用安全的处置办法。 对于含有敏感信息或重要信息的介质在不需要或再使用时,介质处置部门按照《信息系统硬件管理规定》的要求,采取安全可靠处置的方法将其信息清除。 为保护敏感信息不会因未经授权处理而造成泄漏或滥用,本公传输、使用、贮存、处理等活动的安全要求。 本公司与信息安全有关的系统文件包括: a)系统操作手册; b)关键商业作业流程; c)网络系统拓扑结构图; d)访问授权说明书及授权登记表; e)ISMS体系文件; f)监视系统网络图; g)其它系统文件。 《信息系统硬件管理规定》 A.10.7.3 A.10.7.4 信息处置程序 控制 YES 对信息的处理与贮存采取适当的控制方法,避免滥用或泄密的威胁。 ISMS-P-2020《密级控制程序》 司在《密级控制程序》等文件中明确规定对敏感信息的复制、 系统文件的安全 控制 YES 系统文件存在非授权访问威胁。 ISMS-P-2020《密级控制程序》 ISMS-P-2005《文件和资料管理程序》 《信息系统硬件管理规定》 A.10.8 A.10.8.1 信息交换 信息交换策略和程序 目标 控制 YES YES 明确信息和软件交换的控制目标,保护信息在交换时发生丢失、更改和误用现象。 本公司存在与其他组织进行信息与软件交换的活动。 XX部在与顾客进行产品(设计)数据、测试程序等数据与软件交换的过程中采用以下的安全控制措施: a) 签订安全保密协议; b) 如果顾客有要求,采用加密方式传输数据; 《外包方控制办法》 XXXXXX有限公司 第17页 共33页
ISMS- 2001
c) 由授权人员接收并登记。 A.10.8.2 交换协议 控制 YES A.10.8.3 物理介质的传送 控制 YES 建立并遵守相应的协议,以保护被传输的信息和物理介质的安全。 本公司存在如文件、技术资料等信息介质传送及保密制品的运输活动,确定安全的传送方法是必要的。 A.10.8.4 A.10.8.5 业务信息系统 控制 YES 电子邮件安全 控制 YES 本公司有企业邮箱,员工可采用电子邮件方式进行信息交换,公司与外部客户通过电子邮件进行安全交换时进行了安全控制。 本公司各系统间存在信息交流。 本公司建立的办公自动化是以单机为基础,不存在业务的交互式连接,对其控制依赖人员的意识和经验技能,其中纸质文件按照密级和文件管理程序加以控制,减少信息的泄露及越权滥用。 A.10.9 A.10.9.1 A.10.9.2 A.10.9.3 A.10.10 电子商务服务 电子商务 在线交易 公共可用信息 监视 目标 控制 控制 控制 目标 YES NO NO YES YES 确保电子商务服务的安全及其安全使用。 本公司不涉及电子商务,本控制措施不适用。 本公司不涉及在线交易,本控制措施不适用。 在公共可用系统中可用信息的完整性应受保护,以防止未授权的修改。 探测未经授权的信息处理活动。 ISMS-P-2020《密级控制程序》 在与顾客进行数据与软件交换的过程中签订相关的安全控制协议: 明确双方的安全责任与安全交接方式; 如果有要求,采用加密方式传输数据。 为避免被传送的介质在传送(运输)过程中发生丢失、未经授权的访问或毁坏,造成信息的泄露、不完整或不可用,负责介质(包括保密产品的运输)传送的部门采用以下方法进行控制: a) 选择适宜的安全传送方式,对保密产品运输供方进行选择与评价,并与之签订保密协议; b) 保持传送活动记录。 基于业务及管理的需要,及减少企业秘密被泄露与防范计算机病毒的原则,本公司建立了电子邮件安全使用的策略,并将该策略传达到所有员工予以执行。 本公司有内部电子邮件系统,只有授权的用户履行审批手续才可以使用。 《信息安全奖励、惩戒管理规定》 《电邮电话管理规定》 《外包方控制办法》 与外部方签订的合同或协议 XXXXXX有限公司 第18页 共33页
ISMS- 2001
A.10.10.1 审计记录 控制 YES 为访问监测提供帮助,建立事件记录(审核日志)是必须的。 公司信息安全范围边境监控是外包的。公司内部监控是由专人进行出入登记。 公司所有的信息处理设施其日志处于打开状态,做审计时的证据。 《系统日常点检业务手册》 ISMS-P-2010《信息处理设备管理程序》 A.10.10.2 监视系统的使 用 控制 YES 建立监控程序并对监控结果评审是预防事故发生的重要手段。 监控部门按照规定周期对对监控结果进行评审,确保用户只执行被明确授权的活动。发现异常事件应采取必要的措施并实施。 实施控制,防止对日志记录设施的未经授权的更改和出现操作问题. 《系统逻辑访问管理制度》 A.10.10.3 日志信息的保 A.10.10.4 管理员和操作 员日志 护 控制 YES 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 ISMS-P-2010《信息处理设备管理程序》 《系统日常点检业务手册》 控制 YES 应记录系统管理员和系统操作员的活动。 管理员和操作员的日志应该包括: a) 事情(成功或失败)发生的时间; b) 事情的有关信息(如:操作的文件)或故障信息; c) 涉及哪一个账号以及哪一个管理员或操作员; d) 涉及哪一个过程。 ISMS-P-2012《用户访问控制程序》 ISMS-P-2010《信息处理设备管理程序》 《系统日常点检业务手册》 A.10.10.5 故障日志 控制 YES 应记录、分析故障并采取适当的措施。 规定了用户或系统程序报告的有关信息处理系统的问题如何记录,以及清楚的规定了如何处理报告的故障。 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 《系统日常点检业务手册》 ISMS-P-2010《信息处理设备管理程序》 A.10.10.6 时钟同步 控制 YES 采取适当的措施实施时钟同步,是日常经营与获取客观证据的需要。 公司用网络时间协议保持所有服务器与主时钟同步。保持本地时间与世界标准时间(UTC)一致。 《系统日常点检业务手册》 XXXXXX有限公司 第19页 共33页
ISMS- 2001
A.11访问控制
标准 条款号 A.11.1 A.11.1.1 A.11.2 A.11.2.1 用户访问管理 用户注册 目标 控制 YES YES 标 题 访问控制的业务要求 访问控制策略 目标/ 控制 目标 控制 是否 选择 YES YES 选择理由 控制对信息的访问。 明确访问的业务要求,并符合信息安全方针的规定要求,对信息访问实施有效控制。 本公司基于以下原则制定文件化的访问控制策略,明确规定访问的控制要求,《物理逻辑访问权限说明书》中规定访问控制规则和每个用户或用户组的访问权力,访问规则的制定基于以下方面考虑: a) 每个业务应用的安全要求; b) 在不同系统与网络间,访问控制与信息分类策略要保持一致; c) 数据和服务访问符合有关法律和合同义务的要求; d) 对各种访问权限的实施管理。 防止对信息系统未经授权的访问。 本公司存在多用户信息系统,应建立用户登记和解除登记程序。 根据访问控制策略及《物理逻辑访问权限说明书》确定的访问规则,访问权限管理部门对用户(包括第三方用户)进行书面访问授权,若发生以下情况,对其访问权将从系统中予以注销: a) 内部用户雇佣合同终止时; b) 内部用户因岗位调整不再需要此项访问服务时; c) 第三方访问合同终止时; d) 其它情况必须注销时。 A.11.2.2 特权管理 控制 YES 本公司网络系统管理员拥有特权,特权不适当的特权分配以“使用需要”和“事件紧跟”为基础,即需要时仅以它们的功能角色的最低要求为据,有些特权在完成特定的任ISMS-P-2012《用户访问控制程序》 ISMS-P-2012《用户访问控制程序》 《系统逻辑访问管理制度》 ISMS-P-2012《用户访问控制程序》 《系统逻辑访问管理制度》 《物理逻辑访问权限说明书》 控制描述 相关文件 使用会造成系统的破坏。 务后将被收回,确保特权拥有者的特权是工作所需要的且不存XXXXXX有限公司 第20页 共33页
ISMS- 2001
在富裕的特权(最小特权原则)。 网络系统管理员、安全员拥有特权,只有经过书面授权,其特权才被认可。 当特权拥有者因公出差或其它原因暂时离开工作岗位时,特权部门负责人应对特权实行紧急安排,将特权临时转交可靠人员,以保证系统正常运行;当特权拥有者返回工作岗位时,及时收回特权;特权的交接应有可靠安全的方法。 A.11.2.3 A.11.2.4 A.11.3 A.11.3.1 用户职责 口令使用 目标 控制 YES YES 用户访问权的评审 控制 YES 内部用户会发生岗位变化,或有的用户的访问权是有时限要求的,为防止非授权的访问,对用户访问的评审是必要的。 明确用户责任,防止非授权用户的访问 使用户遵循口令使用规则,防止口令泄密或被解密。 A.11.3.2 无人值守的用户设备 控制 YES 在用户范围内安装的设备在无人值守时需要专门的保护,以防止未授权本公司在《用户访问控制程序》中明确规定了口令安全选择与使用要求,所有用户须严格遵守。 实施口令定期变更策略。 本公司在《用户访问控制程序》和《信息处理设备管理程序》ISMS-P-2010《信息处理设备管理中覆盖了对无人值守设备的安全要求和规程,以及对于实现这种保护所负有的职责。托管的服务器由托管方负责执行维护。 程序》 ISMS-P-2012《用户访问控制程序》 用户口令管理 控制 YES 用户访问信息系统和服务是按授权的范围进行访问的,并拥有口令,因此建立正式的管理过程对口令进行分配并控制是必须的。 各系统管理员按以下过程对被授权访问该系统的用户口令予以分配: a) 管理员根据入职员工的工作岗位分配相关临时口令。 b) 当用户忘记口令时,可由系统管理员帮其找回或重新分配安全的口令。 c) 禁止将口令以无保护的形式存储在计算机系统内。 XX部管理执行《用户口令管理规定》。 用户访问权限主管部门每半年对一般用户访问权进行评审,对特权用户每季度进行评审一次,注销非法用户或过期无效用户的访问权,评审结应予以保持。 ISMS-P-2012《用户访问控制程序》 ISMS-P-2012《用户访问控制程序》 XXXXXX有限公司 第21页 共33页
ISMS- 2001
的访问 A.11.3.3 A.11.4 A.11.4.1 A.11.4.2 A.11.4.3 网络访问控制 网络服务使用策略 外部联接用户的验证 网络上的设备标识 控制 控制 YES YES 目标 控制 YES YES 清空桌面和屏幕策略 控制 YES 不实行清除桌面或清除屏幕策略,会受到资产丢失、失窃或遭到非法访问的威胁。 保护网络服务。 制定策略,明确用户访问网络和网络服务的范围,防止非授权的网络访问。 适当的使用鉴别方法以控制远程用户的访问 考虑将自动设备鉴别作为一种证明从特定位置本公司不存在VPN、远程登录工作、WEB服务器、邮件服务器,ISMS-P-2012《用户访问控制程序》 登陆网络需要输入用户名、密码。 网络有不同的敏感程度,局域网标识符可明确显示设备能否被允许接入的网络。本公司不设立无线网络,有线网络连接时,ISMS-P-2012《用户访问控制程序》 本公司建立并网络服务安全策略,以确保网络服务安全与服务质量。 ISMS-P-2012《用户访问控制程序》 本公司在中制定清除桌面、清除屏幕的策略并实施,各部门负责人负责监督。 各部门员工自觉履行该策略的日常实施。 ISMS-P-2010《信息处理设备管理程序》 和设备进行连接的手段。 需要使用固定IP,采用路由器的日志监控连接的用户身份。 A11.4.4 远程诊断端口和配置端口的保护 控制 YES 对于诊断和配置端口的访问采取控制措施。 对端口保护采用物理的方法。 ISMS-P-2011《物理访问控制程序》 A.11.4.5 网络的隔离 控制 YES 涉密网络应予以隔离。 为确保本公司网络安全,采用物理和逻辑两种方式进行网络隔离: a)通过防火墙将内部网络与外部网络实施逻辑隔离; b)研发网络与其他网络物理隔离。 《系统逻辑访问管理制度》 ISMS-P-2012《用户访问控制程序》 A.11.4.6 网络连接控制 控制 YES 共享网络,用户的连接权能应予以控制。 XX部根据访问控制策略的要求限制用户的连接能力。例如通过网络网关来控制,网关的安全设置与组织的访问控制策略保《系统逻辑访问管理制度》 ISMS-P-2012《用户访问控制程序》 XXXXXX有限公司 第22页 共33页
ISMS- 2001
持一致。 XX部确定全公司范围内的可共享的服务与信息,各部门确定本部门服务器可共享的服务与信息,用户间的信息交流应采用公司内部电子邮件进行。 A.11.4.7 网络路由控制 控制 YES 本公司内外网络间连接均通过路由器,为确保网络安全实施路由控制是必要的。 XX部应根据网络安全要求,采用硬件或软件的手段,基于源地址和目的地址的检查机制,对路由实施控制。 《系统逻辑访问管理制度》 A.11.5 A.11.5.1 A.11.5.2 操作系统的访问控制 终端安全登录程序 用户身份标识与鉴别 目标 控制 YES YES 防止未经授权的计算机访问。 为减少非授权访问的机会,对信息服务系统的访问采用安全登录程序。 本公司通过路由技术手段提供安全的系统登录程序。 ISMS-P-2012《用户访问控制程序》 控制 YES 为查处活动的个人责任,对连接到网络终端应有唯一的用户ID。 用户有唯一的识别符,以便用户单独使用时,能查处活动的个人责任。用户ID由系统管理员根据授权的规定予以设置,如果多个用户共用一个识别符,须由访问授权主管部门授权。 用户识别符可以由用户名称加口令或其它适宜方式组成。 XX部实施口令管理,通过技术手段提供有效的、互动的设施以确保口令质量。除非一次性的口令系统,通过操作系统的强制措施要求用户定期变更口令。 XX部门应对系统实用程序的使用进行限制和严格控制,只有经过授权的系统管理员才可以使用实用程序,如优化大师,超级兔子等。 各系统管理员在其管理的终端处于不活动时,应利用锁屏(LOCK SCREEN)清除屏幕,以防止非授权的访问,但不关闭ISMS-P-2012《用户访问控制程序》 A.11.5.3 A.11.5.4 口令管理系统 控制 YES 为减少非法访问操作系统的机会,应建立口令管理系统。 ISMS-P-2012《用户访问控制程序》 系统实用工具的使用 控制 YES 对系统实用程序的使用应控制,防止恶意破坏系统安全。 ISMS-P-2012《用户访问控制程序》 A.11.5.5 会话超时 控制 YES 为防止非法用户访问高风险区域系统管理终端,ISMS-P-2012《用户访问控制程序》 ISMS-P-2010《信息处理设备管理XXXXXX有限公司 第23页 共33页
ISMS- 2001
闲置不用时应建立终端时限(锁屏)。 应用或网络话路。 对于财务系统的负责人要求在离开时应锁定或注销系统。 使用预先定义的时隙,例如对批文件传输。或定期的短期交互会话;将连机时间限于正常的办公时间;对备份服务器的连接时间设定为2小时/次。 程序》 A.11.5.6 联接时间的限制 控制 YES 使用联接时间的限制,为高风险应用程序提供额外的安全。 ISMS-P-2012《用户访问控制程序》 ISMS-P-2010《信息处理设备管理程序》 A.11.6 A.11.6.1 应用和信息访问控制 信息访问限制 目标 控制 YES YES 防止未经授权访问信息系统内的信息。 本公司信息访问权限是根据业务运做的需要及信息安全考虑所规定的,系统的访问功能应加以限制。 根据本公司管理要求和访问策略,向授权的用户提供访问信息和应用系统功能。用户访问公司信息和应用系统功能的授权执行《用户访问控制程序》。 ISMS-P-2012《用户访问控制程序》 《系统逻辑访问管理制度》 A.11.6.2 敏感系统隔离 控制 YES 本公司开发系统等为敏感系统,使用独立的计算环境是必须的。 为确保含有敏感信息的系统不发生泄密事故,采取措施对敏感系统予以隔离 ISMS-P-2012《用户访问控制程序》 ISMS-P-2010《信息处理设备管理程序》 A.11.7 A.11.7.1 A.11.7.2 移动式计算和远程工作 移动式计算和通讯 目标 控制 YES YES 明确控制目标,确保移动式计算和远程工作设施的信息安全。 本公司拥有笔记本电脑等移动式计算或通信设施,应予以控制防止其失窃及未授权的访问。 本公司建立实施《信息处理设备管理程序》,对笔记本电脑的移动办公实施有效可行的安全管理。 ISMS-P-2010《信息处理设备管理程序》 远程工作 控制 YES 我司涉及到远程工作,应为远程工作活动开发和实施策略、操作计划和规程。 本公司建立《远程工作控制程序》,对远程工作场地合适的保护,以防范设备和信息被窃、信息的未授权泄露、对组织内部系统的未授权远程访问或设施滥用。 ISMS-P-2028《远程工作控制程序》 《信息系统硬件管理规定》 《系统逻辑访问管理制度》 XXXXXX有限公司 第24页 共33页
ISMS- 2001
A.12信息系统获取、开发和维护
标准 条款号 A.12.1 A.12.1.1 A.12.2 A.12.2.1 A.12.2.2 内部处理控制 控制 YES 应用程序的正确处理 输入数据的验证 控制 控制 YES YES 标 题 信息系统安全要求 安全要求分析和说明 控制 目标/ 控制 目标 是否 选择 YES YES 选择理由 确保安全性已构成信息系统的一部分。 为确保系统具有一定的安全功能及规避开发过程的安全风险,增加新系统或扩大原有系统,应确定控制要求。 XX部在进行新系统开发或系统更新时,首先对系统进行分析,ISMS-P-2014《系统开发与维护控根据业务功能要求及信息安全要求明确规定控制要求,包括: 制程序》 a) 系统的安全特性; b) 对现有的系统安全影响; c) 设计过程中的安全控制要求。 系统(软件)本身的功能及安全特性在设计开发输入时明确提出,并进行评审。其他应用系统开发由IT部按照《系统开发与维护管理程序》执行。 防止应用系统中用户数据丢失、修改或滥用。 输入到应用系统的数据应进行确认,以保证输入数据的正确与适当,防止数据误用导致信息完整性问题。 已正确输入的数据可因处理错误或通过不慎运作而被破坏,有效的检查应并入系统中。 系统开发应明确应用系统输入数据确认的要求,以确保输入数据正确和恰当。 各部门应用系统的操作人员对输入到系统内的数据进行认真核对,对于关键或重要数据的输入,由相应的作业流程所规定的人员进行确认。 系统开发应考虑系统内部数据确认检查的要求,以查处数据处理过程的错误。 《系统逻辑访问管理制度》 《系统逻辑访问管理制度》 控制描述 相关文件 XXXXXX有限公司 第25页 共33页
ISMS- 2001
A.12.2.3 消息的完整性 控制 YES 确保识别真实性和消息的完整性 利用人员经验来进行识别信息的真实性与完整性;在操作过程中防止输入数据被截取或修改。在架构上采用HTTP方式传输数据,该协议带有验证消息完整性功能。 《系统逻辑访问管理制度》 A.12.2.4 A.12.3 A.12.3.1 输出数据的验证 控制 YES 尽管数据的输入和处理是正确的,输出仍然可能系统开发应考虑应用系统输出数据确认的要求,以确保对贮存的信息处理的正确和环境相适应。 真核对,对于关键或重要的输出数据,应由相应的作业流程所规定的人员进行确认。 《系统逻辑访问管理制度》 包含错误或有害的修改。 各部门应用系统的操作人员应对应用系统输出的数据进行认密码技术控制 使用密码控制的策略 目标 控制 NO NO 本公司目前不存在使用密码技术的条件和合同、法规要求,本条款不适用。 本公司目前不存在使用密码技术的条件和合同、法规要求,本条款不适用。 A.12.3.2 A.12.4 A.12.4.1 密钥管理 系统文件的安全 操作软件的控制 控制 目标 控制 NO YES YES 本公司目前不存在使用密码技术的条件和合同、法规要求,本条款不适用。 确保信息技术项目和支持活动以安全的方式进行。 对软件在作业系统中的执行应予以控制,否则易受到未经授权的软件安装和更改的影响,导致系统及数据完整性丢失。 系统主管部门应对软件在作业系统的执行进行严格控制,在新软件安装或软件升级之前,应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权,否则严禁私自安装任何软件。 当系统测试数据使用作业数据,并且包含敏感信息时,测试部门按以下要求对测试数据进行保护: b) 作业信息每一次复制到测试应用系统,须被系统主管部门授权; c) 测试完成之后,立即从测试应用系统中消除作业信息。 ISMS-P-2014《系统开发与维护控制程序》 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2008《更改控制程序》 A.12.4.2 系统测试数据的保护 控制 YES 对包括敏感作业数据的测试数据不适当的保护 会涉及到保密性的破坏。 a) 对测试应用系统的活动进行授权; XXXXXX有限公司 第26页 共33页
ISMS- 2001
A.12.4.3 A.12.5 A.12.5.1 对程序源代码的访问控制 控制 YES 本公司有软件开发活动,为降低计算机程序被破坏的可能性,系统设计开发部按以下要有程序源库(源代码)存在,需要控制。 求对源程序库(源代码)实施管理: a) 可能的话,不将源程序库保存在运作系统中,源程序尽量与应用分开; b) 各项应用应指定程序库管理员; c) 信息技术支持人员不应当自由访问源程序库; d) 源程序库的更新和向程序员发布的源程序,应由指定的程序库管理员根据授权来完成。 ISMS-P-2014《系统开发与维护控制程序》 开发和支持过程的安全 更改控制程序 目标 YES 确保应用系统软件和信息的安全。 为防止未授权或不充分的更改,避免系统故障与中断,需要实施严格更改控制。 为使信息系统的损害降至最小,对应用系统软件在开发过程中的任何更改,须进行适当的测试与评审,经开发软件负责人批准后予以实施。 评审与批准后方可进行。 ISMS-P-2008《更改控制程序》 ISMS-P-2014《系统开发与维护控 ISMS-P-2008《更改控制程序》 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2008《更改控制程序》 控制 YES 操作系统(OS)及应用系统的升级须经过系统主管部门测试、制程序》 A.12.5.2 A.12.5.3 操作系统(OS)更改后对应用的程序评审 软件包的更改限制 控制 YES 操作系统的不充分更改对应用系统会造成严重的影响。 当操作系统(OS)发生更改时,操作系统更改对应用系统的影响应由系统主管部门进行评审,确保对应用程序的作业或安全措施无不利影响。 本公司不鼓励修改软件包,如果有必要进行更改,更改部门在并在完全一样的复制软件上进行更改,更改实施前须得到系统主管部门的授权。 控制 YES 软件包的更改会引入薄弱点,导致内部控制故障,应进行严格限制。 实施前进行风险评估,确定必须的控制措施,保留原始软件, A.12.5.4 信息泄漏 控制 YES 软件的采购、使用或修改会有隐藏通道和特洛伊代码的威胁,应采取措施予以控制 对软件的采购、使用、变更及开发过程进行控制和检查,以防止可能的隐藏通道和特洛伊木马。 ISMS-P-2029《恶意软件控制程序》 XXXXXX有限公司 第27页 共33页
ISMS- 2001
A.12.5.5 外包软件开发 控制 YES 本公司存在软件外包开本公司不外包定制软件。 伊码的存在。 ISMS-P-2014《系统开发与维护控制程序》 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 发的活动,应予以控制。 购买成品软件安装使用前须进行测试,以防止隐藏通道及特洛A.12.6 技术薄弱点管理 目标 YES 降低由已经公布的薄弱点所带来破坏的风险。 A.12.6.1 技术薄弱点的控制 控制 YES 及时获得正在使用信息系统的技术薄弱点的相关信息,应评估对这些薄弱点的暴露程度,并采取适当的方法处理相关风险。 XX部门对技术薄弱点应进行风险评估,进行专项分析,制订风险处理计划,根据风险处理计划采取对应的技术和管理措施。 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 A.13信息安全事件管理
标准 条款号 A.13.1 A.13.1.1 标 题 报告信息安全事件和弱点 报告信息安全事件 控制 目标/ 控制 目标 是否 选择 YES YES 安全事件、事故有可能发安全事情、事故一经发生,事情、事故发现者、事情、事故责情、事故进行反应处理。所有员工有报告安全事情、事故的义务。 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 ISMS-P-2007《纠正/预防措施控制程序》 选择理由 控制描述 相关文件 保证与信息系统相关联的信息安全事情和弱点的沟通,沟通的方式应允许采取及时纠正措施。 生,一旦发生必须报告。 任者应立即向主管部门报告,主管部门和责任部门应及时对事XXXXXX有限公司 第28页 共33页
ISMS- 2001
A.13.1.2 A.13.2 A.13.2.1 A.13.2.2 报告安全弱点 控制 YES 安全薄弱点是不可避免的,建立报告制度是预防发生的最好途径之一。 各部门及全体员工应按照要求及时识别安全薄弱点及可能的安全威胁,一旦发现应及时向有关人员或部门报告并记录,主管部门或安全管理负责人应采取有效的预防措施,防止威胁的发生。 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 信息安全事件和改进的管理 责任和程序 目标 控制 YES YES 保证应用于信息安全事件管理的方法的一致和有效。 建立管理责任和程序以保证对信息安全事件快速、有效和有序地做出响应。 事故主管部门接到报告以后,应立即进行迅速、有效和有序的反应。 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 ISMS-P-2007《纠正/预防措施控制程序》 对信息安全事件的总结 控制 YES 只有对事故进行有效鉴防止再发生。 事故发生后,主管部门对事故发生的原因、类型、损失进行鉴分析及处理报告,责成有关部门实施纠正措施。 事故和处理过程结果应予以记录,重大事故应提交信息安全管ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 ISMS-P-2007《纠正/预防措施控制程序》 定,才能从中吸取教训,定,提出防止此类事故再次发生的措施或建议,形成事故调查理委员会评审。具体执行《事故、薄弱点与故障管理程序》。 A.13.2.3 证据的收集 控制 YES 当信息安全事件发生后对个人或组织的后续行为涉及到法律行为时,所提供的证据应符合相关的证据法规。 XX部负责发生法律纠纷与诉讼的证据收集,并确保证据收集应符合以下要求: a) 所呈证据应符合国家有关的证据法规; b) 符合用于提供可接受证据的任何已发布的标准或法规; c) 对已收集到的证据进行安全的保管,防止未经授权的更改或破坏; d) 收集到的证据符合法庭所要求的形式。 ISMS-P-2033《事故、事件、薄弱点与故障管理程序》 ISMS-P-2006《记录管理程序》 A.14业务持续性管理
标准 标 题 目标/ 是否 选择理由 控制描述 相关文件 XXXXXX有限公司 第29页 共33页
ISMS- 2001
条款号 A.14.1 A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 业务持续性策划框架 业务持续性计划的测试、保持和重新评估 编制和实施实施持续性计划 业务持续性管理的内容 业务持续性管理过程中包含的信息安全 业务持续性和风险分析 控制 目标 控制 选择 YES YES 为保持公司业务的可持续性发展,应建立商业持续性管理过程。 公司建立并实施《业务持续性管理程序》,在发生灾难或安全ISMS-P-2034《业务持续性管理程 ISMS-P-2034《业务持续性管理程序》 抵消业务活动受到干扰的影响,并防止关键业务处理受大的信息系统故障或者灾难的影响,确保能够及时恢复基本运行。 故障时,实施持续性管理计划,确保关键业务及时得到恢复。 序》 控制 YES 业务持续性计划的制定,为达到公司储存数据、培训、测试等业务的持续性目标,IT是建立在适当风险评估的分析基础上。 部组织有关部门在适当的风险评估的基础上,进行灾难及系统中断影响分析,识别出造成关键业务中断的主要事件及其影响。在灾难及系统中断影响分析的基础上,确定业务持续性总体处理方法。 控制 YES 为确保本公司与设计、制造、销售、测试等关键业务中断能及时恢复,应编写并实施业务持续性计划。 有关部门应编制《持续性管理战略计划》,由信息安全管理者代表批准,以便在储存数据、培训、测试等关键业务发生中断或故障后,实施持续性管理计划,以保证公司关键业务中断的及时恢复。 持续性计划应对应急措施和有关部门与人员的职责给予明确规定。 ISMS-P-2034《业务持续性管理程序》 控制 控制 YES YES 不同的业务持续性计划之间应保持一致性。 为保持业务持续性计划的时效和有效性,应定期试验、维护和评审。 应保持独立的业务持续性计划的框架,以确定各种计划的一致性并确定检测和维护的优先权。 每年XX部组织有关部门采取适宜的测试方法对《持续性管理战略计划》进行测试,并保持测试记录;每次测试后,XX部组织与计划有关的部门对计划的时效和有效性进行评审,必要时,对业务持续性计划进行修改。 ISMS-P-2034《业务持续性管理程序》 ISMS-P-2034《业务持续性管理程序》 XXXXXX有限公司 第30页 共33页
ISMS- 2001
A.15符合性
标准 条款号 A.15.1 A.15.1.1 A.15.1.2 A.15.1.3 组织记录的保护 控制 YES 记录的保持应符合法律法规要求。 知识产权 控制 YES 软件的使用与复制涉及知识产权问题(软件著作 标 题 符合法律、法规要求 识别适用的法律法规 目标/ 控制 目标 控制 是否 选择 YES YES 选择理由 控制描述 相关文件 避免违反任何民法、刑法、规章或契约义务以及任何安全要求。 为遵守适用的相关法律法规,应对其进行识别并将其要求文件化。 XX部负责组织收集与信息安全有关的法律法规并对适用性评价,确定其实用范围和具体适用条款,形成适用的法律法规清单,将法律法规一起通过网络传达给有关部门并予以执行。 品管部负责每半年应对法律法规的有效性进行重新评价,保持适用的法律、法规的有效最新版本。每年对法律法规的符合性进行评价。 本公司严格执行国家有关知识产权方面的法律法规,保证使用合法的正版软件,并通过以下方法进行控制: b) 每年进行一次软件资产清查,确保正在使用的软件已经被适当的授权; c) 保留许可证、手册等拥有者的证明和证件; d) 确保用户数不超过所允许的上限; e) 只允许安装认可的软件和特许的产品; f) 严禁员工私自安装任何软件。 各部门应按照有关法律、法规要求,明确规定重要记录的保存期限并提供适当的保护,防止丢失、损坏和伪造。 ISMS-P-2015《监视和测量管理程序》 ISMS-P-2015《监视和测量管理程序》 ISMS-P-2010《信息处理设备管理程序》 ISMS-P-2015《监视和测量管理程序》 权),应使用正版软件。 a) 确定获得合法软件的途径; XXXXXX有限公司 第31页 共33页
ISMS- 2001
A.15.1.4 A.15.1.5 A.15.1.6 A.15.2 数据保护和个人信息的保密 控制 YES 应按国家有关法规或规章对员工的个人档案、养老基金账户等数据或信息进行管理与保护。 对处理与个人数据与信息有关的部门应按照国家有关规定对个人信息进行妥善管理与保护,防止丢失或泄露个人秘密。 ISMS-P-2015《监视和测量管理程序》 防止信息处理设施的误用 控制 YES 防止滥用信息处理设施以符合法律法规要求。 本公司对所有员工传达国家关于《计算机信息网络国际联网保密管理规定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等法规要求,并要求员工严格遵守,防止计算机犯罪活动。 ISMS-P-2015《监视和测量管理程序》 ISMS-P-2010《信息处理设备管理程序》 密码技术控制条例 安全策略、标准和技术的符合评审 控制 目标 NO YES 本公司没有涉及国家密码产品,本条款不适用。 确保系统符合组织的安全策略和标准。 A.15.2.1 符合安全策略和标准 控制 YES 确保体系有效实施,定期评审是必须的。 每年XX部组织至少一次信息安全管理体系内部审核,每次审核的范围覆盖与信息安全管理体系有关的所有部门与安全区域,确保职责范围内的所有安全程序正确完成,符合安全方针和标准。 ISMS-P-2003《内部审核管理程序》 A.15.2.2 技术符合性检查 控制 YES 为验证信息系统保证符合安全技术标准,必要的技术检查是需要的。 内部审核活动应包括对各信息系统的技术性审核,内部审核组至少拥有一名具有一定信息安全技术的内部专家,技术性审核应在被监督的情况下进行。 但不鼓励利用漏洞扫描等工具对网络系统进行定期技术性检查,鼓励用管理软件和自身的日志进行监督。 ISMS-P-2015《监视和测量管理程序》 A.15.3 系统审核考虑因素 目标 YES 使对/来自系统审核过程的有效性最大,干扰性最小。 XXXXXX有限公司 第32页 共33页
ISMS- 2001
A.15.3.1 A.15.3.2 系统审核控制 控制 YES 对作业系统的审核应事先策划,避免对作业系统造成不良影响。 正式审核之前,审核组应明确技术性审核的项目与要求,防止审核活动本身造成不必要的安全风险。 ISMS-P-2003《内部审核管理程序》 系统审核工具的保护 控制 YES 本公司存在漏洞扫描工XX部对漏洞扫描工具进行管理,使用者应被授权,检查工作ISMS-P-2012《用户访问控制程序》 ISMS-P-2010《信息处理设备管理程序》 具,应控制其安全使用。 在监督的情况下进行,审核活动应被记录。
XXXXXX有限公司 第33页 共33页
因篇幅问题不能全部显示,请点此查看更多更全内容