YSISMS0102信息安全适用性声明

1、云神科技股份有限公司信息安全管理体系文件信息安全适用性声明ys-isms-2014-01022014-1-1发布 2014-1-1实施云神科技股份有限公司发布修 改 履 历版本制订者 修改时间更改内容审批人审核意见变更申请单号0.1蔡晓辉2014-1-1草稿做成龙翔同意1.01.0蔡晓辉2014-1-1发布实施张建勇同意信息安全适用性声明iso 27001 requirement对应文件适用性选用及控制描述(注)适用不适用annex a. control objectives and controlsa.5 security policya.5.1 信息安全方针a.5.1.1 信息安全方文件信

2、息安全管理手册管理评审程序信息安全管理体系实施的需要。a.5.1.2 信息安全方针评审确保方针的持续适宜性。a.6 organization of information securitya.6.1 内部组织a.6.1.1 信息安全管理承诺信息安全管理手册信息安全管理体系实施的需要。a.6.1.2 信息安全协作信息安全管理手册公司涉及到的信息安全问题需要一个有效沟通和协调的机制。a.6.1.3 信息安全职责分配信息安全管理手册保持信息资产和完成特定安全过程的职责需要规定。a.6.1.4 信息处理设施的授权过程软、硬件及网络管理程序公司有新信息处理设施采购和使用的活动，需要进行授权。a.6.1.

3、5 保密性协议人力资源管理程序员工保密协议第三方信息安全管理程序员工和第三方进入公司都会涉及到公司的信息安全，以保密协议对其进行告知和约束。a.6.1.6 与权威机构的联系第三方信息安全管理程序第三方服务联络表为了更好的得到信息安全发展的新动向。a.6.1.7 与专业小组的联系为了更好的得到信息安全发展的新动向，并得到专家的协助。a.6.1.8 信息安全的独立评审内审管理程序管理评审程序为了验证公司信息安全管理体系的符合性和有效性。a.6.2 外部相关方a.6.2.1 与外部相关方有关的风险识别信息安全风险管理程序用户访问控制程序物理访问控制程序公司存在外来维修设备、顾客物理、逻辑访问公司等情

4、况，必须加以控制。a.6.2.2题处理与顾客相关的安全问题顾客若有物理、逻辑访问公司等情况，必须有相应安全措施控制。a.6.2.3 处理第三方协议中涉及的安全问题与长期访问的第三方签订保密协议，规定并培训安全要求是必须的。a.7 asset managementa.7.1 资产责任a.7.1.1 资产清单资产识别管理程序信息资产登记表风险控制的需要。a.7.1.2 资产所有权明确资产管理部门或责任人。a.7.1.3 资产的合理使用将资产合理使用制度化、文件化。a.7.2 信息分类a.7.2.1 分类指南资产识别管理程序便于对信息资产进行分类管理。a.7.2.2 信息标识和处理资产识别管理程序软

5、、硬件及网络管理程序按照分类方案进行标识并规定信息处理的安全要求。a.8 human resouyses securitya.8.1 聘用前a.8.1.1 角色和职责信息安全管理手册人力资源管理程序为了明确信息安全责任。a.8.1.2 筛选人力资源管理程序降低风险。a.8.1.3 聘用条款和条件人力资源管理程序履行合同中的条款和条件是与员工、合同方以及第三方用户的基本控制条件。a.8.2 聘用期间a.8.2.1 管理职责人力资源管理程序体系方针和目标得以实现的保障。a.8.2.2 信息安全意识、教育和培训人力资源管理程序安全意识和必要的信息安全操作技能培训是开展信息安全管理的前提。a.8.2.

6、3惩戒过程人力资源管理程序控制信息安全事件的必要手段之一。a.8.3 聘用终止或变化a.8.3.1 终止职责人力资源管理程序在合同中明确终止责任。a.8.3.2 资产归还人力资源管理程序保证资产归还的完整性。a.8.3.3 解除访问权限用户访问控制程序确保访问权限及时修改。a.9 physical and environmental securitya.9.1 安全区域a.9.1.1 物理安全边界办公场所平面图对重要信息资产进行保护a.9.1.2 物理进入控制物理访问控制程序安全区进入应授权，未经过授权访问会导致信息安全威胁。a.9.1.3 保护办公室、房间和设施的安全保证物理安全，未经过授权

7、访问会导致信息安全威胁。a.9.1.4 防范外部和环境威胁保证物理安全，未经过授权访问会导致信息安全威胁。a.9.1.5 在安全区域工作确保工作在安全的区域进行。a.9.1.6 公共访问、交付和装卸区物理访问控制程序办公场所平面图防止外来的未经过授权访问。a.9.2 设备安全a.9.2.1 设备定置和保护软、硬件及网络管理程序保证设备安全a.9.2.2 支持性设施信息安全登记表保证支持性设施稳定a.9.2.3 电缆安全信息安全登记表保证通信电缆的安全a.9.2.4 设备维护软、硬件及网络管理程序维护设备，确保设备的完整性、保密性和可用性a.9.2.5 场所外设备的安全软、硬件及网络管理程序对组

8、织场所外的设备和应用安全进行控制。a.9.2.6 设备的安全处置和再利用软、硬件及网络管理程序对报废设备处理要防止泄密a.9.2.7 资产转移软、硬件及网络管理程序资产离开工作场所要保证安全a.10 communications and operations managementa.10.1 作业的程序及责任a.10.1.1操作程序文件化网络管理员手册受控文件清单确保信息设备操作的规范a.10.1.2 变更管理变更管理程序确保系统变更的安全a.10.1.3 职责分离软、硬件及网络管理程序系统权限登记表便于监督管理a.10.1.4开发、测试和运作设施的区隔信息系统开发建设管理程序降低对操作系统未

9、经授权的访问和更改的风险a.10.2 第三方服务交付管理a.10.2.1 服务交付第三方信息安全管理程序标准要求a.10.2.2第三方服务的监控和评审第三方信息安全管理程序标准要求a.10.2.3管理第三方服务的更改第三方信息安全管理程序标准要求a.10.3 系统策划与接收a.10.3.1 容量管理软、硬件及网络管理程序确保容量符合业务需求a.10.3.2 系统接收信息系统开发建设管理程序确保新的应用系统安全a.10.4 防范恶意和可移动代码a.10.4.1 防范恶意代码恶意软件控制程序防止恶意代码对系统的入侵和损害a.10.4.2防范可移动代码恶意软件控制程序防止可移动代码对系统的入侵和损害

10、a.10.5 备份a.10.5.1 信息备份重要信息备份管理程序对重要信息进行备份a.10.6 网络安全管理a.10.6.1 网络控制软、硬件及网络管理程序对公司网络实施有效的管理a.10.6.2网络服务的安全软、硬件及网络管理程序确保网络服务的安全a.10.7 介质的操作a.10.7.1 可移动介质的管理介质及信息交换管理程序为防止资产损坏和业务活动中断，根据媒体（包括产品）所储存的信息的敏感性或重要性进行适当的保护，安全处置，确保因媒体不当造成信息泄露事故发生。a.10.7.2 介质的处置介质及信息交换管理程序a.10.7.3 信息操作程序介质及信息交换管理程序为保护敏感信息不会因未经授权

11、处理而造成泄漏或滥用a.10.7.4 系统文件的安全介质及信息交换管理程序确保系统文件安全a.10.8 信息交换a.10.8.1 信息交换方针和程序介质及信息交换管理程序确保信息交换的安全a.10.8.2 交换协议介质及信息交换管理程序确保数据交换的安全a.10.8.3 物理介质的运送介质及信息交换管理程序物理介质的运送应符合安全需要a.10.8.4 电子讯息介质及信息交换管理程序确保数据交换的安全a.10.8.5 业务信息系统介质及信息交换管理程序保护与业务信息系统相关的信息a.10.9 电子商务服务a.10.9.1 电子商务公司网站上不存在业务邀约内容，不具备电子订单的功能a.10.9.2

12、 在线交易公司网站上没有电子订单、电子签名和验证、在线支付等相关功能。a.10.9.3 公共信息无电子商务业务a.10.10 监控a.10.10.1 审核日志记录管理程序网络管理员工作手册网络管理员的工作记录对公司设备的日志进行控制a.10.10.2监视系统的使用必须使用监控程序，确保用户只执行被明确授权的活动。a.10.10.3 日志信息的保护对系统日志进行保护，因为如果数据被修改或者删除，那么就可能对安全造成错误的理解。 a.10.10.4 管理员和操作员日志对管理员和操作员对系统的操作活动进行控制，防止非法操作a.10.10.5 故障日志对于用户或系统程序报告的有关信息处理系统或者通信系

13、统的问题应当做记录。对于如何处理报告的故障应当清楚的规定a.10.10.6 时钟同步记录管理程序软、硬件及网络管理程序正确的设定计算机时钟对确保审核日志的准确性是十分重要的，审核日志是进行调查、法律和惩戒案件中的证据。不准确的审查日志可能会妨碍调查研究的进行，并会削弱它作为证据的可信度。a.11 laccess controa.11.1 访问控制的业务需求a.11.1.1 存取控制方针用户访问控制程序控制对信息的访问a.11.2 用户访问管理a.11.2.1 用户注册用户访问控制程序系统权限登记表使用唯一的用户身份，以便将用户与其行为关联，使用户对其行为负责。只有因业务和操作的原因而需要时，才

14、准许使用工作组用户身份；a.11.2.2 特权管理对需要防范未经授权访问的多用户系统，应该通过正式的授权过程对特权分配进行控制。a.11.2.3 用户口令管理确保需使用口令系统的安全a.11.2.4 用户访问权的评审必须定期评审用户的访问权，以保持对数据和信息服务访问进行有效控制。a.11.3 用户责任a.11.3.1 口令使用用户访问控制程序标准要求a.11.3.2 无人值守的用户设备软、硬件及网络管理程序加强可移动设备场外无人监管移动的控制a.11.3.3 清洁桌面和清除屏幕方针标准要求a.11.4 网络访问控制a.11.4.1 网络服务的使用方针软、硬件及网络管理程序标准要求a.11.4

15、.2 外部连接的用户验证软、硬件及网络管理程序标准要求a.11.4.3 网络中设备的鉴别软、硬件及网络管理程序标准要求a.11.4.4 远程诊断和配置端口保护软、硬件及网络管理程序标准要求a.11.4.5 网络区隔软、硬件及网络管理程序将内外网或是不同的部门划分为不同网段，以保证信息传递的安全。a.11.4.6 网络连接控制软、硬件及网络管理程序标准要求a.11.4.7 网络路由控制软、硬件及网络管理程序标准要求a.11.5 操作系统访问控制a.11.5.1 安全登录程序用户访问控制程序标准要求a.11.5.2 用户识别和验证用户访问控制程序标准要求a.11.5.3 口令管理系统用户访问控制程

16、序标准要求a.11.5.4 系统实用程序的使用用户访问控制程序标准要求a.11.5.5 会话超时在服务器的策略中需作相应设置以保障服务器的稳定。a.11.5.6 连接时间限制在服务器的策略中需作相应设置以保障服务器的稳定。a.11.6 应用程序以及信息访问控制a.11.6.1 信息访问限制软、硬件及网络管理程序标准要求a.11.6.2 敏感系统隔离软、硬件及网络管理程序标准要求a.11.7 移动计算和远程工作a.11.7.1 移动计算和通信软、硬件及网络管理程序标准要求a.11.7.2 远程工作本公司目前不存在远程工作，本条款不适用。a.12 information systems acqui

17、sition, development and maintenancea.12.1 信息系统的安全需求a.12.1.1 安全需求分析和规范信息系统开发建设管理程序运营要求a.12.2 应用程序的正确处理a.12.2.1 输入数据的验证信息系统开发建设管理程序运营要求a.12.2.2 内部处理的控制信息系统开发建设管理程序运营要求a.12.2.3 消息完整性信息系统开发建设管理程序运营要求a.12.2.4 输出数据验证信息系统开发建设管理程序运营要求a.12.3 加密控制a.12.3.1 使用密码控制的方针程序开发中对特定的模块和数据加密以保护数据安全a.12.3.2 密钥管理程序开发中对特定的

18、模块和数据加密以保护数据安全a.12.4 系统文件的安全a.12.4.1 操作软件的控制信息系统开发建设管理程序运营要求a.12.4.2 系统测试数据的保护信息系统开发建设管理程序运营要求a.12.4.3 对程序源代码的访问控制信息系统开发建设管理程序运营要求a.12.5 开发和支持过程的安全a.12.5.1 变更控制程序变更管理程序运营要求a.12.5.2 操作系统变更后对应用程序的技术评审变更管理程序运营要求a.12.5.3 软件包变更的限制变更管理程序运营要求a.12.5.4 信息泄露介质及信息交换管理程序运营要求a.12.5.5 外包软件开发信息系统开发建设管理程序运营要求a.12.6

19、 技术薄弱点管理a.12.6.1 技术薄弱点的控制信息系统开发建设管理程序运营要求a.13 information security incident managementa.13.1 报告信息安全事件和弱点a.13.1.1 报告信息安全事件信息安全事故管理程序运营要求a.13.1.2 报告安全弱点信息安全事故管理程序运营要求a.13.2 信息安全事件和改进的管理a.13.2.1 责任和程序信息安全事故管理程序运营要求a.13.2.2 吸取信息安全事件教训信息安全事故管理程序运营要求a.13.2.3 证据的收集信息安全事故管理程序运营要求a.14 业务连续性管理a.14.1业务连续性管理中的信息安全事项a.14.1.1 业务连续性管理过程中包含的信息安全业务持续性管理程序运营要求a.14.1.2 业务连续性和风险评估业务持续性管理程序运营要求a.14.1.3 制订并实