2020年最新版本信息安全适用性声明

1、1 .目的根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的 适用性，特编制本程序。2 .范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。3 .职责与权限3.1 最高管理者负责信息安全适用性声明的审批。3.2 综合部负责信息安全适用性声明的编制及修订。4 .相关文件a）信息安全管理手册5 .术语定义无6 .适用性声明信息安全适用性声明SOAA.5信息安全方针标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.5.1信息安全管理 指引目标YES提供符合有关法律法规和业务需求的信息安全管理指 引和支持。A.5.1.1信息安全方针控制Y

2、ES信息安全方针应由管理才 批准发布。信息安全管理手册A.5.1.2信息安全方针 的评审控制YES确保方针持续的适应性。管理评审控制程序A.6信息安全组织标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.6.1信息安全组织目标YES管理组织内部信息安全。A.6.1.1信息安全的角色 和职责控制YES保持特定资产和完成特定 安全过程的所有信息安全 职责需确定。信息安全管理手册A.6.1.2职责分离控制YES分离后冲突的职责和责任 范围，以减少对组织资产未 经授权访问、无意修改或误 用的机会。信息安全管理手册A.6.1.3与监管机构的联 系控制YES与相关监管机构保持适当 联系。相美方服务

3、管理程序A.6.1.4与特殊利益团体 的联系控制YES与特殊利益团体、其他专业 安全协会或行业协会应保 持适当联系。相美方服务管理程序A.6.1.5项目管理中的信 息安全控制YES实施任何项目时应考虑信 息安全相关要求。保密协议相关方管理程序A.6.2移动设备和远程 办公目标YES确保远程办公和使用移动设备的安全性A.6.2.1移动设备策略控制YES米取安全策略和配套的安 全措施管控使用移动设备 带来的风险。信息处理设施控制程序计算机管理规定介质管理程序A.6.2.2远程办公控制YES我司有远程访问公司少数 系统的情况，需要进行安全 控制。用户访问控制程序A.7人力资源安全标准 条款号标题目标

4、/ 控制是否 选择选择理由相关文件标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.7.1聘用前目标YES确保员工、合同方人员适合他们所承担的角色并理解 他们的安全责任A.7.1.1人员筛选控制YES通过人员考察，防止人员带 来的信息安全风险。人力资源安全管理程 序A.7.1.2雇佣条款和条 件控制YES履行信息安全保密协议是 雇佣人员的一个基本条件。人力资源安全管理程序保密协议A.7.2聘用期间目标YES确保员工和合同方了解并履行他们的信息安全责任。A.7.2.1管理职责控制YES缺乏管理职责，会使人员意 识淡薄，从而对组织造成负 向安全影响。信息安全管理手册人力资源安全管理程序A.

5、7.2.2信息安全意识、 教育和培训控制YES信息安全意识及必要的信 息系统操作技能培训是信 息安全管理工作的前提。人力资源安全管理程 序A.7.2.3惩戒过程控制YES对造成安全破坏的员工应 该什-个正式的惩戒过程。信息安全惩戒管理规 定A.7.3聘用中止和变 化目标YES在任用变更或中止过程保护组织利益。A.7.3.1任用终止或变 更的责任控制YES应定义信息安全责任和义 务在任用终止或交更后仍 然有效,并向贝工和合同方 传达并执行。人力资源安全管理程序相关方服务管理程序A.8资产管理标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.8.1资产责任目标YES对我司资产（包括顾客要求

6、保密的数据、 软件及产品） 进行有效保护。A.8.1.1资产清单控制YES建立重要资产清单并实施 保护。信息安全风险评估控制程序重要资产清单A.8.1.2资产责任人控制YES对所有的与信息处理设施有关的信息和资产指定“所信息安全风险评估控制程序资产清单信息处理设施控制程序A.8.1.3资产的合理使用控制YES识别与信息系统或服务相 关的资产的合理使用规则， 并将其文件化，并予以实 施。信息处理设施控制程 序A.8.1.4资产的归还控制YES在劳动合同或协议终止后，人力资源安全管理程标准 条款号标题目标/ 控制是否 选择选择理由相关文件所有员工和外部方人员应 退还所有他们持有的组织 资产。序相关

7、方服务管理程序A.8.2信息分类目标YES我司根据信息的敏感性对信息进行分类，明确保护要 求、优先权和等级，以确保对资产采取适当的保护。A.8.2.1分类指南控制YES我司的信息安全涉及信息 的敏感性，适当的分类控制 是必要的。信息分类与处理指 南A.8.2.2信息标识控制YES按分类方案进行标注并规 定信息处理的安全的要求。信息分类与处理指 南A.8.2.3资产处理控制YES根据组织米用的资产分 类方法制定和实施资产 处理程序信息处理设施控制程 序A.8.3介质处理目标YES防止存储在介质上的信息被非授权泄露、修改、删除 或破坏。A.8.3.1可移动介质管理控制YES我司存在含有敏感息的 磁

8、盘、磁带、光盘、打印报 告等可移动介质。介质管理程序A.8.3.2介质处置控制YES当介质不冉需要时，对含有 敏感信息介质采用安全的 处置办法是必须。介质管理程序A.8.3.3物理介质传输控制YES含有信息的介质应加以保 护，防止未经授权的访问、 滥用或在运输过程中的损 坏。信息交换管理程序A.9访问控制标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.9.1访问控制的业务 需求目标YES限制对信息和信息处理设施的访问A.9.1.1访问控制策略控制YES建立文件化的访问控制策 略，并根据业务和安全要求 对策略进行评审。用户访问控制程序A.9.1.2对网络和网络服 务的访问控制YES制定

9、策略，明确用户访问网 络和网络服务的范围，防止 非授权的网络访问。用户访问控制程序A.9.2用户访问管理目标YES确保已授权用户的访问，预防对系统和服务的非授权 访问。A.9.2.1用户注册和注销控制YES我司存在多用户信息系统， 应建立用户登记和注销登用户访问控制程序标准 条款号标题目标/ 控制是否 选择选择理由相关文件记程序。A.9.2.2用户访问权限提 供控制YES应后正式的用户访问分配 程序，以分配和撤销对于所 有信息系统及服务的访问。用户访问控制程序A.9.2.3特权管理控制YES应对特权帐号进行管理，特 权不适当的使用会造成系 统的破坏。用户访问控制程序A.9.2.4用户认证信息的

10、 安全管理控制YES用户鉴别信息的权限分配 应通过一个正式的管理过 程进行安全控制。用户访问控制程序A.9.2.5用户访问权限的 评审控制YES对用户访问权限进行评审 是必要的，以防止非授权的 访问。用户访问控制程序A.9.2.6撤销或调整访问 权限控制YES在跟所有员工和承包商 人员的就业合同或协议 终止和调整后，应相应得 删除或调整其信息和信 息处理设施的访问权限0人力资源安全管理程序用户访问控制程序相关方服务管理程序A.9.3用户责任目标YES确保用户对认证信息的保护负责。A.9.3.1认证信息的使用控制YES应要求用户遵循组织的规 则使用其认证信息。用户访问控制程序A.9.4系统和应用

11、访问 控制目标YES防止对系统和应用的未授权访问A.9.4.1信息访问限制控制YES我司信息访问权限是根据 业务运做的需要及信息安 全考虑所规定的，系统的访 问功能应加以限制。用户访问控制程序A.9.4.2安全登录程序控制YES对操作系统的访问应启安 全登录程序进行控制。用户访问控制程序A.9.4.3密码管理系统控制YES为减少非法访问操作系统 的机会，应对密码进行管 理。用户访问控制程序A.9.4.4特权程序的使用控制YES对特权程序的使用应严格 控制，防止恶意破坏系统安 全。用户访问控制程序A.9.4.5对程序源码的访 问控制控制YES对程序源代码的访问应进 行限制。软件开发安全控制程 序

12、A.10加密技术标准 条款号标题目标/ 控制是否 选择选择理由相关文件标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.10.1加密控制目标YES确保适当和有效地使用加密技术来保护信息的机 密性、真实性、完整性。A.10.1.1使用加密控制的 策略控制YES为保护信息，应开发并实施 加密控制的使用策略网络安全管理程序技术符合性管理规定A.10.1.2密钥管理控制YES应进行密钥管理，以支持公 司对密码技术的使用网络安全管理程序技术符合性管理规定计算机管理规定A.11物理和环境安全标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.11.1安全区域目标YES防止对组织信息和信息处理

13、设施的未经授权物理 访问、破坏和干扰。A.11.1.1物理安全边界控制YES我司有包含重要息及 息处理设施的区域，应确定 其安全周界对其实施保护。安全区域控制程序A.11.1.2物理进入控制控制YES安全区域进入应经过授权， 未经授权的非法访问会对 信息安全构成威胁。安全区域控制程序A.11.1.3办公室、房间及 设施的安全控制YES对安全区域内的综合管理 部、房间和设施应有特殊的 安全要求。安全区域控制程序A.11.1.4防范外部和环境 威胁控制YES力口强我司物理安全控制， 防 范火灾、水灾、地震，以及 其它形式的自然或人为灾 害。安全区域控制程序A.11.1.5在安全区域工作控制YES在

14、安全区域工作的人员只 后严格遵守安全规则，才能 保证安全区域安全。安全区域控制程序相关方服务管理程序A.11.1.6送货和装卸区控制YES对未经授权的人员可能访 问到的地点进行控制，防止 外来人员直接进入重要安 全区域是必要的。安全区域控制程序A.11.2设备安全目标YES防止资产的遗失、损坏、偷窃等导致的组织业务中 断。A.11.2.1设备安置及保护控制YES设备应定位和保护，防止火 灾、吸烟、油污、未经授权 访问等威胁。信息处理设施控制程 序A.11.2.2支持设施控制YES对设备加以保护使其免于信息处理设施控制程标准 条款号标题目标/ 控制是否 选择选择理由相关文件电力中断或者其它支持设

15、 施故障而导致的中断的影 响。序A.11.2.3线缆安全控制YES通信电缆、光缆需要进行正 常的维护，以防止侦听和损 坏。网络安全管理程序A.11.2.4设备维护控制YES设备保持良好的运行状态 是保持信息的完整性及可 用性的基础。信息处理设施控制程序计算机管理规定A.11.2.5资产转移控制YES设备、信息、软件未经授权 之前，不应将设备、信息或 软件带到场所外。信息处理设施控制程 序A.11.2.6场外设备和资产控制YES我司有笔记本移动设备，离 开正常的办公场所应进行 控制，防止其被盗窃、未经 授权的访问等危害的发生。信息处理设施控制程序计算机管理规定介质管理程序A.11.2.7设备报废

16、或重用控制YES对我司储存功夫敏感/息 的设备，如服务器、硬盘， 对其处置和再利用应将其 信息清除。信息处理设施控制程序介质管理程序A.11.2.8无人值守的设备控制YES确保无人值守设备得到足 够的保护。计算机管理规定A.11.2.9桌面清空及清屏 策略控制YES不实行清除桌面或清除屏 幕策略，会受到资产丢失、 失窃或遭到非法访问的威 胁。计算机管理规定A.12操作安全标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.12.1操作程序及职 责目标YES确保信息处理设备的正确和安全使用。A.12.1.1文件化操作程 序控制YES作业程序应该文件化，并 在需要时可用。文件控制程序A.12

17、.1.2变更臂埋控制YES未加以控制的信息处理设 备和系统更改会造成系统 故障和安全故障。信息处理设施控制程序变更控制程序A.12.1.3容量管理控制YES为避免因系统容量不足导 致系统故障，监控容量需 求并规划将来容量是必须 的。信息安全监控管理规 定标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.12.1.4开发、测试与运 行环境的分离控制YES我司设有研发部门，应分 离开发、测试和运营设施， 以降低未授权访问或对操 作系统艾更的风险软件开发安全控制程 序A.12.2防范恶意软件目标YES确保对信息和信息处理设施的保护，防止恶意软 件。A.12.2.1控制恶意软件控制YES恶意软

18、件的威胁是客观存 在的，应实施恶意代码的 监测、预防和恢复控制， 以及适当的用户意识培训 的程序。防病毒管理规定A.12.3备份目标YES防止数据丢失A.12.3.1数据备份控制YES对重要信息和软件定期备 份是必须的，以防止信息 和软件的去失和不PJ用， 及支持业务可持续性。数据备份管理程序A.12.4日志记录和监 控目标YES记录事件和生成的证据A.12.4.1事件日志控制YES为访问监测提供帮助，建 立事件日志（审核日志）是 必须的。信息安全监控管理规 定A.12.4.2日志信息保护控制YES日志记录设施以及日志信 息应该被保护，防止被篡 改和未经授权的访问。信息安全监控管理规 定A.1

19、2.4.3管理员和操作 者日志控制YES应根据需要，记录系统管 理员和系统操作员的活 动。信息安全监控管理规 定A.12.4.4时钟同步控制YES实施时钟同步，是生产、 经营与获取客观证据的需 要。信息安全监控管理规 定A.12.5运营中软件控 制目标YES确保信官中系统的完整性。A.12.5.1运营系统的软 件安装控制YES应建立程序对运宫中的 系统的软件安装进行控 制。软件控制程序A.12.6技术漏洞管理目标YES防止技术漏洞被利用。A.12.6.1管理技术薄弱 点控制YES及时获得正在使用信息系 统的技术薄弱点的相关信 息，应评估对这些薄弱点 的暴露程度，并采取适当 的方法处理相关风险。

20、技术薄弱点控制程 序标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.12.6.2限制软件安装控制YES应建立和实施用户软件 安装规则。软件控制程序A.12.7信息系统审计 的考虑因素目标YES取小化审计活动对系统返宫影响。A.12.7.1信息系统审核 控制控制YES应谨慎策划对系统运行 验证所涉及的审核要求 和活动并获得许可，以 最小化中断业务过程。内部审核控制程序A.13通信安全标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.13.1网络安全管理目标YES确保网络及信息处理设施中信息的安全。A.13.1.1网络控制控制YES应对网络进行管理和控 制，以保护系统和应用程 序

21、的信息。网络安全管理程序变更控制程序A.13.1.2网络服务安全控制YES应识别所有网络服务的 安全机制、服务等级和管 理要求，并包括在网络服 务协议中，无论这种服务 是由内部提供的还是外 包的。网络安全管理程序A.13.1.3网络隔离控制YES应在网络中按组隔离信 息服务、用户和信息系统0网络安全管理程序A.13.2信息交换目标YES确保信息在组织内部或与外部组织之间传输的安 全。A.13.2.1信息交换策略 和程序控制YES应建立正式的传输策略、 程序和控制，以保护通过 通讯设施传输的所有类 型信息的安全。信息交换管理程序A.13.2.2信息交换协议控制YES建立组织和外部各方之 间的业务

22、信息的安全传 输协议。信息交换管理程序A.13.2.3电子消息控制YES应适当保护电子消息的 信息。信息交换管理程序A.13.2.4保密或不披露 协议控制YES应制定并定期评审组织 的信息安全保密协议或 不披露协议，该协议应反 映织对信息保护的要求。保密协议相关方管理程序A.14系统的获取、开发及维护标准 条款号标题目标/ 控制是否 选择选择理由相关文件标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.14.1信息系统安全需 求目标YES确保信息安全成为信息系统整个生命周期的组成 部分，包括通过公共网络提供服务的信息系统的要 求。A.14.1.1信息安全需求分 析和规范控制YES新建信

23、息系统或增强现 有信息系统的需求中应 包括信息安全相关的要 求。网络安全管理程序技术符合性管理规定A.14.1.2公共网络应用服务的安全控制YES应保护流经公共网络的应用服务信息，以防止欺 诈、合同争议、未授权 的泄漏和修改。网络安全管理程序A.14.1.3保护应用服务控制YES应保护应用服务传输中 的信息，以防止不完整的 传输、路由错误、未授权 的消息修改、未经授权的 泄漏、未授权的信息复制 和重放。网络安全管理程序A.14.2开发和支持过程 的安全目标YES确保信息系统开发生命周期中设计和实施信息安 全。A.14.2.1开发的安全策略控制YES应对软件开发及系统建设 的安全需求进行规范管理

24、。软件开发安全控制程 序A.14.2.2系统变更控制程 序控制YES为防止未授权或不充分的 更改，导致系统故障与中 断，需要实施严格更改控 制。变更控制程序A.14.2.3操作平台变更后 的技术评审控制YES操作系统的小充分更改对 应用系统会造成严重的影 响。变更控制程序A.14.2.4软件包艾更限制控制YES不鼓励对软件包进行艾更， 对必要的更改需严格控制。变更控制程序A.14.2.5安全系统工程原 则控制YES应建立、文件化、维护和应 用安全系统工程原则，并 应用于任何信息系统工程。软件开发安全控制程 序A.14.2.6开发环境安全控制YES在整个系统开发生命周期 的系统开发和集成工作中，

25、 应建立并妥善保障开发环 境的安全。软件开发安全控制程 序A.14.2.7外包开发控制NO公司暂无软件外包过程。A.14.2.8系统安全测试控制YES在开发过程中，应进行安全 性的测试。软件开发安全控制程 序A.14.2.9系统验收测试控制YES应建立新信息系统、系统升 级及新版本的验收测试程 序和相关准则。软件开发安全控制程 序标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.14.3测试数据目标YES确保测试数据安全。A.14.3.1测试数据的保护控制YES应谨慎选择测试数据，并 加以保护和控制。软件开发安全控制程 序A.15供应商关系标准 条款号标题目标/ 控制是否 选择选择理由

26、相关文件A.15.1供应商关系的 信息安全目标YES确保组织被供应商访问的信息的安全。A.15.1.1供应商关系的 信息安全策略控制YES为降低供应商使用组织的 资产相关的风险，应与供 应商签署安全要求的文件 协议。保密协议A.15.1.2在供应商协议 中强调安全控制YES与每个供应商签订的协议 中应覆盖所有相关的安全 要求。如可能涉及对组织 的IT基础设施组件、信 息的访问、处理、存储、 沟通。保密协议A.15.1.3信息和通信技 术的供应链控制YES供应商协议应包括信息、 通信技术服务和产品供 应链的相关信息安全风 险。保密协议A.15.2供应商服务交 付管理目标YES保持符合供应商协议的

27、信息安全和服务交付水 平。A.15.2.1供应商服务的 监督和评审控制YES组织应定期监督、评审和 审核供应商的服务交付。相关方服务管理程 序A.15.2.2供应商服务的 义更管理控制YES应管理供应商服务的变 更，包括保持和改进现有 信息安全策略、程序和控 制措施，考虑对业务信息、 系统、过程的关键性和风 险的再评估。相关方服务管理程 序A.16通信安全事件管理标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.16.1信息安全事件 的管理和改进目标YES确保网络及信息处理设施中信息的安全。A.16.1.1职贝和程序控制YES应建立管理职责和程序， 以快速、功效和有序的响信息安全事件管

28、理程 序标准 条款号标题目标/ 控制是否 选择选择理由相关文件应信息安全事件。A.16.1.2报告信息安全 事态控制YES应通过适当的管理途径尽 快报告信息安全事态。信息安全事件管理程 序A.16.1.3报告信息安全 弱点控制YES应要求使用组织信息系统 和服务的员工和承包商注 意并报告系统或服务中任 何已发现或疑似的信息安 全弱点。信息安全事件管理程 序技术薄弱点的控制程 序A.16.1.4评估和决策信 息安全事件控制YES应评估信息安全事件，以 决定其是否被认定为信息 安全事故。信息安全事件管理程 序A.16.1.5响应信息安全 事故控制YES应按照文件化程序响应信 息安全事故。信息安全事

29、件管理程 序A.16.1.6从信息安全事 故中学习控制YES分析和解决信息安全事故 获得的知识应用来减少未 来事故的可能性或影响。信息安全事件管理程 序A.16.1.7收集证据控制YES组织应建立和采取程序， 识别、收集、采集和保存可以作为证据的信息。信息安全事件管理程 序A.17业务连续性管理中的信息安全标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.17.1信息安全的连 续性目标YES信息安全连续性应嵌入到组织的业务连续性管理 体系。A.17.1.1规划信息安全 的连续性控制YES组织应确定其需求，以保 证在不利情况卜信息安全 管理的安全和连续性，如 在危机或灾难时。业务持续性管理程 序A.17.1.2实施信息安全 的连续性控制YES组织应建立、文