YS-ISMS-2014-0102-信息安全适用性声明

YS-ISMS-2014-0102-信息安全适用性声明云神科技股份有限公司信息安全管理体系文件信息安全适用性声明YS-ISMS-2014-01022014-1-1发布2014-1-1实施云神科技股份有限公司发布信息安全适用性声明第25页共=NUMPAGES28-127页 修改履历 版本制订者修改时间更改内容审批人审核意见变更申请单号0.1蔡晓辉2014-1-1草稿做成龙翔同意1.01.0蔡晓辉2014-1-1发布实施张建勇同意信息安全适用性声明ISO27001requirement对应文件适用性选用及控制描述(注)适用不适用AnnexA.ControlobjectivesandcontrolsA.5SecuritypolicyA.5.1信息安全方针A.5.1.1信息安全方文件《信息安全管理手册》《管理评审程序》✓信息安全管理体系实施的需要。A.5.1.2信息安全方针评审✓确保方针的持续适宜性。A.6OrganizationofinformationsecurityA.6.1内部组织A.6.1.1信息安全管理承诺《信息安全管理手册》✓信息安全管理体系实施的需要。A.6.1.2信息安全协作《信息安全管理手册》✓公司涉及到的信息安全问题需要一个有效沟通和协调的机制。A.6.1.3信息安全职责分配《信息安全管理手册》✓保持信息资产和完成特定安全过程的职责需要规定。A.6.1.4信息处理设施的授权过程《软、硬件及网络管理程序》✓公司有新信息处理设施采购和使用的活动，需要进行授权。A.6.1.5保密性协议《人力资源管理程序》《员工保密协议》《第三方信息安全管理程序》✓员工和第三方进入公司都会涉及到公司的信息安全，以保密协议对其进行告知和约束。A.6.1.6与权威机构的联系《第三方信息安全管理程序》《第三方服务联络表》✓为了更好的得到信息安全发展的新动向。A.6.1.7与专业小组的联系✓为了更好的得到信息安全发展的新动向，并得到专家的协助。A.6.1.8信息安全的独立评审《内审管理程序》《管理评审程序》✓为了验证公司信息安全管理体系的符合性和有效性。A.6.2外部相关方A.6.2.1与外部相关方有关的风险识别《信息安全风险管理程序》《用户访问控制程序》《物理访问控制程序》✓公司存在外来维修设备、顾客物理、逻辑访问公司等情况，必须加以控制。A.6.2.2题处理与顾客相关的安全问题✓顾客若有物理、逻辑访问公司等情况，必须有相应安全措施控制。A.6.2.3处理第三方协议中涉及的安全问题✓与长期访问的第三方签订保密协议，规定并培训安全要求是必须的。A.7AssetmanagementA.7.1资产责任A.7.1.1资产清单《资产识别管理程序》《信息资产登记表》✓风险控制的需要。A.7.1.2资产所有权✓明确资产管理部门或责任人。A.7.1.3资产的合理使用✓将资产合理使用制度化、文件化。A.7.2信息分类A.7.2.1分类指南《资产识别管理程序》✓便于对信息资产进行分类管理。A.7.2.2信息标识和处理《资产识别管理程序》《软、硬件及网络管理程序》✓按照分类方案进行标识并规定信息处理的安全要求。A.8HumanresouYSessecurityA.8.1聘用前A.8.1.1角色和职责《信息安全管理手册》《人力资源管理程序》✓为了明确信息安全责任。A.8.1.2筛选《人力资源管理程序》✓降低风险。A.8.1.3聘用条款和条件《人力资源管理程序》✓履行合同中的条款和条件是与员工、合同方以及第三方用户的基本控制条件。A.8.2聘用期间A.8.2.1管理职责《人力资源管理程序》✓体系方针和目标得以实现的保障。A.8.2.2信息安全意识、教育和培训《人力资源管理程序》✓安全意识和必要的信息安全操作技能培训是开展信息安全管理的前提。A.8.2.3惩戒过程《人力资源管理程序》✓控制信息安全事件的必要手段之一。A.8.3聘用终止或变化A.8.3.1终止职责《人力资源管理程序》✓在合同中明确终止责任。A.8.3.2资产归还《人力资源管理程序》✓保证资产归还的完整性。A.8.3.3解除访问权限《用户访问控制程序》✓确保访问权限及时修改。A.9PhysicalandenvironmentalsecurityA.9.1安全区域A.9.1.1物理安全边界办公场所平面图✓对重要信息资产进行保护A.9.1.2物理进入控制《物理访问控制程序》✓安全区进入应授权，未经过授权访问会导致信息安全威胁。A.9.1.3保护办公室、房间和设施的安全✓保证物理安全，未经过授权访问会导致信息安全威胁。A.9.1.4防范外部和环境威胁✓保证物理安全，未经过授权访问会导致信息安全威胁。A.9.1.5在安全区域工作✓确保工作在安全的区域进行。A.9.1.6公共访问、交付和装卸区《物理访问控制程序》办公场所平面图✓防止外来的未经过授权访问。A.9.2设备安全A.9.2.1设备定置和保护《软、硬件及网络管理程序》✓保证设备安全A.9.2.2支持性设施《信息安全登记表》✓保证支持性设施稳定A.9.2.3电缆安全《信息安全登记表》✓保证通信电缆的安全A.9.2.4设备维护《软、硬件及网络管理程序》✓维护设备，确保设备的完整性、保密性和可用性A.9.2.5场所外设备的安全《软、硬件及网络管理程序》✓对组织场所外的设备和应用安全进行控制。A.9.2.6设备的安全处置和再利用《软、硬件及网络管理程序》✓对报废设备处理要防止泄密A.9.2.7资产转移《软、硬件及网络管理程序》✓资产离开工作场所要保证安全A.10CommunicationsandoperationsmanagementA.10.1作业的程序及责任A.10.1.1操作程序文件化《网络管理员手册》《受控文件清单》✓确保信息设备操作的规范A.10.1.2变更管理《变更管理程序》✓确保系统变更的安全A.10.1.3职责分离《软、硬件及网络管理程序》《系统权限登记表》✓便于监督管理A.10.1.4开发、测试和运作设施的区隔《信息系统开发建设管理程序》✓降低对操作系统未经授权的访问和更改的风险A.10.2第三方服务交付管理A.10.2.1服务交付《第三方信息安全管理程序》✓标准要求A.10.2.2第三方服务的监控和评审《第三方信息安全管理程序》✓标准要求A.10.2.3管理第三方服务的更改《第三方信息安全管理程序》✓标准要求A.10.3系统策划与接收A.10.3.1容量管理《软、硬件及网络管理程序》✓确保容量符合业务需求A.10.3.2系统接收《信息系统开发建设管理程序》✓确保新的应用系统安全A.10.4防范恶意和可移动代码A.10.4.1防范恶意代码《恶意软件控制程序》✓防止恶意代码对系统的入侵和损害A.10.4.2防范可移动代码《恶意软件控制程序》✓防止可移动代码对系统的入侵和损害A.10.5备份A.10.5.1信息备份《重要信息备份管理程序》✓对重要信息进行备份A.10.6网络安全管理A.10.6.1网络控制《软、硬件及网络管理程序》✓对公司网络实施有效的管理A.10.6.2网络服务的安全《软、硬件及网络管理程序》✓确保网络服务的安全A.10.7介质的操作A.10.7.1可移动介质的管理《介质及信息交换管理程序》✓为防止资产损坏和业务活动中断，根据媒体（包括产品）所储存的信息的敏感性或重要性进行适当的保护，安全处置，确保因媒体不当造成信息泄露事故发生。A.10.7.2介质的处置《介质及信息交换管理程序》✓A.10.7.3信息操作程序《介质及信息交换管理程序》✓为保护敏感信息不会因未经授权处理而造成泄漏或滥用A.10.7.4系统文件的安全《介质及信息交换管理程序》✓确保系统文件安全A.10.8信息交换A.10.8.1信息交换方针和程序《介质及信息交换管理程序》✓确保信息交换的安全A.10.8.2交换协议《介质及信息交换管理程序》✓确保数据交换的安全A.10.8.3物理介质的运送《介质及信息交换管理程序》✓物理介质的运送应符合安全需要A.10.8.4电子讯息《介质及信息交换管理程序》✓确保数据交换的安全A.10.8.5业务信息系统《介质及信息交换管理程序》✓保护与业务信息系统相关的信息A.10.9电子商务服务A.10.9.1电子商务✓公司网站上不存在业务邀约内容，不具备电子订单的功能A.10.9.2在线交易✓公司网站上没有电子订单、电子签名和验证、在线支付等相关功能。A.10.9.3公共信息✓无电子商务业务A.10.10监控A.10.10.1审核日志《记录管理程序》网络管理员工作手册网络管理员的工作记录✓对公司设备的日志进行控制A.10.10.2监视系统的使用✓必须使用监控程序，确保用户只执行被明确授权的活动。A.10.10.3日志信息的保护✓对系统日志进行保护，因为如果数据被修改或者删除，那么就可能对安全造成错误的理解。A.10.10.4管理员和操作员日志✓对管理员和操作员对系统的操作活动进行控制，防止非法操作A.10.10.5故障日志✓对于用户或系统程序报告的有关信息处理系统或者通信系统的问题应当做记录。对于如何处理报告的故障应当清楚的规定A.10.10.6时钟同步《记录管理程序》《软、硬件及网络管理程序》✓正确的设定计算机时钟对确保审核日志的准确性是十分重要的，审核日志是进行调查、法律和惩戒案件中的证据。不准确的审查日志可能会妨碍调查研究的进行，并会削弱它作为证据的可信度。A.11lAccesscontroA.11.1访问控制的业务需求A.11.1.1存取控制方针《用户访问控制程序》✓控制对信息的访问A.11.2用户访问管理A.11.2.1用户注册《用户访问控制程序》《系统权限登记表》✓使用唯一的用户身份，以便将用户与其行为关联，使用户对其行为负责。只有因业务和操作的原因而需要时，才准许使用工作组用户身份；A.11.2.2特权管理✓对需要防范未经授权访问的多用户系统，应该通过正式的授权过程对特权分配进行控制。A.11.2.3用户口令管理✓确保需使用口令系统的安全A.11.2.4用户访问权的评审✓必须定期评审用户的访问权，以保持对数据和信息服务访问进行有效控制。A.11.3用户责任A.11.3.1口令使用《用户访问控制程序》✓标准要求A.11.3.2无人值守的用户设备《软、硬件及网络管理程序》✓加强可移动设备场外无人监管移动的控制A.11.3.3清洁桌面和清除屏幕方针✓标准要求A.11.4网络访问控制A.11.4.1网络服务的使用方针《软、硬件及网络管理程序》✓标准要求A.11.4.2外部连接的用户验证《软、硬件及网络管理程序》✓标准要求A.11.4.3网络中设备的鉴别《软、硬件及网络管理程序》✓标准要求A.11.4.4远程诊断和配置端口保护《软、硬件及网络管理程序》✓标准要求A.11.4.5网络区隔《软、硬件及网络管理程序》✓将内外网或是不同的部门划分为不同网段，以保证信息传递的安全。A.11.4.6网络连接控制《软、硬件及网络管理程序》✓标准要求A.11.4.7网络路由控制《软、硬件及网络管理程序》✓标准要求A.11.5操作系统访问控制A.11.5.1安全登录程序《用户访问控制程序》✓标准要求A.11.5.2用户识别和验证《用户访问控制程序》✓标准要求A.11.5.3口令管理系统《用户访问控制程序》✓标准要求A.11.5.4系统实用程序的使用《用户访问控制程序》✓标准要求A.11.5.5会话超时✓在服务器的策略中需作相应设置以保障服务器的稳定。A.11.5.6连接时间限制✓在服务器的策略中需作相应设置以保障服务器的稳定。A.11.6应用程序以及信息访问控制A.11.6.1信息访问限制《软、硬件及网络管理程序》✓标准要求A.11.6.2敏感系统隔离《软、硬件及网络管理程序》✓标准要求A.11.7移动计算和远程工作A.11.7.1移动计算和通信《软、硬件及网络管理程序》✓标准要求A.11.7.2远程工作✓本公司目前不存在远程工作，本条款不适用。A.12Informationsystemsacquisition,developmentandmaintenanceA.12.1信息系统的安全需求A.12.1.1安全需求分析和规范《信息系统开发建设管理程序》✓运营要求A.12.2应用程序的正确处理A.12.2.1输入数据的验证《信息系统开发建设管理程序》✓运营要求A.12.2.2内部处理的控制《信息系统开发建设管理程序》✓运营要求A.12.2.3消息完整性《信息系统开发建设管理程序》✓运营要求A.12.2.4输出数据验证《信息系统开发建设管理程序》✓运营要求A.12.3加密控制A.12.3.1使用密码控制的方针✓程序开发中对特定的模块和数据加密以保护数据安全A.12.3.2密钥管理✓程序开发中对特定的模块和数据加密以保护数据安全A.12.4系统文件的安全A.12.4.1操作软件的控制《信息系统开发建设管理程序》✓运营要求A.12.4.2系统测试数据的保护《信息系统开发建设管理程序》✓运营要求A.12.4.3对程序源代码的访问控制《信息系统开发建设管理程序》✓运营要求A.12.5开发和支持过程的安全A.12.5.1变更控制程序《变更管理程序》✓运营要求A.12.5.2操作系统变更后对应用程序的技术评审《变更管理程序》✓运营要求A.12.5.3软件包变更的限制《变更管理程序》✓运营要求A.12.5.4信息泄露《介质及信息交换管理程序》✓运营要求A.12.5.5外包软件开发《信息系统开发建设管理程序》✓运营要求A.12.6技术薄弱点管理A.12.6.1技术薄弱点的控制《信息系统开发建设管理程序》✓运营要求A.13InformationsecurityincidentmanagementA.13.1报告信息安全事件和弱点A.13.1.1报告信息安全事件《信息安全事故管理程序》✓运营要求A.13.1.2报告安全弱点《信息安全事故管理程序》✓运营要求A.13.2信息安全事件和改进的管理A.13.2.1责任和程序《信息安全事故管理程序》✓运营要求A.13.2.2吸取信息安全事件教训《信息安全事故管理程序》✓运营要求A.13.2.3证据的收集《信息安全事故管理程序》✓运营要求A.14业务连续性管理A.14.1业务连续性管理中的信息安全事项A.14.1.1业务连续性管理过程中包含的信息安全《业务持续性管理程序》✓运营要求A.14.1.2业务连续性和风险评估《业务持续性管理程序