XXXX有限公司 文件编号:XX-XX-XX-XX 内部文件 信息安全管理体系手册 (附录性声明) 第五版 编制:XXX 审核:XXX 审批: 日期: 分发号: 地址: 电话: 传真: 邮编:
目 录
附录A(规范性附录)适用性声明
附录B(规范性附录)XX ISMS组织结构、职能分配和职责
附 录 A(规范性附录)
适用性声明
A.1 目的
为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,特制订此文件。 A.2 范围
本声明适用于本厂范围内数据处理及票据、票证、书刊的设计、开发、生产和服务,计算机及网络设备的技术服务与运行。 A.3 适用性声明
根据ISO/IEC 27001:2013 《信息技术 安全技术 信息安全管理体系 要求》标准的要求,按照标准ISO/IEC 17799:2013 《信息技术 安全技术 信息安全管理实用规则》的控制目标和控制措施,编写的信息安全管理体系适用性声明如下表A.1所示。其中14.2.7条款不适用于我公司,给与删减。
表A.1 控制目标和控制措施
条款 A.5 安全方针 A.5.1 信息安全方针 依据业务要求和信息安全方针应由管理者批准、A.5.1.1 信息安全方针 相关法律法规提发布并传达到所有员工和外部相供管理指导并支关方 管理手册中制定了 “信息安全方针” 目标 控制措施 涉及文件和记录 或不选择的理由 持信息安全 信息安全方针的评审 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它连续的适宜性、充分性和有效性 A.5.1.2 《管理评审控制程序》 领导小组定期评审《信息安全方针》至少每年一次。 A.6 信息安全组织 A.6.1 内部组织 《信息安全手册发布令》 成立信息安全领导小组负责领导决策,信息安全工作组负责常务工作 信息安全工作组由相关部门的人员组成,协调各部门的工作 A.6.1.1 信息安全角色和职责 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全 A.6.1.2 职责分割 信息安全活动应由来自组织不同部门并具备相关角色和工作职责在组织内管理信的代表进行协调 息安全 保持与政府相关部门的适当联系。 A.6.1.3 与政府部门的联系 与特定利益集团的联系 A.6.1.4 《业务连续性与事故报告及响应保持与特定利益集团、其他安全程序》 专家组和专业协会的适当联系 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 项目管理中的A.6.1.5 信息安全 A.6.2移动设备和远程工作 《保密协议》 A.6.2.1 移动设备策略 采用策略及和支持性安全措施来管理使用移动设备带来的风险。 A.6.2.2 远程工作 《设备、设施及环境条件维护控制程序》、《电子信息访问控制程实施策略和支持性安装措施来保序》 护远程站点访问、处理或存储的信息。 A.7人力资源安全 A.7.1任用之前 A.7.1.1 审查 A.7.1.2 任用条款和条件 关于所有任用的候选者的背景验证检查应按照相关法律法规、道确保雇员、承包德规范和对应的业务要求、被访方人员和第三方问信息的类别和察觉的风险来执人员理解其职行。 责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误与员工和承包商的合同协议应规定啊他们和组织的信息安全责用的风险。 任。 《人力资源招聘、使用和离职控制程序》 A.7.2任用中 确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。 确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 管理者宜要求所有雇员和外部用户按照组织已建立的方针策略和规程对安全尽心尽力。 《人力资源招聘、使用和离职控制程序》 A.7.2.l 管理职责 信息安全意A.7.2.2 识、教育和培训 《人力资源招组织的所有雇员,适当时,包括合聘、使用和离职同方,应受到与其工作职能相关的控制程序》 适当的教育、培训和组织方针策《人力资源控制略及规程的定期更新培训。 程序》 宜有一个正式并已传达的纪律处理过程,以对于安全违规的雇员进行处理。 《违反信息安全工作惩罚规定》 《保密协议》 A.7.2.3 纪律处理过程 A.7.3任用的终止或变化 A.7.3.1 任用终止或变化的职责 任用终止或任用变化的职责应清晰的定义和分配。 《人力资源招聘、使用和离职控制程序》 《电子信息访问控制程序》 A.8资产管理 A.8.1对资产负责 A.8.1.1 资产清单 应清晰的识别所有资产和重要《信息资产保护控度,编制并维护所有重要资产的制程序》、《资产登清单。 记表》 A.8.1.2 资产责任人 实现和保持对组织资产的适当保护 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 《信息资产保护控制程序》、《资产登记表》 资产的合格使A.8.1.3 用 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 《信息资产保护控制程序》、《电子信息访问控制程序》 A.8.1.4 资产的归还 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。 《人力资源招聘、使用和离职控制程序》 A.8.2信息分类 《信息分类及交换信息应按照它对组织的价值、法策略》 律要求、敏感性和关键性予以分《信息资产保护控类。 制程序》 应按照组织所采纳的分类机制 建立和实施一组合适的信息标 记规程 《信息资产保护控制程序》 A.8.2.1 信息的分类 确保信息受到适当级别的保护。 A.8.2.2 信息的标记 A.8.2.3 信息的处理 A.8.3介质处置 A.8.3.1 可移动介质的管理 防止存储在介质上的信息遭受未应按照组织所采纳的分类机制 《信息资产保护控建立和实施一组合适的信息处理制程序》 规程。 应有适当的可移动介质的管理程序。 《通信和操作控制程序》