《HXZNKJ-ISMS-A-30信息安全适用性声明soa-.docx》由会员分享,可在线阅读,更多相关《HXZNKJ-ISMS-A-30信息安全适用性声明soa-.docx(10页珍藏版)》请在三一办公上搜索。
1、表进行协调.公司姐织结构图信息平安管理手册职能安排表信息平安联责的安排全部的信息平安职责应予以清楚地叔YES信息平安管理手册职能安排表信息处理设施的授权过程新信息处理设施应定义和实施一个管理授权过程.YES信息处理设施安装运用带理再济保密性协议应识别并定期评审反映组织信息爱妒须要的保密性或不泄露府汉的要求YES信息资谀保里策能员工保膨协议笆理程序员工保财则与政府部门的联系应保持与政府相关SS门的适当联系.YES相关政将部门联系表与特定权益团体的联系应保持与特定权益团体.其他平安专家组和专业的协会的适当联系.YES相关利益团体联系表信息平安的拽立评审组织管理信息平安的方法及其实施(例如信息平安的
2、限制目标.限制措施、策略、过程和程序)应按安列理)时间间隔进行独立评审,当平安实施发生重大变更时,也要进行独立评审.YES管理评审程序外部各方与外部各方相关风绘的识8U保持fflta的被外部各方访问、处理、管理或与夕像进行通信的信息和信息处理设施的平安,故识另及外部各方业务过程中蛆织的信息粕信息处理设施的风睑,并在允许访问前实施适当的3R制.YES网珞访问策略访问限制策IS物理访问第略第三方IS务管理程序用户访问管理程序处理与顾客有关的平安磁应在允许顾客访问姐织信息或资产之前处理全3隰定的平安要求.YES网络访问策略访獭制策略物理访问策蛤第三方股务管理,好用户访问管理程序处理第三方协议中的平安
3、问同涉及访问、处理或管理组投的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增力Wct品或服务的第三方协议,应涵姜全8陶关的平安要求.YES第三方服务管理程序用户访问管理程序A.7资产苜理对超产负费资产清单实现和保持对朝资产的适当爱护业H盘的识别全部资产,埸制并维护全部歪要资产的清单.YES信息分类管理程序资产击任人与信息处理设焉有关的全部信息和资产应由组织的指定部门或人员担当SU.YES信息处理设班安装运用管理程存资产的允许运用与信息处理设施有关的信息和资产运用允许规则应校期定,形成文件并加以实施.YES信息处理设旗安装运用管理程伟电子部件运用液则信息分类分类指南珊保信息受到
4、话当级别的爱护信息应根据它对组织的价值、法律要求、UMS性和关教性予以分类.YES商业除和管理程序信息的标记W处理应根据组统所接受的分类矶制建立和实施一蛆合适的信息标记和处理助.YES计建矶管理程序商业的区管理程序A.8人力资源平安任用之前角色和HH境闵雇员、承包方人员0第三方人员理解其职案、考虑对其担当的角色是适合的,以降低设施被窃.欺诈和误用的风%as.承包方人员和第三方人员的平安角色粕职费应根据组织的信息平安方针定义并形成文件.YES信息平安方针公司岗位职友事出关于全部任用的帔选者.承包方人员和第三方人员的背景版证检适应根据相关法律i去规、道纳规范3对政的业务要求.被访问信息的类别和察觉
5、的风睑来矶行.YES员工转用管理程序任用条歆和条件作为他们合同义务的一部分,电员、承包方人员和第三方人员应同朦并签署他们的任用合同的条款和条件,这些条歆和条件要声明他们和组织的信息平安职友.YES员工啊用管理程序任用中笆理职费保全部的雇员、承包方人员和第三方人员知悉信息平安威逼腾IJ害关系他们的和义务.并打算好在只正常工作过程中支持蛆织的平安方针,以削减人为过失的风睨.处理者应要求雇员.承包方人员和第三方人员根据担织已建立的方针策略和程序对平安不遗余力.YES第三方访问策略雇员访问策略公司岗位能贡信息平安意识、教化和培训组织的全部赛员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关
6、的适当的意识培训和姐织方针策略及周序的定期更新培训.YES员:Dg训营理程序信息平安m务管理程序纪律处理过程对于平安违规的冠员,曲有一个正式的纪律处理过程.YES信息平安奖惩管理程序任用的终止或变更终止职案琬保底艮.承包方人员和第三方人员以一个规磔而退出一个组织或变更具任用关系.任用终止或任用变更的职责应清楚的定义和安排.YES员工原职管理程序资产的归还全部的雇员、承包方人员和第三方人员在终止任用.合同砌议时,应归还他运用的全部组纨资产,YES员工鹿职管理程序撤销访问权全部M员.承包方人员和第三方人员对信息和信息处理设他的访问权应在任用.合同或协议终止W碱,或在变更时调整.YES员工鹿职管理程
7、序A.9物理和环境平安平安区域物理平安边界防止对组织场所和信息的未授权物理访问、损坏1干扰应运用平安边界(诸女陷、卡限制的入口或有人管理的接待台等屏W)来爰沪包含信息和信愿处理设施的区域.YES平安区喀RS程序门禁系统管理程序策要平安区域限制方案物理入口限制平安区域应由适合的入口限制所爱护,以确保只有授权的人员才允许帆YES平安区域管理程序门禁系统管理程序亚要平安区域限制方案综合管理部.房间和设施的平安爱护应为综合管理部.房间和设施没计并实行理平安措他YES平安区域管理程序外部和环境威逼的平安防护为防止火灾、洪水.i&K.爆炸.社会动荡粕其他形式的自然或人为灾潴引起的破坏,应设计和实行物理爱妒
8、措施.YES平安区脸理程序在平安区域工作应设计和运用用于平安区域工作的糊理爱护和指南,YES平安区域管理程序公共访问.交接区平安访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以限制,假如可能,要与信息处理设5三离,以避开未授权访问.YES平安区域管理程序设备平安设备安置和爱护防止资产的丢失.损坏、失窃成危及资产平安以及姐织活动的中断.应安置或爰护婚,以削减由环境威逼和危急所S成的各种风吃以及未授权访!可的讥会.YES设备及布线平安策珞支持性应爱妒设备使其免于由支持性设施的失效而引起的电源故障和攵他中断.YES设笛及布线平安策略布缆平安应保证传知数据或支持信忌版务的电源布缆和SfS布
9、线免受后圻或损坏.YES没备及布缆平安策略设备维护设备应予以正确地维护,以施保其持续的可用性畸整性.YES信息处理设电A护管理程序组妲场所外的设备平安酬组织酶脸备实行平安措施,要考虑工作在组织场所以外的YES计故矶管理程序设省的平安处K或再利用包含松介质腌备的全血目应进行检否,以确保在第SJ之前,任何敏喻总和注册软件已极划除盹平安B片.YES信息处理设施维护西屋程序资产的移动设镭、信息或荻件在授权之前不应带出组织场所.YES可移动介战旨理程序A.10通讯和操作管理掾作程序和职费文件化的操作程序烧保正踊.平安的提m三总处理设施.理作程不应形成文件.保持并对全部霹的用户可用.YES文/棚制程序变更
10、菖理对信息处理设施和系统的变更应加I飕制.YES变更菅理平安策路软侪靖理程序m任分副各类责任及职责总困应加以分用,以降低未授权或无意识的修改或者不当运用姐织资产的机会.YES职责安排表开发.奥试和运行设他分别开发测试W运行设施应分别,以削减未授权访问或变更运行系统的硒.YES软件开发管理程序第三方服务交付管理服务交付实期O保持符合第三方眼务交付协议的信息平安和服务交付的适当水准.应确保第三方实施、运行并保持包含在第三方服务交付协设中的平安限制措施、服务定义和交付水准.YES第三方服务管理程序第三方服务的监视W评审应定期监视in评审由第三方供应的服务、报告和记录,审核也应定期执行.YES第三方服
11、务管理程序第三方服务的变更转理应省理服务供应的变更,包括保持和改进现有的信息平安策略.程序和限制措施.要考虑业务系物口涉及过程的关犍程度及风险的再评估.YES第三方服务管理程序系i三划和SS收容量管理将系统失效的风险降至最小.资源的运用应力眼监视.璃整,并应作出对于将来容量要求的预料.以确保姆有所需的系统性够YES信息处理设他安装运用管理程伟系睇收应建立对新的信息系统、升以及新版本的脸收准则,并且在开发中和脸收前对系统进行适当的测试.YES信息系统舱收管理程序软件开发管理程序防意廖您和移动代码限制旨意代码爱妒软件和信息的完雌酶的恶卷代码的监测、频W复原的双制寺雕,以及适当的提高用户平安意识的程
12、序.YES病毒防危策蛤第意软件管理程序限甯膨动代码当授权运用移动代码时,44配IfJS通保授权的移动代码根据清量定义的平安策路运行,应阻若执行未授皿期;动代码.YES可移动代码防范策18备份信息备份保持信总和信息处理设施的总造和可用性应根抿已设的备份策略,定期备份和测试信息和软件.YES信息备份平安策略重思数分序网珞平安管理网络限制确保网络中信息的平安性并爱护支持性的裳础设施.应充分笆理和限制网络,以防止威遇的发生,堆护系统和运用网格的应用程序的平安,包括传输中的信aYES网络用置平安策略网络设箭平安配2T片理网络服务的平安平安特1、服券级别以及全部网络服务的管理要求应予以确定并包括在全盘眄络
13、服务协议中,无论这些服务是由内部供应的还是外包的.YES网络前置平安策略网络设偌平安配置音理介质处置可移动介陵的管理防止资产遭遇未授权泄漏、修改、移动或雌以及对业务活动的中断.应有适当的可移动介,女的SW序.YES可移动介陵管建程序介康的处置不再须要的介质,应运用正式的程京牢京并平安地处置.YES可移动介Si管理程序电召只体介质销毁管理方法信息处理的应建立信息处理及存储程小,以昉止信息的未授权的泄漏或不当运用.YES可移动介掂臂理程方系统文件平安应爱妒系统文件以防止未授权的访问.YES文件瘦制程序信息的交换信息交换策略和程序的组织内信息和软件或及与外部三i信息和软件交换的平安.应有正式的交换策
14、珞、程序和限制措施,以爱妒通过运用各种类型通信设施的信息交投.YES信息交换策略交换例汉应建立担织与外部团体交换信息和软件的协议.YES信息交换策略运输中的物理介质包含信息的介陵在姐织的糊理边界以外运馀时,应防止未授权的访问、不当运用或毁坏.YES西输中栩理介质平安策IS电子消a三包含在电子消息发送中的信息应竭予适当的爰妒.YES电子邮件策略业务信息系统Sa立和施做骅1燧护与业务信息系统互联的信息.YES业务持雌管理限制程序电子商务服务电子商务加电子商务服务的平安及苴平安运用.本公司无此域业务,予以BH减,NO在顺易本公司无此项业务,予以出减.NO公共可用信息在公共可用系统中可用信息的完整性应
15、受爰护,以防止未授权的怪改.YES网站信息发布笆理程伟K审计日志检测未授权的信息as砌切X生记录用户活动.异样和信息平安事态的审计日志,并要保持一个已设的周期以支持将来的调运和YES信息平安监控策略访问限制监视.信息系统笳控管理程序监视系统的运用鲍立信息处理设施的监视运用程序,监视鹤果要常常评审.YES信息平安益控策略信息系统监控首理程序日志信息爱妒记录日志的设施和日志信息应加以爱护,以防止尊改和未授权的访问.YES信息平安益控策路信息.系统施控管理程序管理员礴作员日志系统管理员和系统墀作员活动应记入日志.YES信息平安盘控笫略信息系统密控管理程序故障日志故簿应税记录.分析,并实行适当的措慝Y
16、ES信息平安海控策略信息系统监控管理程序时钟同步fta税或平安域内的全部相关信息处理设施的时钟应运用已设的精潴时间源进行同步.YES信息平安益控策超信息系统施控管理程序A.11访问限制访问限制的业务要求访问限制策珞限制对信总的访问.访问限制策略应球立.形成文件,并基于业务和访问的平安要求进行评审.YES访河限制策略用户访问律理用户注部耐授权用户访问信息系蜕,并防止未授权的访问.应有正式的用户注册及注销程序,来授权撤销对全8S信息系统和服务的访问.YES用户访问笞理程序特权管理应限制和限制特殊权限的安排W运用.YES特权访问管理策略用户访问筒理程序用户口令篙理应通过正式的管理过程限制口令的安排.
17、YES口令限制策略用户访问管理程序用户访问权限的复查管理者应定期运用正式过程对用户的访问权进行舞查.YES用户访问菖理程序用户职责口令运用防止未授权用户对信息和信息处理设施的访问.定富或窃1双.应要求用户在蝌及运用口令时,1况良好的平安习惯.YES口令限制策18无人值守的用户设备用户应幅保无人值守的用户设备有适当的爰护.YES满沽点面和酒屏策略潸除东面1展苒策略应实行清空桌面上文件.可移动存储介质的策略世青空信息处理设施屏幕的笨酪.YES清洁京面和iJ5屏策略网指访问限制运用网络服务的策蛤防止对网络服务的未授权询电用户应仅境访问已获特地授权运用的服务.YES访问限制策略网络访问策略外部连接的用
18、户鉴别应运用适当的布别方法以限制远程用户的访问YES远程访问限制第貉网络访问策蛤A.ll.4.3网络上的设备识8!J应考虑挎自动设备标识,挎其作为S附定位置)设法连接的方法.YES网络访问第略远程诊断和配置埔口的爱护对于诊断和配置端口的物理和遗坦访问应加以限制.YES网络访问策略网络隔商应在网络中隔周信息服务用户及信息系统.YES网络访问第略网络连接限制对于共享的网络,特殊星越过组织边界的网络,用户的联网实力应根据访问限制策略和业务应用要求加以限制(见11.1).YES网络访问策略网络路由限制应在月络中实施路由限制,以确保计算机连接和信息流不违反业务应用的访问限制策as.YES网络访问策略操作
19、系统访问限制平安登录程序防止对操作系统的未授权访问.访问探作系统应通过平安登录程序加以限制.YES访问限制策略用户标识和5S别全部用户应有唯一的.专供其个人运用的标识符(用户ID),应选择一种适当的推另腋术证好用户所宣三9St.YES口令限制策略口令篙理系统6令管理系疑应是交互式的,并应漏保优质的口令.YES口令限制策略系统好用工具的运用可能超越系统和应用程序限制的好用工具的运用应to以限制并严格限制.YES网络访问策略会话超时不活动会诙应在一个设定的休止期后关闭.YES网络访问第路联侧间的限定应运用联机时间的限制,为高风险S供的平安.YES网络访问策略应用和值息访问限制信息访问限制防止对应用
20、系统中信息的未授权访问.用户和支持人员对信息和应用系统功能的访问应依照已确定的访问限制策珞加以限制.YES访问跟制策18敏感系统隔离敢Si系娩应有G用的(Rl离的)运黄环虱YES网络访问策略移动计算和远程工作移动讨算和通信境保运用可移动计财远程工作设施时的信息平安应有正式策珞并且接受适当的平安措施,以防范运用可移动计箕和通信设施时所造成的风掰YES信息交换策略远程工作应为远程工作活动开发和实施策暗.探作安撑和规程.YES证程访问管理策略A.12信息系统获得.开发和堆护信息系统的平安要求平安要求分析和说明确保平安是信息系统的Y有机组成部分.在新的信息系统或增加已有信息系统的业务要求陈述中,应规定
21、对平支限制措施的要求.YES软件开发管理程序应用中的正端处理输入数据的险证防止应用系统中的信息0三误、蚁、未授权的蜂流及误用.输入应用系娩的数据应加以捡证.以确保数抠是正踊且恰当的.YES软件开发管理程序内部处理的跟制睑证检查应整合到应用中,以检查由于处理的错误或有意的行为造成的信息的讹误.YES软件开发管理程序消息完整性应用中的确保真实性和蝮护;脚完整性的要求应得到说8!).适当的限制措他也应得至愧别并实施,YES的钻融理蟒输出数据的脸证从应用系统饰出的数据应加以验证,以福保对所存转信息的处理是正确的且适于环境的.YES软件开发管理程序咬码Ja制运用加密限制的策略通过密码方;护f三息的保宓性
22、、A实性或完整也发和实6运用密码限制搭他来爱护信息的第B8.YES口令平安策18密铜管理应有里钥管理以支持组锹运用空码技术.YES口令平安策略系蜕文件的平安运行软件的限制境保系统文件的平安应有程序来跟制在运行系统上安装我伟YES配峥理系统测试效好的爱妒况试数据应仔纽地力以选择、爱护和腰制.YES配JH笆理对程序源代码的访问RM应限制访确序源代码.YES配置笆理开发和支持过程中的平安变颐相骄维护SM系统饮件和信息的平安应运用正式的变更限和程再限制变史的实施YES软侪靖理程序操作系统变更后的技术评审当操作系统发生变更后,应对业务的关键应用迸衍军审硒!试,以确保对组织的运行或平安没有负面影tfl.Y
23、ES的钻融理所软件包变更限制应对饮件包的修改迸行劝阻,限制必要的变更,且对全部的变更加以严格限制.YES软件开发笆理程序信息泄漏应防止信息泄漏的可能性.YES软侪靖理程序外3X件开发公司无外包软件研发,予以部里NO技术旭55性恒建技术桅因性的限制降低利用公布的技术的触物的风院.应划好得到现用信息系统技术竣弱性的信息.评价组慎对这些脆弱性的累露科度,并实行适当的措地来处理相关的风.YES的钻融理蟒A.13信息平安事务管理报告信息平安态和点报告信息平安事态牌保与信息系统有关的信息平安事态和弱点能够以某群方式传达,以便阻好实行订正措地.信息平安事态应当尽可能快地通过适当的管理类道进行报告.YES信息
24、平安事务管理柝序报告平安点应要求信息系诜和服务的全部雇员,承包方人员和第三方人员记录并报告他正免隙到的或怀疑的任何系统或服务的平安弱点.YES信息平安务管理程序信息平安事务和改迸的管理职责和程序耐盛x和有效的方i去对信息平安事务进行管理.应建立管理职友和程序,以璐保掂对信息平安事务做出快速.百效和有序的响应.YES信息平安事务管理程再对信息平安事务的导结应有一套矶制量化和益视信息平安事务的类型蜘IKX弋价.YES信息平安事务管理程序证据的收集当一个信息平安事务涉及到诉讼(民事的或刑事的),须要迸一步对个人或姐织进行起诉时,应收集.保留和呈递证据,以使证据符合相关诉讼管辖权.YES信息平安事务管
25、理程序A.14业务连续性管理业务连续性饯理的信息平安方面业务连雌笞赖程中包含的信息平安防止业务i舌动中新,爱沪关键业务过程免受信息系统重大失误或灾难的影出.并S保它们的刚好g原.应为货穿于姐家的业务连续性开发和保持一个卷理过程,以解决组织的业务连烧性所需的信息平安要求.YES业务持续性笆理程序业务连缜性和礴评估应识别能弓照业务过程中断的事有,这种中断发生的根率和影响,以及它们对信息平安所造成的后YES业务持续性管理程序制颊含(SS平安的连续性安排应制定和实他安排来保持或爱原运行,以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性.YES业务持续性卷理程序业务连续住安戈唯架应保
26、持一个睢一的业务连续性安排柜架,以确保全部安排是一样的,能够协4地弱决信息平安要求,并力测试和维妒确定优先48.YES业务持缜性管理程序测试.保持和再评估业务连续性安排业务连缜性安8由定期测以咦新,以腌保其内财性和有效性.YES业务持续性旨理程序A.15符令1符合法律要求可用i去律的识别避开违反任1可法律、法令.法规.或合同义务.以及任何平安要充对第T侣品系猊和姐娱而言,全部相关的法令、法规和合同要求.以及为酒藏这些要求组织所接受的方法,应加以明踊地定义、形成文件并保持史所.YES信息平安送法规清华学问产权(IPR)应实施适当的程序,以确保在运用日有学问产权的材料和日有全部权的软件产品时,符合
27、法律、法规和合同的要求.YES信息平安街去现清单爱护组雌记应防止干要的记录遛失、毁杯和伪造,以满.意法令法规合同1业务的要求.YES信息平安法律法规要求实娜制一览我数据爱护和个人信息的除私应依照相关的法律、;去规和合同条钦的要求,确保数据爱妒和电科.YES信息交涣策略防止遴用信息处理设ffi应禁止用户运用信息处理设施用于未授权的目的.YESSEDS3三三密码限制措施的规划运用曳码限制措施应装从相关的协设.法律和i法规.YES口令限制策略符合平安策Ia和标准,以及技术符合性符合平安策略和标准境保系统符合组织的平安策路及标准.包建人员应确保在其职责范围内的全部平安程序被正鼬8执行,以确保符合平安策略及标准.YES信息平安风检管理程序技术符合性检Si信息系统山坡定期检直是否符合平安实施标准.YES信息系统盗控管理程序信息系统审核考电信息系统审核限Wg将信息系统市核过程的有效性大化,甘t最小传涉及对运行系统检自的审核要求和活动.应iMS顿以规划并取得批准,以便最小化造成业务过程中断的风险.YES信息系统盗控管理程序信。东统审核工具的爱护财于信息东统市核工R的访问施加以爱护.以防止任何可健的混用或Ifl害。YES信冢统监拽管理程序
