資源描述:
《信息安全適用性聲明修改版》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、ISMS-2001適用性聲明編號(hào):ISMS-P-2001狀態(tài):受控編寫:200X年XX月XX日審核:200X年XX月XX日批準(zhǔn):200X年XX月XX日發(fā)布版次:第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā):各部門(或XXX)接受部門:XXXXXX有限公司第33頁共33頁ISMS-2001變更記錄變更日期版本變更說明編寫審核批準(zhǔn)2009-XX-XXA/0初始版本XXXXXXXXXXXXXXX有限公司第33頁共33頁ISMS-2001目錄1目的與范圍42相關(guān)文件43職責(zé)44聲明4A.5安全方針5A.6安全組
2、織5A.7資產(chǎn)管理7A.8人力資源安全7A.9實(shí)物與環(huán)境安全7A.10通信和操作管理7A.11訪問控制7A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)7A.13信息安全事件管理7A.14業(yè)務(wù)持續(xù)性管理7A.15符合性7XXXXXX有限公司第33頁共33頁ISMS-2001信息安全適用性聲明1目的與范圍本聲明描述了在ISO27001:2005附錄A中,適用于本公司信息安全管理體系的目標(biāo)/控制、是否選擇這些目標(biāo)/控制的理由、公司現(xiàn)行的控制方式、以及實(shí)施這些控制所涉及的相關(guān)文件。2相關(guān)文件ISMS-1001《信息安全管理手冊(cè)》3職責(zé)《信息安全適
3、用性聲明》由XXX編制、修訂,由管理者代表批準(zhǔn)。4聲明本公司按GB/T22080-2008idtISO/IEC27001:2005建立信息安全管理體系。根據(jù)公司風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)可接受水平,GB/T22080-2008idtISO/IEC27001:2005附錄A的下列條款被選擇(或不選擇)用于本公司信息安全管理體系,共刪除X條控制措施。XXXXXX有限公司第33頁共33頁ISMS-2001A.5安全方針標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.5.1信息安全方針目標(biāo)YES依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)為信息
4、安全提供管理方向和支持,并表明管理層對(duì)信息安全的承諾。A.5.1.1信息安全方針文件控制YES信息安全管理實(shí)施的需要。信息安全方針文件應(yīng)由管理階層核準(zhǔn),并通過培訓(xùn)、張貼布告于宣傳欄、網(wǎng)站等形式公布與傳達(dá)給所有聘雇人員與相關(guān)外部團(tuán)體。A.5.1.2信息安全方針的評(píng)審與評(píng)價(jià)控制YES確保方針持續(xù)的適宜性。按照計(jì)劃的時(shí)間間隔(如每年)或當(dāng)重大變化發(fā)生時(shí)利用管理評(píng)審對(duì)方針的進(jìn)行評(píng)審以確保它持續(xù)的適宜性、充分性和有效性,必要時(shí)對(duì)方針進(jìn)行修訂。A.6安全組織標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否選擇選擇理由控制描述相關(guān)文件A.6.1內(nèi)部組織目標(biāo)Y
5、ES建立一個(gè)有效的信息安全管理組織機(jī)構(gòu)。A.6.1.1信息安全管理承諾控制YES確定評(píng)審安全承諾及處理重大安全事故,確定與安全有關(guān)重大事項(xiàng)所必須的職責(zé)分配及確認(rèn)、溝通機(jī)制。管理者應(yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息安全職責(zé)分配來積極支持組織內(nèi)的安全。公司成立信息安全管理委員會(huì),由公司領(lǐng)導(dǎo)、信息安全管理者代表、各主要部門負(fù)責(zé)人組成。信息安全管理委員會(huì)至少每半年召開一次,或者當(dāng)信息安全管理體系發(fā)生重大變化或當(dāng)管理者代表認(rèn)為有必要時(shí)召開。信息安全管理者代表負(fù)責(zé)決定召開會(huì)議的時(shí)機(jī)及會(huì)議議題,行政部負(fù)責(zé)準(zhǔn)備會(huì)議日程的安排。會(huì)議主
6、要議題包括:a)評(píng)審信息安全承諾;b)確認(rèn)風(fēng)險(xiǎn)評(píng)估的結(jié)果;XXXXXX有限公司第33頁共33頁ISMS-2001c)對(duì)與信息安全管理有關(guān)的重大更改事項(xiàng),如組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等,進(jìn)行決策;e)評(píng)審與處理重大信息安全事故;f)審批與信息安全管理有關(guān)的其他重要事項(xiàng)。A.6.1.2信息安全的協(xié)調(diào)控制YES公司涉及信息安全部門眾多,組織機(jī)構(gòu)復(fù)雜,需要一個(gè)有效溝通與協(xié)調(diào)機(jī)制。公司成立信息安全管理協(xié)調(diào)小組,由信息安全管理者代表、保密辦以及信息安全體系內(nèi)審員組成。協(xié)調(diào)小組每季度召開一次協(xié)調(diào)會(huì)議(特殊情況隨時(shí)召開會(huì)議),
7、對(duì)上一季度的信息安全管理工作進(jìn)行總結(jié),解決體系運(yùn)行中存在的問題,并布置下一季度的信息安全工作。由保密辦負(fù)責(zé)組織安排并做好會(huì)議記錄。A.6.1.3信息安全職責(zé)的分配控制YES保持特定資產(chǎn)和完成特定安全過程的職責(zé)需確定。公司設(shè)立信息安全管理者代表,全面負(fù)責(zé)公司ISMS的建立、實(shí)施與保持工作。對(duì)每一項(xiàng)重要信息資產(chǎn)指定信息安全責(zé)任人。與ISMS有關(guān)各部門的信息安全職責(zé)應(yīng)予以描述,關(guān)于具體的信息安全活動(dòng)的職責(zé)在程序及作業(yè)文件中予以明確。在哪個(gè)文件里描述職責(zé),《信息安全組織》么?A.6.1.4信息處理設(shè)施的授權(quán)程序?yàn)槭裁丛谶@個(gè)域中?控制
8、YES本公司有新信息處理設(shè)備(設(shè)施)使用時(shí),實(shí)施使用授權(quán)程序。對(duì)各自負(fù)責(zé)管理的信息系統(tǒng),根據(jù)使用者需求提出新設(shè)施(包括軟件)的采購技術(shù)規(guī)格,由XXX部進(jìn)行技術(shù)選型,并組織驗(yàn)收,確保與原系統(tǒng)的兼容。明確信息處理設(shè)施的使用部門接受新設(shè)施的信息安全負(fù)責(zé)人為XXX部,XXX部人員需要講解新設(shè)施的正